shiro历程

最新推荐文章于 2024-05-27 20:33:19 发布
最新推荐文章于 2024-05-27 20:33:19 发布
阅读量331 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012091558/article/details/79588997
版权

1,首先想学shiro

2,其次想在springboot上学习shiro

3,我又不会springboot,看视频教程了解了下

4,开始配置,也可以说是改造,改造一个视频教程的代码

5,shiro配置全局拦截器shiroFilter,拦截所有请求(感觉这个可有可无,有大佬可以解释下吗,那种web.xml的方式,说是必须配置)

/**
 * 注册DelegatingFilterProxyShiro
 * @param dispatcherServlet
 * @return
 */
@Bean
public FilterRegistrationBean filterRegistrationBean() {
    FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
    filterRegistration.setFilter(new DelegatingFilterProxy("shiroFilter"));
    //  该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理
    filterRegistration.addInitParameter("targetFilterLifecycle", "true");
    filterRegistration.setEnabled(true);
    filterRegistration.addUrlPatterns("/*");
    return filterRegistration;
}

6,配置进行授权和认证的 Realm 

    @Bean
    public MyRealm myRealm(){
        MyRealm myRealm = new MyRealm();
        myRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return  myRealm;
    }

    MyRealm类实现,setCredentialMatcher方法为实现加密方式。

    

package com.atguigu.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class MyRealm extends AuthorizingRealm {

   /**
    * 授权方法:
    * 1. 实际返回的是 SimpleAuthorizationInfo 类的实例
    * 2. 可以调用 SimpleAuthorizationInfo addRole 来添加当前登录 user 的权限信息. 
    * 3. 可以调用 PrincipalCollection 参数的 getPrimaryPrincipal() 方法来获取用户信息 
    */
   @Override
   protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
      SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
      
      Object principal = principalCollection.getPrimaryPrincipal();
      
      if("admin".equals(principal)){
         info.addRole("admin");
      }
      if("user".equals(principal)){
         info.addRole("list");
      }
      
      info.addRole("user");
      
      return info;
   }

   /**
    * 认证方法
    * 1. 编写表单: 表单的 action、和 usernamepassword 的参数都是什么 ? 
    * 回答: 提交到你想提交的地方, username password 也参数名称都任意. 
    * 2. 例如, 提交到了一个 SpringMVC handler: 
    * 1). 获取用户名、密码
    * 2). 
    * Subject currentUser = SecurityUtils.getSubject();
    * UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    * currentUser.login(token);
    * 3. Subject 调用 login 方法时, 即会触发当前的 doGetAuthenticationInfo 方法. 且把 
    * UsernamePasswordToken 对象传入, 然后再该方法中执行真正的认证: 访问数据库进行比对. 
    * 1). 获取用户名和密码
    * 2). 
    */
   @Override
   protected AuthenticationInfo doGetAuthenticationInfo(
         AuthenticationToken token) throws AuthenticationException {
      System.out.println(token.getPrincipal());
      System.out.println(token.getCredentials());
      
      //1.  token 中获取登录的 username! 注意不需要获取 password.
      
      //2. 利用 username 查询数据库得到用户的信息. 
      
      //3. 创建 SimpleAuthenticationInfo 对象并返回. 注意该对象的凭证式从数据库中查询得到的. 
      //而不是页面输入的. 实际的密码校验可以交由 Shiro 来完成
      
      //4. 关于密码加密的事: shiro 的密码加密可以非常非常的复杂, 但实现起来却可以非常简单.
      //1). 可以选择加密方式: 在当前的 realm 中编写一个 public 类型的不带参数的方法, 使用 @PostConstruct
      //注解进行修饰, 在其中来设置密码的匹配方式.
      //2). 设置盐值: 盐值一般是从数据库中查询得到的.  
      //3). 调用 new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName)
      //构造器返回 SimpleAuthenticationInfo 对象:  credentialsSalt       //ByteSource credentialsSalt = new Md5Hash(source);
      
      //登陆的主要信息: 可以是一个实体类的对象, 但该实体类的对象一定是根据 token  username 查询得到的. 
      Object principal = token.getPrincipal();
      //认证信息: 从数据库中查询出来的信息. 密码的比对交给 shiro 去进行比较
      String credentials = "afdbaa3ee63a8b4e97196dcfd24b03fc";
      //设置盐值: 
      String source = "abcdefg";
      ByteSource credentialsSalt = new Md5Hash(source);
      System.out.println(credentialsSalt); 
      
      //当前 Realm  name
      String realmName = getName();
      SimpleAuthenticationInfo info = 
            new SimpleAuthenticationInfo(principal, credentials, 
                  credentialsSalt, realmName);
      
      return info;
   }

   //@PostConstruct: 相当于 bean 节点的 init-method 配置. 
   public void setCredentialMatcher(){
      HashedCredentialsMatcher  credentialsMatcher = new HashedCredentialsMatcher();
      
      credentialsMatcher.setHashAlgorithmName("MD5");
      credentialsMatcher.setHashIterations(1024);
      
      setCredentialsMatcher(credentialsMatcher);
   }
   
   public static void main(String[] args) {
      String saltSource = "abcdefg";
      
      String hashAlgorithmName = "MD5";
      String credentials = "admin";
      Object salt = new Md5Hash(saltSource);
      int hashIterations = 1024;
            
      Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
      System.out.println(result);
      System.out.println("68f3139a38b232392cc9d3b6ddd762f7".equals(result.toString()));
   }

}

7,配置securityManager,目前解释不清楚什么用处,将myRealm放进去

  @Bean
    public DefaultWebSecurityManager securityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm());
        return securityManager;
    } 
 

8,<!-- 配置 Bean 后置处理器: 会自动的调用和 Spring 整合后各个组件的生命周期方法. -->  @Bean    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){        LifecycleBeanPostProcessor lifecycleBeanPostProcessor = new LifecycleBeanPostProcessor();        return  lifecycleBeanPostProcessor;    }
 

 

9,<!-- 使 Shiro 的注解起作用, Shiro 的注解标示在方法上. 例如 @RequiresRoles、@RequiresPermissions --> <!-- 因为目前是在 Handler 的方法上添加注解, 所以以下的配置需要作用在 SpringMVC 的 IOC 容器中. 而不是其父容器中.  -->    @Bean    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(){        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());        return  authorizationAttributeSourceAdvisor;
 

    }
 

10, <!-- 配置 ShiroFilter bean: 该 bean 的 id 必须和 web.xml 文件中配置的 shiro filter 的 name 一致  -->
 

    
 

@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilterFactoryBean(){

    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    shiroFilterFactoryBean.setSecurityManager(securityManager());
    shiroFilterFactoryBean.setSuccessUrl("/shiro-success");
    shiroFilterFactoryBean.setLoginUrl("/login");
    shiroFilterFactoryBean.setUnauthorizedUrl("/shiro-unauthorized");
    Map<String ,String> filterChainMap = new LinkedHashMap<>();
    filterChainMap.put("/shiro-logout","logout");
    filterChainMap.put("/login ","anon");
    filterChainMap.put("/shiro-* ","anon");
    filterChainMap.put("/**","authc");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
    return shiroFilterFactoryBean;
}
 


 

11,controller实现,jsp就不展示了,只有一个表单,
 

     @RequestMapping("/shiro-login")
    public String toLogin(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse){
        String username = httpServletRequest.getParameter("username");
        String password = httpServletRequest.getParameter("password");
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            //执行认证操作.
            subject.login(token);
        }catch (AuthenticationException ae) {
            System.out.println("登陆失败: " + ae.getMessage());
            return "/shiro-login";
        }
        return "shirl-success";
    }
    @RequestMapping("/login")
    public String toLoginJsp(HttpServletRequest httpServletRequest){
        return "shiro-login";
 

    }
 

12,subject.login(token); 调用之后,直接进入myRealm的doGetAuthenticationInfo()方法,可以在那个方法实现密码对比
 

13,doGetAuthorizationInfo()方法为权限的控制,还不明白,日后补上
 


 

14,目录结构
 


 

15,注解简单应用
 

 

@RequiresRoles("list")
@RequestMapping("/list")
public String list(){
    System.out.println("...list...");
    return "list";
}
 


                

        

        

    




    

      

        

            

              
                
                  大白鹅养殖基地
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
shiro相关jar

				
			

			

				

					08-15
				

			

		

		

			
				
#### 二、Shiro的发展历程  - **前身**:Shiro的前身名为J-Security,在2009年初之前一直以此名称存在。 - **更名**:由于某些原因,J-Security改名为Shiro(亦称Ki,寓意堡垒),成为Apache基金会的孵化项目之一。 ...

			
		

	



                

              
                



	

		

			

				
					
Java面试:Java面试,Java基础,JVM,JUC(高并发),Java8新特性,集合,NIO,计算机基础,计算机网络,操作系统,数据结构,计算机组成原理,数据库,MySql,Oracle,Redis,设计模式,Python,工作流(Activiti),规则引擎(Drools),Spring,SpringCloud,Dubbo,Maven,Mybatis,JWT,Netty,Nginx,Shiro,Zookeeper,消息位置(MQ),微服务,Git,Docker,Utils, Linux,Shell

				
			

			

				

					02-05
				

			

		

		

			
				
希望记录下自己学习和成长的历程,并和大家一起交流学习,公众号HappySnail。 初心 热爱可低岁月漫长,让分享成为一种习惯; 当学习完一个知识点以后,自己做笔记,同时事后要总结,如果自己能把一个知识清晰表达...

			
		

	



                


  
              

                


	

		

			

				
					
Java帝国之安全争斗

				
			

			

				

					码农翻身
				

				

					03-19
					
					301
					
				

			

		

		

			
				
1前言在Java帝国第三代国王的推动下,帝国对臣民们提供了一个叫做Java 认证与授权服务(Java Authentication Authorization Servi...

			
		

	





	

		

			

				
					
让Apache Shiro保护你的应用[转]

				
			

			

				

					weixin_33895475的博客
				

				

					05-27
					
					277
					
				

			

		

		

			
				
为什么80%的码农都做不了架构师?>>> 
                                        
                ...

			
		

	



		

			
		



	

		

			

				
					
一文了解往年热门的漏洞-shiro

					
最新发布

				
			

			

				

					mashiro_hibiki的博客
				

				

					05-27
					
					829
					
				

			

		

		

			
				
框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。

			
		

	





	

		

			

				
					
Apache Shiro 简介

				
			

			

				

					cqwshanfeng的专栏
				

				

					04-22
					
					4947
					
				

			

		

		

			
				
Apache Shiro简介


什么是 Apache Shiro?

    Apache Shiro 是一个强大并且灵活的开源的安全框架,它能很好的处理authentication(认证),
 authorization(授权), enterprise session management(企业会话管理)和cryptography(密码加密)。
    Apache Shiro

			
		

	





	

		

			

				
					
一.Shiro简介【Shiro系列教程】

				
			

			

				

					qq_28248897的博客
				

				

					05-30
					
					184
					
				

			

		

		

			
				
应用程序安全是一个永远也扯不开的话题,发展到现在,出现了很多安全框架,比较著名的有Spring Security、Apache Shiro,从今天开始我们就开始学习Shiro,打开软件安全的大门!
那到底什么是shiro呢?



什么是Apache ShiroShiro是一个强大而灵活的开源安全框架,用以处理身份验证、授权、企业会话管理和加密等功能。

Shiro的首要目标是易于使用和理解。安全有时是非常复杂的,甚至是痛苦的,但不必如此。框架应该在可能的情况下掩盖复杂性,并公开一个干净直观的API.

			
		

	





	

		

			

				
					
4.shiro源码分析之session的生命周期

				
			

			

				

					weixin_38312719的博客
				

				

					07-14
					
					678
					
				

			

		

		

			
				
概述
所谓生命周期就是某个事物从开始到结束的一个过程,也就是今天我们需要理一理session的生命周期
session的创建




			
		

	





	

		

			

				
					
JDK 1.7 1.8 1.9

				
			

			

				

					06-06
				

			

		

		

			
				
JDK 1.8,即Java SE 8,于2014年发布,是Java发展历程中的一个重大里程碑,引入了最显著的特性——**lambda表达式**:  1. **Lambda表达式**:这是一种简洁的匿名函数表示方式,极大地简化了函数式编程,使得Java...

			
		

	





	

		

			

				
					
linux版本的apache-tomcat-6.0.29

				
			

			

				

					05-18
				

			

		

		

			
				
Apache Tomcat是一款开源的Java应用服务器,特别设计用于部署Servlet和JSP应用。在这个场景中,我们关注的是针对Linux操作系统的Apache Tomcat ...然而,了解旧版本的运作方式有助于我们理解软件发展的历程和基础。

			
		

	





	

		

			

				
					
仓库管理系统Springboot Sql在文件中

				
			

			

				

					03-07
				

			

		

		

			
				
JDK8是Java发展历程中的一个重要里程碑,它引入了Lambda表达式、Stream API、Optional类等新特性。Lambda表达式使得函数式编程风格在Java中变得更为便捷,而Stream API则提供了处理集合数据的新方式,尤其在进行数据...

			
		

	





	

		

			

				
					
ShiroShiro从小白到大神(一)-Shiro入门

				
			

			

				

					weixin_34150224的博客
				

				

					09-22
					
					1230
					
				

			

		

		

			
				
本系列是我在学习Shiro的路上的笔记,第一篇是属于非常入门级别的。 
首先是介绍了下shiro,然后进行了一个小例子进行实际的操作 
本节操作不涉及数据库,只是文本字符操作认证  







Shiro简介:

百度百科上的介绍: 
Apache Shiro(日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提...

			
		

	





	

		

			

				
					
Shiro系列(一)shiro简介

				
			

			

				

					宋先森的博客
				

				

					12-18
					
					669
					
				

			

		

		

			
				
项目中使用了shiro,是时候来总结一波了……
文章目录一、什么是Apache Shiro二、Shiro架构和组件三、结语
一、什么是Apache Shiro
Apache Shiro是Java的一个安全框架,总是拿来和Spring Security比较,前者比后者轻量,实现简单,容易扩展;它可以帮助我们完成权限控制,可以用来认证、授权、加密、会话管理、与web集成、缓存等,其基本功能点如图所示:...

			
		

	





	

		

			

				
					
初始Shiro-JAVA安全框架

				
			

			

				

					Dave的博客
				

				

					04-05
					
					193
					
				

			

		

		

			
				
Shiro

Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;

Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都...

			
		

	





	

		

			

				
					
shiro----后续会持续更新

				
			

			

				

					qq_35653822的博客
				

				

					01-14
					
					339
					
				

			

		

		

			
				
今天了一节讲shiro的视频   先记这

先建个java工程  再建个lib文件夹  把暂时需要的4个jar包粘上去再build path 

下载jar包链接

https://download.csdn.net/download/qq_35653822/10916400

工程目录结构如下图



之前我用其他的jar运行报错 可能因为版本不对

工程就是仿照shiro的开源代码做的   s...

			
		

	





	

		

			

				
					
shiro架构

				
			

			

				

					分享牛
				

				

					05-22
					
					5521
					
				

			

		

		

			
				
shiro介绍 1.1 什么是shiro分享牛系列,分享牛专栏,分享牛。shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。1.2 为什么要学shiro	既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。	

			
		

	





	

		

			

				
					
Shiro介绍

				
			

			

				

					Lvlht的博客
				

				

					07-09
					
					340
					
				

			

		

		

			
				
Shiro是什么
Apache Shiro是一个强大且灵活的开源安全框架,可以清晰的处理身份认证,授权,企业会话管理和加密。
Apache Shiro的首要目标就是易于使用和理解。安全有时可能非常复杂,甚至可以说是痛苦的,但事实往往并非一直如此。一个框架应该尽可能掩盖编码的复杂性,并提供简洁直观的API给开发者以简化开发,保证他们的应用程序安全。
下面是一些你可以使用Apache Shiro去做的...

			
		

	





	

		

			

				
					
菜鸟学习shiro记录(一)

				
			

			

				

					GQ_666的博客
				

				

					09-28
					
					186
					
				

			

		

		

			
				
我是菜鸟,在大学里面,无论是实训还是课程设计,登陆界面老师都不看,自己写的项目也就是增删改查。现在工作用到权限分配,不得不自学一遍。下面是我的学习记录:

01【熟悉】Shiro概述

1,什么是shiro

Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。




2,为什么要学shiro

   ...

			
		

	





	

		

			

				
					
Shiro】一、Apache Shiro安全框架简介

				
			

			

				

					KevinBrain的博客
				

				

					04-01
					
					892
					
				

			

		

		

			
				
一、Shiro简介

Apache Shiro(发音为“ shee-roh”,日语为“ castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。

Shiro提供了用于执行以下方面的应用程序安全性API(我喜欢将它们称为应用程序安全性的4个基石):

身份验证-证明用户身份,通常称为用户“登录”。
	授权-访问控制
	密码术-保护或隐藏数据以防被撬
	会话管理-每个用户的时间敏

			
		

	





	

		

			

				
					
Apache Shiro 安全框架教程

				
			

			

				

					
				

			

		

		

			
				
Apache Shiro 教程  Apache Shiro 是一个 Java 安全框架,目前越来越多的人使用它,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值