第七章 与Web集成——《跟我学Shiro》

最新推荐文章于 2023-12-04 09:59:19 发布
最新推荐文章于 2023-12-04 09:59:19 发布
阅读量153 收藏
点赞数
分类专栏: Shiro 文章标签: Shiro

目录贴: 跟我学Shiro目录贴

Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。

7.1 准备环境

1、创建webapp应用

此处我们使用了jetty-maven-plugin和tomcat7-maven-plugin插件;这样可以直接使用“mvn jetty:run”或“mvn tomcat7:run”直接运行webapp了。然后通过URLhttp://localhost:8080/chapter7/访问即可。

2、依赖

Servlet3

Java代码 收藏代码

javax.servlet
javax.servlet-api
3.0.1
provided

Servlet3的知识可以参考https://github.com/zhangkaitao/servlet3-showcase及Servlet3规范http://www.iteye.com/blogs/subjects/Servlet-3-1

shiro-web

Java代码 收藏代码

org.apache.shiro
shiro-web
1.2.2

其他依赖请参考源码的pom.xml。

7.2 ShiroFilter入口

1、Shiro 1.1及以前版本配置方式

Java代码 收藏代码

iniShiroFilter
org.apache.shiro.web.servlet.IniShiroFilter

configPath
classpath:shiro.ini



iniShiroFilter
/*

1、使用IniShiroFilter作为Shiro安全控制的入口点,通过url-pattern指定需要安全的URL;

2、通过configPath指定ini配置文件位置,默认是先从/WEB-INF/shiro.ini加载,如果没有就默认加载classpath:shiro.ini,即默认相对于web应用上下文根路径;

3、也可以通过如下方式直接内嵌ini配置文件内容到web.xml

Java代码 收藏代码

config

ini配置文件贴在这

2、Shiro 1.2及以后版本的配置方式

从Shiro 1.2开始引入了Environment/WebEnvironment的概念,即由它们的实现提供相应的SecurityManager及其相应的依赖。ShiroFilter会自动找到Environment然后获取相应的依赖。

Java代码 收藏代码

org.apache.shiro.web.env.EnvironmentLoaderListener

通过EnvironmentLoaderListener来创建相应的WebEnvironment,并自动绑定到ServletContext,默认使用IniWebEnvironment实现。

可以通过如下配置修改默认实现及其加载的配置文件位置:

Java代码 收藏代码

shiroEnvironmentClass
org.apache.shiro.web.env.IniWebEnvironment


shiroConfigLocations
classpath:shiro.ini

shiroConfigLocations默认是“/WEB-INF/shiro.ini”,IniWebEnvironment默认是先从/WEB-INF/shiro.ini加载,如果没有就默认加载classpath:shiro.ini。

3、与Spring集成

Java代码 收藏代码

shiroFilter
org.springframework.web.filter.DelegatingFilterProxy

targetFilterLifecycle
true



shiroFilter
/*

DelegatingFilterProxy作用是自动到spring容器查找名字为shiroFilter(filter-name)的bean并把所有Filter的操作委托给它。然后将ShiroFilter配置到spring容器即可:

Java代码 收藏代码


默认是/login.jsp

authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized
[users]
zhang=123,admin
wang=123
[roles]
admin=user:,menu:
[urls]
/login=anon
/unauthorized=anon
/static/**=anon
/authenticated=authc
/role=authc,roles[admin]
/permission=authc,perms[“user:create”]
其中最重要的就是[urls]部分的配置,其格式是: “url=拦截器[参数],拦截器[参数]”;即如果当前请求的url匹配[urls]部分的某个url模式,将会执行其配置的拦截器。比如anon拦截器表示匿名访问(即不需要登录即可访问);authc拦截器表示需要身份认证通过后才能访问;roles[admin]拦截器表示需要有admin角色授权才能访问;而perms[“user:create”]拦截器表示需要有“user:create”权限才能访问。

url模式使用Ant风格模式

Ant路径通配符支持?、、*,注意通配符匹配不包括目录分隔符“/”:

?:匹配一个字符,如”/admin?”将匹配/admin1,但不匹配/admin或/admin2;

:匹配零个或多个字符串,如/admin将匹配/admin、/admin123,但不匹配/admin/1;

:匹配路径中的零个或多个路径,如/admin/将匹配/admin/a或/admin/a/b。

url模式匹配顺序

url模式匹配顺序是按照在配置中的声明顺序匹配,即从头开始使用第一个匹配的url模式对应的拦截器链。如:

Java代码 收藏代码
/bb/**=filter1
/bb/aa=filter2
/**=filter3
如果请求的url是“/bb/aa”,因为按照声明顺序进行匹配,那么将使用filter1进行拦截。

拦截器将在下一节详细介绍。接着我们来看看身份验证、授权及退出在web中如何实现。

1、身份验证(登录)

1.1、首先配置需要身份验证的url

Java代码 收藏代码
/authenticated=authc
/role=authc,roles[admin]
/permission=authc,perms[“user:create”]
即访问这些地址时会首先判断用户有没有登录,如果没有登录默会跳转到登录页面,默认是/login.jsp,可以通过在[main]部分通过如下配置修改:

Java代码 收藏代码
authc.loginUrl=/login

1.2、登录Servlet(com.github.zhangkaitao.shiro.chapter7.web.servlet.LoginServlet)

Java代码 收藏代码
@WebServlet(name = “loginServlet”, urlPatterns = “/login”)
public class LoginServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
req.getRequestDispatcher(“/WEB-INF/jsp/login.jsp”).forward(req, resp);
}
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
String error = null;
String username = req.getParameter(“username”);
String password = req.getParameter(“password”);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try {
subject.login(token);
} catch (UnknownAccountException e) {
error = “用户名/密码错误”;
} catch (IncorrectCredentialsException e) {
error = “用户名/密码错误”;
} catch (AuthenticationException e) {
//其他错误,比如锁定,如果想单独处理请单独catch处理
error = “其他错误:” + e.getMessage();
}
if(error != null) {//出错了,返回登录页面
req.setAttribute(“error”, error);
req.getRequestDispatcher(“/WEB-INF/jsp/login.jsp”).forward(req, resp);
} else {//登录成功
req.getRequestDispatcher(“/WEB-INF/jsp/loginSuccess.jsp”).forward(req, resp);
}
}
}
1、doGet请求时展示登录页面;

2、doPost时进行登录,登录时收集username/password参数,然后提交给Subject进行登录。如果有错误再返回到登录页面;否则跳转到登录成功页面(此处应该返回到访问登录页面之前的那个页面,或者没有上一个页面时访问主页)。

3、JSP页面请参考源码。

1.3、测试

首先输入http://localhost:8080/chapter7/login进行登录,登录成功后接着可以访问http://localhost:8080/chapter7/authenticated来显示当前登录的用户:

Java代码 收藏代码
${subject.principal}身份验证已通过。
当前实现的一个缺点就是,永远返回到同一个成功页面(比如首页),在实际项目中比如支付时如果没有登录将跳转到登录页面,登录成功后再跳回到支付页面;对于这种功能大家可以在登录时把当前请求保存下来,然后登录成功后再重定向到该请求即可。

Shiro内置了登录(身份验证)的实现:基于表单的和基于Basic的验证,其通过拦截器实现。

2、基于Basic的拦截器身份验证

2.1、shiro-basicfilterlogin.ini配置

Java代码 收藏代码
[main]
authcBasic.applicationName=please login
………省略users
[urls]
/role=authcBasic,roles[admin]

1、authcBasic是org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter类型的实例,其用于实现基于Basic的身份验证;applicationName用于弹出的登录框显示信息使用,如图:

2、[urls]部分配置了/role地址需要走authcBasic拦截器,即如果访问/role时还没有通过身份验证那么将弹出如上图的对话框进行登录,登录成功即可访问。

2.2、web.xml

把shiroConfigLocations改为shiro-basicfilterlogin.ini即可。

2.3、测试

输入http://localhost:8080/chapter7/role,会弹出之前的Basic验证对话框输入“zhang/123”即可登录成功进行访问。

3、基于表单的拦截器身份验证

基于表单的拦截器身份验证和【1】类似,但是更简单,因为其已经实现了大部分登录逻辑;我们只需要指定:登录地址/登录失败后错误信息存哪/成功的地址即可。

3.1、shiro-formfilterlogin.ini

Java代码 收藏代码
[main]
authc.loginUrl=/formfilterlogin
authc.usernameParam=username
authc.passwordParam=password
authc.successUrl=/
authc.failureKeyAttribute=shiroLoginFailure

[urls]
/role=authc,roles[admin]
1、authc是org.apache.shiro.web.filter.authc.FormAuthenticationFilter类型的实例,其用于实现基于表单的身份验证;通过loginUrl指定当身份验证时的登录表单;usernameParam指定登录表单提交的用户名参数名;passwordParam指定登录表单提交的密码参数名;successUrl指定登录成功后重定向的默认地址(默认是“/”)(如果有上一个地址会自动重定向带该地址);failureKeyAttribute指定登录失败时的request属性key(默认shiroLoginFailure);这样可以在登录表单得到该错误key显示相应的错误消息;

3.2、web.xml

把shiroConfigLocations改为shiro- formfilterlogin.ini即可。

3.3、登录Servlet

Java代码 收藏代码
@WebServlet(name = “formFilterLoginServlet”, urlPatterns = “/formfilterlogin”)
public class FormFilterLoginServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
doPost(req, resp);
}
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
String errorClassName = (String)req.getAttribute(“shiroLoginFailure”);
if(UnknownAccountException.class.getName().equals(errorClassName)) {
req.setAttribute(“error”, “用户名/密码错误”);
} else if(IncorrectCredentialsException.class.getName().equals(errorClassName)) {
req.setAttribute(“error”, “用户名/密码错误”);
} else if(errorClassName != null) {
req.setAttribute(“error”, “未知错误:” + errorClassName);
}
req.getRequestDispatcher(“/WEB-INF/jsp/formfilterlogin.jsp”).forward(req, resp);
}
}
在登录Servlet中通过shiroLoginFailure得到authc登录失败时的异常类型名,然后根据此异常名来决定显示什么错误消息。

4、测试

输入http://localhost:8080/chapter7/role,会跳转到“/formfilterlogin”登录表单,提交表单如果authc拦截器登录成功后,会直接重定向会之前的地址“/role”;假设我们直接访问“/formfilterlogin”的话登录成功将直接到默认的successUrl。

4、授权(角色/权限验证)

4.1、shiro.ini

Java代码 收藏代码
[main]
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized
[urls]
/role=authc,roles[admin]
/permission=authc,perms[“user:create”]
通过unauthorizedUrl属性指定如果授权失败时重定向到的地址。roles是org.apache.shiro.web.filter.authz.RolesAuthorizationFilter类型的实例,通过参数指定访问时需要的角色,如“[admin]”,如果有多个使用“,”分割,且验证时是hasAllRole验证,即且的关系。Perms是org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter类型的实例,和roles类似,只是验证权限字符串。

4.2、web.xml

把shiroConfigLocations改为shiro.ini即可。

4.3、RoleServlet/PermissionServlet

Java代码 收藏代码
@WebServlet(name = “permissionServlet”, urlPatterns = “/permission”)
public class PermissionServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
Subject subject = SecurityUtils.getSubject();
subject.checkPermission(“user:create”);
req.getRequestDispatcher(“/WEB-INF/jsp/hasPermission.jsp”).forward(req, resp);
}
}
Java代码 收藏代码
@WebServlet(name = “roleServlet”, urlPatterns = “/role”)
public class RoleServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
Subject subject = SecurityUtils.getSubject();
subject.checkRole(“admin”);
req.getRequestDispatcher(“/WEB-INF/jsp/hasRole.jsp”).forward(req, resp);
}
}

4.4、测试

首先访问http://localhost:8080/chapter7/login,使用帐号“zhang/123”进行登录,再访问/role或/permission时会跳转到成功页面(因为其授权成功了);如果使用帐号“wang/123”登录成功后访问这两个地址会跳转到“/unauthorized”即没有授权页面。

5、退出

5.1、shiro.ini

Java代码 收藏代码
[urls]
/logout=anon
指定/logout使用anon拦截器即可,即不需要登录即可访问。

5.2、LogoutServlet

Java代码 收藏代码
@WebServlet(name = “logoutServlet”, urlPatterns = “/logout”)
public class LogoutServlet extends HttpServlet {
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
SecurityUtils.getSubject().logout();
req.getRequestDispatcher(“/WEB-INF/jsp/logoutSuccess.jsp”).forward(req, resp);
}
}
直接调用Subject.logout即可,退出成功后转发/重定向到相应页面即可。

5.3、测试

首先访问http://localhost:8080/chapter7/login,使用帐号“zhang/123”进行登录,登录成功后访问/logout即可退出。

Shiro也提供了logout拦截器用于退出,其是org.apache.shiro.web.filter.authc.LogoutFilter类型的实例,我们可以在shiro.ini配置文件中通过如下配置完成退出:

Java代码 收藏代码
[main]
logout.redirectUrl=/login

[urls]
/logout2=logout
通过logout.redirectUrl指定退出后重定向的地址;通过/logout2=logout指定退出url是/logout2。这样当我们登录成功后然后访问/logout2即可退出。

示例源代码:https://github.com/zhangkaitao/shiro-example;可加群134755960探讨Spring/Shiro技术。

大马猴JAVA学习
关注
专栏目录
狂神说——SpringBoot学习
weixin_44543307的博客
12-06 5152
Springboot 学习笔记Springboot简介什么是微服务?ThymeleafDuridSpringboot整合mybatisSpringSecurity安全Shiroswagger定时任务springboot 整合分布式 dubbo+ zookeeper+ springbootDubboRPC(两大核心:通讯,序列化)Zookeeper总结 学习源码 spring官网 springboot官网 spring-security版本下载 狂神官网学习 也可以搜索B站 (狂神说) Springboot简
Shiro安全框架【快速入门】及上手应用
qq_52252193的博客
05-09 359
目录 Shiro 简介 为什么是 Shiro? Apache Shiro Features 特性 High-Level Overview 高级概述 Shiro 认证过程 Shiro 授权过程 自定义 Realm Shiro 加密 加盐 + 多次加密 SpringBoot 简单实例 第一步:新建SpringBoot项目,搭建基础环境 第二步:新建实体类 第三步:配置 Shiro 第四步:准备 DAO 层和 Service 层 第五步:controller层 第六步:准备页面..
shiroweb整合实例
02-09
shiroweb项目整合,包含整体权限表结构 项目需求与真实项目类似
第七章 ShiroWeb集成
rrz634171的专栏
12-16 673
第七章Web集成——《跟我学Shiro》 博客分类: 跟我学Shiro 跟我学Shiro    目录贴: 跟我学Shiro目录贴   Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,其是安全控制的入口点,其负
shiro教程
viaco2love的博客
06-04 437
Shiro目录 第一章  Shiro简介 第二章  身份验证 第三章  授权 第四章  INI配置 第五章  编码/加密 第六章  Realm及相关对象 第七章  与Web集成 第八章 拦截器机制 第九章 JSP标签 第十章  会话管理 第十一章  缓存机制 第十二章  与Spring集成 第十三章  RememberM
ShiroWeb 集成
weixin_30583563的博客
03-22 111
Shiro 提供了与 Web 集成的支持,其通过一个 ShiroFilter 入口来拦截需要安全控制的 URL,然后进行相应的控制,ShiroFilter 类似于如 Strut2/SpringMVC 这种 web 框架的前端控制器,其是安全控制的入口点,其负责读取配置(如 ini 配置文件),然后判断 URL 是否需要登录 / 权限等工作。 准备环境 1、创建 webapp 应用 此处我们使...
shrio
yanzhijun789的专栏
09-01 315
1.1 简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本的Sh...
Java零基础——SpringSecurity篇
最新发布
m0_47946173的博客
12-04 2065
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
谷粒商城——基础篇
qq_37875826的博客
06-11 1193
一、项目介绍 商城微服务架构图如上图所示,其中涉及到以下微服务组件: 服务注册/发现&注册中心: A服务调用B服务,A服务并不知道B服务当前在哪几台服务器有,哪些是正常的,哪些服务已经下线。解决这个问题可以引入注册中心。配置中心用来几种管理微服务的配置信息。 服务熔断&服务降级: 在微服务架构中,微服务之间通过网络进行通信,存在相互依赖,当其中一个服务不可用时,会造成雪崩效应。要防止这样的情况,必须要有容错机制来保护服务。 例如:订单服务–>商品服务–>库存服务; 库存服务出现
webmagic采集CSDN的Java_WebDevelop页面
热门推荐
hepanlaurence的专栏
05-23 1万+
使用webmagic采集博客类的网站示例
跟我学Shiro》- 张开涛.txt
06-16
***txt文件中含有下载地址** 《跟我学Shiro》- 张开涛,PDF版本,带目录,清晰。 示例源代码:https://github.com/zhangkaitao/shiro-example; 加qun 231889722 探讨Spring/Shiro技术。
跟我学Shiro》教程
pan_junbiao的博客
04-23 470
历经三个月左右时间,《跟我学Shiro》系列教程已经完结,暂时没有需要补充的内容,因此生成PDF版供大家下载。最近项目比较紧,没有时间解答一些疑问,暂时无法回复一些问题,很抱歉,不过可以加群(334194438/348194195)一起讨论问题。 教程作者:张开涛 教程地址:https://www.iteye.com/blog/jinnianshilongnian-2049092 点击下...
第十三章 RememberMe——《跟我学Shiro
jinnianshilongnian的专栏
03-17 801
  目录贴: 跟我学Shiro目录贴   Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览...
第三章 授权——《跟我学Shiro
superviser3000的博客
07-09 206
目录贴: 跟我学Shiro目录贴 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问...
shiro】--- 集成web
My Devil's Cry
08-28 446
第一步:建立一个maven web项目,引入jar包:                javax.servlet       javax.servlet-api       3.1.0                         javax.servlet.jsp       javax.servlet.jsp-api       2.3.1
ShiroWeb集成
这天有点热的博客
05-09 335
ShiroWeb集成,主要是通过配置一个ShiroFilter拦截所有URL,其中ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,是所有请求入口点,负责根据配置如(ini配置文件),判断请求进入URL是否需要登录/权限等工作。 老规矩先贴项目结构: pom文件: <?xml version="1.0" encoding="UTF-8"?...
ShiroShiroweb集成
来日浅谈的博客
05-26 321
ShiroShiroweb集成1. pom依赖2. 基础代码3. 配置3.1 web.xml3.2 shiro.ini3.3 其他默认过滤器 与web项⽬集成后,shiro的⼯作模式如下: 如上:ShiroFilter拦截所有请求,对于请求做访问控制 如请求对应的功能是否需要有 认证的身份,是否需要某种⻆⾊,是否需要某种权限等。 如果没有做 身份认证,则将请求强制跳转到登录⻚⾯。 如果没有充分的⻆⾊或权限,则将请求跳转到权限不⾜的⻚⾯。 如果校验成功,则执⾏请求的业务逻辑 1. pom依赖 &l
shiroweb应用的集成
weixin_41588751的博客
01-14 111
1.添加依赖 <dependencies> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version...
Shiro(4) 与Web集成
u010478214的博客
06-19 385
Shiro集成Web应用中,只需要在web.xml中配置ContextListener和Filter. 对于Shiro来说,集成Web应用中,需要解决以下问题: - SecurityManager 等Shiro用到的组件与ServletContext的绑定。 - 将请求的URI与权限对应。为了方便,我们首先使用基于*.ini配置文件的方式来进行集成web.xml
跟我学Shiro:从入门到精通教程
第七章讨论了Shiro如何与Web应用集成,包括准备Web环境,SHIROFILTER的配置,以及WEB INI配置的使用。 第八章介绍了Shiro的拦截器机制,讲解了拦截器的基本概念、拦截器链的构建,以及如何自定义和使用默认拦截器。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值