Shiro基本概念及与Spring集成

最新推荐文章于 2023-12-31 13:49:35 发布
最新推荐文章于 2023-12-31 13:49:35 发布
阅读量212 收藏
点赞数
分类专栏: java 文章标签: shiro spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyunzhong/article/details/104520356
版权

apache shiro 基本架构

在这里插入图片描述
Subject:当前登录人的一个安全视图。代码可以从对象中获取登录信息。
SecurityManager:架构的核心,组织管理所有的Subject。
Realms:用户自定义,提供获取用户信息,认证信息。

下面是更加详细的架构图:
在这里插入图片描述

apache shiro 与Spring boot集成

spring boot starter

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.5.1</version>
        </dependency>

通过configuration配置shiro。


@Configuration

public class ShiroConfig {

    @Bean
    public SecurityManager securityManager() {
        return new DefaultWebSecurityManager();

    }


    @Bean
    public ShiroSecurityRealm myRealm() {
        return new ShiroSecurityRealm();

    }

    /**
     * 配置ShiroFilterFactoryBean
     *
     * @param securityManager
     * @return
     */

    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {

        System.out.println("执行 ShiroFilterFactoryBean shiroFilter");

        ShiroFilterFactoryBean shiroFilterFactoryBean = new 
ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        shiroFilterFactoryBean.setLoginUrl("/public/login");
        shiroFilterFactoryBean.setSuccessUrl("/");
       
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        filterChainDefinitionMap.put("/logout", "logout");

        filterChainDefinitionMap.put("/public/**", "anon");

        filterChainDefinitionMap.put("/authc/**", "authc");

        filterChainDefinitionMap.put("/**", "authc");

shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;

    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();

    }

    @Bean
    public AuthorizationAttributeSourceAdvisor 
authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor 
= new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

注解

Spring中,在Controller上添加RequiresPermissions,RequiresRoles注解,从而为接口添加访问权限限制。

权限校验:

@RequiresPermissions("account:create")
public void openAccount( Account acct ) { 
    //create the account
}

角色校验:

@RequiresRoles( "teller" ) 
public void openAccount( Account acct ) { 
    //do something in here that only a teller //should do
}

shiro 配置

shiro有默认的实现,能够读取ini配置。本文没有采用这种方式,而是直接在configuration中配置。

# =======================
# Shiro INI configuration
# =======================

[main]
# Objects and their properties are defined here,
# Such as the securityManager, Realms and anything
# else needed to build the SecurityManager

[users]
# The 'users' section is for simple deployments
# when you only need a small number of statically-defined
# set of User accounts.

[roles]
# The 'roles' section is for simple deployments
# when you only need a small number of statically-defined
# roles.

[urls]
# The 'urls' section is used for url-based security
# in web applications.  We'll discuss this section in the
# Web documentation

main中配置realms以及SecurityManager。
urls中配置路径、文件的权限。

默认Filter

Filter Name描述
anonorg.apache.shiro.web.filter.authc.AnonymousFilter需要登录,但不做权限校验。
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter基于表单的验证。对于访问进行权限校验。如果不通过则redirect到loginurl。
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter需要用户登录才能继续访问资源。如果用户没有登录,则通过要求用户通过基本的HTTP协议进行登录。登录完成后,会继续访问之前的url。
logoutorg.apache.shiro.web.filter.authc.LogoutFilter接到这个请求,会直接logout当前的subject,并重定向到配置的 redirectRUL。
noSessionCreationorg.apache.shiro.web.filter.session.NoSessionCreationFilter这是一个非常有用的过滤器,可以放在任何过滤器链的前面,这些过滤器链可能会导致REST、SOAP或其他不打算参与会话的服务调用。
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter如果当前用户具有由映射值指定的权限,则允许访问;如果用户没有指定的所有权限,则拒绝访问。
portorg.apache.shiro.web.filter.authz.PortFilter要求请求位于特定端口上的筛选器,如果不是,则重定向到该端口上的相同URL。
restorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilterHTTP的method(GET,POST等)转成rest的方法(read,create等)。
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter根据角色过滤
sslorg.apache.shiro.web.filter.authz.SslFilterhttps
userorg.apache.shiro.web.filter.authc.UserFilter用户已经登录,或者设置了remember me。判断条件: subject.getPrincipal() != null.

anon

用户需要登录才能访问此资源,但是不会做权限校验。
用例:

[urls]
/user/signup/** = anon
/user/** = authc>

user/signup路径下所有的资源登录后都可以访问,但是/user/目录下其他的资源,都需要做权限校验。

noSessionCreation

执行过程:
如果一个Subject还没有session,那么将会禁止对于subject.getSession() 和subject.getSession(true)的调用。如果在期间有调用,则抛出异常。
如果在filter调用之前Subject已经有Session了,或者在应用的其他地方创建了session,或者在此filter之前的filter创建了session,对于此filter没有影响。

rest

http method 和rest 原语的映射规则。
在这里插入图片描述

云中漫步87
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro内置拦截器
wunianisme的博客
07-19 677
Shiro内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器。 public enum DefaultFilter{ anno(AnonymousFilter.class), authc(FormAuthenticationFilter.class), authc...
详解springshiro集成
08-29
主要介绍了详解springshiro集成,需要的朋友可以参考下
shiro——拦截器Filter
dgh112233的博客
08-22 2299
1. Filter接口(拦截器) shiro的拦截器是对Javax.servlet.Filter接口的扩展。本文的拦截器讲解是根据下图的继承顺序来讲的。 Filter源码如下:三部分,初始化、执行过滤、销毁。将var1 请求url放到FilterChain过滤链中去过滤。 public interface Filter { default void init(FilterCon...
apache shiro内置过滤器 标签 注解
zwj1030711290的CSDN
10-18 333
perms:例子/admins/user/**=perms[user:add:*],perms参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。roles(权限验证) org.apache.shiro.web.filter.authz.RolesAuthorizationFilter。属性和roles一样;
shiro---1
weixin_30497527的博客
12-15 79
The default Filter instances available automatically are defined by theDefaultFilter enumand the enum'snamefield is the name available for configuration. They are: Filter NameClass anon ...
Shiro系列教程ShiroFilter源码分析
大新博客
04-28 2088
Shiro系列教程ShiroFilter源码分析 DefaultFilter //一个枚举类定义了shiro全部的默认拦截器 public enum DefaultFilter { anon(AnonymousFilter.class), authc(FormAuthenticationFilter.class), authcBasic(BasicHttp
shirospring集成基础Hello案例详解
08-25
主要介绍了shirospring集成基础Hello案例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:...
详解Spring Boot 集成Shiro和CAS
08-30
主要介绍了详解Spring Boot 集成Shiro和CAS,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
shirospring web 项目集成.pdf
08-13
shirospring web 项目集成 #资源达人分享计划 # 技术文档
自定义过滤器配置 Shiro 认证失败返回 json 数据
最新发布
Reische的博客
12-31 988
Shiro权限框架认证失败默认是重定向页面的,这对于前后端分离的项目及其不友好,可能会造成请求404的问题。现在我们自定义过滤器实现认证失败返回json数据。拦截器就是一道道的关卡,每一道关卡都有各自的职责。
Shiro实现session和jwt认证共存【补充篇】
bbq烤鸡的后宫
03-25 1806
Shiro实现session和无状态token认证共存【补充篇】前言难点解决禁用session管理 前言 前文 Shiro实现session和无状态token认证共存 不够完善,补充一些难点的解决。 难点解决 禁用session管理 官方文档 https://shiro.apache.org/session-management.html#SessionManagement-SessionsSubjectState-HybridApproach 解疑:经过重复试验,在多realm共存的情况下,禁用ses
Shiro内置过滤器
l_cl_java的博客
05-23 6057
运行 Web 应用时,Shiro会创建一些有用的默认 Filter 实例,并自动地在 [main] 项中将它们置为可用这些可用的默认的 Filter 实例是被 DefaultFilter 枚举类定义的(枚举的名称字段就是可供配置的名称)ssl :org.apache.shiro.web.filter.authz.SslFilteruser :org.apache.shiro.web.filter....
shiro过滤器
快乐的小三菊的博客
05-20 445
一、背景 主要讲一下在 ShiroConfig 的 shiroFilterFactoryBean() 的方法中的一些过滤条件配置和注意事项,shiro 支持自定义过滤器,我们下面会讲,先看下原生支持的一些标签。 二、配置 配置主要分为两类,第一类设置一些界面跳转的地址,第二类是设置一些过滤器的配置。 // Filter工厂,设置对应的过滤条件和跳转条件 @Bean public ShiroFilterFactoryBean shiroFilterFactoryBe...
第八章 拦截器机制——《跟我学Shiro
jinnianshilongnian的专栏
03-05 1367
  目录贴: 跟我学Shiro目录贴   8.1 拦截器介绍 Shiro使用了与Servlet一样的Filter接口进行扩展;所以如果对Filter不熟悉可以参考《Servlet3.1规范》http://www.iteye.com/blogs/subjects/Servlet-3-1了解Filter的工作原理。首先下图是Shiro拦截器的基础类图: 1、NameableFilte...
shiro默认filter
johnhuster的专栏
08-24 2643
shiro默认filter
Shiro权限说明
t0404的博客
07-11 1750
"Shiro权限说明": 关键词:shiro 权限 说明 http://www.infoq.com/cn/articles/apache-shiro http://www.ibm.com/developerworks/cn/opensource/os-cn-shiro/,官网http://shiro.apache.org/   shiro 是一个强
Shiro 3 shiroFilter
ry的专栏
06-24 1393
ShiroFilterFactoryBean中getObject()方法   public Object getObject() throws Exception {         if (instance == null) {             instance = createInstance();         }         return instance;   
ShiroSpringSecurity
09-02
总结来说,Shiro更适合那些需要简单实现基本功能的项目,而Spring Security更适合需要更高级别的安全功能以及与Spring框架紧密结合的项目。选择哪个框架,取决于你的具体需求和项目特点。<span class="em">1</span>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值