shiro使用

最新推荐文章于 2024-05-27 14:48:34 发布
最新推荐文章于 2024-05-27 14:48:34 发布
阅读量703 收藏 14
点赞数 6
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011109589/article/details/85754539
版权

shiro使用场景:

  • 登录的验证
  • 对指定角色以及权限的验证
  • 对URL的验证

shiro使用步骤:

以下针对maven项目管理来说的

1、在pom.xml中添加依赖

    <!--shiro start-->
    <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>${shiro.version}</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-log4j12 -->
<!--     <dependency> -->
<!--         <groupId>org.slf4j</groupId> -->
<!--         <artifactId>slf4j-log4j12</artifactId> -->
<!--     </dependency> -->
    <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-web -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-web</artifactId>
        <version>${shiro.version}</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>${shiro.version}</version>
    </dependency>
    <!--shiro end-->

2、创建自定义类MyRealm类,继承至ShiroAuthorizingRealm类,用于处理自己的验证逻辑

package com.bsk.shiro;

import java.util.Set;

import javax.annotation.Resource;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.bsk.entity.T_user;
import com.bsk.service.T_UserService;
/**
 * Shiro 自定义域
 * @author Lenovo
 *
 */
public class MyRealm extends AuthorizingRealm{
	@Resource
	private T_UserService tUserService;
	
	/**
	 * 用于权限的认证
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
		
		String username = principalCollection.getPrimaryPrincipal().toString();
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		Set<String> rolename = tUserService.findRoles(username);
		Set<String> permissions = tUserService.findPermissions(username);
		info.setRoles(rolename);
		info.setStringPermissions(permissions);
		return info;
	}
	
	/**
	 * 首先执行这个登录验证
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// 获取用户账号
		String username = token.getPrincipal().toString();
		T_user user = tUserService.findUserByUsername(username);
		if(user != null) {
			// 将查询到的用户账号和密码存放到authenticationInfo ,用于后面的权限判断。第三个参数随便放一个就行
			AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), "a");
			return authenticationInfo;
		}else {
			return null;
		}
	}
	
}

继承AuthorizingRealm类之后就需要覆写它的两个方法,doGetAuthorizationInfo,doGetAuthenticationInfo

doGetAuthenticationInfo是用于登录验证的,在登录的时候需要将数据封装到Shiro的一个token中,执行shiro的login()方法,之后只要我们将MyRealm这个类配置到Spring中,登录的时候Shiro就会自动的调用doGetAuthenticationInfo()方法进行验证。

其中,对应上面提到的三个需求,会需要以下三个方法:

  1. findUserByUserName(String username)根据username查询用户,之后Shiro会根据查询出来的User的密码来和提交上来的密码进行比对。
  2. findRoles(String username)根据username查询该用户的所有角色,用于角色验证。
  3. findPermissions(String username)根据username查询他所拥有的权限信息,用于权限判断。

mapper代码,就是对应的xml文件:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.bsk.mapper.T_userMapper" >
    <resultMap id="BaseResultMap" type="com.bsk.entity.T_user" >
        <result property="id" column="id"/>
        <result property="userName" column="userName"/>
        <result property="password" column="password"/>
        <result property="roleId" column="roleId"/>
    </resultMap>
    <sql id="Base_Column_List" >
        id, username, password,roleId
    </sql>
    <select id="findUserByUsername" parameterType="String" resultMap="BaseResultMap">
        select <include refid="Base_Column_List"/>
        from t_user where userName=#{userName}
    </select>
    <select id="findRoles" parameterType="String" resultType="String">
        select r.roleName from t_user u,t_role r where u.roleId=r.id and u.userName=#{userName}
    </select>
    <select id="findPermissions" parameterType="String" resultType="String">
        select p.permissionName from t_user u,t_role r,t_permission p
        where u.roleId=r.id and p.roleId=r.id and u.userName=#{userName}
    </select>
</mapper>

相对应的controller代码:

package com.bsk.controller;

import javax.annotation.Resource;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
/**
 * 后台 Controller
 * @author Lenovo
 *
 */
import org.springframework.web.servlet.ModelAndView;

import com.bsk.entity.T_user;
import com.bsk.service.T_UserService;
@Controller
@RequestMapping("/")
public class T_UserController {
	@Resource
	private T_UserService tUserService;
	
	@RequestMapping("/loginAdmin")
	public ModelAndView login(T_user user) {
		
		ModelAndView mv = new ModelAndView();
		mv.setViewName("admin");
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getPassword());
		try {
			subject.login(token);
			return mv;
		} catch (Exception e) {
			
			// 这里将异常打印关闭是因为如果登录失败的话会自动抛异常
//			e.printStackTrace();
			mv.addObject("error", "用户名或密码错误");
			mv.setViewName("login");
			return mv;
		}
		
	}
	
	@RequestMapping("/admin")
	public ModelAndView admin() {
		ModelAndView mv = new ModelAndView();
		mv.setViewName("admin");
		return mv;
	}
	@RequestMapping("/student")
	public ModelAndView student() {
		ModelAndView mv = new ModelAndView();
		mv.setViewName("admin");
		return mv;
	}
	@RequestMapping("/teacher")
	public ModelAndView teacher() {
		ModelAndView mv = new ModelAndView();
		mv.setViewName("admin");
		return mv;
	}
	
	
	
}

主要就是login()方法。逻辑比较简单,只是登录验证的时候不是像之前那样直接查询数据库然后返回是否有用户了,而是调用subjectlogin()方法,就是我上面提到的,调用login()方法时Shiro会自动调用我们自定义的MyRealm类中的doGetAuthenticationInfo()方法进行验证的,验证逻辑是先根据用户名查询用户,如果查询到的话再将查询到的用户名和密码放到SimpleAuthenticationInfo对象中,Shiro会自动根据用户输入的密码和查询到的密码进行匹配,如果匹配不上就会抛出异常,匹配上之后就会执行doGetAuthorizationInfo()进行相应的权限验证。
doGetAuthorizationInfo()方法的处理逻辑也比较简单,根据用户名获取到他所拥有的角色以及权限,然后赋值到SimpleAuthorizationInfo对象中即可,Shiro就会按照我们配置的XX角色对应XX权限来进行判断,这个配置在下面的整合中会讲到。

3、整合到Spring中

Spring SpringMVC Mybatis的基础上进行整合的,这个是大家都比较关心的一步:Spring整合Shiro。

web.xml配置

首先我们需要在web.xml进行配置Shiro的过滤器。

    <!-- shiroFilter start -->
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
	<!-- shiroFilter end -->

配置还是比较简单的,这样会过滤所有的请求。
之后我们还需要在Spring中配置一个shiroFilter的bean。

applicationContext.xml配置

    <!-- shiro start -->
	<!-- 配置自定义Realm -->
	<bean id="myRealm" class="com.bsk.shiro.MyRealm" />
	<!-- 安全管理器 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="myRealm"></property>
	</bean>
	<!-- Shiro 过滤器 核心 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 身份认证失败,则跳转到登录页面的配置 -->
        <property name="loginUrl" value="/login.jsp"/>
        <!-- 权限认证失败,则跳转到指定页面 -->
        <property name="unauthorizedUrl" value="/nopower.jsp"/>
        <!-- Shiro连接约束配置,即过滤链的定义 -->
        <property name="filterChainDefinitions">
            <value>
                <!--anon 表示匿名访问,不需要认证以及授权-->
                /loginAdmin=anon
                <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
                /admin*=authc
                /student=roles[teacher]
                /teacher=perms["user:create"]
            </value>
        </property>
    </bean>
    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    <!-- 开启Shiro注解 -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
	<!-- shiro end -->

在这里我们配置了上文中所提到的自定义myRealm,这样Shiro就可以按照我们自定义的逻辑来进行权限验证了。

其中,

  • /loginAdmin=anon的意思是,发起/loginAdmin这个请求是不需要进行身份认证的,这个请求在这次项目中是一个登录请求,一般对于这样的请求都是不需要身份认证的。
  • /admin*=authc表示 /admin,/admin1,/admin2这样的请求都是需要进行身份认证的,不然是不能访问的。
  • /student=roles[teacher]表示访问/student请求的用户必须是teacher角色,不然是不能进行访问的。
  • /teacher=perms[“user:create”]表示访问/teacher请求是需要当前用户具有user:create权限才能进行访问的。

 4、shiro在前端页面的使用

使用shiro标签库

Shiro还有着强大标签库,可以在前端帮我获取信息和做判断。

登录完成之后显示的界面代码:

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<html>
<head>
    <title>后台</title>
</head>
<body>
<shiro:hasRole name="admin">
    这是admin角色登录:<shiro:principal></shiro:principal>
</shiro:hasRole>

<shiro:hasPermission name="user:create">
    有user:create权限信息
</shiro:hasPermission>


<shiro:hasRole name="teacher">
    这是teacher角色登录:<shiro:principal></shiro:principal>
</shiro:hasRole>
<shiro:hasPermission name="student:create">
    有student:create权限信息
</shiro:hasPermission>
<br>
登录成功
</body>
</html>

要想使用Shiro标签,只需要引入一下标签即可:
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
其实英语稍微好点的童鞋应该都能看懂。下面我大概介绍下一些标签的用法:

  • 具有admin角色才会显示标签内的信息。
  • 获取用户信息。默认调用Subject.getPrincipal()获取,即 Primary Principal。
  • 用户拥有user:create这个权限才回显示标签内的信息。

5、可以使用shiro封装的MD5加密,对用户注册的密码进行加密

package com.bsk.shiro;

import org.apache.shiro.crypto.hash.Md5Hash;

/**
 * 基于shiro的MD5加密
 * @author Lenovo
 *
 */
public class MD5Util {
	public static String md5(String str,String salt){
        return new Md5Hash(str,salt).toString() ;
    }
    public static void main(String[] args) {
        String md5 = md5("abc123","bsk") ;
        System.out.println(md5);
    }
}

代码非常简单,只需要调用Md5Hash(str,salt)方法即可,这里多了一个参数,第一个参数不用多解释,是需要加密的字符串。第二个参数salt中文翻译叫盐,加密的时候我们传一个字符串进去,只要这个salt不被泄露出去,那原则上加密之后是无法被解密的,在存用户密码的时候可以使用,感觉还是非常屌的。

 

本文参考:https://crossoverjie.top/2016/07/15/SSM3/

笑看风云路
关注
  • 6
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro使用
chuhao626的博客
04-16 438
shiro1.Shiro概述1.1 Shiro是什么1.2 为什么需要使用Shiro1.3 Shiro需要的jar包1.4 Shiro结构图2.Shiro入门2.1.访问流程图2.2 .配置步骤说明2.3.配置步骤2.3.1.第一步:导入包2.3.2.第二步:shiro.ini配置文件2.3.3.第三步:创建SecurityManager对象3.Realm的使用3.1.Realm机制的必要性3....
Shiro使用
qq_43460315的博客
08-15 1804
关于shiro使用方法
jfinal-shiro:jfinal shiro插件
05-21
jfinal-shiro jfinal shiro plugin 最简单,最灵活的权限框架实现,查看其他插件-> maven 引用 ${jfinal-shiro.version}替换为相应的版本如:0.2 <dependency> <groupId>cn.dreampie</groupId> <artifactId>jfinal-shiro</artifactId> <version>${jfinal-shiro.version}</version> </dependency> 支持不同角色登陆到不同的url,支持ajax登陆/登出,例如: 推荐的数据库权限表结构设计 DROP TABLE IF EXISTS sec_user; CREATE TABLE sec_user ( id BIGINT NOT NULL AUTO_IN
Shiro Https 跳转Http问题解决
Chioce的博客
12-05 273
Shiro Https 跳转Http问题解决
jfinal结合shiro
最新发布
weixin_42370032的博客
05-27 218
【代码】jfinal结合shiro
彻底解决Shiro跨域访问(简单http请求或复杂http请求)
fycghy0803的专栏
05-30 6027
由于shiro使用redirect进行url的跳转,在遇到前端界面与后台业务处理不在一个域名下时,会遇到跨域问题,我们在使用springBoot时,一般会增加一个configuration类的问题允许进行跨跨请求,代码如下所示: @Configuration public class WebConfig extends DefaultWebMvcConfig { @Override ...
shiro 未拦截项目内部方法调用
快乐的小三菊的博客
05-24 497
背景: 最近在看 shiro,在搭建工程的时候突然发现一个问题,由于我的过滤器配置的是map.put("/**", "authc"); 即对所有用户进行认证,当用户进行登录操作时,需要给用户的登录请求添加过滤,js 的请求才可以到达后台,如下所示, map.put("/login", "anon"); map.put("/**", "authc"); 在登录成功之后,我的 js 里面的 ajax 再次请求后台的方法时,shiro 并没有拦截我的请求,而是将请求通过了,我...
Shiro使用手册
03-29
这个文档是Apache中的开源项目shiro使用手册,仅供参考
shiro使用简单Demo
11-01
在这个"shiro使用简单Demo"中,我们可以看到作者提供了一个基础的Shiro实现,特别针对URL和注解的权限管理进行演示,这对于初学者来说是一个很好的起点。 首先,我们来看`shiro2.xml`,这是Shiro的配置文件。在该...
shiro使用方法.ppt
07-19
在授权方面,Shiro 使用权限(Permission)、角色(Role)和用户(User)作为基础元素。权限表达式通常由冒号分隔,表示不同的操作范围。例如,`User:view` 表示用户查看权限,`User:view,edit` 表示用户有查看和...
shiro使用jar
04-09
首先,"shiro使用jar" 指的是在 Java 开发中使用 Apache Shiro 框架时所需的核心库文件。Shiro 提供了多个 jar 包来支持其不同模块的功能,如 `shiro-core.jar` 是核心组件,包含认证、授权和会话管理的基础类;`...
shiro使用方法
04-04
shiro使用方法shiro使用方法shiro使用方法shiro使用方法
shiro的会话管理器SessionManager
zsg88的专栏
06-28 4726
SessionManager会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。 public interface SessionManager { Session start(SessionContext context); //启动会话  Session getSession(SessionKey key) throws SessionExce
Shiro之基本使用
每天至少八杯水的博客
03-31 9385
1.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在.
Shiro详细使用
残影的博客
10-10 1138
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
授权 - Spring Security简单案例
个人纪录、总结!
10-21 563
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 5138
Shiro入门概述与基本使用
Shiro的介绍与使用
X_a_X_a_X_a的博客
01-10 760
Shiro 是一个强大而灵活的 Java 安全框架,用于身份验证、授权和会话管理。它提供了易于使用的 API,可以轻松地集成到现有的 Java 应用程序中。本文将介绍 Shiro 的基本概念和使用方法,并通过代码示例演示其在实际项目中的应用。
shiro使用token
10-14
Shiro可以使用token进行身份验证和授权。具体来说,可以使用JWT(JSON Web Token)作为token进行身份验证和授权。JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息。它可以包含用户的身份信息和权限信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

笑看风云路

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值