shiro简单使用

最新推荐文章于 2023-05-17 15:23:14 发布
最新推荐文章于 2023-05-17 15:23:14 发布
阅读量203 收藏
点赞数
分类专栏: # shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40638598/article/details/99886171
版权

一、apache shiro简介

1、shiro框架的核心功能:

认证、授权、会话管理、加密

2、shiro框架认证流程

Application Code:应用程序代码,由开发人员负责开发的

Subject:框架提供的接口,代表当前用户对象

SecurityManager:框架提供的接口,代表安全管理器对象

Realm:可以开发人员编写,框架也提供一些,类似于DAO,用于访问权限数据

二、shiro的使用(认证)

shiro在spring中使用

1、在项目中导入shiro相关的jar包

2、在web.xml中配置spring提供的整合shiro的过滤器

<!-- 配置shiro的过滤器 -->
<filter>
	<filter-name>shiroFilter</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
	<filter-name>shiroFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

注意过滤器先后,如果该过滤器配置在struts2的核心过滤器后面,调用realm进行认证就会抛异常:org.apache.shiro.UnavailableSecurityManagerException

 

3、在spring配置文件中配置bean,name为shiroFilter,这里的name要和第二步中的过滤器的名字相同,否则启动项目会报错

<!-- 配置shiro框架的过滤器工厂 -->
<bean name="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<property name="securityManager" ref=""/>
	<property name="loginUrl" value="/login.jsp"/>
	<property name="successUrl" value="/index.jsp"/>
	<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
	<property name="filterChainDefinitionMap" >
		<value>
			/css/** = anon
			/js/** = anon
			/images/** = anon
			/login.jsp* = anon
			/userAction_login.action* = anon
			/userAction_userList.action = perms["userList"]
			/* = authc
		</value>
	</property>
</bean>

4、配置安全管理器,并注入到shiroFilterFactoryBean中

<!-- 安全管理器 -->
<bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"></bean>

5、在登录方法中使用shiro认证

public class UserAction implements ModelDriven<User> {
	
	private User user = new User();

	public String login() {
		System.out.println("success");
		System.out.println(user.getUserName()+"  "+user.getPassword());
		
		/*-----------------通过shiro进行认证----------------------*/
		
		//获得安全管理器
		Subject subject = SecurityUtils.getSubject();
		
		//用户名密码令牌,用于认证
		UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword());
		
		try {
			//通过安全管理器进行认证,认证不通过抛异常
			subject.login(token);
			User user2 = (User) subject.getPrincipal();
			ServletActionContext.getRequest().getSession().setAttribute("user", user2);
		} catch (Exception e) {
			e.printStackTrace();
			return "login";
		}
		
		/*-----------------通过shiro进行认证----------------------*/
		
		return "success";
	}

	@Override
	public User getModel() {
		return user;
	}
	
}

6、自定义Realm,在realm中认证

认证逻辑:通过用户名查用户;未查到返回null;查到了返回密码,shiro会自行对比。可以把查到了user放入返回对象中,在login中取出

public class MyRealm extends AuthorizingRealm {
	
	private UserDao userDao;

	//认证方法
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

		//强转为用户名密码令牌,用来获得用户名
		UsernamePasswordToken myToken = (UsernamePasswordToken)token;
		
		//从令牌中获得用户名
		String username = myToken.getUsername();
		
		User user = UserDao.getUserByUsername(username);
		
		//没有查到用户,返回null
		if(user == null) {
			return null;
		}
		
		//查到用户,返回密码,shiro会进行对比
		AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
		
		return info;
	}
	
	//授权方法
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		// TODO Auto-generated method stub
		return null;
	}
}

7、配置安全管理器并注入Realm

<!-- 安全管理器 -->
<bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<!-- 注入自定义realm -->
	<property name="realm" ref="myRealm"></property>
</bean>
	
<!-- 注册自定义realm -->
<bean name="myRealm" class="club.ityuchao.web.realm.MyRealm" />

当用户不存在时:抛异常org.apache.shiro.authc.UnknownAccountException

当用户存在密码错误时:org.apache.shiro.authc.IncorrectCredentialsException

三、在realm中授权

//授权方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		
	System.out.println("调用授权方法。。。。");

	SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		
	//为用户授权(项目中使用需要从数据库中查询权限,然后一个一个添加)
	info.addStringPermission("userList");
		
	return info;
}

四、shiro的四种权限控制方式

1、url控制(基于过滤器)

<property name="filterChainDefinitionMap" >
	<value>
		/css/** = anon
		/js/** = anon
		/images/** = anon
		/login.jsp* = anon
		/userAction_login.action* = anon
		/userAction_userList.action = perms["userList"]
		/* = authc
	</value>
</property>

2、使用注解进行权限控制(基于代理)

(1)在spring配置文件中开启shiro注解

<!-- 开启shiro注解 -->
<bean name="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
	<!-- 必须使用cglib方式给action创建代理对象 -->
	<property name="proxyTargetClass" value="true"></property>
</bean>
	
<!-- 配置shiro框架提供的切面类,用于创建代理对象 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

(2)在方法上使用

@RequiresPermissions("delete")
public String delete() {
	return "success";
}

(3)struts2中捕获异常

当用户没有该方法的权限的时候,抛出异常:org.apache.shiro.authz.UnauthorizedException

没有认证抛异常org.apache.shiro.authz.UnauthenticatedException

因为注解使用的是代理方式,url拦截使用的是过滤器,原理不一样,所以application.xml中的配置没认证和没授权跳转的页面在该方式中不起作用,必须在struts2中定义全局异常进行跳转

<!-- 全局结果集定义 -->
<global-results>
	<result name="login">/login.jsp</result>
	<result name="unauthorized">/unauthorized.jsp</result>
</global-results>
		
<global-exception-mappings>
	<exception-mapping result="unauthorized" 		exception="org.apache.shiro.authz.UnauthorizedException"></exception-mapping>
</global-exception-mappings>

3、使用页面标签进行控制

(1)在jsp页面中引入shiro的标签库

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

(2)使用shiro的标签控制页面元素展示

<shiro:hasPermission name="update">
	<input type="button" value="修改" />
</shiro:hasPermission>

4、方法中代码控制(基于代理)

public String userList() {
	//使用代码检查是否有该权限
	Subject subject = SecurityUtils.getSubject();
	subject.checkPermission("userList");
	return "success";
}

五、使用ehcache缓存权限数据

ehcache是专门缓存插件,可以缓存Java对象,提高系统性能。

如果不适用,每次访问需要授权的路径或方法的时候都需要连接一次数据库获得授权:

使用步骤:

1、导入jar

2、在项目中配置ehcache.xml文件

<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">
	<diskStore path="java.io.tmpdir"/>
    <defaultCache
            maxElementsInMemory="10000"
            eternal="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            overflowToDisk="true"
            maxElementsOnDisk="10000000"
            diskPersistent="false"
            diskExpiryThreadIntervalSeconds="120"
            memoryStoreEvictionPolicy="LRU"
            />
</ehcache>

java.io.tmpdir:操作系统的临时目录

maxElementsInMemory:最多的对象个数

eternal="false":表示对象不是永久有效,有生命周期

timeToIdleSeconds="120":120没有调用就自动清理掉对象

timeToLiveSeconds="120":存活时间

overflowToDisk="true":溢出到磁盘,最多存10000个,第10001个就放到java.io.tempdir上

maxElementsOnDisk="10000000":磁盘最多存放对象个数

diskPersistent="false":Tomcat重启后,磁盘上的数据就不要了

diskExpiryThreadIntervalSeconds="120"

memoryStoreEvictionPolicy="LRU":淘汰策略;LRU最近最少使用;FIFO:先进先出

 

3、在spring配置文件中配置缓存管理器对象,并注入给安全管理器对象

<!-- 注册缓存管理器 -->
<bean name="ehCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
	<!-- 注入ehcache配置文件 -->
	<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>
</bean>
	
<!-- 安全管理器 -->
<bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<!-- 注入自定义realm -->
	<property name="realm" ref="myRealm"></property>
		
	<!-- 注入缓存管理器 -->
	<property name="cacheManager" ref="ehCacheManager"></property>
</bean>

 

玉爷~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro使用简单Demo
11-01
基于url和注解的权限管理shiro简单易用的例子,好用易上手,适合初次接触shiro的人员,使用中如有疑问,可以留言,我修改了积分,只需要1积分便可下载,目的分享资源,不为其他。
shiro简单使用
afdasfggasdf的博客
04-18 252
一.认证与授权 认证:系统提供的用于识别用户身份的功能,通常登录功能就是认证,让系统知道你是谁,qq登录,微信登录。 授权:系统用户可以访问哪些功能,让系统知道你能做什么。 shiro核心功能,认证,授权、加密 二.基本使用 1.引入框架依赖 <!-- 引入shiro框架的依赖 --> <dependen...
授权 - Spring Security简单案例
个人纪录、总结!
10-21 531
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
js中使用shiro标签
web15085181368的博客
04-19 523
在表格用到了shiro的按钮权限 因为是在js中拼接在返出html的 试了很久没法实现 结果在一直没法实现(不知道是不是有其他的方式可以实现) 故使用以下方式: 使用全局变量: 最后测试,这种做法是行得通的 ...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2627
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
shiro学习和使用实例(3)——鉴权
siqilou的专栏
03-02 4162
账号登陆成功跳转到首页时,我们要对当前账号鉴权,通过判断账号是否具有某项操作的权限,来决定是否对当前登陆账号显示该操作的页面菜单、按钮或链接。当我们加载首页的时候,通过js将页面所有菜单的标识、权限发送到服务端,服务端调用shiro的isPermitted(String permission)从缓存中获取当前账号的权限信息(登陆成功后已将当前账号的最新权限信息放到缓存中了),如果缓存中没有,shiro会远程从数据库中获取。isPermitted(String permission)把从缓存中获取的权限和页面
shiro--简单使用
10-18
shiro
shiro使用教程
11-27
Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。
shiro框架使用简易教程
03-26
shiro框架是一个安全框架,在web开发应用中使用比较多验证和权限管理,这个shiro框架是开源的,使用简单,可以使得开发难度大大降低
Shiro简易实例:HelloWorld
11-03
本资源包含一篇文档和一个完整实例。实例用了maven创建项目。 大家下载的时候,这点注意一些。然后吧,里面用的是最最简单shiro实例。
Springbooot集成Shiro简单使用
我真的很不错的博客
09-24 313
文章目录1.Shiro架构2.Shiro环境搭建3.Shiro用户登录拦截与认证 1.Shiro架构 Shiro三个主要的概念: Subject SecurityManager Realms Shiro外部架构 Subject:主体,当前参与应用安全部分的主体。可以是用户,可以是第三方服务,可以是cron 任务,或者任何东西。主要指一个正在与当前软件交互的东西。所有Subject都需要SecurityManager,当与Subject进行交互,这些交互行为实际上被转换为与SecurityManage
js获取shiro权限
qq_40741844的博客
05-07 736
js获取shiro权限 function getMyAuth() { <shiro:hasPermission name="invoice:invoiceKp"> return true; </shiro:hasPermission> return false; }
js中使用shiro标签的一个小坑
热门推荐
萝卜地里的兔子的博客
11-25 2万+
在jsp页面中使用shiro标签很简单 你的标签 这样就可以把标签加上权限了。 但是有时候你的标签是js动态生成的,就像下面的例子: function objYHDataListBut(val,row,index){ var result = ""; var result = '  '+ '  '; return resul
JS中处理Shiro的权限标签问题
wogoshu1的博客
08-04 2175
JS中引用Shiro的标签不起作用的问题解决方法: 1.第一种情况假如js中生成标签代码是固定死的解决起来比较容易,直接在需要权限判断标签前和后加上权限控制标签,即可以起作用 <divid="leftnav"class="site-text"lay-filter=“left”> <scripttype=“text/javascript”> var ulHtml; ulHt...
js中使用全局变量方式验证Shiro权限
m0_74444744的博客
05-17 211
当我们登录一个不是该权限的角色时,是不会发起Ajax请求的。接着我们登录一个该权限属于的角色。证明这个全局变量的方式是有效的。判断权限发送Ajax请求。beetl自定义if标签。可以看到发送了该请求,
Shiro简单使用
m0_47442812的博客
07-07 198
(1)Subject:代表了当前"用户",这个用户不一定是一个具体的人, 与当前应用交互的任何东西都是Subject。 (2)SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且其管理着所有Subject;可以看出它是Shiro的核心,它负责与Shiro的其他组件进行交互,它相当于SpringMVC中DispatcherServlet的角色。 (3)Authenticator:认证。验证用户是否合法,也就是登录。利用Shiro进行...
js控制shiro权限 并封装成jquery插件
qq_31003407的博客
02-11 949
百度了几篇博客,没有找到自己想要的效果,于是自己查看shiro判断权限源码写了一个js版 shiro源码(想要直接使用的可以跳过) 通过这两个图我们可以清楚的了解到shiro判断是否存在权限的判断原理,那么接下来我们参考shiro标签 hasPermission 就可以仿照写一个jquery的shiro 如何使用 1.首先登陆时把权限放到session里面 session.setAttrib...
vue 使用shiro
最新发布
08-29
Vue.js 是一个用于构建用户界面...需要注意的是,以上只是一个简单的示例,实际上,使用Vue.js和Shiro进行身份验证和授权会涉及到更多的细节和安全性考虑。具体实现方式还需要根据具体的项目需求和后端框架来进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值