shiro简单配置

最新推荐文章于 2022-08-13 00:28:10 发布
最新推荐文章于 2022-08-13 00:28:10 发布
阅读量115 收藏
点赞数
分类专栏: shiro 文章标签: shiro

注:这里只介绍spring配置模式。

因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。

 

 

涉及的jar包

Jar包名称

版本

核心包shiro-core

1.2.0

Web相关包shiro-web

1.2.0

缓存包shiro-ehcache

1.2.0

与spring整合包shiro-spring

1.2.0

Ehcache缓存核心包ehcache-core

2.5.3

Shiro自身日志包slf4j-jdk14

1.6.4

使用maven时,在pom中添加依赖包

 

  1. <dependency>

  2. <groupId>org.apache.shiro</groupId>

  3. <artifactId>shiro-core</artifactId>

  4. <version>1.2.0</version>

  5. </dependency>

  6. <dependency>

  7. <groupId>org.apache.shiro</groupId>

  8. <artifactId>shiro-web</artifactId>

  9. <version>1.2.0</version>

  10. </dependency>

  11. <dependency>

  12. <groupId>org.apache.shiro</groupId>

  13. <artifactId>shiro-ehcache</artifactId>

  14. <version>1.2.0</version>

  15. </dependency>

  16. <dependency>

  17. <groupId>org.apache.shiro</groupId>

  18. <artifactId>shiro-spring</artifactId>

  19. <version>1.2.0</version>

  20. </dependency>

  21. <dependency>

  22. <groupId>net.sf.ehcache</groupId>

  23. <artifactId>ehcache-core</artifactId>

  24. <version>2.5.3</version>

  25. </dependency>

  26. <dependency>

  27. <groupId>org.slf4j</groupId>

  28. <artifactId>slf4j-jdk14</artifactId>

  29. <version>1.6.4</version>

  30. </dependency>


Spring整合配置

 

 

1.在web.xml中配置shiro的过滤器

 

  1. <!-- Shiro filter-->  

  2. <filter> 

  3. <filter-name>shiroFilter</filter-name> 

  4. <filter-class> 

  5. org.springframework.web.filter.DelegatingFilterProxy  

  6. </filter-class>  

  7. </filter>  

  8. <filter-mapping>  

  9. <filter-name>shiroFilter</filter-name>  

  10. <url-pattern>/*</url-pattern>  

  11. </filter-mapping>  

 

2.在Spring的applicationContext.xml中添加shiro配置 

 

  1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

  2. <property name="securityManager" ref="securityManager" />

  3. <property name="loginUrl" value="/login" />

  4. <property name="successUrl" value="/login/loginSuccessFull" />

  5. <property name="unauthorizedUrl" value="/login/unauthorized" />

  6. <property name="filterChainDefinitions">

  7. <value>

  8. /home* = anon

  9. / = anon

  10. /logout = logout

  11. /role/** = roles[admin]

  12. /permission/** = perms[permssion:look]

  13. /** = authc

  14. </value>

  15. </property>

  16. </bean>

 

securityManager:这个属性是必须的。

loginUrl:没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。

successUrl:登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。

unauthorizedUrl:没有权限默认跳转的页面。

 

过滤器简称

过滤器简称

对应的java类

anon

org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter

logout

org.apache.shiro.web.filter.authc.LogoutFilter

anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数

roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。

perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。

port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString

是你访问的url里的?后面的参数。

authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证

ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

注:anon,authcBasic,auchc,user是认证过滤器,

perms,roles,ssl,rest,port是授权过滤器

3.在applicationContext.xml中添加securityManagerper配置

 

 

  1. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

  2. <!-- 单realm应用。如果有多个realm,使用‘realms’属性代替 -->

  3. <property name="realm" ref="sampleRealm" />

  4. <property name="cacheManager" ref="cacheManager" />

  5. </bean>

 

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager" />


4.配置jdbcRealm

 

 

 

  1. <bean id="sampleRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">

  2. <property name="dataSource" ref="dataSource" />

  3. <property name="authenticationQuery"

  4. value="select t.password from my_user t where t.username = ?" />

  5. <property name="userRolesQuery"

  6. value="select a.rolename from my_user_role t left join my_role a on t.roleid = a.id where t.username = ? " />

  7. <property name="permissionsQuery"

  8. value="SELECT B.PERMISSION FROM MY_ROLE T LEFT JOIN MY_ROLE_PERMISSION A ON T.ID = A.ROLE_ID LEFT JOIN MY_PERMISSION B ON A.PERMISSION = B.ID WHERE T.ROLENAME = ? " />

  9. <property name="permissionsLookupEnabled" value="true" />

  10. <property name="saltStyle" value="NO_SALT" />

  11. <property name="credentialsMatcher" ref="hashedCredentialsMatcher" />

  12. </bean>

 

 

dataSource数据源,配置不说了。

authenticationQuery登录认证用户的查询SQL,需要用登录用户名作为条件,查询密码字段。

userRolesQuery用户角色查询SQL,需要通过登录用户名去查询。查询角色字段

permissionsQuery用户的权限资源查询SQL,需要用单一角色查询角色下的权限资源,如果存在多个角色,则是遍历每个角色,分别查询出权限资源并添加到集合中。

permissionsLookupEnabled默认false。False时不会使用permissionsQuery的SQL去查询权限资源。设置为true才会去执行。

saltStyle密码是否加盐,默认是NO_SALT不加盐。加盐有三种选择CRYPT,COLUMN,EXTERNAL。详细可以去看文档。这里按照不加盐处理。

credentialsMatcher密码匹配规则。下面简单介绍。

 

  1. <bean id="hashedCredentialsMatcher"

  2. class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

  3. <property name="hashAlgorithmName" value="MD5" />

  4. <property name="storedCredentialsHexEncoded" value="true" />

  5. <property name="hashIterations" value="1" />

  6. </bean>

 

hashAlgorithmName必须的,没有默认值。可以有MD5或者SHA-1,如果对密码安全有更高要求可以用SHA-256或者更高。这里使用MD5

storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码

hashIterations迭代次数,默认值是1。

登录JSP页面

<form action="login" method="post">

 

 

  1. <td>用户名:</td>

  2. <td><input type="text" name="username"></input></td>

 

 

  1. <td>密码:</td>

  2. <td><input type="password" name="password"></input></td>

 

 

  1. <td>记住我</td>

  2. <td><input type="checkbox" name="rememberMe" /></td>

 

注:登录JSP,表单action与提交方式固定,用户名与密码的name也是固定。

5.配置shiro注解模式

 

 

  1. <!-- 开启Shiro注解的Spring配置方式的beans。在lifecycleBeanPostProcessor之后运行 -->

  2. <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"

  3. depends-on="lifecycleBeanPostProcessor" />

  4. <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

  5. <property name="securityManager" ref="securityManager" />

  6. </bean>

注意:在与springMVC整合时必须放在springMVC的配置文件中。

Shiro在注解模式下,登录失败,与没有权限均是通过抛出异常。并且默认并没有去处理或者捕获这些异常。在springMVC下需要配置捕获相应异常来通知用户信息,如果不配置异常会抛出到页面

 

  1. <bean

  2. class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">

  3. <property name="exceptionMappings">

  4. <props>

  5. <prop key="org.apache.shiro.authz.UnauthorizedException">

  6. /unauthorized

  7. </prop>

  8. <prop key="org.apache.shiro.authz.UnauthenticatedException">

  9. /unauthenticated

  10. </prop>

  11. </props>

  12. </property>

  13. </bean>

 

@RequiresAuthentication

验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。

@RequiresUser

验证用户是否被记忆,user有两种含义:

一种是成功登录的(subject.isAuthenticated() 结果为true);

另外一种是被记忆的(subject.isRemembered()结果为true)。

@RequiresGuest

验证是否是一个guest的请求,与@RequiresUser完全相反。

 换言之,RequiresUser  == !RequiresGuest。

此时subject.getPrincipal() 结果为null.

@RequiresRoles

例如:@RequiresRoles("aRoleName");

  void someMethod();

如果subject中有aRoleName角色才可以访问方法someMethod。如果没有这个权限则会抛出异常AuthorizationException

@RequiresPermissions

例如: @RequiresPermissions({"file:read", "write:aFile.txt"} )
  void someMethod();

要求subject中必须同时含有file:read和write:aFile.txt的权限才能执行方法someMethod()。否则抛出异常AuthorizationException

三.简单扩展

1.自定义realm:

 

  1. <!--自定义的myRealm 继承自AuthorizingRealm,也可以选择shiro提供的 -->

  2. <bean id="myRealm" class="com.yada.shiro.MyReam"></bean>

 

 

  1. //这是授权方法

  2. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

  3. String userName = (String) getAvailablePrincipal(principals);

  4. //TODO 通过用户名获得用户的所有资源,并把资源存入info中

  5. …………………….

  6. SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

  7. info.setStringPermissions(set集合);

  8. info.setRoles(set集合);

  9. info.setObjectPermissions(set集合);

  10. return info;

  11. }

 

 

  1. //这是认证方法

  2. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

  3. //token中储存着输入的用户名和密码

  4. UsernamePasswordToken upToken = (UsernamePasswordToken)token;

  5. //获得用户名与密码

  6. String username = upToken.getUsername();

  7. String password = String.valueOf(upToken.getPassword());

  8. //TODO 与数据库中用户名和密码进行比对。比对成功则返回info,比对失败则抛出对应信息的异常AuthenticationException

  9. …………………..

  10. SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCharArray(),getName());

  11. return info;

  12. }


2.自定义登录

 

 

  1. //创建用户名和密码的令牌

  2. UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getPassWord());

  3. //记录该令牌,如果不记录则类似购物车功能不能使用。

  4. token.setRememberMe(true);

  5. //subject理解成权限对象。类似user

  6. Subject subject = SecurityUtils.getSubject();

  7. try {

  8. subject.login(token);

  9. } catch (UnknownAccountException ex) {//用户名没有找到。

  10. } catch (IncorrectCredentialsException ex) {//用户名密码不匹配。

  11. }catch (AuthenticationException e) {//其他的登录错误

  12. }

  13. //验证是否成功登录的方法

  14. if (subject.isAuthenticated()) {

  15. }


3.自定义登出

 

 

  1. Subject subject = SecurityUtils.getSubject();

  2. subject.logout();


4.基于编码的角色授权实现

 

 

  1. Subject currentUser = SecurityUtils.getSubject();  

  2. if (currentUser.hasRole("administrator")) {  

  3.     //拥有角色administrator

  4. } else {  

  5.     //没有角色处理

  6. }  

 

断言方式控制

 

  1. Subject currentUser = SecurityUtils.getSubject();  

  2. //如果没有角色admin,则会抛出异常,someMethod()也不会被执行

  3. currentUser.checkRole(“admin");  

  4. someMethod();  

 

5.基于编码的资源授权实现

 

  1. Subject currentUser = SecurityUtils.getSubject();  

  2. if (currentUser.isPermitted("permssion:look")) {  

  3.     //有资源权限

  4. } else {  

  5.     //没有权限

  6. }  

 

断言方式控制

 

  1. Subject currentUser = SecurityUtils.getSubject();  

  2. //如果没有资源权限则会抛出异常。

  3. currentUser.checkPermission("permssion:look");  

  4. someMethod();  

 

6.在JSP上的TAG实现

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe时

<shiro:user>

用户在RememberMe时

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal>

默认显示用户名称

7.

默认,添加或删除用户的角色 或资源 ,系统不需要重启,但是需要用户重新登录。

即用户的授权是首次登录后第一次访问需要权限页面时进行加载。

但是需要进行控制的权限资源,是在启动时就进行加载,如果要新增一个权限资源需要重启系统。

8.

Springsecurity 与apache shiro差别:

a)shiro配置更加容易理解,容易上手;security配置相对比较难懂。

b)在spring的环境下,security整合性更好。Shiro对很多其他的框架兼容性更好,号称是无缝集成。

c)shiro不仅仅可以使用在web中,它可以工作在任何应用环境中。

d)在集群会话时Shiro最重要的一个好处或许就是它的会话是独立于容器的。

e)Shiro提供的密码加密使用起来非常方便。

9.

控制精度:

注解方式控制权限只能是在方法上控制,无法控制类级别访问。

过滤器方式控制是根据访问的URL进行控制。允许使用*匹配URL,所以可以进行粗粒度,也可以进行细粒度控制。

天狼42
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro入门
trasewell的博客
09-25 847
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
渗透测试-web到内网的总结
qq_50643984的博客
04-08 6817
WEB渗透 sql注入 【存在数据库交互就存在注入,本质就是传参过滤不严格】 注入分类: 1.post,get,cookie,http头注入 2.布尔盲注,时间盲注,报错注入,堆叠注入(;),联合注入(union) 报错注入常用函数: 1.floor,extractvaule,updatexml,exp mysql读取函数:load_file(),into outfile , into dumpfile sql注入bypass 常规bypass思路 替换:空格可以用/**/,/*!*/,%20,%09,%0
记一次Shiro实战(目标不出网)
m0_49936858的博客
08-13 1162
获取Webshell 可以在能够回显的情况下直接在使用者给出的路径(目录需要真实存在)下写入 webshell, webshell 名称和后缀名由使用者自行指定,webshell 的内容从 config 目录下的 shell.jsp 中读取。直接在工具中选择获取webshell,然后填入想写入的路径+webshell的名字,比如https://xxxxx/fxqgl/static/flash/ini.jsp ,ini.jsp是我自己命名的。1.在工具的哪个地方上传木马。3. 找上传木马的地方。...
这里只介绍spring配置模式
何成俭的博客
08-09 3164
转自:http://blog.csdn.net/clj198606061111/article/details/24185023 因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。 涉及的jar包 Jar包名称 版本 核心包shiro-core 1
Shiro简易实例:HelloWorld
11-03
在本资源中,我们有一个名为"Shiro简易实例:HelloWorld"的项目,它将引导你了解如何在实际应用中使用Shiro进行基础的安全设置。 首先,我们需要理解Shiro的基本概念: 1. **身份验证(Authentication)**:确认...
shiro之INI配置详解
08-29
下面是一个简单Shiro INI配置示例: ``` [main] authenticator = org.apache.shiro.authc.pam.ModularRealmAuthenticator authenticationStrategy = org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy ...
shiro简单的demo.zip
07-14
**标题解析:**"shiro简单的demo.zip" 这个标题表明我们正在处理一个关于Apache Shiro简单演示项目,这个项目已经集成了SpringBoot框架,并且使用Redis作为缓存来处理权限认证。Shiro是一个强大的Java安全框架,...
简单配置 shiro + spring +springMVC+hibernate简单框架
02-20
-- shiro简单配置 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.0</version> </dependency> <dependency> <groupId>org.apache.shiro...
shiro简单登录+logback日志记录
06-06
Shiro简单登录+Logback日志记录》 在现代Web开发中,权限管理和日志记录是两个不可或缺的环节。Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、会话管理和加密等功能,而Logback作为Log4j的替代...
Apache Shiro核心jar包:shiro-core-1.3.2
12-07
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
shiro动态URL权限控制
01-16
1 / 10 shiro动态URL权限控制 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制。
shiro简单使用配置
安逸llllll的博客
05-23 1566
SpringBoot整合shiro框架
shiro与spring整合中shiroFilter配置参数loginUrl及unauthorizedUrl含义小记
TYOUKAI_的博客
03-15 7276
&nbsp;&nbsp;&nbsp;&nbsp; shiro与spring整合的时候一般会使用shiro的Filter来代理网站的Filter。网上有很多关于配置shiroFilter的例子,但是感觉都没有给出参数的具体含义。在此小小的记录一下。 shiroFilter的xml配置如下: &lt;!-- Shiro Filter --&gt; &lt;bean id="sh...
shiro踏坑(一)——loginUrl不拦截问题
热门推荐
LuckyToMeet-Dian叶
02-26 1万+
    想想大家应该也遇到过整合了ssm+shiro后,直接进入需要经过认证授权的页面,但是loginUrl居然不拦截,直接放行进来,虽然拿不到数据。但是这也是不能忍的。    下面是我的shiro整合spring的配置文件:&lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3...
shiro中密码匹配
lookthatgirl小牧坊
07-09 1万+
参考文章
shiro defaultkey无利用_深入利用Shiro反序列化漏洞
weixin_35734296的博客
01-06 3009
0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先dec...
Shiro在springmvc中的使用(实例)
hao_hl1314的博客
11-16 1455
首先在web.xml中配置过滤器     xmlns="http://java.sun.com/xml/ns/javaee"     xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"     version="3.0">
shiro unauthorizedUrl页面不跳转问题
阿朗的程序人生
02-19 8610
最近使用shiro框架控制用户权限,用户权限认证未通过时,无法跳转到unauthorizedUrl对应的页面,直接抛出了异常。最后没办法,只能在web.xml中配置error-page,配置如下: 500 /error.jsp   shiro部分配置如下: /css/** =
springboot shiro 网关配置shiro
最新发布
10-16
10. 在配置类中,创建一个ShiroSessionManager对象,并设置其属性。 11. 在配置类中,创建一个ShiroSessionListener对象,并注册到ShiroSessionManager中。 12. 在配置类中,创建一个ShiroCacheManager对象,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值