shiro_day02

最新推荐文章于 2021-11-13 17:38:48 发布
最新推荐文章于 2021-11-13 17:38:48 发布
阅读量130 收藏
点赞数
分类专栏: 安全框架 文章标签: shiro 安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42514129/article/details/86617088
版权
shiro
1.shiro的授权控制
* 基于过滤器的授权控制
anon   开放权限,用户不需要登录就可以访问
authc  需要登录认证
perms[user]  需要某个或某些权限才能通过,perms[“user,admin”],当有多个参数时必须每个参数都通过
roles[admin]  某个或某些角色才能通过,roles[“admin,user”],当有多个参数时必须每个参数都通过
* 基于注解的授权控制
@RequiresPermissions(value = {"添加用户","修改用户"})
@RequiresRoles(value = {"系统管理员"})
2.注解授权控制注意:
过滤器的授权控制,用户权限不足时通过shiroFilterFactoryBean.setUnauthorizedUrl("/autherror")设置跳转页面;而基于注解授权控制,如果权限不足则会抛出异常500到浏览器,因此需要自定义异常处理类补获异常
3.shiro三大功能:
	身份认证,用户授权,会话管理
4.使用shiro会话管理功能解决单点登录问题
	在web应用中,使用subject.login(token)身份认证成功后,实际上将用户信息存到了HttpSession中,shiro提供了三个默认的会话管理: 
* DefaultSessionManager:用于JavaSE环境
* ServletContainerSessionManager:用于Web环境,直接使用servlet容器的会话(HttpSession)。
* DefaultWebSessionManager:用于web环境,自定义会话管理;使用自定义会话管理,将用户信息保存在redis中,实现单点登录
5.自定义session管理器实现单点登录原理:
	配置SessionDao和SessionManager,当用户第一次登录时,将用户信息信息存储在redis中,key是随机ID,value是用户身份信息和授权信息,并将随机ID作为令牌返回给用户;当用户再次访问服务器,请求头key:Authorization,value:随机ID,然后根据ID从redis中查询用户信息,完成单点登录
6.Postman清除cookie信息:
	点击Send按钮下方的Cookies

在这里插入图片描述
在这里插入图片描述

shiro测试案例
1.定义登录Controller
@RestController
public class LoginController{
	@GetMapping("/login")
    public String doLogin(String username,String password){
       //对密码加密,参数1:需要加密密码,参数2:对密码加盐(通常使用用户名作为盐),参数3:加密次数
       try{
       assword = new Md5Hash(password,username,2);
       UsernamePasswordToken upToken = new UsernamePasswordToken(username,password);
       Subject subject = SecurityUtils.getSubject();
       subject.login(upToken);
       return "登录成功";
       }catch(AuthenticationException e){
       return e.getMessage();
       }
    }
    
    @RequiresRoles(value = {"系统管理员"})
    @RequiresPermissions(value = {"user-save","user-delete"})
    @GetMapping("/findAnnotation")
    public String doFindAnnotation(){
    	return "注解配置,查询到了页面...";
    }
    
    @GetMapping("/findFilter")
    public String doFindFilter(){
   		return "过滤器配置,查询到了页面...";
    }
    
}

2.自定义安全数据源
@Component
public class CustomerRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    @Override
    public void setName(String name) {
        super.setName("customerRealm");
    }

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //安全数据与认证的第一个参数对应
        User user = (User) principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Set<String> roleSet = new HashSet<>();
        Set<String> permissionSet = new HashSet<>();
        for (Role role : user.getRoles()) {
            roleSet.add(role.getName());
            for (Permission permission : role.getPermissions()) {
                permissionSet.add(permission.getName());
            }
        }
        info.setRoles(roleSet);
        info.setStringPermissions(permissionSet);
        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;
        String username = upToken.getUsername();
        String password = new String(upToken.getPassword());
        User user = userService.findByName(username);
        if (user == null || !user.getPassword().equals(password))
            throw new AuthenticationException("账号密码不匹配...");
        //保存认证信息,参数1是安全参数,认证获得的就是第一个参数
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password, this.getName());
        return info;
    }
}

3.配置shiro注解配置类
@Configuration
public class ShiroConfiguration {
    //安全管理器
    @Bean
    public SecurityManager securityManager(CustomerRealm customerRealm) {
        return new DefaultWebSecurityManager(customerRealm);
    }

    //过滤器
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/autherror?code=1"); //设置登录页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/autherror?code=2"); //授权失败跳转页面
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/user/hello", "anon");	//hello资源不需要认证
        filterMap.put("/user/**", "authc");		//需要认证
        //filterMap.put("/findFilter", "perms[user-find,user-update]");		//权限
        //filterMap.put("/findFilter", "roles[系统管理员]");		//角色
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        return shiroFilterFactoryBean;
    }

    //配置shiro注解支持
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

4.自定义异常处理类
@ControllerAdvice
public class BaseExceptionHandler {

    @ExceptionHandler(value = AuthorizationException.class)
    @ResponseBody
    public String error(HttpServletRequest request, HttpServletResponse response,AuthorizationException e) {
		return "权限不足...";
    }
}
shiro单点登录
1.自定义shiro会话管理器
public class CustomerSessionManager extends DefaultWebSessionManager {
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        //从请求头中获取Authorization对应的值
        String id = WebUtils.toHttp(request).getHeader("Authorization");
        if (StringUtils.isEmpty(id)) {
            //如果ID为空,说明用户当前在登录认证,生成一个ID,并存入Authorization中
            return super.getSessionId(request, response);
        }
        //设置sessionId的来源,header
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "header");
        //设置sessionId的值,id
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
        //设置sessionId有效
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
        return id;
    }
}

2.配置shiro注解配置类
@Configuration
public class ShiroConfiguration {

    @Value("${spring.redis.host}")
    private String host;

    @Value("${spring.redis.port}")
    private int port;

    //安全管理器
    @Bean
    public SecurityManager securityManager(CustomerRealm customerRealm
            , SessionManager sessionManager, RedisCacheManager redisCacheManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(customerRealm);
        securityManager.setSessionManager(sessionManager);
        securityManager.setCacheManager(redisCacheManager);
        return securityManager;
    }

    //过滤器
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/autherror?code=1"); //设置登录页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/autherror?code=2"); //授权失败跳转页面
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/user/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        return shiroFilterFactoryBean;
    }

    //配置shiro注解支持
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }


    //redis管理器
    @Bean
    public RedisManager redisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost(host);
        redisManager.setPort(port);
        return redisManager;
    }

    //redis缓存管理器
    @Bean
    public RedisCacheManager redisCacheManager(RedisManager redisManager) {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager);
        return redisCacheManager;
    }

    //redis存储工具
    @Bean
    public RedisSessionDAO redisSessionDao(RedisManager redisManager) {
        RedisSessionDAO redisSessionDao = new RedisSessionDAO();
        redisSessionDao.setRedisManager(redisManager);
        return redisSessionDao;
    }


    //自定义会话管理器
    @Bean
    public DefaultWebSessionManager sessionManager(RedisSessionDAO redisSessionDao) {
        CustomerSessionManager customerSessionManager = new CustomerSessionManager();
        customerSessionManager.setSessionDAO(redisSessionDao);
        return customerSessionManager;
    }
}
shiro整合spring boot坐标
<!--shiro和spring整合-->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.3.2</version>
</dependency>
<!--shiro核心包-->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-core</artifactId>
	<version>1.3.2</version>
</dependency>
<!--shiro与redis整合-->
<dependency>
	<groupId>org.crazycake</groupId>
	<artifactId>shiro-redis</artifactId>
	<version>3.0.0</version>
</dependency>
qq_42514129
关注
专栏目录
shiro(2)
逗比程序猿^_^的博客
10-10 159
六、自定义Realm 存在的问题:目前所有的 用户、角色、权限数据都在ini文件中,不利于管理。 ​ 实际项目开发中这些信息,应该在数据库中。所以需要为这3类信息建表 6.1 建表 用户表,角色表,权限表 create table t_user( id int primary key auto_increment, username varchar(20) not null un...
Shiro(2)
mhfaaa的博客
07-01 264
Shiro shiro是apache旗下一个Java安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权、加密,会话管理等功能的开发,可为任何应用提供安全保障,降低系统成本 Shiro功能 登录/身份认证,登录失败次数限制 对用户执行访问控制,如: 判断用户是否拥有角色admin,判断用户是否拥有访问的权限 在任何环境下使用Session API。例如CS程序 加密,保证数据安全
shiro_day01
qq_42514129的博客
01-23 127
shiro 1.shiro介绍 apache shiro是一款简单且功能强大的能够完成身份认证,用户授权,会话管理的安全框架; 2.shiro跟spring security的区别: * shiro是一款轻量级的安全框架,使用简单,不需要依赖spring,但是功能不如spring security(如oahtn2) * spring security是一款重量级的安全框架,功能全面,但是必须整合...
shiro_day01 shiro基础概念和代码
wk841610731的博客
01-30 250
基础概念 shiro安全管理框架 Subject : 需要验证的实体类,也充当shiro框架对外的接口 securityManager : 安全管理器,shiro框架的核心,负责调用其他模块进行授权认证 authenticator :认证器,一般用于登录时使用 authorizer :授权器,验证是否有权限 realm :用户与权限的域 sessionManager :会话管理器,可用于实现单...
day60_Shiro.docx
04-13
Apache Shiro 是一个轻量级的Java安全框架,主要用于实现身份认证、授权、加密和会话管理等功能。作为Java框架的一员,Shiro以其简洁易用的API和灵活的架构受到开发者的欢迎。与Spring Security相比,Shiro更适合...
Shiro终极版
08-14
5. **Web 支持**:`Day1702_Shiro_Web` 可能是关于如何在 Web 应用中集成 Shiro 的教程。Shiro 可以轻松地与 Servlet 框架如 Spring MVC 集成,提供过滤器来处理 HTTP 请求,实现登录、权限校验等功能。 6. **笔记3...
spring mybatis shiro 共6天 8部分 第5部分 传智 燕青主讲 非常好
04-11
spring mybatis shiro 共6天 8部分 第5部分 传智 燕青主讲 非常好
ShiroConfig联合RedisCacheManager实现shiro频繁访问Redis
阿啄debugIT
02-07 1080
WEB采用Shiro联合Redis的示意图 Redis实现shiro缓存,达到分布式共享session和授权信息,把session和授权持久化到redis数据库或者缓存shiro集群为了防止多次插查询数据库,解决web在授权的时候每次都去查询数据库,对于频繁访问的接口,性能和响应速度比较慢的问题 客户登录,发起请求,调用Shiro与redis的过程 所用到的依赖 <!-- ...
学习日志day72(2021-11-13)(1、postman接口测试工具 2、认证接口 3、shiro权限框架
huzige_的博客
11-13 1147
学习内容:学习Postman(Day72) 1、postman接口测试工具
Matlab Simulink#直驱永磁风电机组并网仿真模型 基于永磁直驱式风机并网仿真模型 采用背靠背双PWM变流器,先整流
09-18
Matlab Simulink#直驱永磁风电机组并网仿真模型 基于永磁直驱式风机并网仿真模型。 采用背靠背双PWM变流器,先整流,再逆变。 不仅实现电机侧的有功、无功功率的解耦控制和转速调节,而且能实现直流侧电压控制并稳定直流电压和网侧变换器有功、无功功率的解耦控制。 风速控制可以有线性变风速,或者恒定风速运行,对风力机进行建模仿真。 机侧变流器采用转速外环,电流内环的双闭环控制,实现无静差跟踪。 后级并网逆变器采用母线电压外环,并网电流内环控制,实现有功并网。 并网电流畸变率在2%左右。 附图仅部分波形图,可根据自己需求出图。 可用于自用仿真学习,附带对应的详细说明及控制策略实现的paper,便于理解学习。 模型完整无错,可塑性高,可根据自己的需求进行修改使用。 包含仿真文件和说明
java基于ssm+jsp 网上生鲜销售系统源码 带毕业论文+ppt+sql
最新发布
09-18
1、开发环境:SSM框架;内含Mysql数据库;jsp技术;内含说明文档 2、项目代码都经过严格调试,代码没有任何bug! 3、该资源包括项目的全部源码,下载可以直接使用! 4、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 5、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
【高创新】基于人工鱼群算法ASFO-Transformer-LSTM实现故障识别Matlab实现.rar
09-18
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
PHP基于Linux的远程管理系统客户端的实现(源代码+LW).zip
09-18
本系统分析了Linux操作系统的特点、远程管理的各种方法和Webmin,并给出了一个远程管理Linux服务器的具体实现方法。利用PHP语言来构建了一个远程管理系统 —— PHP Webmin,以Web的形式来实现Linux服务器的远程管理,简化了管理难度,并使管理方式更为灵活,从而达到了减轻系统管理员压力,方便系统管理员管理服务器的目的。 在此系统中实现了文件操作管理、远程运行shell命令、对系统进程的监控、对系统的关机/重启、对系统用户/组的操作、rpm包组的管理、对网络参数的查看与配置、对常见服务器的基本管理等功能。系统管理员可使用系统中的各功能模对整个Linux服务器进行日常管理。此系统能够应用于对小型Linux服务器的远程管理。 关键词:Linux;远程管理;Webmin;PHP
java基于ssm+jsp网络游戏交易系统源码 带毕业论文
09-18
1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、需要项目部署的可以私信 3、项目代码都经过严格调试,代码没有任何bug! 4、该资源包括项目的全部源码,下载可以直接使用! 5、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 6、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
VB+SQL期刊信息管理系统(源代码+系统+答辩PPT).zip
09-18
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 、下4载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 、下4载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合;、 4下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。
java-ssm+vue电影网站实现源码(项目源码-说明文档)
09-18
系统主要包括首页,个人中心,用户管理,电影信息管理,电影分类管理,电影商城管理,商品分类管理,社区交流,系统管理,订单管理等功能 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7+ 后端技术:ssm 前端技术:Vue 关键技术:springboot、SSM、vue、MYSQL、MAVEN 数据库工具:Navicat、SQLyog
Office_PPT_Template_2017-CL-20180524MTAX.potx
09-18
微软PPT模板,演示材料
C#项目中常用到的主要设计模式.pdf
09-18
一个项目的通常都是从Demo开始,不断为项目添加新的功能以及重构,也许刚开始的时候代码显得非常凌乱,毫无设计可言。但是随着项目的迭代,往往需要将很多相同功能的代码抽取出来,这也是设计模式的开始。熟练运用设计模式应该是每一个软件开发人员的必备技能。今天给大家介绍几个常用的设计模式。 单例模式恐怕是很多开发人员最先接触到的模式之一,可以认为就是一个全局变量。它的初始化过程无非就是一开始就new 一个instance,或者惰性初始化等需要用到的时候new 一个instance。这里需要注意的是在多线程情况下new一个instance。通常加上lock 可以解决问题。这里我们利用C# 的系统函数 Interlocked.CompareExchange; 迭代器模式也是用的比较多的一种,通常见于C#的内置容器数据结构 List,Stack等等,为了便于遍历容器内元素; 工厂模式细分的话有简单工厂模式、抽象工厂模式等。它最核心的就是如何通过 Factory new 一个 对象出来。在ASP.NET MVC 消息处理实现过程中工厂模式运用的非常多
shiro_tool
08-09
shiro_tool是一个基于Java的安全框架,用于实现身份认证和授权功能。它提供了一套简单易用的API,可以帮助开发人员快速集成安全功能到他们的应用程序中。 shiro_tool的主要特点包括: 1. 身份认证:shiro_tool可以进行用户名和密码的验证,确保只有合法用户才能访问应用程序。它还支持多种身份认证方式,如基于表单、基于HTTP基本身份验证等。 2. 授权管理:shiro_tool提供了细粒度的授权控制,可以控制用户对应用程序资源的访问权限。通过定义角色和权限的组合,可以实现灵活的权限管理策略。 3. 会话管理:shiro_tool可以跟踪用户的会话,并提供了会话管理的功能,如超时控制、session共享等。它还支持集群环境下的会话管理。 4. 密码加密:shiro_tool可以对用户密码进行加密,确保密码的安全性。它支持多种加密算法,如MD5、SHA等。 5. 集成简单:shiro_tool可以与主流的Java框架(如Spring、Struts等)无缝集成,方便开发人员在项目中使用。 总之,shiro_tool是一个功能强大的安全框架,可以帮助开发人员快速实现应用程序的身份认证和授权功能,提升应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值