Servlet 整合 shiro 日记

最新推荐文章于 2020-04-19 22:29:55 发布
最新推荐文章于 2020-04-19 22:29:55 发布
阅读量235 收藏 1
点赞数
文章标签: java python 数据库
原文链接:https://my.oschina.net/yuyizyk/blog/1822740
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

因工作需要引入shiro。但系统是基于Servlet3.0 ,而网上关于shiro 的教程大多是spring,因此记录下。

servlet 引入shiro:

1.引入shiro.jar:

shiro-core-1.4.0.jar

shiro-web-1.4.0.jar

shiro-ehcache-1.4.0.jar

 shiro+servlet 主要通过配置shiro.ini 进行搭建。

2.shiro.ini

[main]
securityManager=demo.CustomizeWebSecurityManager

[roles]
doctor=*
worker=*
patient=*

[urls]
/** = anon

 

3.Listener 和filter 直接使用servlet3.0的注解方式引入。注意shirofilter引入对原系统filter链影响。

Listener:

import org.apache.shiro.web.env.WebEnvironment;

/**
 * 
 * @author yuyi
 *
 */
@WebListener
public class EnvironmentLoaderListener extends org.apache.shiro.web.env.EnvironmentLoaderListener {
	@Override
}

Filter:

@WebFilter(urlPatterns = "/*"})
public class F1ShiroFilter extends org.apache.shiro.web.servlet.ShiroFilter {
}

 

无状态token验证

参考:
https://www.cnblogs.com/hujunzheng/p/7210157.html

思路是在Filter 里设置Realm验证所需的AuthenticationToken。同时停用shiro默认的servlet - session。参考里思路说得很清楚,就不多对思路累述。

 

关闭servlet默认的session:

public class CustomizeWebSecurityManager extends org.apache.shiro.web.mgt.DefaultWebSecurityManager {
	public CustomizeWebSecurityManager() {
		super(new CustomizeRealm());
		// 设置authenticator
		ModularRealmAuthenticator authenticator = new ModularRealmAuthenticator();
		authenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
		setAuthenticator(authenticator);

		// 设置authorizer
		ModularRealmAuthorizer authorizer = new ModularRealmAuthorizer();
		authorizer.setPermissionResolver(new WildcardPermissionResolver());
		setAuthorizer(authorizer);

		// 设置取消session
		setSessionManager(new DefaultSessionManager() {
			{
				setSessionValidationSchedulerEnabled(false);
			}
		});
		setSubjectFactory(new StatelessDefaultSubjectFactory());
		setSubjectDAO(new DefaultSubjectDAO() {
			{
				setSessionStorageEvaluator(new DefaultWebSessionStorageEvaluator() {
					{
						setSessionStorageEnabled(false);
					}
				});
			}
		});

		List<Realm> realms = new ArrayList<>();
		realms.add(new CustomizeRealm());
		// 设置Realm
		setRealms(realms);
		SecurityUtils.setSecurityManager(this);
	}
}

public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {
	@Override
	public Subject createSubject(SubjectContext context) {
		// 不创建session
		context.setSessionCreationEnabled(false);
		return super.createSubject(context);
	}
}

public class CustomizeFormAuthenticationFilter extends org.apache.shiro.web.filter.authc.FormAuthenticationFilter {

	/**
	 * 获得登录token
	 * 
	 * @param request
	 * @param res
	 * @return
	 */
	protected String _GetCookieID(HttpServletRequest request, HttpServletResponse res) {
		// 兼容API接口参数传递
		String ercloud_id = request.getParameter("token");
		if (ercloud_id != null)
			return ercloud_id;
		Cookie[] cookies = request.getCookies();// 这样便可以获取一个cookie数组

		if (cookies == null)
			return null;

		for (Cookie cookie : cookies) {
			if (cookie.getName().equals(CookieEnum.token.toString())) {
				ercloud_id = StringUtils.isNotBlank(cookie.getValue()) ? cookie.getValue() : ercloud_id;
			}
		}
		return ercloud_id;
	}

	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		try {
			// 生成无状态Token
			// 委托给Realm进行登录
			getSubject(request, response).login(new StatelessToken(
				_GetCookieID((HttpServletRequest) request, (HttpServletResponse) response), CRealm.doctor));//通过realm name 提交给对应的realm进行验证。
			return true;
		} catch (Exception e) {
			e.printStackTrace();
			return false;
		}
	}

}

public class ModularRealmAuthenticator extends org.apache.shiro.authc.pam.ModularRealmAuthenticator {

    /**
     * 设置验证策略
     */
	@Override
	protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)
			throws AuthenticationException {
		// 判断getRealms()是否返回为空
		assertRealmsConfigured();
		StatelessToken statelessToken = (StatelessToken) authenticationToken;

		Collection<Realm> realms = getRealms();
		// 登录类型对应的所有Realm
		Collection<Realm> typeRealms = new ArrayList<>();
		for (Realm realm : realms) {
			if (realm.getName().contains(statelessToken.getRealm().toString()))
				typeRealms.add(realm);
		}
		if (typeRealms.size() == 1) {
			return doSingleRealmAuthentication(typeRealms.iterator().next(), authenticationToken);
		} else {
			return doMultiRealmAuthentication(typeRealms, authenticationToken);
		}
	}
}

上面的重点是在于filter的整合。最简单的是直接在shiro.ini中进行配置:

[main]
#定义一个filter
filterdoctor= demo.CustomizeFormAuthenticationFilter


[urls]
#authc
/** = filterdoctor, roles[doctor]

如此非servlet-session的shiro 验证就可以了。

 

shiro动态请求配置。

参考:

https://www.w3cschool.cn/shiro/h5it1if8.html

实现


数据库:

175617_Eog4_3632223.png

修改shiro listener :

@WebListener
public class EnvironmentLoaderListener extends org.apache.shiro.web.env.EnvironmentLoaderListener {
	@Override
	public WebEnvironment initEnvironment(ServletContext servletContext) throws IllegalStateException {
		servletContext.setInitParameter("shiroEnvironmentClass", "demo.IniWebEnvironment");//使用自己的shiro.ini 解析类
		return super.initEnvironment(servletContext);
	}
}

 

IniWebEnvironment

public class IniWebEnvironment extends org.apache.shiro.web.env.IniWebEnvironment {
	private final static Logger log = LoggerFactory.getLogger(IniWebEnvironment.class);
	public static IniWebEnvironment iniWebEnvironment;

	@Override
	public void init() {
		super.init();
		iniWebEnvironment = this;
		iniWebEnvironment.refash();
	}

	public void refash() {
		PathMatchingFilterChainResolver p = (PathMatchingFilterChainResolver) getFilterChainResolver();
		DefaultFilterChainManager f = (DefaultFilterChainManager) p.getFilterChainManager();
		f.getFilters().clear();//清楚filter
		f.getChainNames().clear();//清楚url与filter之间的映射
		RefashFilterChain refashFilterChain = new RefashFilterChain();
		refashFilterChain.filters.forEach((k, v) -> {
			f.addFilter(k, v);
		});

		refashFilterChain.chains.forEach((k, v) -> {
			f.createChain(k, v);
		});
		log.info(" FilterChain refash OK");
	}

	class RefashFilterChain {
		@SuppressWarnings("serial")
		RefashFilterChain() {
			List<Map<String, Object>> list = QueryHelper.query("select * from urlchainmanage");

			if (list.isEmpty()) {
				list.add(new HashMap<String, Object>() {
					{
						put("chain", "/*");
						put("chaindefinition", "anon");
						put("filterclz", "org.apache.shiro.web.filter.authc.AnonymousFilter");
					}
				});
			}

			list.forEach(a -> {

				if (a.containsKey("chain") && StringUtils.isNotBlank((String) a.get("chain")))
					chains.put(StringUtils.trim((String) a.get("chain")),
							StringUtils.trim((String) a.get("chaindefinition")));

				if (a.containsKey("filterclz") && StringUtils.isNotBlank((String) a.get("filterclz"))) {
					List<String> filterclz = Arrays.asList(((String) a.get("filterclz")).split(","));
					String[] chaindefinitions = ((String) a.get("chaindefinition")).split(",");
					String chaindefinition;
					for (int i = 0; i < filterclz.size(); i++) {
						if (StringUtils.isNotBlank(filterclz.get(i))) {
							if (chaindefinitions.length <= i) {
								log.error(" 该数据错误:{}", a);
								return;
							}
							int j = -1;
							chaindefinition = chaindefinitions[i];
							if ((j = chaindefinition.indexOf("[")) != -1)
								chaindefinition = chaindefinition.substring(0,
										(j != -1 ? j : chaindefinition.length()));
							try {
								filters.put(StringUtils.trim(chaindefinition), (Filter) ClassLoaderUtil
										.loadClass(StringUtils.trim(filterclz.get(i))).newInstance());
							} catch (InstantiationException | IllegalAccessException e) {
								log.error(" filter load error :{}  ", filterclz.get(i), e);
							}
						}
					}
				}
			});
		}

		public Map<String, Filter> filters = new HashMap<String, Filter>();
		public Map<String, String> chains = new HashMap<String, String>();
	}

}

思路:

 org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver  implements FilterChainResolver 为shiro的url映射filter方法接口,那么修改这个接口返回的filter就能实现自定义设置请求配置。

通过查看源码,PathMatchingFilterChainResolver.getFilterChainManager() = org.apache.shiro.web.filter.mgt.DefaultFilterChainManager 中实际存放了filter和请求映射集

public class DefaultFilterChainManager implements FilterChainManager {
    private Map<String, Filter> filters; //pool of filters available for creating chains
    private Map<String, NamedFilterList> filterChains; //key: chain name, value: chain
}

在org.apache.shiro.web.env.EnvironmentLoaderListener  extends org.apache.shiro.web.env. EnvironmentLoader 中,指明可以设置继承于WebEnvironment的shiro初始类。

    /**
     * Return the WebEnvironment implementation class to use, based on the order of:
     * <ul>
     *     <li>A custom WebEnvironment class - specified in the {@code servletContext} {@link #ENVIRONMENT_ATTRIBUTE_KEY} property</li>
     *     <li>{@code ServiceLoader.load(WebEnvironment.class)} - (if more then one instance is found a {@link ConfigurationException} will be thrown</li>
     *     <li>A call to {@link #getDefaultWebEnvironmentClass()} (default: {@link IniWebEnvironment})</li>
     * </ul>
     *
     * @param servletContext current servlet context
     * @return the WebEnvironment implementation class to use
     * @see #ENVIRONMENT_CLASS_PARAM
     * @param servletContext the {@code servletContext} to query the {@code ENVIRONMENT_ATTRIBUTE_KEY} property from
     * @return the {@code WebEnvironment} to be used
     */
    protected WebEnvironment determineWebEnvironment(ServletContext servletContext) {

        Class<? extends WebEnvironment> webEnvironmentClass = webEnvironmentClassFromServletContext(servletContext);
        WebEnvironment webEnvironment = null;

        // try service loader next
        if (webEnvironmentClass == null) {
            webEnvironment = webEnvironmentFromServiceLoader();
        }

        // if webEnvironment is not set, and ENVIRONMENT_CLASS_PARAM prop was not set, use the default
        if (webEnvironmentClass == null && webEnvironment == null) {
            webEnvironmentClass = getDefaultWebEnvironmentClass();
        }

        // at this point, we anything is set for the webEnvironmentClass, load it.
        if (webEnvironmentClass != null) {
            webEnvironment = (WebEnvironment) ClassUtils.newInstance(webEnvironmentClass);
        }

        return webEnvironment;
    }
    /**
     * Servlet Context config param for specifying the {@link WebEnvironment} implementation class to use:
     * {@code shiroEnvironmentClass}
     */
    public static final String ENVIRONMENT_CLASS_PARAM = "shiroEnvironmentClass";
    private Class<? extends WebEnvironment> webEnvironmentClassFromServletContext(ServletContext servletContext) {

        Class<? extends WebEnvironment> webEnvironmentClass = null;
        String className = servletContext.getInitParameter(ENVIRONMENT_CLASS_PARAM);
        ...
    }

在默认的org.apache.shiro.web.env.IniWebEnvironment 类中提供有返回当前shiro PathMatchingFilterChainResolver 对象的方法:DefaultWebEnvironment.getFilterChainResolver();

至此,所有问题解决。

转载于:https://my.oschina.net/yuyizyk/blog/1822740

weixin_34249678
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro简介及入门
qq_44847231的博客
10-13 450
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiro与web容器的集成 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
shiroservlet的结合
black_的博客
08-15 1558
shiro.ini [main] #使用数据库进行验证和授权 databaseRealm=com.how2java.DatabaseRealm securityManager.realms=$databaseRealm #当访问需要验证的页面,但是又没有验证的情况下,跳转到login.jsp authc.loginUrl=/login.jsp #当访问需要角色的页面,但是又不拥有这个角色...
shiro-ehcache-1.4.0-API文档-中文版.zip
07-12
赠送jar包:shiro-ehcache-1.4.0.jar; 赠送原API文档:shiro-ehcache-1.4.0-javadoc.jar; 赠送源代码:shiro-ehcache-1.4.0-sources.jar; 赠送Maven依赖信息文件:shiro-ehcache-1.4.0.pom; 包含翻译后的API文档:shiro-ehcache-1.4.0-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.shiro:shiro-ehcache:1.4.0; 标签:apache、shiro、ehcache、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
springboot整合shiro
11-26
当我们需要在Spring Boot项目中实现用户权限控制时,就需要将Spring Boot与Shiro进行整合。下面我们将详细探讨这一整合过程。 1. **Shiro简介** Apache Shiro是一个轻量级的安全框架,提供了一种相对简单的方式来...
SpingBoot整合Shiro的项目
12-27
SpringBoot整合Apache Shiro是一个常见的安全框架集成,用于构建安全的Web应用。在这个项目中,我们将探讨如何将SpringBoot的便捷开发特性与Shiro的强大安全功能相结合,实现用户认证、授权以及会话管理。 首先,...
SpringBoot整合Shiro的代码详解
08-29
SpringBoot 整合 Shiro 代码详解 SpringBoot 是一个基于 Java 的开源框架,提供了快速构建生产级别的应用程序的能力。Shiro 是一个权限框架,提供了很方便的权限认证和登录的功能。本文将详细介绍如何将 ...
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合Shiro和JWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
shiro的session和servlet的session的区别
苏瑞良的博客
12-17 7057
shiro作为轻量级的权限管理框架,应用广泛。在使用过程中需要注意org.apache.shiro.web.session.mgt.DefaultWebSessionManager默认session是shiro原生(native)session,不同于servlet自身的session,在jsp页面获取不到session中的值。一、shiro中session和servlet自身session区别s
Shiro学习——(五)利用servlet+shiro进行web用户授权案例
weixin_43683536的博客
05-14 905
使用IDEA开发工具进行开发 创建一个Maven 的Webapp工程 导入依赖 <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <maven.compiler.source>1.7</maven.compiler....
ShiroServlet、jsp、jdbc、Web整合
weixin_46072374的博客
04-19 243
创建maven项目 1、添加依赖 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:...
Shiro入门以及Shiro与web整合
ahong_1920的博客
02-17 2971
标题Shiro入门以及Shiro与web整合 Shiro框架 - 什么是Shiro? Apache shiro是一个强大,易用的java安全框架执行身份认证,授权,密码和会话管理。 Shiro框架的核心组件 主要核心组件:Subject, Security Manager Realms 1. Subject: 即“当前操作的用户”,但是,在shiro中,Subject这一概念不仅仅指人,也可以是...
shiro第三天——声明式授权(jsp+servlet+ini)
MODjie的博客
12-16 419
工程目录 pom.xml: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.
Shiro框架从入门到实战
04-24
本教程讲解了Shiro权限验证框架的基本应用,学习本教程,可以掌握常规的网站权限管理操作,完成web网站的动态权限管理。
shiroServletHttpSession包装成了ShiroHttpSession
十五楼亮哥
11-13 4205
最近在做Oauth SSO单点登录集成,目标有三个: A:各个业务系统在统一门户登录,各业务系统不用再次登录,即SSO; B:原来各业务系统的登录入口暂时保留; C:解决同一个浏览器登录多个账户,session覆盖的问题。 因为业务系统使用的是SpringMVC,并且使用了shiro安全框架。我的实现逻辑是,先执行OauthFilter,后执行Shiro认证。 但是在shiro中session设置...
shiro集成Servlet
weixin_33713503的博客
04-24 112
2019独角兽企业重金招聘Python工程师标准>>> ...
ssm整合shiro
最新发布
10-07
SSM整合Shiro是指在使用Spring+SpringMVC+MyBatis框架的基础上,将Apache Shiro安全框架集成到项目中。下面是整合Shiro的步骤: 1. 引入Shiro的依赖,可以在pom.xml文件中添加如下代码: ```xml <!-- Shiro --> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值