shiro判断session失效_Shiro简介及与spring集成

最新推荐文章于 2022-04-07 16:40:06 发布
最新推荐文章于 2022-04-07 16:40:06 发布
阅读量1k 收藏
点赞数
文章标签: shiro判断session失效
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35958783/article/details/113317568
版权

1、权限基础

两个基本的概念

——安全实体:就是被权限系统保护的对象,比如工资数据。

——权限:就是需要被校验的行为,比如查看、修改等。

分配权限:

——把对某些安全实体的某些权限分配给某些人员。

——是向数据库里面添加数据、或是维护数据的过程

权限验证(权限匹配):

——判断某个人员或程序对某个安全实体是否拥有某个或某些权限。

——从数据库中获取相应数据进行匹配的过程。

权限的继承性:

如果多个安全实体存在包含关系,而某个安全实体没有权限限制,则它会继承包含它的安全实体的相应权限。

权限的最近匹配原则:

如果多个安全实体存在包含关系,而某个安全实体没有权限限制,那么它会向上寻找并匹配相应权限限制,直到找到一个离这个安全实体最近的拥有相应权限限制的安全实体为止。如果把整个层次结构都寻找完了都没有匹配到相应权限限制的话,那就说明所有人对这个安全实体都拥有这个相应的权限限制。

2、Shiro架构与功能介绍

e8a0c2ca7554a4527a25d6cb26a9f986.png

Authentication: 认证。即验证是哪个用户登录。

Authorization:也被称为访问控制,即决定当前登录用户是否有权限去访问受保护的资源。

Cryptography:通过加密算法保护数据安全。

Session Management: 当用户使用你的应用是自身携带的数据。

Web Integration: 虽然Shiro是设计用来确保任何基于JVM的应用,但是很多时候是用来保护Web应用。

Integrations:可以很好的集成其他的技术和框架。

下图展示了Shiro的的四大核心功能和所支持的其它特性。

86affe3a88896c018204c118f1ceb5fe.png

三大核心组件

0a36859cf58e3e68dadb104b421a6ab3.png

Subject:正与系统进行交互的人,或某一个第三方服务。所有Subject实例都被绑定到(且这是必须的)一个SecurityManager上。

SecurityManager:Shiro架构的心脏,用来协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务。当Shiro与一个Subject进行交互时,实质上是幕后的SecurityManager处理所有繁重的Subject安全操作。

Realms:本质上是一个特定安全的DAO。当配置Shiro时,必须指定至少一个Realm用来进行身份验证和/或授权。Shiro提供了多种可用的Realms来获取安全相关的数据。如关系数据库(JDBC),INI及属性文件等。可以定义自己Realm实现来代表自定义的数据源。

9b8fbd57513169abab3cf1f0d7a44000.png

Authenticator:执行对用户的身份验证(登录)的组件。Authenticator从一个或多个Realm中获得数据以验证用户的身份。

若存在多个realm,则接口AuthenticationStrategy会确定什么样算是验证成功(例如,如果一个Realm成功,而其他的均失败,是否登录成功)。

Authorizer:验证用户能否访问应用中的受保护的资源

SessionManager:可在任何应用或架构层一致地使用 Session API

SessionDAO:SessionManager执行Session持久化(CRUD)操作。

CacheManager :对Shiro组件提供缓存支持。

Cryptography:Shiro的API大幅度简化Java API中繁琐的密码加密

Realms:Shiro通过Realms来获取相应的安全数据

Realm 实现关系:

c245bbf5a5bf91d2f5f9823b661fa0ad.png

认证

7c9a2aa82359761216affcd2af0e66be.png

0ed76119f5619081e90e726603d19514.png

Step 1:应用程序代码调用Subject.login方法,传递创建好的包含终端用户的Principals(身份)和Credentials(凭证)的AuthenticationToken实例

Step 2:Subject实例,通常为DelegatingSubject(或子类)委托应用程序的SecurityManager通过调用securityManager.login(token)开始真正的验证。

Step3:SubjectManager接收token,调用内部的Authenticator实例调用 authenticator.authenticate(token)。 Authenticator通常是一个ModularRealmAuthenticator实例,支持在身份验证中协调一个或多个Realm实例。

Step 4:如果应用程序中配置了一个以上的Realm,ModularRealmAuthenticator实例将利用配置好的AuthenticationStrategy来启动Multi-Realm认证尝试。在Realms被身份验证调用之前,期间和以后,AuthenticationStrategy被调用使其能够对每个Realm的结果作出反应。

Step 5:每个配置的 Realm 用来帮助看它是否支持提交的AuthenticationToken。如果支持,那么支持Realm的getAuthenticationInfo方法将会伴随着提交的token被调用。getAuthenticationInfo方法有效地代表一个特定Realm的单一的身份验证尝试。

授权

6e3aaf5fb7da27b9f5c3ff0817bd19d3.png

07a3dd701def919b1a09c7763e2ebd7d.png

Step 1:应用程序或框架代码调用任何Subject 的hasRole*, checkRole*, isPermitted*,或者checkPermission*方法的变体,传递任何所需的权限

Step 2:Subject的实例—通常是DelegatingSubject(或子类),调用securityManager的对应的方法。

Step 3:SecurityManager调用org.apache.shiro.authz.Authorizer接口的对应方法。默认情况下,authorizer 实例是一个ModularRealmAuthorizer实例,它支持协调任何授权操作过程中的一个或多个Realm实例。

Step 4:每个配置好的Realm被检查是否实现了相同的Authorizer接口。如果是,Realm各自的hasRole*, checkRole*,isPermitted*,或checkPermission*方法将被调用。

注销

logout(注销):currentUser.logout;

调用logout方法时,现有Session将失效,而且身份将失去关联(在Web应用程序中,RememberMe cookie将被删除)。

在Subject注销后,该Subject的实例被再次认为是匿名的。

注意:WEB应用程序记住身份往往依靠Cookie,然而Cookie只能在Response被返回后被删除,所以建议在调用subject.logout后立即向终端重定向一个新的视图或页面。这样即能保证与安全相关的Cookie都能像预期的一样被删除。

Shiro中默认的过滤器

71c39961bd9287b20d54ef1d45b87cf9.png

基于注解

Shiro提供的注解

@RequiresAuthentication :要求当前Subject已经在当前的session中被验证通过才能被注解的类/实例/方法访问或调用。

@RequiresGuest :要求当前的Subject是一个“guest”,也就是他们必须是在之前的session中没有被验证或记住才能被注解的类/实例/方法访问或调用。

@RequiresPermissions:要求当前的Subject被允许一个或多个权限,以便执行注解的方法,比如:@RequiresPermissions("account:create")

@RequiresRoles:要求当前的Subject拥有所有指定的角色。如果他们没有,则该方法将不会被执行,而且AuthorizationException异常将会被抛出。比如:@RequiresRoles("administrator")

@RequiresUser:需要当前的Subject是一个应用程序用户才能被注解的类/实例/方法访问或调用。要么是通过验证被确认,或者在之前session中的‘RememberMe’服务被记住。

基于标签

需要在jsp页面中倒入shiro 标签

guest 标签

guest标签将显示它包含的内容,仅当当前的Subject 被认为是guest时。

guest是指没有身份ID的任何Subject:没有登录也没有在上一次的访问中被记住(RememberMe 服务)

guest标签与user标签逻辑相反。

Hi there! Please Loginor

Signuptoday!

user标签

user标签将显示它包含的内容,仅当当前的Subject 被认为是user时。

user在上下文中被定义为一个已知身份ID的Subject,或是成功通过身份验证及通过RememberMe服务的。

该标签在语义上与authenticated 标签是不同的,authenticated标签更为严格。

User标签与guest标签逻辑相反。

authenticated 标签

当当前用户在当前会话中成功地通过了身份验证authenticated标签才会显示包含的内容。比user标签更为严格。在逻辑上与notAuthenticated标签相反。

Update your contact information.

notAuthenticated标签

当前Subject还没有在其当前会话中成功地通过验证,将会显示它所包含的内容

Please loginin order to update your credit card information.

principal标签

标签将会输出Subject的主体(标识属性)或主要的属性

Hello, , how are you today?

Typed principal

User ID:

Principal property

Hello,

hasRole标签

当前Subject被分配了具体的角色时显示它所包含的内容。hasRole标签与lacksRole标签逻辑相反。

Administer the system

lacksRole标签

Sorry, you are not allowed to administer the system.

hasAnyRole标签

当前的Subject被分配了任意一个来自于逗号分隔的角色名列表中的具体角色,将会显示它所包含的内容。

You are either a developer, project manager, or administrator.

hasPermission标签

当前Subject拥有特定的权限时,会显示它所包含的内容。hasPermission标签与lacksPermission标签逻辑相反。

Create a new User

lacksPermission标签

当前Subject没有拥有(蕴含)特定的权限,将会显示它所包含的内容。也就是说,用户没有特定的能力。

Sorry, you are not allowed to delete user accounts.

3、Spring集成Shiro

配置自定义Realm:实现自定义认证和授权

配置Shiro实体类使用的缓存策略

配置SecurityManager

配置保证Shiro内部Bean声明周期都得到执行的Lifecycle Bean后置处理器

配置AOP式方法级权限检查

配置Shiro Filter

基于Maven构建项目

50ffaf59c46981698963e7bde4d63f55.png

web.xml

xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee

http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"

version="3.1" metadata-complete="true">

applicationContext.xml

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xmlns:context="http://www.springframework.org/schema/context" xmlns:tx="http://www.springframework.org/schema/tx"

xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx.xsd">

applicationContext-shiro.xml

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

/** = anon

springDispatherServlet-servlet.xml

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xmlns:context="http://www.springframework.org/schema/context"

xmlns:mvc="http://www.springframework.org/schema/mvc"

xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd">

代码实现

自定义Realm

@Component("myRealm")

public class UserRealm extends AuthorizingRealm {

@Autowired

private UserService userService;

/**

* 授权方法,在配有缓存的情况下,只加载一次。

*/

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

ShiroUser shiroUser = (ShiroUser) principals.getPrimaryPrincipal;

List

Set

for (Authority authority : authorities){

roles.add(authority.getName);

}

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo;

info.setRoles(roles);

return info;

* 登录认证

* @param token

* @return

* @throws AuthenticationException

*/

@Transactional

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

UsernamePasswordToken uptoken = (UsernamePasswordToken) token;

String username = uptoken.getUsername;

User user = userService.findUserByLoginName(username);

if( user == null ) {

throw new UnknownAccountException("用户名"+username+"不存在.");

}

if (user.getEnabled != 1){

throw new LockedAccountException(user.getName+"被锁定");

}

ShiroUser principal = new ShiroUser;

String userInfo = user.getName+"("+user.getRole.getName+")";

principal.setUserInfo(userInfo);

principal.setAuthorities(user.getRole.getAuthorities);

Object hashedCredentials = user.getPassword;

ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt);

String realmName = getName;

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal,hashedCredentials, credentialsSalt,realmName);

public class ShiroUser{

//userName(roleName)

private String userInfo;

private List

public List

return authorities;

}

public void setAuthorities(List

this.authorities = authorities;

}

public String getUserInfo {

return userInfo;

}

public void setUserInfo(String userInfo) {

this.userInfo = userInfo;

* 初始化 使用MD5加密

*/

@PostConstruct

public void initCredentialsMatcher{

HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher;

hashedCredentialsMatcher.setHashAlgorithmName("MD5");

// 加密1024次

hashedCredentialsMatcher.setHashIterations(1024);

//

this.setCredentialsMatcher(hashedCredentialsMatcher);

Main方法生成salt 和password

// 利用shiro提供的随机数生成类、生成随机数,用于盐值加密

SecureRandomNumberGenerator secureRandomNumberGenerator =

new SecureRandomNumberGenerator;

String str = secureRandomNumberGenerator.nextBytes.toBase64;

System.out.println(str);//

String algorithmName = "MD5";

Object source = "123456";

//盐值 NWJtcFg3VFNtNEdEWTh6UUtoSTRkdz09

ByteSource salt = ByteSource.Util.bytes(str);

int hashIterations = 1024;

Object result = new SimpleHash(algorithmName,source,salt,hashIterations);

System.out.println(result);//数据库中密码 b9aa43cfb15649c932ac647df54101a7

LoginController.java

@RequestMapping(value = "/login",method = RequestMethod.POST)

private String login(HttpServletRequest request,Modelmodel,

@RequestParam(name = "username",required = false) String username, @RequestParam(name = "password",required = false) String password, RedirectAttributes attributes){

UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);

//usernamePasswordToken.setRememberMe(false);

Subject subject = SecurityUtils.getSubject;

String message = null;

if(!subject.isAuthenticated){

try {

subject.login(usernamePasswordToken);

} catch (UnknownAccountException ex) {//用户名没有找到

//ex.printStackTrace;

message = "用户名不存在";

} catch (IncorrectCredentialsException ex) {//用户名密码不匹配

// ex.printStackTrace;

message = "用户名和密码不匹配";

}catch (LockedAccountException lae) {// 用户被锁定

//lae.printStackTrace;

message = "用户被锁定";

}catch (AuthenticationException e) {//其他的登录错误

e.printStackTrace;

}

if(message!=null){

attributes.addFlashAttribute("message", message);

return "redirect:/shiro-login";

return "redirect:/success";

}

基于注解的权限设置

在controller list方法上加上 @RequiresRoles(value={"admin"}) 说明此方法需要有admin角色的用户才可以操作。

@RequiresRoles(value={"admin"})

@RequestMapping(value = "/list", method= RequestMethod.GET)

public String list(Model model, HttpServletRequest request){

List

model.addAttribute("list", userList);

return "user/userList";

}

我们用两个用户来测试

c7177fb6f0a5c642f50beb02657375c5.png

5a57efb8a6ab855e2c50e04d88b3f1e5.png

可以看到admin用户可以访问list页面,而gx因为没有admin的角色,访问失败。

附:数据库关系图

80ec8588194069c60f11a099e2492d9f.png

本文通过例子,简单实现了权限的控制,相比与spring secruity的复杂配置,shiro更加简单。

ShuYini
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shirospring集成基础Hello案例详解
08-25
主要介绍了shirospring集成基础Hello案例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
shiro源码shirosession的查询、刷新、过期与删除,你值得拥有
weixin_33700350的博客
10-19 1265
SecurityManager是shiro的核心,负责与shiro的其他组件进行交互;SessionManager是session的真正管理者,负责shirosession管理; SessionsSecurityManager的start方法中将session的创建委托给了具体的sessionManager,是创建session的关键入口。 SimpleSessionshiro完完全全的自己实...
详解springshiro集成
08-29
主要介绍了详解springshiro集成,需要的朋友可以参考下
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:https://blog.csdn.net/weixin_42686388/article/details/103084289
spring boot整合redis实现shiro的分布式session共享的方法
08-28
本篇文章主要介绍了spring boot整合redis实现shiro的分布式session共享的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
shiro中如何检测session失效、退出等事件
m0_67401746的博客
04-07 2351
shiro中如何检测session失效、退出等事件 前言 我们知道shiro是一个优秀的web权限管理的优秀框架,shiro中实现了对用户登录、资源访问控制等功能,使用shiro能够让我们的应用web系统更加安全,同时降低了自己开发一套权限管理系统的代价;本篇文章想向读者介绍的是我们如何在使用shiro框架时,实现对用户session登录、登出等事件的监听,以便应用系统更好的实现对用户事件的管理。 一、shiro中的session是什么? 首先我们要明确shiro中的session和传统的httpSessi
shiro判断session是否失效_java:shiro应用篇——1
weixin_33109551的博客
01-21 1297
第十章 Springboot+Shiro+Jwt前后端分离鉴权1、前后端分离会话问题【1】问题追踪 前面我们实现分布式的会话缓存,但是我们发现此功能的实现是基于浏览的cookie机制,也就是说用户禁用cookie后,我们的系统会就会产生会话不同的问题【2】解决方案​ 我们的前端可能是web、Android、ios等应用,同时我们每一个接口都提供了无状态的应答方式,这里我们提供了基于JWT的toke...
SpringBoot + Shiro登出源码解析
xulifeng1199的博客
12-15 269
项目里面配置shiro退出的url为filterChainDefinitionMap.put("/logout",“logout”),最终会调用到org.apache.shiro.subject.support.DelegatingSubject 的logout方法,截图如下: 接着调用了org.apache.shiro.web.mgt.DefaultWebSecurityManager的logout方法,方法截图如下: 首先调用了beforeLogout方法,该方法判断项目里面是否配置了记住我的功能
apache shiro版本查看_浅谈Apache 安全框架Shiro(十)——会话管理
weixin_39680208的博客
11-26 912
会话管理Shiro 提供了完整的企业级会话管理功能,不依赖于底层容器(如 web 容器 tomcat),不管 JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理、会话事件监听、会话存储 / 持久化、容器无关的集群、失效 / 过期支持、对 Web 的透明支持、SSO 单点登录的支持等特性。即直接使用 Shiro 的会话管理可以直接替换如 Web 容器的会话管理。会话所谓会话,即用户访问...
详解Spring Boot 集成Shiro和CAS
08-30
主要介绍了详解Spring Boot 集成Shiro和CAS,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Shiro 关于校验Session过期、有效性的设计概念
07-11 938
核心行为 开启Session校验调度任务、校验所有的session、具体的Session自我校验、关闭Session校验调度任务 核心类 ValidatingSessionManager、SessionValidationScheduler、ValidatingSession ValidatingSessionManager的行为 public interface Vali...
ajax判断session失效,shiro-ajax请求 session失效问题解决
weixin_36370851的博客
08-05 358
二、思路1、分析原因由于session失效问题,导致shiro会路径指向登陆页面,因为用了jquery的load()所以页面就被嵌入到了父图层中2、解决事后处理(js),事前处理(拦截器)三、解决1、前端 + 后端后端:监控sesson是否失效失效了,再判断是否是ajax请求,如果是则设置一个timeout的状态。告诉前端。publicclassSessionFilterimplement...
关于shiro session失效报错问题
热门推荐
小牛的成长史
08-03 4万+
最近做了一个项目,要用到shiro,做完之后发现有个异常经常发生,经过多天的研究,终于得以解决 登录的时候异常信息: org.apache.shiro.session.UnknownSessionException: There is no session with id [4e8fe40a-6347-4c53-b273-829889656f6e] at org.apache.shi
Shiro的校验Session是否过期处理的过程
weixin_30809333的博客
05-19 3183
首先开启定时扫描活跃的session进行校验 <!-- shiro会话管理 --> <!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 --> <bean id="sessionManager" class="org.apache.shiro.web.s...
Shiro登录过期问题
snowman109的博客
03-06 4340
问题背景 这是一个困扰了我们近一年的问题,我们在学校为某企业开发系统,系统需要登陆的工能,但莫名其妙的问题出现了,即session过期问题。 后端在shiro中配置的session过期时间是30m,即30分钟内前端不发送任何请求的话,session会过期,并且session验证调度器的时间也是每30分钟启动一次,也就是说如果是正常退出的话,session会直接过期,如果是关闭浏览器,也就是不发送任...
关于shiro session失效报错问题
free的博客
12-21 1万+
如果遇到以下错误:org.apache.shiro.session.ExpiredSessionException: Session with id [5a8cb52b-e911-4ab7-91e1-11a11bb7c3a0] has expired. Last access time: 16-12-14 上午11:21. Current time: 16-12-14 上午11:24. Sess
shiro判断session是否失效_SpringBoot + Shiro登出源码解析
最新发布
05-26
Shiro中,判断session是否失效可以通过以下代码实现: ```java Subject subject = SecurityUtils.getSubject(); if (subject != null) { Session session = subject.getSession(false); if (session == null) { // session已经失效 } } ``` 上述代码中,首先通过`SecurityUtils.getSubject()`获取`Subject`对象,再通过`subject.getSession(false)`获取当前用户的`Session`对象,如果返回值为`null`,则表示`Session`已经失效。 当然,也可以通过在Shiro配置文件中配置`sessionManager`,设置`sessionValidationSchedulerEnabled`参数为`true`,开启Shiro的`Session`定期检查功能,实现自动检测`Session`是否失效。 另外,在Spring Boot中集成Shiro时,可以通过实现`SessionListener`接口,监听`Session`的创建、销毁和过期事件,并在事件触发时执行相应的操作。具体可参考以下代码示例: ```java @Component public class MySessionListener implements SessionListener { @Override public void onStart(Session session) { // Session创建时触发 } @Override public void onStop(Session session) { // Session销毁时触发 } @Override public void onExpiration(Session session) { // Session过期时触发 } } ``` 在以上代码中,实现了`SessionListener`接口,并在各个方法中编写相应的操作代码,以实现对`Session`的监听。最后,在Spring Boot配置文件中配置`shiro.sessionListeners`参数,将自定义的`SessionListener`注册到Shiro中即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值