【安全框架】浅谈Shiro在项目中的应用

最新推荐文章于 2023-03-08 23:10:49 发布
最新推荐文章于 2023-03-08 23:10:49 发布
阅读量2.3k 收藏 34
点赞数 5
分类专栏: 编程技术 文章标签: java shiro springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sumo084/article/details/100923539
版权

  Shiro是什么?简单来说它是Apache的一个Java安全框架(Apache是一个很牛的团体,除了Shiro,还有Lucene、Elasticsearch、Activiti等等也是Apache的,后续博主可能会讲到),具体这里就不详细赘述了,请大家自行查看百度百科。这里博主只介绍怎么使用。
  博主是java后台开发的研发经理,平时不怎么写Web端代码,所以代码是博主照着“java知识分享网”上面的一个商品管理系统来敲的,也算是“现炒现卖”,和大家一起学习。
  第一步,在pom.xml文件里面添加Shiro依赖,如下。

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.0</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

  第二步,编写MyRealm类,这个类要继承AuthorizingRealm,首先要重写doGetAuthorizationInfo方法,这个方法是用来授权的,即把当前用户拥有的所有角色和菜单权限加载到subject里面。然后要重写doGetAuthenticationInfo方法,这个方法是用来身份验证的,如果验证不通过,会向上抛AuthenticationException异常。下面我直接贴代码。

package com.zznode.realm;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

import javax.annotation.Resource;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.zznode.entity.Menu;
import com.zznode.entity.Role;
import com.zznode.entity.User;
import com.zznode.repository.MenuRepository;
import com.zznode.repository.RoleRepository;
import com.zznode.repository.UserRepository;

/**
 * 自定义Realm
 * 
 * @author Administrator
 *
 */
public class MyRealm extends AuthorizingRealm {

	@Resource
	private UserRepository userRepository;

	@Resource
	private RoleRepository roleRepository;

	@Resource
	private MenuRepository menuRepository;

	/**
	 * 授权,这个方法是懒加载,第一次使用权限的时候才会执行此方法
	 * 比如在遇到@RequiresPermissions和@RequiresRoles注解的时候会执行此方法
	 * 
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String userName = (String) SecurityUtils.getSubject().getPrincipal();
		User user = userRepository.findByUserName(userName);
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		List<Role> roleList = roleRepository.findByUserId(user.getId());
		Set<String> roles = new HashSet<String>();
		for (Role role : roleList) {
			roles.add(role.getName());
			List<Menu> menuList = menuRepository.findByRoleId(role.getId());
			for (Menu menu : menuList) {
				// 把每个菜单名称都放到subject里面,与@RequiresPermissions等注解配合使用,来进行权限验证
				info.addStringPermission(menu.getName());
			}
		}
		info.setRoles(roles);
		return info;
	}

	/**
	 * 身份认证
	 * 
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// 获取token中的用户名
		String userName = (String) token.getPrincipal();
		// 根据token中的用户名从数据库中查出用户实体
		User user = userRepository.findByUserName(userName);
		if (user != null) {
			// 将token中的用户名密码与数据库查出的用户名密码进行比较,如果不一致,则向上抛AuthenticationException异常
			AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), "xxx");
			return authcInfo;
		} else {
			// 如果用户实体为null,直接向上抛AuthenticationException异常
			throw new AuthenticationException("用户名不存在");
		}
	}

}

  第三步,编写ShiroConfig类,这个类定义了可以匿名访问的url,其他的代码都是固定套路的,以后开发中基本不用改,我还是直接贴代码,注释写的很详细,大家都能看懂。

package com.zznode.config;

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import com.zznode.realm.MyRealm;

/**
 * Shiro配置类
 * 
 * @author Administrator
 *
 */
@Configuration
public class ShiroConfig {

	/**
	 * ShiroFilterFactoryBean 处理拦截资源文件问题。 
	 * 注意:单独一个ShiroFilterFactoryBean配置是或报错的
	 * 因为在初始化ShiroFilterFactoryBean的时候需要注入SecurityManager
	 *
	 * Filter Chain定义说明 : 
	 * 1、一个URL可以配置多个Filter,使用逗号分隔 
	 * 2、当设置多个过滤器时,全部验证通过,才视为通过
	 * 3、部分过滤器可指定参数,如perms、roles
	 *
	 */
	@Bean
	public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

		// 必须设置 SecurityManager
		shiroFilterFactoryBean.setSecurityManager(securityManager);

		// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
		shiroFilterFactoryBean.setLoginUrl("/login.html");

		// 拦截器.
		Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
		// 配置不会被拦截的链接,顺序判断,anon:所有url都都可以匿名访问
		filterChainDefinitionMap.put("/static/**", "anon");
		filterChainDefinitionMap.put("/user/login", "anon");
		filterChainDefinitionMap.put("/drawImage", "anon");

		// 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
		filterChainDefinitionMap.put("/logout", "logout");

		// 配置会被拦截的链接,一般将这句话放在最为下边,authc:所有url都必须认证通过才可以访问
		filterChainDefinitionMap.put("/**", "authc");

		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		return shiroFilterFactoryBean;
	}

	@Bean
	public SecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		// 设置realm
		securityManager.setRealm(myRealm());
		return securityManager;
	}

	/**
	 * realm实现类
	 * 
	 * @return
	 */
	@Bean
	public MyRealm myRealm() {
		MyRealm myRealm = new MyRealm();
		return myRealm;
	}

	/**
	 * Shiro生命周期处理器
	 * 
	 * @return
	 */
	@Bean
	public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
		return new LifecycleBeanPostProcessor();
	}

	/**
	 * 开启Shiro的注解(如@RequiresRoles、@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
	 * 配置以下两个bean,DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor即可实现此功能
	 * 
	 * @return
	 */
	@Bean
	@DependsOn({ "lifecycleBeanPostProcessor" })
	public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
		advisorAutoProxyCreator.setProxyTargetClass(true);
		return advisorAutoProxyCreator;
	}

	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
		return authorizationAttributeSourceAdvisor;
	}

}

  下面,我们看一个controller的login方法的例子,代码如下。在执行subject.login方法的时候,会自动调用MyRealm类里面的doGetAuthenticationInfo方法,并且可以catch到这个方法的异常。

    @ResponseBody
	@RequestMapping("/login")
	public Map<String, Object> login(String imageCode, @Valid User user, BindingResult bindingResult,
			HttpSession session) {
		Map<String, Object> map = new HashMap<String, Object>();
		if (StringUtil.isEmpty(imageCode)) {
			map.put("success", false);
			map.put("errorInfo", "请输入验证码!");
			return map;
		}
		if (!session.getAttribute("checkcode").equals(imageCode)) {
			map.put("success", false);
			map.put("errorInfo", "验证码输入错误!");
			return map;
		}
		if (bindingResult.hasErrors()) {
			map.put("success", false);
			map.put("errorInfo", bindingResult.getFieldError().getDefaultMessage());
			return map;
		}
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword());
		try {
			// 下面这句话,会调用MyRealm类里面的doGetAuthenticationInfo方法,并且可以catch到这个方法的异常
			subject.login(token);
			// 如果上面这句话执行没有异常,则说明登陆成功
			// 从subject里获得当前的用户名
			String userName = (String) SecurityUtils.getSubject().getPrincipal();
			// 根据当前用户名查出用户实体信息
			User currentUser = userService.findByUserName(userName);
			// 将用户实体信息放入HttpSession
			session.setAttribute("currentUser", currentUser);
			// 根据用户实体id查出角色列表(一个用户可以对应多个角色)
			List<Role> roleList = roleService.findByUserId(currentUser.getId());
			map.put("roleList", roleList);
			map.put("roleSize", roleList.size());
			map.put("success", true);
			// 记录操作日志
			logService.save(new Log(Log.LOGIN_ACTION, "用户登录"));
			return map;
		} catch (Exception e) {
			e.printStackTrace();
			map.put("success", false);
			map.put("errorInfo", "用户名或者密码错误!");
			return map;
		}
	}

  最后我们再看一个controller的save方法的例子,这个比较简单易懂,代码如下。@RequiresPermissions(value = “商品管理”)这个注解的意思是,判断subject里面有没有“商品管理”这个菜单权限,如果有,才允许执行save这个方法,否则会向上抛出AuthorizationException异常。

    @RequestMapping("/save")
	@RequiresPermissions(value = "商品管理")
	public Map<String, Object> save(GoodsUnit goodsUnit) throws Exception {
		Map<String, Object> resultMap = new HashMap<>();
		goodsUnitService.save(goodsUnit);
		logService.save(new Log(Log.ADD_ACTION, "添加商品单位信息"));
		resultMap.put("success", true);
		return resultMap;
	}

  至此,Shiro就介绍完了,掌握这些基本就够了。

苏摩084
关注
  • 5
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro框架项目应用
11-09
shiro框架项目应用,适用于shiro框架的入门学习以及在项目的基本应用
查看Apache shiro的版本
m0_67394360的博客
04-12 8642
先进到程序部署的路径下,执行 grep -rn ‘org.apache.shiro’ 如图: [root@localhost webapps]# cd /home/server/wbgl/apache-tomcat-1124/webapps [root@localhost webapps]# grep -rn 'org.apache.shiro' Binary file ROOT/WEB-INF/classes/com/inspur/sso/MainController.class matches Bina
Shiro 基本使用
星空椰
03-08 439
这篇文章主要介绍了Shiro基本使用,账号密码信息都使用通过 ini 配置文件获取,了解登录认证流程和角色、授权的方式,在有部分开发,一些敏感信息需要进行加密,比如说用户的密码。 文需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
另类又不另类的shiro检测方式
weixin_45682070的博客
02-18 1197
前言 一般我们检测shiro的方法是用URLDNS链条或者cc链条去盲打,这篇文章来记录一下如何有效的检测shiro(检测是否为shiro,检测shiro的key)。 密钥key不正确的时候 当key错误的时候,我们知道 AbstractRememberMeManager#decrypt 是处理解密的过程。 protected byte[] decrypt(byte[] encrypted) { byte[] serialized = encrypted; CipherService cip
Shiro框架项目应用
weixin_54685622的博客
04-03 6184
1、Shiro 框架简介 Shiro 概述 Shiro 是Apache公司推出一个权限管理框架,其内部封装了项目认证,授权,加密,会话等逻辑操作,通过Shiro框架可以简化我们项目权限控制逻辑的代码的编写。其认证和授权业务分析,如图所示: Shiro 框架概要架构 Shiro 框架主要通过Subject,SecurityManager,Realm对象完整认证和授权业务,其简要架构如下: 其: Subject 此对象负责提交用户身份、权限等信息 SecurityManager 负责完成认证、授权等核
查看shiro版本_Shiro<=1.2.4反序列化漏洞利用
weixin_39980353的博客
12-10 2397
前言Shiro<=1.2.4 反序列化漏洞近期不管是护网或者大牛文字经常提到、利用的漏洞,有些人甚至说:“没有Shiro反序列化不会打护网”所以,决定复现一下并且记录下来环境搭建DockerKaliJavaPython3我是在Kali上用Docker搭建的环境,命令如下#获取镜像dockerpullmedicean/vulapps:s_shiro_1#获取镜像之后,部署镜...
高级程序员必看之shiro框架应用
02-24
使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。简单介绍完毕shiro的作用后,接下来我们就直接进入shiro授权的入门,由于我们学习shiro重点是在...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
Apache Shiro 验证
iteye_9972的博客
04-17 110
Apache Shiro验证(Authentication) 验证(Authentication):身份验证的过程--也就是证明一个用户的真实身份。为了证明用户身份,需要提供系统理解和相信的身份信息和证据。 需要通过向shiro提供用户的身份(Principals)和证明(credentials)来判定是否和系统所要求的匹配。 身份(Principals)是Subject的“身份属性...
apache shiro版本查看_Springboot+thymeleaf+Shiro继承,亲测可用
weixin_39626211的博客
11-25 331
关于shiro的基本知识,以前的文章介绍过了,不再重复。直接上springboot+thymeleaf+shiro的集成代码。是我在项目实际使用的,亲测可用。1,引入依赖注意版本,我的springboot是2.1.1.RELEASE org.apache.shiro shiro-all 1.2.5 com.github.theborakompanioni thymeleaf-extras-shi...
初步了解Shiro
Java追求者的博客
05-29 470
1. 什么是Shiro Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序―从最小的移动应用程序到最大的web和企业应用程序。 Shiro官网:http://shiro.apache.org/architecture.html Shiro在线文文档学习:https://www.w3cschool.cn/shiro/co4m1if2.html 2. Shiro的核心架构 2.1 Subject Su
Apache Shiro 简介
allway2的博客
09-23 1221
到目前为止,我们已经概述了 Apache Shiro 的基本结构,并且我们已经在桌面环境实现了它。请注意,这里的主要焦点是 Shiro,而不是 Spring 应用程序——我们只会使用它来支持一个简单的示例应用程序。在本教程,我们研究了 Apache Shiro 的身份验证和授权机制。此外,在角色部分,我们为每个角色定义了不同的权限或访问级别。方法是我们实现如上所述的实际用户身份验证的地方。在本教程,我们将在桌面环境探索该框架。如果提供的凭据是正确的,那么一切都会好起来的。不同的情况有不同的例外。
Shiro框架基本知识及应用
m0_67393039的博客
03-28 1740
1. Shiro 基本知识 1. 目前市面主流的安全框架shiro:轻量级的,使用很方便,灵活,是apache提供的,在任何框架的 SpringSecurity:是Spring家族的一部分,很多项目会使用spring全家桶,相对与shiro来说,springSecurity更重量级,必须要求spring环境;相对shiro而言,功能更强大 2. 什么是Shiro Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能
shiro框架的基本理解
热门推荐
明天
01-19 1万+
1.简介 shiro是一个安全框架,可以进行认证、授权、密码加密、会话管理 从外部来解析shiro框架: Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManage
apache shiro版本查看_Shiro安全框架(上)
weixin_39522408的博客
11-26 4397
Shiro简介 Shiro是Apache下的一个用于身份校验,授权,会话管理的一个安全框架。它能够应用在任何需要安全校验的场合。 它主要由三个核心组件构成:Subject:主体,即“当前用户”。主体不仅可以是系统用户,也有可能是第三方进程,其他应用程序等等。SecurityManager:它是Shiro框架的核心。它通过门面模式进行构造,将Subject和Realm聚合到其内部...
Apache Shiro介绍
码出个天下——程序员的自我修养
03-19 1718
shiro框架介绍 一、什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro
自己测试使用shiro安全框架
duanduan339的博客
03-24 567
今天学了一下shiro安全框架根据别人的文章实验成功 特地记录一下 原文转自:https://www.jianshu.com/p/7f724bec3dc3 我用的是springboot框架集成的 1 项目架构 2 导入依赖 <!-- shiro安全框架--> <dependency> <groupId>...
java安全框架shiro的优点
最新发布
04-13
Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。以下是Shiro框架的几个优点: 1. 简单易用:Shiro的设计目标之一是简化安全操作,提供了简单易用的API和配置方式,使得开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值