shiro权限框架中的认证和授权过程

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量7.7k 收藏 4
点赞数 1
分类专栏: 权限框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq383264679/article/details/49402071
版权
本文介绍了Apache Shiro框架在Web环境中的认证和授权流程。默认认证过滤器为表单登录,未认证用户会被重定向到/login。授权方式包括编程式、注解式和JSP标签。注解方式需要在SpringMVC配置中启用,JSP标签使用需引入Shiro标签库,并通过<shiro:hasPermission>和<shiro:hasRole>进行权限检查。
摘要由CSDN通过智能技术生成 
</pre><pre name="code" class="html"><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login"/> 
        <property name="successUrl" value="/first" />
        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
            	<!-- 对静态资源不需要进行认证 -->
            	/images/** = anon
            	/js/** = anon
            	/styles/** = anon
            	<!-- 对所有url都需要进行认证 -->
                /logout = logout
                /** = authc
            </value>
        </property>
    </bean>

首先看一下Shiro中的web filter过滤器:

         默认采用的认证过滤器filter是表单过滤器,默认登录的url是/login(只要没有认证的都会跳转到/login路径下),辅助登录成功url是/first。


默认登录url跳转到的页面是login.jsp如下:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<%@ page contentType="text/html; charset=UTF-8"%>
<%@ include file="/WEB-INF/jsp/tag.jsp"%>
<html>
<head>
<TITLE>药品采购平台</TITLE>
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">

<LINK rel="stylesheet" type="text/css" href="${baseurl}styles/style.css">
<LINK rel="stylesheet" type="text/css" href="${baseurl}styles/login.css">
<LINK rel="stylesheet" type="text/css"	href="${baseurl}js/easyui/themes/default/easyui.css">
<LINK rel="stylesheet" type="text/css"	href="${baseurl}js/easyui/themes/icon.css">

<STYLE type="text/css">
.btnalink {
	cursor: hand;
	display: block;
	width: 80px;
	height: 29px;
	float: left;
	margin: 12px 28px 12px auto;
	line-height: 30px;
	background: url('${baseurl}images/login/btnbg.jpg') no-repeat;
	font-size: 14px;
	color: #fff;
	font-weight: bold;
	text-decoration: none;
}
</STYLE>
<%@ include file="/WEB-INF/jsp/common_js.jsp"%>

<script type="text/javascript">

	//登录提示方法
	function loginsubmit() {
		$("#loginform").submit();

	}
	
</SCRIPT>
</HEAD>
<BODY style="background: #f6fdff url(${baseurl}images/login/bg1.jpg) repeat-x;">
	<FORM id="loginform" name="loginform" action=""
		method="post">
		<DIV class="logincon">

			<DIV class="title">
				<IMG alt="" src="${baseurl}images/login/logo.png">
			</DIV>

			<DIV class="cen_con">
				<IMG alt="" src="${baseurl}images/login/bg2.png">
			</DIV>

			<DIV class="tab_con">

				<input type="password" style="display:none;" />
				<TABLE class="tab" border="0" cellSpacing="6" cellPadding="8">
					<TBODY>
						<TR>
							<TD>用户名:</TD>
							<TD colSpan="2"><input type="text" id="usercode"
								name="username" style="WIDTH: 130px" /></TD>
						</TR>
						<TR>
							<TD>密 码:</TD>
							<TD><input type="password" id="pwd" name="password" style="WIDTH: 130px" />
							</TD>
						</TR>
						<%-- <TR>
							<TD>验证码:</TD>
							<TD><input id="randomcode" name="randomcode" size="8" /> <img
								id="randomcode_img" src="${baseurl}validatecode.jsp" alt=""
								width="56" height="20" align='absMiddle' /> <a
								href=javascript:randomcode_refresh()>刷新</a></TD>
						</TR> --%>

						<TR>
							<TD colSpan="2" align="center"><input type="button"
								class="btnalink" οnclick="loginsubmit()" value="登  录" />
								<input type="reset" class="btnalink" value="重  置" /></TD>
						</TR>
					</TBODY>
				</TABLE>

			</DIV>
		</DIV>
	</FORM>
</BODY>
</HTML>

form过滤器有个特点就是,只要是表单提交(条件:1.post   2.action路径为"")就相当于: 

Subject currentUser = SecurityUtils.getSubject();
currentUser.login(token);

他会自动到Real中的方法进行身份认证:

/**
	 * 身份认证
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		String userName = (String) token.getPrincipal();
		User user = userService.findByUsername(userName);
		
		if(user == null) {
			//抛出用户不存在异常
			throw new UnknownAccountException();//没找到帐号
		}
		if(user.getLocked()) {
			//抛出用户被锁定异常
			throw new LockedAccountException(); //帐号锁定
		}
		// 如果查询到返回认证信息AuthenticationInfo
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, user.getPassword(),ByteSource.Util.bytes(user.getCredentialsSalt()),
				this.getName());

		return simpleAuthenticationInfo;
	}

值得注意的是SimpleAuthenticationInfo这个方法的构造函数,因为它决定了凭证认证的方式:

1.

   public SimpleAuthenticationInfo(Object principal, Object credentials, String realmName) {
        this.principals = new SimplePrincipalCollection(principal, realmName);
        this.credentials = credentials;
    }

该构造器对应的默认任凭类,什么都不需要输入,没有加密算法,没有迭代次数,直接通过用户名和密码进行进行验证就可以。 

<bean id="userRealm" class="com.lgy.web.shiro.UserRealm">
    	<!-- 设置认证凭证器 -->
    	<!--<property name="credentialsMatcher" ref="credentialsMatcher" /> -->
    </bean>


2.

  public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) {
        this.principals = new SimplePrincipalCollection(principal, realmName);
        this.credentials = hashedCredentials;
        this.credentialsSalt = credentialsSalt;
    }

这个和你加密的密码salt有关: 

package com.lgy.service;

import org.apache.shiro.crypto.RandomNumberGenerator;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Service;

import com.lgy.model.User;
	
@Service
public class PasswordHelper {
    private RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

    @Value("${password.algorithmName}")
    private String algorithmName;
    @Value("${password.hashIterations}")
    private int hashIterations;

    public void encryptPassword(User user) {

        user.setSalt(randomNumberGenerator.nextBytes().toHex());

        String newPassword = new SimpleHash(
                algorithmName,           //加密算法
                user.getPassword(),      //密码
                ByteSource.Util.bytes(user.getCredentialsSalt()),  //salt盐   username + salt
                hashIterations   //迭代次数
                ).toHex();

        user.setPassword(newPassword);
    }
}

所以需要设置凭证信息: 

<!-- Realm实现 -->
    <bean id="userRealm" class="com.lgy.web.shiro.UserRealm">
    	<!-- 设置认证凭证器 -->
    	<property name="credentialsMatcher" ref="credentialsMatcher" />
    </bean>
     
    <!-- 认证凭证器 -->
    <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    	<!-- 算法名称 -->
    	<property name="hashAlgorithmName" value="${password.algorithmName}" />
    	<!-- 迭代次数 -->
    	<property name="hashIterations" value="${password.hashIterations}" />
    </bean>

若认证通过后,它会跳转到设置的辅助登录成功url是/first。身份认证就到这里结束!


授权过程如下:

shiro授权有三种方式

Shiro 支持三种方式的授权:

1 编程式:通过写if/else 授权代码块完成:

Subject subject =SecurityUtils.getSubject();

if(subject.hasRole(“admin”)) {

//有权限

} else {

//无权限

}

2 注解式:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")

public void hello() {

//有权限

}

3.JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:

<shiro:hasRolename="admin">

<!— 有权限—>

</shiro:hasRole>


编程试的不用说了,重点说说注解方式和jsp标签方式:

若使用SpringMVC注解试,需要在SpringMVC的配置文件中配置注解启动:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:util="http://www.springframework.org/schema/util"
       xmlns:aop="http://www.springframework.org/schema/aop"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd
       http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd">

    <aop:config proxy-target-class="true"></aop:config>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
</beans>

在控制器中: 

    @RequiresPermissions("user:create")
    @RequestMapping(value = "/create", method = RequestMethod.GET)
    public String showCreateForm(Model model) {
        //...
        return "user/edit";
    }
当进入到这个Controller中的时候,会先进入realm中的: 

/**
	 * 授权认证
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		User user = (User) principals.getPrimaryPrincipal();
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.setRoles(userService.findRoles(user.getUsername()));
        authorizationInfo.setStringPermissions(userService.findPermissions(user.getUsername()));
		return authorizationInfo;
	}

         权限比较可能有如下2个:

 @RequiresPermissions("user:create")
 @RequiresRoles("admin")

1.基于角色的认证

2.基于权限码的认证


若使用jsp标签进行认证:

条件:需要导入<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

页面中

<shiro:hasPermission name="user:update">

......
</shiro:hasPermission>

<shiro:hasRole name="">    

      ......
 </shiro:hasRole>


同上进入该页面中时候,若出现这样的标签,每出现一个都会调用realm中的:

/**
	 * 授权认证
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		User user = (User) principals.getPrimaryPrincipal();
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.setRoles(userService.findRoles(user.getUsername()));
        authorizationInfo.setStringPermissions(userService.findPermissions(user.getUsername()));
		return authorizationInfo;
	}


相当于他们调用了shiro中的:

                Subject subject = SecurityUtils.getSubject();
subject.checkRole("");
subject.checkPermission("");                 


*

shiro的jsp标签

 

Jsp页面添加:

<%@ tagliburi="http://shiro.apache.org/tags"prefix="shiro" %>

 

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe时

<shiro:user>

用户在RememberMe时

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal>

显示用户身份名称

 <shiro:principalproperty="username"/>     显示用户身份中的属性值

  当然每次这么做可能浪费的性能很不好,需要配置缓存。

小勇Oo
关注
专栏目录
Shiro 认证授权流程实现
weixin_43532718的博客
05-16 610
Shiro 框架认证流程应用实现 基本配置 添加shiro框架依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> ...
快速上手Shiro—Java认证授权框架
03-19 6504
文章以官方指南为基础,包括快速上手,Shiro的架构以及如何使用Springboot整合Shiro实现简单登录认证Shiro的架构 快速入门 环境搭建 QuickStrat.java Springboot整合Shiro 两种方式引入Shiro依赖 Shiro登录原理 Shiro核心配置类 自定义Realm类 ShiroConfig类
Shiro进行角色与权限认证流程示例代码.zip
05-11
Shiro进行角色与权限认证流程示例代码
Shiro权限框架(一)
小郑要做干饭人的博客
03-25 3100
简介 :   Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。  Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证授权、加
Shiro详解
最新发布
weixin_57356976的博客
08-11 505
在web.xml文件里配置shiro的过滤器shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</
Shiro-----Shiro认证流程
qq_48788523的博客
01-09 3116
晚上睡觉花了几分钟了解了一下Shiro认证的流程 ,
Shiro认证授权过程
weixin_44736853的博客
07-30 2293
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
Apache Shiro权限框架实战+项目案例视频课程
06-09
3. **授权机制**:学习Shiro权限控制,如Role(角色)和Permission(权限)的概念,以及基于角色的访问控制(RBAC)。 4. **会话管理**:掌握如何使用Shiro管理用户的会话,包括会话超时、分布式会话支持等。 5....
shiro权限认证授权
02-26
在本文,我们将深入探讨Shiro的核心概念,包括权限认证授权,以及如何在实际项目有效应用。 ### 一、Shiro认证 **1. 用户身份验证(Authentication)** 用户身份验证是验证用户身份的过程,确保用户是他们...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
在本文,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权、加密和会话管理等功能。在Spring ...
Shiro权限框架由浅入深讲解教程课件
01-07
3. **Realm**:Realm 是 Shiro 与应用安全数据之间的桥梁,它负责获取用户的认证授权信息。当需要验证用户身份或权限时,Shiro 会从 Realm 查询。 Realm 类似于一个安全相关的 DAO,可以连接各种数据源,如 LDAP...
shiro web 身份、权限验证流程
TheThirdMoon的博客
03-27 287
1. 权限验证更灵活的方式是使用aop和注解方式 2. 除了权限验证还有一个角色验证,流程和权限验证类似,使用了UserFilter, RolesAuthorizationFilter
Shiro权限管理】7.实现Shiro认证流程
程序猿之洞
10-30 1890
上一篇我们剖析了Shiro的整个认证思路,这次来动手实现一个简单的Web登录认证程序。 首先在MyEclipse创建一个Web Project: 然后在lib加入Shiro/Spring/SpringMVC以及ehcache和日志相关jar: 然后在src下创建Spring配置文件applicationContext.xml以及缓存ehcach
shiro权限认证授权的执行流程分析及图解(一)
热门推荐
11-22 3万+
(配置文件请看下一个博客) https://blog.csdn.net/weixin_41716049/article/details/84336696 为了颜色标识注释,前面没有使用代码框,多多担待 《一,认证》 1.先建两个class文件 一个写AuthRealm (授权认证方法,并继承)extends AuthorizingRealm 获取其默认方法doGetAu...
Shiro认证流程
轻松qinsong
07-05 1044
Shiro认证流程 一.shiro认证思路分析 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象 1). 创建一个表单页面 2). 把请求提交到...
Shiro认证流程篇
qq_43654581的博客
10-29 453
了解Shiro认证流程
3.Apache Shiro认证授权流程
相互学习 共同进步
06-17 869
Apache Shiro认证授权流程 继承AuthorizingRealm类然后重写doGetAuthorizationInfo()和doGetAuthenticationInfo()方法 (1)身份认证流程:doGetAuthenticationInfo() 在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调用(登录验证) 如果用户未登录,将跳转到loginUrl进行登录,登录表单,包含了两个主要参数:用户名username、密码passwo
Shiro认证和鉴权的流程
web13985085406的博客
08-24 1353
Realm: 域,shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;8.认证器Authenticator会拿到传入token的password和返回认证信息对象SimpleAuthenticationInfo的password进行比对,如果不一致则抛出异常.4.然后判断用户的角色/权限集合是否包含当前判断的权限,如果包含返回true,否则返回false.
2.Shiro框架(1)---认证
2302_76812487的博客
03-01 1093
org.apache.shiro shiro-spring-boot-starter 1.5.3
Shiro权限管理框架认证授权详解
"Shiro权限管理框架详解" Apache Shiro是一个强大且易用的Java安全框架,它提供了认证授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。本文将深入探讨Shiro框架权限管理的应用。 1. 权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值