Shiro安全框架

最新推荐文章于 2023-04-23 23:14:42 发布
最新推荐文章于 2023-04-23 23:14:42 发布
阅读量96 收藏
点赞数
分类专栏: 后端 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41783539/article/details/106581171
版权

文章目录

Shiro 框架认证拦截实现

添加shiro依赖

<dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-spring</artifactId>
   <version>1.4.1</version>
</dependency>

创建SpringShiroConfig配置类

package com.cy.pj.common.config;
/**
 * @Configuration 注解描述的类为一个配置对象,
 * 此对象也会交给spring管理
 */
@Configuration //bean
public class SpringShiroConfig {

}

在SpringShiroConfig中配置SecurityManager对象

/**@Bean 描述的方法,其返回值会交给spring管理
    * @Bean 一般应用在整合第三bean资源时*/
	 @Bean
	 public SecurityManager newSecurityManager() {
		 DefaultWebSecurityManager sManager=
		 new DefaultWebSecurityManager();
		 return sManager;
	 }

配置ShiroFilterFactoryBean对象(通过此对象创建shiro中的过滤器对象)

@Bean("shiroFilterFactory")
public ShiroFilterFactoryBean newShiroFilterFactoryBean(
			 @Autowired SecurityManager securityManager) {
		 ShiroFilterFactoryBean sfBean=
		 new ShiroFilterFactoryBean();
		 sfBean.setSecurityManager(securityManager);
		 //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
		 LinkedHashMap<String,String> map=
				 new LinkedHashMap<>();
		 //静态资源允许匿名访问:"anon"
		 map.put("/bower_components/**","anon");
		 map.put("/build/**","anon");
		 map.put("/dist/**","anon");
		 map.put("/plugins/**","anon");
		 //除了匿名访问的资源,其它都要认证("authc")后访问
		 map.put("/**","authc");
		 sfBean.setFilterChainDefinitionMap(map);
		 return sfBean;
	 }

创建WebFilterConfig类,并进行spring过滤器配置,通过此过滤器完成shiro的初始化操作(假如是xml配置则会在web.xml配置)

@Configuration 
public class SpringWebConfig {//取代web.xml中filter配置
	//注册filter对象
	@SuppressWarnings({ "rawtypes", "unchecked" })
	@Bean
	public FilterRegistrationBean  newFilterRegistrationBean() {
		//1.构建过滤器的注册器对象
		FilterRegistrationBean fBean=
	    new FilterRegistrationBean();
		//2.注册过滤器对象
		DelegatingFilterProxy filter=
		new DelegatingFilterProxy("shiroFilterFactory");
		fBean.setFilter(filter);
		//3.进行过滤器配置
		//配置过滤器的生命周期管理(可选)由ServletContext对象负责
		//fBean.setEnabled(true);//默认值就是true
		fBean.addUrlPatterns("/*");
		//....
		return fBean;
	}
}

shiroFilterFactory 名字要与ShiroFilterFactoryBean配置的id相同

在PageController中添加一个呈现登录页面的方法

@RequestMapping("doLoginUI")
public String doLoginUI(){
		return "login";
}

在SpringShiroConfig类中的shiroFilterFactorybean的配置中添加如下配置(设置shiroFilterFactorybean的登陆url)

sfBean.setLoginUrl("/doLoginUI");

见如下代码的见黄色区域部分

@Bean("shiroFilterFactory")
public ShiroFilterFactoryBean newShiroFilterFactoryBean(
			 @Autowired SecurityManager securityManager) {
		 ShiroFilterFactoryBean sfBean=
		 new ShiroFilterFactoryBean();
		 sfBean.setSecurityManager(securityManager);
		 //假如没有认证请求先访问此认证的url
		 sfBean.setLoginUrl("/doLoginUI");
		 //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
		 LinkedHashMap<String,String> map=
				 new LinkedHashMap<>();
		 //静态资源允许匿名访问:"anon"
		 map.put("/bower_components/**","anon");
		 map.put("/build/**","anon");
		 map.put("/dist/**","anon");
		 map.put("/plugins/**","anon");
		 //除了匿名访问的资源,其它都要认证("authc")后访问
		 map.put("/**","authc");
		 sfBean.setFilterChainDefinitionMap(map);
		 return sfBean;
	 }

如上配置中表示为shiroFilterFactorybean的LoginUrl属性注入值.

.Dao接口实现

SysUser findUserByUserName(String username);

Mapper元素定义

 <select id="findUserByUserName"
           resultType="com.cy.pj.sys.entity.SysUser">
      select *
      from sys_users  
      where username=#{username}
   </select>

本模块的service可以借助realm实现,我们编写realm时可以继承AuthorizingRealm并重写相关方法完成相关业务的实现

@Service
public class ShiroUserRealm extends AuthorizingRealm {

	@Autowired
	private SysUserDao sysUserDao;
		
	/**
	 * 设置凭证匹配器(与用户添加操作使用相同的加密算法)
	 */
	@Override
	public void setCredentialsMatcher(
	    CredentialsMatcher credentialsMatcher) {
		//构建凭证匹配对象
		HashedCredentialsMatcher cMatcher=
		new HashedCredentialsMatcher();
		//设置加密算法
		cMatcher.setHashAlgorithmName("MD5");
		//设置加密次数
		cMatcher.setHashIterations(1);
		super.setCredentialsMatcher(cMatcher);
	}
	/**
	 * 通过此方法完成认证数据的获取及封装,系统
	 * 底层会将认证数据传递认证管理器,由认证
	 * 管理器完成认证操作。
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token)
			throws AuthenticationException {
		//1.获取用户名(用户页面输入)
		UsernamePasswordToken upToken=
		(UsernamePasswordToken)token;
		String username=upToken.getUsername();
		//2.基于用户名查询用户信息
		SysUser user=
		sysUserDao.findUserByUserName(username);
		//3.判定用户是否存在
		if(user==null)
		throw new UnknownAccountException();
		//4.判定用户是否已被禁用。
		if(user.getValid()==0)
		throw new LockedAccountException();
		
		//5.封装用户信息
		ByteSource credentialsSalt=
		ByteSource.Util.bytes(user.getSalt());
		//记住:构建什么对象要看方法的返回值
		SimpleAuthenticationInfo info=
		new SimpleAuthenticationInfo(
				user,//principal (身份)
				user.getPassword(),//hashedCredentials
				credentialsSalt, //credentialsSalt
				getName());//realName
		//6.返回封装结果
		return info;//返回值会传递给认证管理器(后续
		//认证管理器会通过此信息完成认证操作)
	}
    ....
}

对此realm在SpringShiroConfig类中注入给SecurityManager对象

@Bean
public SecurityManager newSecurityManager(@Autowired Realm realm) {
		 DefaultWebSecurityManager sManager=
		 new DefaultWebSecurityManager();
		 sManager.setRealm(realm);
		 return sManager;
}

Controller类实现

@RequestMapping("doLogin")
	   @ResponseBody
	   public JsonResult doLogin(String username,String password){
		   //1.获取Subject对象
		   Subject subject=SecurityUtils.getSubject();
		   //2.通过Subject提交用户信息,交给shiro框架进行认证操作
		   //2.1对用户进行封装
		   UsernamePasswordToken token=
		   new UsernamePasswordToken(
				   username,//身份信息
				   password);//凭证信息
		   //2.2对用户信息进行身份认证
		   subject.login(token);
		   //分析:
		   //1)token会传给shiro的SecurityManager
		   //2)SecurityManager将token传递给认证管理器
		   //3)认证管理器会将token传递给realm
		   return new JsonResult("login ok");
	   }

此控制层的方法映射必须允许匿名访问。需要在spring-shiro.xml配置文件中对/user/doLogin.do这个路径进行匿名访问的配置,查看如下黄色标记部分的代码

@Bean("shiroFilterFactory")
	 public ShiroFilterFactoryBean newShiroFilterFactoryBean(
			 @Autowired SecurityManager securityManager) {
		 ShiroFilterFactoryBean sfBean=
		 new ShiroFilterFactoryBean();
		 sfBean.setSecurityManager(securityManager);
		 //假如没有认证请求先访问此认证的url
		 sfBean.setLoginUrl("/doLoginUI");
		 //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
		 LinkedHashMap<String,String> map=
				 new LinkedHashMap<>();
		 //静态资源允许匿名访问:"anon"
		 map.put("/bower_components/**","anon");
		 map.put("/build/**","anon");
		 map.put("/dist/**","anon");
		 map.put("/plugins/**","anon");
map.put("/user/doLogin","anon");
		 //除了匿名访问的资源,其它都要认证("authc")后访问
		 map.put("/**","authc");
		 sfBean.setFilterChainDefinitionMap(map);
		 return sfBean;
	 }

在统一异常处理类中添加如下方法

@ExceptionHandler(ShiroException.class)
	@ResponseBody
	public JsonResult doHandleShiroException(
			ShiroException e) {
		JsonResult r=new JsonResult();
		r.setState(0);
		if(e instanceof UnknownAccountException) {
			r.setMessage("账户不存在");
		}else if(e instanceof LockedAccountException) {
			r.setMessage("账户已被禁用");
		}else if(e instanceof IncorrectCredentialsException) {
			r.setMessage("密码不正确");
		}else if(e instanceof AuthorizationException) {
			r.setMessage("没有此操作权限");
		}else {
			r.setMessage("系统维护中");
		}
		e.printStackTrace();
		return r;
	}

点击登录操作时,将输入的用户名,密码异步提交到服务端.

 $(function () {
    $(".login-box-body").on("click",".btn",doLogin);
  });
  function doLogin(){
	  var params={
		 username:$("#usernameId").val(),
		 password:$("#passwordId").val()
	  }
	  var url="user/doLogin.do";
	  $.post(url,params,function(result){
		  if(result.state==1){
			//跳转到indexUI对应的页面
			location.href="doIndexUI.do?t="+Math.random();
		  }else{
			$(".login-box-msg").html(result.message); 
		  }
	  });
  }

退出操作配置实现

@Bean("shiroFilterFactory")
public ShiroFilterFactoryBean newShiroFilterFactoryBean(
			 @Autowired SecurityManager securityManager) {
		 ShiroFilterFactoryBean sfBean=
		 new ShiroFilterFactoryBean();
		 sfBean.setSecurityManager(securityManager);
		 //假如没有认证请求先访问此认证的url
		 sfBean.setLoginUrl("/doLoginUI");
		 //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
		 LinkedHashMap<String,String> map=new LinkedHashMap<>();
		 //静态资源允许匿名访问:"anon"
		 map.put("/bower_components/**","anon");
		 map.put("/build/**","anon");
		 map.put("/dist/**","anon");
		 map.put("/plugins/**","anon");
map.put("/user/doLogin","anon");
map.put("/doLogout","logout");
		 //除了匿名访问的资源,其它都要认证("authc")后访问
		 map.put("/**","authc");
		 sfBean.setFilterChainDefinitionMap(map);
		 return sfBean;
	 }

Shiro 框架授权过程实现

配置shiro框架中一些bean对象的生命周期管理器
在SpringShiroConfig中追加如下配置

@Bean("lifecycleBeanPostProcessor")
	public LifecycleBeanPostProcessor
	     newLifecycleBeanPostProcessor() {
		 return new LifecycleBeanPostProcessor();
	 }

配置代理对象创建器,通过此对象为目标业务对象创建代理对象

 @DependsOn("lifecycleBeanPostProcessor")
 @Bean
 public DefaultAdvisorAutoProxyCreator newDefaultAdvisorAutoProxyCreator() {
		 return new DefaultAdvisorAutoProxyCreator();
}

配置advisor对象,shiro框架底层会通过此对象的matchs方法返回值决定是否创建代理对象,进行权限控制

@Bean
public AuthorizationAttributeSourceAdvisor 
newAuthorizationAttributeSourceAdvisor(
	    		    @Autowired SecurityManager securityManager) {
		        AuthorizationAttributeSourceAdvisor advisor=
				new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager);
	return advisor;
}

SysUserRoleDao 中方法定义(已有则无须定义)

List<Integer> findRoleIdsByUserId(
			Integer id);

SysRoleMenuDao中方法定义

List<Integer> findMenuIdsByRoleIds(
			@Param("roleIds")Integer[] roleIds);

SysMenuDao中方法定义

List<String> findPermissions(
			@Param("menuIds")
			Integer[] menuIds);

SysUserRoleMapper中元素定义

<select id="findRoleIdsByUserId"
            resultType="int">
           select role_id
           from sys_user_roles
           where user_id=#{userId}        
</select>

SysRoleMenuMapper中元素定义

<select id="findMenuIdsByRoleIds"
         resultType="int">
         select menu_id
         from sys_role_menus
         where role_id in 
         <foreach collection="roleIds"
                  open="("
                  close=")"
                  separator=","
                  item="item">
               #{item}
         </foreach>
</select>

`SysMenuMapper中元素定义

<select id="findPermissions"
           resultType="string">
       select permission <!-- sys:user:update -->
       from sys_menus
       where id in 
       <foreach collection="menuIds"
                open="("
                close=")"
                separator=","
                item="item">
            #{item}
       </foreach>
   </select>

重写对象realm的doGetAuthorizationInfo方法,并完成用户权限信息的获取以及封装,最后将信息传递给授权管理器完成授权操作

@Service
public class ShiroUserRealm extends AuthorizingRealm {

	@Autowired
	private SysUserDao sysUserDao;
	
	@Autowired
	private SysUserRoleDao sysUserRoleDao;
	@Autowired
	private SysRoleMenuDao sysRoleMenuDao;
	
	@Autowired
	private SysMenuDao sysMenuDao;
	
	//…
	/**通过此方法完成授权信息的获取及封装*/
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
		PrincipalCollection principals) {
		//1.获取登录用户信息,例如用户id
		SysUser user=(SysUser)principals.getPrimaryPrincipal();
		Integer userId=user.getId();
		//2.基于用户id获取用户拥有的角色(sys_user_roles)
		List<Integer> roleIds=
		sysUserRoleDao.findRoleIdsByUserId(userId);
		if(roleIds==null||roleIds.size()==0)
		throw new AuthorizationException();
		//3.基于角色id获取菜单id(sys_role_menus)
		Integer[] array={};
		List<Integer> menuIds=
		sysRoleMenuDao.findMenuIdsByRoleIds(
				roleIds.toArray(array));
	    if(menuIds==null||menuIds.size()==0)
	    throw new AuthorizationException();
		//4.基于菜单id获取权限标识(sys_menus)
	    List<String> permissions=
	    sysMenuDao.findPermissions(
	    	menuIds.toArray(array));
		//5.对权限标识信息进行封装并返回
	    Set<String> set=new HashSet<>();
	    for(String per:permissions){
	    	if(!StringUtils.isEmpty(per)){
	    		set.add(per);
	    	}
	    }
	    SimpleAuthorizationInfo info=
	    new SimpleAuthorizationInfo();
	    info.setStringPermissions(set);
		return info;//返回给授权管理器
	}
}

在需要进行授权访问的业务方法(业务层)上添加执行此方法需要的权限标识
例如

@RequiresPermissions("sys:log:delete")
Majoy2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro安全框架
09-19
shiro安全框架+spring的完整oa项目开发,简单应用。。
SpringBoot和Shiro结合,创建ShiriFilterFactoryBean报错 空指针,@Configuration导致@AutoWired无法注入
一只可爱滴程序员的博客
11-18 800
代码: @Bean(name="shiroFilter") publicShiroFilterFactoryBeanshiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManagersecurityManager){ ShiroFilterFactoryBeans...
Spring boot中filter类不能注入@Autowired变量
Amo_lt的博客
11-09 1万+
项目中的登录是用了shiro以及filter拦截器。输入正确的账号密码之后却不能正常登录。调试代码发现是filter类中定义的变量userService没有值,为null,该变量采用的方式是@Autowired自动注入。由此博主认为我的shiro配置类还是有点问题。解决办法在shiroConfig.java(shiro相关bean的定义类)中加入一个bean用来自动注入filter中的变量
spring+shiro 配置使用(完整代码篇)
shaking的博客
09-07 2143
web安全框架shiro相比spring security,更轻量级,配置简单易懂,小巧灵活,功能强大,和spring完美结合,shiro上手超级简单,一看就懂,但如果需求较为复杂,仍需要细细研究其中原理,灵活配置。本人才疏学浅,本文仅涉及登录验证,动态权限验证,后面有机会再慢慢研究。引入Shiro的Maven依赖<dependency> <groupId>org.apache.shiro
Shiro框架复习
weixin_47409774的博客
08-20 173
Shiro框架概述 Shiro将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。用户在进行资源访问时,对用户进行权限控制 Shiro架构概要 Subject : 主体对象,负责提交用户认证和授权信息 SecurityManager : 安全管理器,负责认证,授权等业务实现 ...
dubbo的Filter实现类属性自动注入(Autowired)无效
BoBo的博客
08-18 8302
问题描述: 最近在做一个功能时,要用到dubbo的filter。于是在实现接口 com.alibaba.dubbo.rpc.Filter后,按照正常思路添加了属性,代码如下:@Activate(group = {Constants.PROVIDER}) public class CatFilterImpl implements Filter { @Autowired pr
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
springboot+shiro中添加自定义过滤器 中使用@Autowired
qq_37733625的博客
10-29 1292
记录一下shiro中添加自定义过滤器遇到的BUG @Configuration public class ShiroConfig { @Autowired WhiteListMapper whiteListMapper; @Autowired ResourceMapper resourceMapper; @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityMa
Dubbo @Autowired注入失败原因分析
热门推荐
学习使我快乐,每天都在进步!
04-20 2万+
错误:org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'XXXX': 用的是Zookeeper+Dubbo  的分布式架构。在开发过程中渐渐熟悉系统,希望留下点痕迹让来着少走弯路。如果出现如上错误,请按下面步骤依次检查:1:引入JAR匹配一致      import org...
Python数据结构
qq_41783539的博客
03-31 1458
元组和列表类似,都是有序的线性结构,用括号来表示,可以指定索引来获取元素。创建元组其实很简单,只要在某个值后面加上一个逗号。注意,当元组只包含一个元素的时候,不能写成(elem)这样的形式,而是要写成"elem,"或者(elem,)如果元组为空,可以只写()。集合是一组无序排列的值,其内容无序且元素不重复。它支持用in和not in操作符检查成员,用len内建函数得到集合的元素个数,用for循环遍历集合的成员,但因为集合本身是无序的,所以不可以为集合创建索引或执行切片操作。
mybatis与MP的分页查询
qq_41783539的博客
06-03 1161
文章目录mybatis的分页MP方式实现分页查询 mybatis的分页 编辑ItemController @RestController @RequestMapping("/item") public class ItemController { @Autowired private ItemService itemService; /** * 业务分析: * 根据分页要求,动态查询商品全部记录信息. * url:http://l
电商后台的常见业务逻辑
qq_41783539的博客
06-04 1008
文章目录商品分类EasyUI中树形结构商品新增商品分类信息回显页面修改操作商品删除商品上架/下架商品详情 商品分类 编辑POJO @TableName("tb_item_cat") @Data @Accessors(chain=true) public class ItemCat extends BasePojo{ //注意事项: POJO中的属性都使用包装类型 @TableId(type=IdType.AUTO) //主键自增 private Long id; /
拦截器与线程池
qq_41783539的博客
06-05 657
文章目录控制层访问拦截实现异步写用户行为日志 控制层访问拦截实现 第一步:拦截器定义 package com.cy.pj.common.web; /** * Spring MVC中拦截器 * @author Administrator */ public class TimeAccessInterceptor implements HandlerInterceptor { /** * preHandle在控制层目标方法执行之前执行 */ @Override public
电商前台的常见业务逻辑
qq_41783539的博客
06-05 596
文章目录用户注册实现用户单点登陆购物车业务项目权限设计订单业务订单超时处理 用户注册实现 编辑UserController @RequestMapping("/user/doRegister") @ResponseBody public SysResult doRegister(User user) { userService.doRegister(user); return SysResult.success(); } 编辑Use
Python文件操作和并发编程
qq_41783539的博客
04-23 533
逻辑上,模块就是一组功能函数的集合;物理上,一个模块就是一个包含了Python定义和声明的文件,文件名就是模块名字加上.py的后缀。在一个模块内部,模块名可以通过全局变量____name____的值获得。文件是系统存储区域的一个命名位置,能够在存储器中实现持续性存储。f = open('file' , 'mode') // 打开文件打开模式说明‘r’只读模式,默认值‘w’覆盖写模式,文件不存在则创建,存在则完全覆盖‘x’创建写模式‘a’追加写模式‘b’二进制文件模式‘t’
Shiro安全框架的理解
最新发布
06-01
Shiro是一个强大的Java安全框架,可以很方便地实现身份认证、授权、加密、会话管理等安全机制。Shiro的核心是Subject,它代表了当前用户,可以进行身份认证和授权操作。Shiro的认证过程包括身份验证和权限验证,身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值