使用shiro框架进行安全验证

最新推荐文章于 2023-10-19 13:35:43 发布
最新推荐文章于 2023-10-19 13:35:43 发布
阅读量195 收藏
点赞数
分类专栏: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36677358/article/details/84951362
版权

1.首先要创建数据库,创建5个表,分别是用户表,用户与角色中间表,角色表,角色与权限中间表,权限表
2.导入相关的jar包,这里使用maven导包

	<dependencies>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.2.3</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.2.3</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<version>1.2.3</version>
		</dependency>
 </dependencies>

3.配置web.xml文件,配置与shiro过滤器

<!-- 创建权限过滤器 -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

4.配置spring配置文件

	<!-- 权限管理 -->
	<!--自己创建的类-->
	<bean id="myRealm" class="cn.realm.MyRealm" autowire="byType">
		<!--加密后密码验证-->
	     <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <property name="hashAlgorithmName" value="MD5"></property>
                <property name="hashIterations" value="1024"></property> 
            </bean>
            </property>
	</bean>

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="myRealm"/>
    <property name="rememberMeManager" ref = "rememberMeManager"></property>
    <!-- <property name="rememberMeManager.cookie.maxAge" value="500"></property> -->
</bean>
<bean id="rememberMe" class="org.apache.shiro.web.servlet.SimpleCookie">
    <property name="name" value="USER_CURR"></property>
    <property name="httpOnly" value="true"></property>
    <property name="maxAge" value="10"></property>
</bean>
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
   <property name="cookie" ref = "rememberMe"></property>
</bean>

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
               
<!-- <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
    <property name="arguments" ref="securityManager"/>
</bean> -->
	
	<!--该bean的名字要与过滤器的名字一致-->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>

<!--     <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/home.jsp"/>
     -->
 <!--    <property name="filters">

        <util:map>
            <entry key="anAlias" value-ref="someFilter"/>
        </util:map>
    </property> -->
     <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <property name="filterChainDefinitions">
        <value>
        <!--权限规则-->
            /update1** = user
            /update2** = authc
            /select* = authc, perms[query]
            /** = anon
        </value>
    </property>
</bean>

5.编写realm类

public class MyRealm  extends AuthorizingRealm{
    private UserDao userDao;
    //获取权限
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
	      String username = (String) pc.getPrimaryPrincipal().toString();
	      User user = userDao.getUser(username);
	      //获取登录用户拥有的角色以及权限集合
	      //---------------------------------
	      Set<Role> role = user.getRole();
	      Set<String> roles = new HashSet<>();
	      Set<String> permission = new HashSet<>();
	      for (Role r : role) {
			roles.add(r.getRolename());
			Set<Permission> permission2 = r.getPermission();
			for (Permission p : permission2) {
				permission.add(p.getPname());
			}
		   }
		   //---------------------------------
	  	SimpleAuthorizationInfo sai = new SimpleAuthorizationInfo();
		sai.addRoles(roles);
		sai.addStringPermissions(permission);
		return sai;
	}
//验证是否存在用户
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken tk) throws AuthenticationException {
		UsernamePasswordToken token = (UsernamePasswordToken) tk;
		String username = token.getUsername();
		String psw = new String((char[])token.getCredentials());
		System.out.println(username+"+++++++"+psw);
		User user = userDao.login(username);
		if(user!=null){
		//使用md5加密密码
			SimpleAuthenticationInfo si = new SimpleAuthenticationInfo(username, user.getPassword(), getName());
			ByteSource bs = ByteSource.Util.bytes(username+psw);
			si.setCredentialsSalt(bs);
			return si;
		}else{
			return null;
		}
	}
	public void setUserDao(UserDao userDao) {
		this.userDao = userDao;
	}

}

6.编写登录的action类

	@RequestMapping("/login")
    public String login(String username,String password,HttpServletRequest request,boolean remb){
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		Subject subject = SecurityUtils.getSubject();
    	try {
    		if(remb){
    			token.setRememberMe(true);
    		}
    	
    		subject.login(token);
  
    		return "success";
		} catch (AuthenticationException e) {
	  request.setAttribute("msg", "用户名或密码错误!");
			return "login";
		}
    }
小梦星星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
shiro漏洞原理以及检测key值原理
Thunderclap的博客
02-08 3665
Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。升级shiro版本并不能根本解决反序列化漏洞,代码复用会直接导致项目密钥泄漏,从而造成反序列化漏洞。针对公开的密钥集合,我们可以在github上搜索到并加以利用。
追洞计划之渗透测试篇|Shiro认证绕过漏洞总结
SpaceSec的博客
07-22 439
SpaceSec推出追洞计划,帮助各位渗透测试工程师更好地了解漏洞原理,以及复现过程中需要注意的事项。
Java后端精选技术之Shiro安全框架入门篇,登录验证实例详解
最新发布
资料免费分享,点击名片
10-19 440
2)当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称。1)Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时),故filterChainDefinitions的配置顺序为自上而下,以最上面的为准。(2)授权,即权限验证验证某个已认证的用户是否拥有某个权限;
二十三、shiro安全框架详解(一)
kejizhentan的博客
01-02 1238
shiro权限框架详解第一部分
shiro认证-SSM
hao_dream_xi的博客
10-13 154
Shiro认证 Pom依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </dependency> ...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
Shiro安全验证框架
12-31
深度解析Shiro安全验证框架,整套开发视频源码以及开发文档。
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
0、重点!...可以用来用户验证、用户授权、用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
shiro安全框架
06-10
代码版 shiro安全框架,管理后台用户权限,登录验证
shiro学习
weixin_34113237的博客
12-25 154
简介: Apache Shiro 是 Java 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其基本功能点如下图所示: Authenticat...
使用shiro安全验证和授权管理
sinat_41897556的博客
11-11 1246
apache shiro    不依赖于spring Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: 1.·  验证用户 2.·  对用户执行访问控制,如: ·    判断用户是否拥有角色admin。     判断用户是否拥有访问的权限 3.·  在任何环境下使...
使用Shiro安全框架进行身份验证、授权
qq_34922830的博客
07-26 704
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smalle.
基于springboot+shiro一套可落地实施安全认证框架整合
热门推荐
congge
05-30 3万+
前言 俗话说,兵马未动,粮草先行,万丈高楼平地起,一套切实可用的微服务框架是整个项目小组进行后续高效开发的保障,在前期微服务框架构建过程中,大体来说,主要考虑3个点: 技术选项,如果公司业务规模能够提前预估,选择合适的并且还能预留一定的拓展空间的技术栈足矣,而非一开始规划的尽善尽美 技术栈的组合,技术选择确定整个项目技术的基调,对于某一个业务来说,使用消息中间件有很多选择,具体是使用kafka,还是rabbitmq等,需要结合团队人员的技术匹配度,技术实现成本,以及业务上的要求,合理搭配 技术的适用性,最
实战-Shiro安全框架(一)认证
啊杰的博客
10-27 614
  Shiro是一个很不错的安全权限框架,可以完成认证、授权、加密、会话管理、缓存等。既能用于javase,也可以用于JavaEE中。这里,笔者以Javaee中为例,讲解一下shiro的第一部分--认证。   认证,通俗的说,就是我们web系统的登陆。使用shiro框架后,就不用我们向之前那样写较多的对账号密码的逻辑判断校验了,直接调用shiro的相关api即可轻松完成认证。当然,这里面的底层也...
基于Shiro和JWT的无状态安全验证方案
weixin_46628206的博客
03-22 1193
本文涉及的源码地址:https://github.com/davidfantasy/shrio-with-jwt-spring-boot-starter 背景说明 用户权限管理是每个信息系统最基本的需求,对基于Java的项目来说,最常用的权限管理框架就是大名鼎鼎的Apache Shiro。Apache Shiro功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,Shiro的设...
安全认证框架Shiro详解
weixin_46178852的博客
05-14 2391
1. RBAC权限设计模型1.1. RBAC模型关键元素1.1.1. 权限1.1.2. 用户1.1.3. 角色1.1.4. 组1.2. 关键元素关系图1.3. 设计权限表结构1.3.1. RBAC权限设计(传统5张表) 1. RBAC权限设计模型         基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。\
安全网络身份认证系统的设计与实现
书启鸿蒙知秋枫
12-22 5341
基本上,所有涉及用户参与的系统都必须遵守权限管理。权限管理属于安全系统。权限管理实现对用户访问系统的控制。用户可以访问授权资源仅根据安全规则或安全政策。权限管理包括两部分:用户身份验证和授权,称为身份验证和授权。对于需要控制访问权限的资源用户,您可以首先验证,然后使用访问权限访问该资源。权限管理在系统中一般分为:访问权限:一般表示你能做什么样的操作,或者能够访问那些资源。例如:给张三赋予“店铺主管”角色,“店铺主管”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。
安全框架】浅谈Shiro在项目中的应用
m0_67392409的博客
08-27 200
最后我们再看一个controller的save方法的例子,这个比较简单易懂,代码如下。简单来说它是Apache的一个Java安全框架(Apache是一个很牛的团体,除了Shiro,还有Lucene、Elasticsearch、Activiti等等也是Apache的,后续博主可能会讲到),具体这里就不详细赘述了,请大家自行查看百度百科。第三步,编写ShiroConfig类,这个类定义了可以匿名访问的url,其他的代码都是固定套路的,以后开发中基本不用改,我还是直接贴代码,注释写的很详细,大家都能看懂。...
如何使用shiro框架进行认证和授权
07-10
使用 Shiro 框架进行认证和授权的基本步骤如下: 1. 添加 Shiro 的依赖到你的项目中。可以通过 Maven 或 Gradle 等构建工具来添加依赖。 2. 创建一个 Shiro 配置文件,例如 shiro.ini 或 shiro.yml,并配置相应的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值