Shiro权限学习

最新推荐文章于 2023-05-06 21:48:08 发布
最新推荐文章于 2023-05-06 21:48:08 发布
阅读量91 收藏 1
点赞数
分类专栏: 笔记 文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_50577078/article/details/116796791
版权

Shiro

文章目录

shiroDemo

Shiro和Spring Security比较

  • Shiro:
    • 简单、灵活
    • 可以脱离Spring
    • 粒度较粗
  • Spring Security:
    • 复杂、笨重
    • 不可以脱离Spring
    • 粒度更细

Shiro QuickStart

Subject currentUser = SecurityUtils.getSubject();
Session session = currentUser.getSession();
//认证
currentUser.login(token); //通过抛出的异常来判断用户登录结果
//授权
currentUser.hasRole
currentUser.isPermitted
currentUser.isAuthenticated()

current.logout();

ShiroWeb

基础框架搭建:shiro配置三板斧
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * @author GLoRy
 * @date 2021/4/29 23:36
 */
@Configuration
public class ShiroConfig {

    /**
     * 1. Realm 代表系统资源
     *
     * @return MyRealm
     */
    @Bean
    public Realm myRealm() {
        return new MyRealm();
    }

    /**
     * 2. SecurityManager 安全管理
     * 流程控制
     *
     * @return securityManager
     */
    @Bean
    public DefaultWebSecurityManager mySecurityManager(Realm myRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm);
        return securityManager;
    }

    /**
     * 3. ShiroFilterFactoryBean 请求过滤器
     *
     * @return factoryBean
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager mySecurityManger) {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(mySecurityManger);
        return factoryBean;
    }
}

认证流程:

1、获取当前用户

2、根据当前用户获取数据库中的用户信息

3、当前用户和数据库中的用户进行密码匹配

​ shiro在后面会帮我们进行密码比较

实现登录验证功能

1、创建自己的Realm对象,继承AuthorizingRealm

​ 实现父类的doGetAuthenticationInfo认证方法

2、配置路径过滤器

//配置路径过滤器
Map<String, String> filterMap = new ConcurrentHashMap<>();
//key是ant路径,支持**(代表多级路径),*(代表单级路径),?(代表一个字符)
filterMap.put("","")

factoryBean.setFilterChainDefinitionMap(filterMap);

目前已经实现的功能:

1、已经可以正常判断用户名和密码

2、两个资源路径需要登录才可以访问,否则跳转到login.jsp

修复登录认证错误的访问情况

设置登录页、登录成功页、未经授权页

登出:有两种方式

  • 方式一:
@RequestMapping("/logout")
public void logout() {
	Subject subject = SecurityUtils.getSubject();
	subject.logout();
}
  • 方式二:使用Shiro提供的logout过滤器
//配置登出过滤器
filterMap.put("/common/logout","logout");

实现授权功能

目标:

1、控制主页上按钮的访问权限

​ currentUser.getPricipal() 来自于 MyRealm中 doGetAuthenticationInfo() 认证方法返回的 simpleAuthenticationInfo 对象的第一个属性。

2、控制后台资源路径的访问权限

  • 方法1:硬编码的方式,自行判断权限
//硬编码方式
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.isPermitted("mobile")) {
	return "mobile";
} else {
	return "error";
}

  • 方法2:使用shiro提供的perms过滤器,集中配置权限信息

    //表示两个资源路径都需要登录才能访问
filterMap.put("/mobile/**", "authc,perms[mobile]");
filterMap.put("/salary/**", "authc,perms[salary]");
factoryBean.setUnauthorizedUrl("/common/unauthorized");
    • 错误补充机制:没有权限就会进入ShiroFilterFactoryBean中配置的UnauthorizedUrl
    @RequestMapping("/unauthorized")
public Object unauthorized() {
	return "未经授权,无法访问";
}

  • 方法3:使用shiro提供的注解实现方法级别的权限控制

    • @RequiresAuthentication 需要用户完成登录认证
    • @RequiresGuest 未登录用户可以访问,登录用户就不可以进行访问
    • @RequiresPermissions 需要有对应资源权限
    • @RequiresRoles 需要对应的角色
    • @RequiresUser 需要完成用户登录并且实现了 remember me 功能

    错误补充机制:没有权限就会抛出异常

    @RestControllerAdvice
public class MyExceptionHandler {
    @ExceptionHandler(UnauthorizedException.class)
    public Object shiroHandler() {
        return "请先获得对应的资源,再进行访问";
    }
}

密码加密

shiro会获得一个 CredentialsMatcher 对象来对密码进行比对

想要使用MD5方式进行加密:

  • Md5CredentialsMatcher已经过期,要使用HashedCredentialsMatcher并设定算法名
public class HashedCredentialsMatcher extends SimpleCredentialsMatcher {
    /** hash算法 */
    private String hashAlgorithm;
    /** hash迭代 */
    private int hashIterations;
    /** 加Salt进行hash散列 (已过时的方法) */
    private boolean hashSalted;
    //存储的凭证以十六进制编码
    private boolean storedCredentialsHexEncoded;
}

  • 加盐加密:

    ​ 需要在认证返回的认证信息simpleAuthenticationInfo中,指定需要加的盐salt。这样算出来的密文,才可以和数据库中的密文进行比对。

HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
//设置哈希算法名称 比如 MD5
matcher.setHashAlgorithmName("MD5");
//设置哈希迭代次数
matcher.setHashIterations(5);
//设置十六进制编码的存储凭据
matcher.setStoredCredentialsHexEncoded(true);
//设置凭据匹配器
myRealm.setCredentialsMatcher(matcher);

---------------------------------------------------
//定义加盐算法的salt
ByteSource salt = ByteSource.Util.bytes("salt");
//返回authenticationToken,完成认证流程
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo
	(userBean, userBean.getUserPass(), salt, "myRealm");

---------------------------------------------------
//密码转换计算
public static String encoder(String password) {
	SimpleHash simpleHash = new SimpleHash
		("MD5", ByteSource.Util.bytes(password), ByteSource.Util.bytes("salt"), 5);
	return simpleHash.toString();
}

多Realm认证

要实现用户名和手机号都可以登录的功能

org.apache.shiro.authc.pam.ModularRealmAuthenticator(模块化Realm身份验证器)

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
	this.assertRealmsConfigured();
	Collection<Realm> realms = this.getRealms();
	return realms.size() == 1 ? this.doSingleRealmAuthentication((Realm)realms.iterator().next(), 	
		authenticationToken) : this.doMultiRealmAuthentication(realms, authenticationToken);
}

可以定义多个Realm,完成不同的功能

我们通过增加一个MobileRealm,就实现了按照手机号也可以登录的功能

多Realm的认证策略:
  • AuthenticationStrategy接口,有三个实现类
    • AllSuccessfulStrategy:需要所有Realm认证成功,才能最终认证成功。
    • AtLeastOneSuccessfulStrategy:至少有一个Realm认证成功,才能最终认证成功。
    • FirstSuccessfulStrategy:第一个Realm认证成功后即返回认证成功,不再进行后面的Realm认证。
//设置Realms集合,如myRealm和mobileRealm,实现用户名和手机号都可以进行认证
securityManager.setRealms(Arrays.asList(myRealm, mobileRealm));

//模块化Realm身份验证器
ModularRealmAuthenticator authenticator = new ModularRealmAuthenticator();
//设置身份验证策略
authenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
//设置Realms,才能进行验证
authenticator.setRealms(Arrays.asList(myRealm, mobileRealm));
//设置身份验证器
securityManager.setAuthenticator(authenticator);

Remember Me 功能

”记住我“的功能:

​ token.setRememberMe(true)

”记住我“功能对应了默认的user过滤器

如何设置“记住我”的时长,以及记到哪里

下面这两个功能Cookie和Session,是用于要在分布式部署中实现状态共享来来进行改造。

设置cookie

//设置cookie记住我
CookieRememberMeManager rememberMeManager = new CookieRememberMeManager();
Cookie cookie = new SimpleCookie("rememberMe");
cookie.setHttpOnly(true);
cookie.setMaxAge(5);
rememberMeManager.setCookie(cookie);
securityManager.setRememberMeManager(rememberMeManager);

token.setRememberMe(true);

如果想将cookie存到Redis中可以写个接口去继承 AbstractRememberMeManager,RememberMeManager 接口,重写或实现一些抽象方法。

会话管理

//实现会话管理
securityManager.setSessionManager(sessionManager);

DefaultWebSecurityManager

ServletContainerSessionManager

//在集成Redis中可以重写类似这样的方法
public Session getSession(SessionKey key) throws SessionException {
if (!WebUtils.isHttp(key)) {
	String msg = "SessionKey must be an HTTP compatible implementation.";
throw new IllegalArgumentException(msg);
	} else {
	HttpServletRequest request = WebUtils.getHttpRequest(key);
	Session session = null;
	HttpSession httpSession = request.getSession(false);
	if (httpSession != null) {
	session = this.createSession(httpSession, request.getRemoteHost());
	}

	return session;
	}
}

认证缓存

//设置缓存管理器
MemoryConstrainedCacheManager cacheManager = new MemoryConstrainedCacheManager();
securityManager.setCacheManager(cacheManager);

如果想在分布式环境中使用Redis,因为shiro并未集成,可以自己重写RedisCacheManager 继承 AbstractCacheManager,写个接口实现Cache接口的方法。

“Remember Me”,会话管理,以及认证缓存,都可以通过扩展对应的manager接口的方式实现自己的灵活扩展,比如将信息共享到Redis。

Realm类型

UML图:

SC2GLoRy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro权限学习文档-适合初级中级高级
10-19
Shiro权限学习文档-适合初级中级高级
Shiro权限管理框架详解
WGH100817的博客
01-25 1519
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
Shiro 认证 密码加密
09-27 211
shiro 加密(非xml配置): public class EncrpyPassword { @Test public void EncrpyPassword(){ CustomRealm customRealm = new CustomRea...
shiro权限
weixin_46423748的博客
05-14 1245
shiro权限框架 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 shiro架构 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授权相关的方法,外部程序通过su
Shiro 权限管理
心猿意码
06-24 2947
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
shiro-权限概述
OneMaruko的博客
01-26 3617
一、什么是权限 权限管理,一般根据系统的安全设置或安全规则,用户可以且只能访问自己被授予的资源。只要有用户名和密码,就一定会存在权限。 二、权限分类 访问权限 作为一个使用者或是访问者,你能够被允许看到的那些资源。 数据权限 作为一个使用者或是访问者,你能够被允许对那些数据进行操作处理。 三、认证概念 判断一个用户是否为合法用户,常见的有密码登录,验证码登录,第三方授权登录等。 四、认证流程 五、授权概念 授权,即访问权限,控制谁能访问那些资源。主体进行身份认证后,系统会为其分配对应的权限,当访问资源时,会
权限管理shiro学习总结
09-19
1. 了解基于资源的权限管理方式 2. 权限数据模型 3. 基于url的权限管理(不适应shiro实现权限管理) 4. Shiro实现用户认证 5. Shiro实现用户授权 6. Shiro与企业web整合开发方法
shiro学习文档
10-28
Apache Shiro Java Security Framework.mht,shiroshiroshiroshiro
SpringBoot+MyBatis+Shiro权限管理系统
12-23
适合学习SpringBoot、MyBatis、Shiro的开发小白,包含源码和数据脚本,文章地址:https://blog.csdn.net/u013343114/article/details/111592137
shiro入门学习.ppt
07-19
判断用户是否拥有访问的权限  在任何环境下使用 Session API。例如CS程序。  可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。  单点登录(SSO)功能。  “Remember Me”服务 ...
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
shiro授权
yzq102873的博客
08-29 952
shiro授权
Shiro 权限处理(自我学习版)
m0_56532446的博客
05-06 1100
Shiro初步学习了解基础理论以及和SpringBoot整合
shiro进行权限控制的四种方式
热门推荐
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
Shiro 授权(权限
我的博客----机械鱼人
01-09 1193
一、授权(权限) 1.1 什么是权限 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 1.2 权限框架 shiro spring security Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单, 对比Spring Security,可能没有Spring Security做的功能强大,但...
Shiro权限管理框架
king220022的博客
04-11 1004
对于细颗粒度的权限管理不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自己创建的商品信息可以在service接口添加校验实现,service接口需要传入当前操作人的标识,与商品信息创建人标识对比,不一致则不允许修改商品信息。对资源类型的管理称为粗颗粒度权限管理,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限
Shiro权限管理
m0_37546552的博客
04-14 360
Shiro权限管理表的设计引入pom包三大核心组件shiro的运行过程自定义Realm配置ShiroconfigShiro四种权限控制方式登录实例 shiro是一个安全框架 使用shiro可以非常容易开发出足够好的应用,可以帮助我们完成:认证 授权 加密 会话管理 与web集成 缓存 表的设计 引入pom包 三大核心组件 *Subject:即”当前操作用户“,但在shiro中不仅仅指人还指第三...
Shiro权限控制
一个死宅的不屈
06-27 2508
shiro权限验证框架
springboot+shiro权限管理
最新发布
09-09
Spring Boot和Shiro是常用的权限管理框架,可以通过整合它们来搭建一个包含权限控制的后台管理系统。...通过学习和实践这些资源,你可以深入了解Spring Boot和Shiro权限管理功能,并将其应用于你的项目中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值