shiro身份验证授权入门

最新推荐文章于 2024-04-16 23:25:47 发布
最新推荐文章于 2024-04-16 23:25:47 发布
阅读量7.9k 收藏 4
点赞数 1
文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013628152/article/details/51473547
版权

一、 介绍:

shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。
shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org/reference.html

与spring security区别,个人觉得二者的主要区别是:
1、shiro灵活性强,易学易扩展。同时,不仅可以在web中使用,可以工作在任务环境内中。
2、acegi灵活性较差,比较难懂,同时与spring整合性好。
如果对权限要求比较高的项目,个人建议使用shiro,主要原因是可以很容易按业务需求进行扩展。
附件是对与shiro集成的jar整合及源码。

二、shiro与spring集成

shiro默认的配置,主要是加载ini文件进行初始化工作,具体配置,还请看官网的使用手册(http://shiro.apache.org/web.html)init文件不支持与spring的集成。此处主要是如何与spring及springmvc集成。

1、web.xml中配置shiro过滤器,

web.xml中的配置类使用了spring的过滤代理类来完成。

<filter>  
   <filter-name>shiroFilter</filter-name>  
    <filter-class>  
        org.springframework.web.filter.DelegatingFilterProxy  
    </filter-class>         
</filter>  
<filter-mapping>  
    <filter-name>shiroFilter</filter-name>  
    <url-pattern>/*</url-pattern  
</filter-mapping>
2、在spring中的application.xml文件中添加shiro配置:
<!--securityManager是shiro的核心,初始化时协调各个模块运行-->  
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
   <!--单个realm使用realm,如果有多个realm,使用realms属性代替-->   
   <property name="realm" ref="leopardRealm" />  
   <property name="cacheManager" ref="shiroEhcacheManager" />  
</bean>  
    <!--realm配置,realm是shiro的桥梁,它主要是用来判断subject是否可以登录及权限等-->  
    <bean id="leopardRealm" class="com.leopard.shiro.realm.LeopardRealm" />  
    <!--shiro过滤器配置,bean的id值须与web中的filter-name的值相同-->  
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
    <property name="securityManager" ref="securityManager" />  
         <!-- 没有权限或者失败后跳转的页面 -->  
     <property name="loginUrl" value="/login/login.jsp" />   
     <property name="successUrl" value="/main/index.jsp" />  
     <property name="unauthorizedUrl" value="/login/unauthorized" />  
        <property name="filterChainDefinitions">  
            <value>  
                /login/logoutlogout=logout  
                /login/**=anon  
                /**=authc,rest  
            </value>  
        </property>  
    </bean>  
    <!-- 用户授权/认证信息Cache, 采用EhCache 缓存 -->  
    <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">  
        <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>  
    </bean>

配置说明:
securityManager是shiro的核心,初始化时协调各个模块运行。
realm是shiro的桥梁,进行数据源配置,shrio提供了常用的realm数据源配置,如LDAP的JndiLdapRealm,JDBC的JdbcRealm,ini文件的IniRealm,properties文件的PropertiesRealm等,也可以插入自己的 Realm实现来代表自定义的数据源。此处使用了自定义的leopardRealm进行配置,java代码如下:

public class LeopardRealm extends AuthorizingRealm {  
    /** 
     * 授权方法,在配有缓存的情况下,只加载一次。 
     */  
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();  
                 //获取用户信息的所有资料,如权限角色等.  
                 //info.setStringPermissions(权限集合);  
        //info.setRoles(角色集合);  
        return info;  
    }  
    /** 
     * 登陆认证 
     */  
    @Override  
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)  
               throws AuthenticationException {  
        UsernamePasswordToken usernamePasswordToke = (UsernamePasswordToken)token;  
        String username = usernamePasswordToke.getUsername();  
        return new SimpleAuthenticationInfo(new ShiroUser("admin", "admin"), "admin",  
                        ByteSource.Util.bytes("admin"), getName());  

    }  
}

shiroFilter:shiro的权限过滤器配置,可自定义过滤器并关联至filterChainDefinitions中。shiro过滤器说明:
shiro过滤器对应的类:
过滤器名称 对应的java类
anon org.apache.shiro.web.filter.authc.AnonymousFilter
authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
logout org.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreation org.apache.shiro.web.filter.session.NoSessionCreationFilter
perms org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port org.apache.shiro.web.filter.authz.PortFilter
rest org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl org.apache.shiro.web.filter.authz.SslFilter
user org.apache.shiro.web.filter.authc.UserFilter

anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数。
authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证。
roles:例子/admins/user/=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/=roles[“admin,guest”],每个参数通过才算通过,相当于hasAllRoles()方法。
perms:例子/admins/user/=perms[user:add:],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/=perms[“user:add:,user:modify:*”],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
rest:例子/admins/user/=rest[user],根据请求的方法,相当于/admins/user/=perms[user:method] ,其中method为post,get,delete等。
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

注:这些过滤器中anon,authcBasic,auchc,user是认证过滤器,perms,roles,ssl,rest,port是授权过滤器
至此配置工作已完成。

3、简单登录操作:

login.jsp代码

<%@ page language="java" pageEncoding="UTF-8"%>  
<html>  
<body>  
    <form  action="${pageContext.request.contextPath}/login" method="post">  
        用户名:<input id="username" name="username" />  
                密码:<input id="password" type="password" name="password" />  
            记住我:<input type="checkbox" name="rememberMe" />  
                <input type="submit" name="submit" value="submit"/>  
    </form>  
</body>  
</html>

springMVC控制层代码:

import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  
import org.apache.shiro.SecurityUtils;  
import org.apache.shiro.authc.AuthenticationException;  
import org.apache.shiro.authc.IncorrectCredentialsException;  
import org.apache.shiro.authc.UnknownAccountException;  
import org.apache.shiro.authc.UsernamePasswordToken;  
import org.apache.shiro.subject.Subject;  
import org.springframework.stereotype.Controller;  
import org.springframework.web.bind.annotation.RequestMapping;  
import org.springframework.web.servlet.ModelAndView;  
@Controller("loginAction")  
@RequestMapping("/login")  
public class LoginAction  {  
    @RequestMapping("")  
       //登录  
    public ModelAndView execute(HttpServletRequest request,  
            HttpServletResponse response,String username,String password) {  
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);  
        //记录该令牌  
        token.setRememberMe(false);  
        //subject权限对象  
        Subject subject = SecurityUtils.getSubject();  
        try {  
            subject.login(token);  
        } catch (UnknownAccountException ex) {//用户名没有找到  
            ex.printStackTrace();  
        } catch (IncorrectCredentialsException ex) {//用户名密码不匹配  
            ex.printStackTrace();  
        }catch (AuthenticationException e) {//其他的登录错误  
            e.printStackTrace();  
        }  

        //验证是否成功登录的方法  
        if (subject.isAuthenticated()) {  
            return new ModelAndView("/main/index.jsp");  
        }  
        return new ModelAndView("/login/login.jsp");  
    }  

        //退出  
    @RequestMapping("/logout")  
    public void logout() {  
        Subject subject = SecurityUtils.getSubject();  
        subject.logout();  
    }  
}

最后启动服务登录,实验证明,失败返回登录页,成功进入主页。

十五楼亮哥
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
Shiro实现Basic认证
weixin_45032957的博客
12-18 583
王子已经有了一套集成好Shiro的Spring Boot框架,这套框架详细代码就不做展示了,我们只来看一下测试用例。 要测试的接口代码如下: 复制代码 /** @author liumeng / @RestController @RequestMapping("/test") @CrossOrigin public class TestAppController extends BaseController { /* 数据汇总 */ @GetMapping("/list") public AjaxRes
shiro初步学习
wyy的博客
08-24 687
Shiro简介 Shiro架构原理 INI文件介绍 Shiro环境搭建及认证过程 第一个Shiro演示 授权 加密及凭证匹配器 自定义Realm 凭证匹配器 一、 Shiro 简介 1 概述 权限体系在现代软件应用有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache Shiro 和 Spring Security。相较于Spring Se.
解锁Apache Shiro:新手友好的安全框架指南(一)——整体架构与身份认证_apache shiro的配置包括安全管理器
最新发布
【2023EI会议列表】
04-16 643
自定义 MyRealm:`accountMap`模拟账户数据库,用户登陆时, 查询数据库获取账户数据。如果不存在 principal 对应的账户,**执行账户创建流程**。* 首先利用随机数生成器`SecureRandomNumberGenerator`为新账户生成 salt。* 随后,对用户提交的凭证**加盐**,并使用 SHA256 算法执行 1024 次散列迭代,得到 Base64 字符串作为持久存储(数据库)的凭证 hashedPwdBase64。
Shiro笔记五:Shiro内置Filter过滤器
m0_54853420的博客
04-22 985
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
Shiro身份认证流程
m0_73875507的博客
03-14 96
Subject把标识token交给SecurityManager,在SecurityManager安全,SecurityManager把标识token委托给认证器;认证器的作用一般是用来指定如何验证,它规定本次认证用到哪些Realm;认证器Authenticator将传入的标识token,与数据源Realm对比,验证token是否合法。Shiro把用户的数据封装成标识token,token一般封装着用户名,密码等信息;使用Subject门面获取到封装着用户的数据的标识token;
Shiro使用笔记-权限比较
大大大大大碗面
06-13 253
anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org.apache.shiro.web.filt...
shiro入门学习.ppt
07-19
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情:  验证用户  对用户执行访问控制,如:  判断用户...
shiro 安全框架的入门学习视屏,
04-23
shiro 的讲解学习.shiro是一个强大且易用的Java安全框架,执行身份验证授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
apache_shiro入门实例
10-27
Apache Shiro 是一个强大的 Java 安全框架,专注于身份验证授权和会话管理。它提供了简单易用的 API,使得开发者可以快速地在应用程序实现安全功能。本篇将带你逐步了解如何使用 Shiro 搭建一个简单的权限管理...
简单的介绍,简单的配置,简单的扩展 shiro入门学习手册 共35页.pptx
01-08
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: ? 验证用户 ? 对用户执行访问控制,如: ? 判断用户是否...
Shiro-pdf教程
11-17
它涵盖了身份验证授权、会话管理和加密等核心功能,旨在提供易用且直观的API,减轻开发者实现安全功能的负担。Shiro 不仅适用于Web环境,也能应用于各种类型的软件项目,包括命令行应用和大型企业系统,无需依赖...
Shiro (三)之授权加注解式权限
cao_2000的博客
01-04 844
重点: 1.添加角色和权限的授权方法   //根据username查询该用户的所有角色,用于角色验证   Set&lt;String&gt; findRoles(String username); 代码分享: select r.roleid from t_shiro_user u,t_shiro_role r , t_shiro_user_role ur where u.userid=...
shiro架构&认证 -Shiro
qq_43409973的博客
03-22 776
shiro架构&认证 -Shiro
Shiro 身份验证
weixin_30947043的博客
03-22 66
身份验证,即在应用谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。 在 shiro ,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 pr...
shiro web 身份、权限验证流程
TheThirdMoon的博客
03-27 251
1. 权限验证更灵活的方式是使用aop和注解方式 2. 除了权限验证还有一个角色验证,流程和权限验证类似,使用了UserFilter, RolesAuthorizationFilter
shiro】认证鉴权
qq_41617261的博客
08-10 1110
shiro框架 shiro:强大且易用的Java安全框架,执行身份验证授权、密码和会话管理 Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”; SecurityManager:相当于SpringMVC的DispatcherServlet或者Struts2的FilterDispatcher;是Shiro的心 脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会 话、缓存的管理。 Authenticator:认证器,负
理解这9大内置过滤器,才算是精通Shiro
MarkerHub的博客
05-12 306
小Hub领读:权限框架一般都是一堆过滤器、拦截器的组合运用,在shiro,有多少个内置的过滤器你知道吗?在哪些场景用那些过滤器,这篇文章希望你能对shiro有个新的认识!别忘了,点个 ...
11、Shiro入门学习
执手天涯@的博客
03-14 277
认证授权加密会话管理与web集成缓存UserUserMapper类static {} /*** 根据用户名返回user对象* @param username 用户名} }UserRealm类// 授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
shiro内置过滤器研究
热门推荐
mark's technic world
12-02 3万+
anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org.apache.shiro.web.filter.authc.Bas
shiro怎么实现授权
05-05
2. 认证用户身份:在进行授权之前,需要先对用户进行身份认证。Shiro提供了多种认证方式,例如基于表单、HTTP Basic、OAuth等方式。 3. 进行授权Shiro提供了多种授权方式,例如基于角色、基于权限、自定义授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

十五楼亮哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值