shiro 安全框架的使用

最新推荐文章于 2022-08-24 02:03:03 发布
最新推荐文章于 2022-08-24 02:03:03 发布
阅读量503 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38773692/article/details/72857264
版权

shiro的执行流程:

客户端提交数据-------->loginAction动作的login方法--------->

经过login方法中的subject.login(token)subject这个对象需要手动new 出来 也可以通过securityUtils.getSubject()来获得)方法;当执行subject.login(token)方法时会经过

<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>拦截器,

由拦截器调用自定义的Authrealm(该类继承了AuthorizingRealm类中的doGetAuthenticationInfo方法:该方法返回的值是(若返回值是null,系统会抛异常)

return new SimpleAuthenticationInfo(user,user.getPassword(),this.getName())------->然后经自定义的密码比较器,该密码比较器实现了CredentialsMatcher接口---->执行了密码比较器中的

doCredentialsMatch 方法(该方法的返回值是boolean 类型,若返回值是false,系统也会抛出异常信息)---------->subject.logintoken)方法没有抛异常,则表示登录成功,下一步就可以调用subject.getPrincipal(),获取到从数据库中查到的用户信息

具体shiro中的配置:

URL权限过滤
shiro安全框架:
+ehcache缓存

1、引入依赖pom.xml

		<!-- Apache Shiro 权限架构 -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-all</artifactId>
			<version>1.2.3</version>
		</dependency>

2、核心filter,一个filter相当于10个filter;web.xml

	注意:shiro的filter必须在struts2的filter之前,否则action无法创建

    <!-- Shiro Security filter  filter-name这个名字的值将来还会在spring中用到  -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>


3、在spring applicationContext.xml中记载shiro配置文件,放在事务管理器之前配置,配置产生Shiro控制器的方式,使用cglib生成代理(基于类的代理生成)
<aop:aspectj-autoproxy proxy-target-class="true" />

同时添加专门配置shiro的配置文件
<import resource="spring/applicationContext-shiro.xml"/>

和ehcache支持ehcache-shiro.xml

<ehcache updateCheck="false" name="shiroCache">

    <defaultCache
            maxElementsInMemory="10000"
            eternal="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            overflowToDisk="false"
            diskPersistent="false"
            diskExpiryThreadIntervalSeconds="120"
            />
</ehcache>


4、applicationContext-shiro.xml,配置校验的策略,哪些校验,哪些放行

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"  
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"       
	xmlns:p="http://www.springframework.org/schema/p"  
	xmlns:context="http://www.springframework.org/schema/context"   
	xmlns:tx="http://www.springframework.org/schema/tx"  
	xmlns:aop="http://www.springframework.org/schema/aop"  
	xsi:schemaLocation="http://www.springframework.org/schema/beans    
	http://www.springframework.org/schema/beans/spring-beans.xsd    
	http://www.springframework.org/schema/aop    
	http://www.springframework.org/schema/aop/spring-aop.xsd    
	http://www.springframework.org/schema/tx    
	http://www.springframework.org/schema/tx/spring-tx.xsd    
	http://www.springframework.org/schema/context    
	http://www.springframework.org/schema/context/spring-context.xsd">
	
	<description>Shiro的配置</description>
	
	<!-- SecurityManager配置 -->
	<!-- 配置Realm域 -->
	<!-- 密码比较器 -->
	<!-- 代理如何生成? 用工厂来生成Shiro的相关过滤器-->
	<!-- 配置缓存:ehcache缓存 -->
	<!-- 安全管理 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- Single realm app.  If you have multiple realms, use the 'realms' property instead. -->
        <property name="realm" ref="authRealm"/><!-- 引用自定义的realm -->
        <!-- 缓存 -->
        <property name="cacheManager" ref="shiroEhcacheManager"/>
    </bean>

    <!-- 自定义权限认证 -->
    <bean id="authRealm" class="cn.itcast.jk.shiro.AuthRealm">
		<property name="userService" ref="userService"/>
		<!-- 自定义密码加密算法  -->
		<property name="credentialsMatcher" ref="passwordMatcher"/>
	</bean>
	
	<!-- 设置密码加密策略 md5hash -->
	<bean id="passwordMatcher" class="cn.itcast.jk.shiro.CustomCredentialsMatcher"/>

    <!-- filter-name这个名字的值来自于web.xml中filter的名字 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!--登录页面  -->
        <property name="loginUrl" value="/index.jsp"></property>
        <!-- 登录成功后 -->      
        <property name="successUrl" value="/home.action"></property>
        <property name="filterChainDefinitions">
            <!-- /**代表下面的多级目录也过滤 -->
            <value>
				/index.jsp* = anon
				/home* = anon
				/sysadmin/login/login.jsp* = anon
				/sysadmin/login/logout.jsp* = anon
				/login* = anon
				/logout* = anon
				/components/** = anon
				/css/** = anon
				/images/** = anon
				/js/** = anon
				/make/** = anon
				/skin/** = anon
				/stat/** = anon
				/ufiles/** = anon
				/validator/** = anon
				/resource/** = anon
				/** = authc
				/*.* = authc
            </value>
        </property>
    </bean>

    <!-- 用户授权/认证信息Cache, 采用EhCache  缓存 -->
    <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>
    </bean>

    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- 生成代理,通过代理进行控制 -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true"/>
    </bean>
    
    <!-- 安全管理器 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
	
</beans>


5、自定义realm	AuthRealm

在认证、授权内部实现机制中都有提到,最终处理都将交给Realm进行处理。
因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。
通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO.

public class AuthRealm extends AuthorizingRealm{
	private UserService userService;
	public void setUserService(UserService userService) {
		this.userService = userService;
	}
	
	//授权
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		System.out.println("授权");
		//获取当前用户
		User user = (User)principals.fromRealm(getName()).iterator().next();
		//得到权限字符串
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		
		Set<Role> roles = user.getRoles();
		List<String> list = new ArrayList();
		for(Role role :roles){
			Set<Module> modules = role.getModules();
			for(Module m:modules){
				if(m.getCtype()==0){
					//说明是主菜单
					list.add(m.getCpermission());
				}
			}
		}

		info.addStringPermissions(list);
		return info;
	}
	//认证
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		//向下转型
		UsernamePasswordToken uptoken = (UsernamePasswordToken) token;
		//从uptoken中拿出username,根据用户名到数据库中查找
		List<User> list = userService.find("from User where userName=?", User.class, new String[]{uptoken.getUsername()});
		if (list!=null&&list.size()>0) {
			User user = list.get(0);
			//这里的3个参数分别表示:
				//第一 个表示用户   	数据库中查出来的用户对象、第二个表示:查出来的用户密码,第三个参数表示:任意字符串,用户授权操作中的对象获取,
			return new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
		}
		//这里如果返回null,系统会抛异常
		return null;
	}

}

//自定义的密码比较器
public class CustomerCredentialsMatcher implements CredentialsMatcher{
	public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
		//向下转型
		UsernamePasswordToken uptoken = (UsernamePasswordToken) token;
		//Encrypt是个自定义的工具(该工具中只有一个静态方法:return new Md5Hash(password,salt,2).toString();)
		String password = Encrypt.md5(new String(uptoken.getPassword()), uptoken.getUsername());
		return password.equals(info.getCredentials());
	}
}

6、修改传统登录为shiro登录

package cn.itcast.jk.action;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.subject.Subject;

import cn.itcast.common.SysConstant;
import cn.itcast.jk.service.UserService;

/**
 * @Description: 登录和推出类
 * @Author:		Mr_wang
 * @Company:	http://java.itcast.cn
 * @CreateDate:	2014年10月31日
 */
public class LoginAction extends BaseAction {

	private static final long serialVersionUID = 1L;

	private String username;
	private String password;

	private UserService userService;
	public void setUserService(UserService userService) {
		this.userService = userService;
	}
	
	public String login() throws Exception {	
		/*
		 * shiro登录方式:根据用户名获取密码,密码为null非法用户;有密码检查是否用户填写的密码
		 * 登录成功后无需往httpsession中存放当前用户,这样就跟web容器绑定,关联太紧密;它自己创建
		 * subject对象,实现自己的session。这个跟web容器脱离,实现松耦合。
		 */

		//调用shiro判断当前用户是否是系统用户
		Subject subject = SecurityUtils.getSubject();	//得到当前用户
		//shiro是将用户录入的登录名和密码(未加密)封装到token对象中
		UsernamePasswordToken token = new UsernamePasswordToken(userName,password);
		
		try{
			subject.login(token);	//自动调用AuthRealm.doGetAuthenticationInfo
			
			//写seesion,保存当前user对象
			User curUser = (User)subject.getPrincipal();			//从shiro中获取当前用户
			System.out.println(curUser.getDept().getDeptName());	//让懒加载变成立即加载
			Set<Role> roles = curUser.getRoles();
			for(Role role :roles){
				Set<Module> moduless =  role.getModules();
				for(Module m :moduless)
				   System.out.println(m.getName());
			}
			session.put(SysConstant.CURRENT_USER_INFO, curUser);	//Principal 当前用户对象
		}catch(Exception ex){
			super.put("errorInfo","用户名密码错误,请重新填写!");
			ex.printStackTrace();
			
			return "login";
		}
		return SUCCESS;
	}
	
	public String logout(){
		session.remove(SysConstant.CURRENT_USER_INFO);		//删除session
		return "logout";
	}

	public String getUsername() {
		return username;
	}

	public void setUsername(String username) {
		this.username = username;
	}

	public String getPassword() {
		return password;
	}

	public void setPassword(String password) {
		this.password = password;
	}

}



7、授权(另一种加载数据的思想   可省略因为在登录时已加载)
根据用户查询出角色对应的权限,并返回权限串

-hql,service

	public List<String> getPermission(String userName) {
		List<String> _list = new ArrayList<String>();
		
		//用户,角色,权限,两级多对多,使用left join关联实现
		String hql = "select p from User as u left join u.roles as r left join r.modules as p where u.username='"+userName+"'";
		List<Module> moduleList = baseDao.find(hql, Module.class, null);
		
		for(Module m : moduleList){
			if(m!=null){	//观察hibernate实现的SQL,会多出一条Null记录
				_list.add(m.getName());
			}
		}
		
		return _list;
	}



在realm中进行授权userService.getPermission

	//授权
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		log.info("执行授权...");
		
		//获取登录用户的权限,配合jsp页面中的shiro标签进行控制
		User curUser = (User) principals.fromRealm(getName()).iterator().next();  
		String userName = curUser.getUsername();
		List<String> sList = userService.getPermission(userName );
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		for(String permission : sList){
			//设置当前用户的权限
			authorizationInfo.addStringPermission(permission);
		}

		return authorizationInfo;
	}


8、页面使用shiro标签,/home/title.jsp 主菜单


<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>


			    		<shiro:hasPermission name="sysadmin">
			    		<span id="topmenu" οnclick="toModule('sysadmin');">系统管理</span>
			    		</shiro:hasPermission>


避免用户权限不足时,直接在地址栏上输入访问地址,进行跨权限操作的配置:






娃哈哈来来
关注
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
shiro
一切的困难都来自于自己内心的恐惧
11-18 1105
简介 Apache Shiro是一个强大且易用的Java安全框架,主要功能有身份验证、授权、安全加密和会话管理。相比较Spring Security,shiro有小巧、简单、易上手等的优点。shiro权限的操作粒度能控制在路径及按钮上,数据粒度通过sql实现。Shrio简单够用。至于OAuth,OpenID 站点间统一登录功能,现如今单点登录很多已经通过cookies实现。因此Shiro完全能够...
Shiro 放行静态资源,以及失效的一些解决方法
m0_54850825的博客
08-24 1628
那前端应该怎么写静态资源的路径嘞,这边贴出一部分代码,仅供参考(有时候前端接收访问不到资源可能就是一个“ / ”没写,害)尽管这样,还是有一些资源还是被拦截。我就因为这个问题耽误了太多时间了(心碎)。在配置文件中,如果把static放行了还是行不通,可以尝试将其他静态文件添加进去。后面查询资料发现原因在于hashmap是无序的,故这里最好用有序的——通常我们习惯将静态资源放在resource的static文件夹下面。
Shiro 放行Swagger
Thinkingcao的专栏
12-27 2127
一、前言 最近在研究Shiro,遇到一个棘手的问题:SpringBoot 集成Shiro后, Swagger接口得登陆才能访问,找了一下问题,记在这里。 二、Shiro放行Swagger 在 Shiro 的配置文件中找到拦截器,将Swagger接口的路径放行即可 //放行Swagger2页面,需要放行这些 filterChainDefinitionMap.put("/swagger-ui...
Shiro安全框架入门使用方法
宋铮的博客
08-15 1万+
框架介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任 何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shrio的主要功能: Authentication:用户认证(登录) Authorization:权限控制 Session Management:会话管理 Cryptogr
Shiro使用步骤
m0_37596145的博客
10-22 655
URL权限过滤 shiro安全框架: +ehcache缓存1、引入依赖pom.xml <!-- Apache Shiro 权限架构 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId>
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
spring boot整合shiro安全框架过程解析
08-25
spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 首先,我们需要添加shiro的依赖项,包括...
基于Java的Apache Shiro安全框架设计源码
最新发布
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
详解登录认证及授权--Shiro系列(一)
李秀才的博客
06-03 3万+
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 所做的事情: 验证用户来核实他们的身份 对用户执行访问控制,如: 判断用户是否被分配了一个确定的安全角色。 判断用户是否被允许做某事。 在任何
Shiro doGetAuthenticationInfo方法登录后获取不到正确的权限
wjzhang5514的博客
06-25 1万+
前提: Shiro的认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
Shiro 安全框架
无德皇叔的博客
07-03 3795
Shiro 安全框架学习一、Shiro简介Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的, 支持各种自定义行为。Shiro提供的默认实现,使
Shiro免密码登录
七月的博客
01-30 7605
最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要免密登录,所以写一下帮助后人 1.shiro的配置文件里面有一个是<bean id="credentialsMatcher" class="xxxxx.xxxMatcher">这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch...
Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)
小灯光环
09-17 4万+
关于shiro实现登录中的安全加密匹配与登录失败超次数锁定账户的功能。
添加shiro拦截器之后,放行无效,无法进入控制层
weixin_43677541的博客
05-20 5609
我最初的时候是这样的,但是在登陆页面提交之后,根本就进入不了控制层的方法。 filterMap.put("/",“authc”); filterMap.put("/add",“perms[user:add]”); filterMap.put("/update",“perms[user:update]”); filterMap.put("/doLogin",“anon”); 很是苦恼,然后突发奇想,...
shiro简单配置
热门推荐
都是浮云
04-20 13万+
注:这里只介绍spring配置模式。 因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。 涉及的jar包 Jar包名称 版本 核心包shiro-core 1.2.0 Web相关包shiro-web 1.2.0
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3991
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
Shiro安全框架深度解析
"这篇文档是关于Apache Shiro安全框架的全程讲解,涵盖了从基础到高级的各种功能,包括身份验证、授权、配置、Web集成、拦截器机制、JSP标签、会话管理和缓存机制,以及如何与Spring框架进行集成。" Apache Shiro是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值