shiro分步学习,详细-------web篇

最新推荐文章于 2020-05-06 23:16:56 发布
最新推荐文章于 2020-05-06 23:16:56 发布
阅读量201 收藏
点赞数 1
分类专栏: shiro 文章标签: shiro web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41637749/article/details/84317858
版权

shiro默认的过滤器 

过滤器简称		对应的java类
anon		org.apache.shiro.web.filter.authc.AnonymousFilter
authc		org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic		org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
roles		org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
perms		org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
user		org.apache.shiro.web.filter.authc.UserFilter
logout		org.apache.shiro.web.filter.authc.LogoutFilter
port		org.apache.shiro.web.filter.authz.PortFilter
rest		org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
ssl		org.apache.shiro.web.filter.authz.SslFilter


anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例“/static/**=anon”
authc:表示需要认证(登录)才能使用;示例“/**=authc”
        主要属性:usernameParam:表单提交的用户名参数名( username);  passwordParam:表单提交的密码参数名(password); rememberMeParam:表单提交的密码参数名(rememberMe);  loginUrl:登录页面地
         址(/login.jsp);successUrl:登录成功后的默认重定向地址; failureKeyAttribute:登录失败后错误信息存储key(shiroLoginFailure);
authcBasic:Basic HTTP身份验证拦截器,主要属性: applicationName:弹出登录框显示的信息(application);
roles:角色授权拦截器,验证用户是否拥有资源角色;示例“/admin/**=roles[admin]”
perms:权限授权拦截器,验证用户是否拥有资源权限;示例“/user/create=perms["user:create"]”
user:用户拦截器,用户已经身份验证/记住我登录的都可;示例“/index=user”
logout:退出拦截器,主要属性:redirectUrl:退出成功后重定向的地址(/);示例“/logout=logout”
port:端口拦截器,主要属性:port(80):可以通过的端口;示例“/test= port[80]”,如果用户访问该页面是非80,将自动将请求端口改为80并重定向到该80端口,其他路径/参数等都一样
rest:rest风格拦截器,自动根据请求方法构建权限字符串(GET=read, POST=create,PUT=update,DELETE=delete,HEAD=read,TRACE=read,OPTIONS=read, MKCOL=create)构建权限字符串;
       示例“/users=rest[user]”,会自动拼出“user:read,user:create,user:update,user:delete”权限字符串进行权限匹配(所有都得匹配,isPermittedAll);
ssl:SSL拦截器,只有请求协议是https才能通过;否则自动跳转会https端口(443);其他和port拦截器一样;
注:
anon,authcBasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器

shiro过滤方式: 

 shiro过滤器数字越小,优先级越高

authc登录拦截器工作原理 authc拦截器有2个作用:

1>登录认证     请求进来时,拦截并判断当前用户是否登录了,如果已经登录了放行, 如果没有登录,跳转到authc.loginUrl属性配置的路径,注意:默认是/login.jsp

2>执行登录认证     请求进来时,如果请求的路径为authc.loginUrl属性配置的路径(没配置,默认是/login.jsp)时,如果当前用户没有登录,authc这个拦截器会尝试获取请求中的账号跟密码值,然后比对ini配置文件或者realm中的用户列表,如果比对正确,直接执行登录操作,反之,抛异常,跳转到authc.loginUrl指定的路径。

注意:请求中账号与密码必须固定为username 跟password, 如果需要改动必须额外指定,authc.usernameParam=xxx   authc.passwordParam=xxxx

authc登录成功之后处理逻辑:

Shiro的jsp标签

 

标签名称			         标签条件(均是显示标签内容)
<shiro:authenticated>		登录之后
<shiro:notAuthenticated>	不在登录状态时
<shiro:guest>			    用户在没有RememberMe时
<shiro:user>			    用户在RememberMe时
<shiro:hasAnyRoles name="abc,123" >	在有abc或者123角色时
<shiro:hasRole name="abc">		拥有角色abc
<shiro:lacksRole name="abc">		没有角色abc
<shiro:hasPermission name="abc">	拥有权限资源abc
<shiro:lacksPermission name="abc">	没有abc权限资源
<shiro:principal>		    显示用户身份名称
<shiro:principal property="username"/>     	显示用户身份中的属性值

shiro的web应用

1、导入相关依赖

   <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.1.3</version>
        </dependency>
        <!-- shiro核心的依赖 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.2</version>
        </dependency>
        <!-- shiro对web支持的依赖 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.2.2</version>
        </dependency>
        <!-- serlvet-api -->
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
            <version>3.0.1</version>
            <scope>provided</scope>
        </dependency>

2、在web.xml中配置shiro过滤器

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">

    <!--初始化securityManager对象所需要的环境配置-->
    <context-param>
        <param-name>shiroEnvironmentClass</param-name>
        <param-value>org.apache.shiro.web.env.IniWebEnvironment</param-value>
    </context-param>
    <context-param>
        <param-name>shiroConfigLocations</param-name>
        <param-value>classpath:shiro.ini</param-value>
    </context-param>
    <!--
    	从Shiro 1.2开始引入了Environment/WebEnvironment的概念,即由它们的实现提供相应的SecurityManager及其相应的依赖。
    	ShiroFilter会自动找到Environment然后获取相应的依赖。
    	底层:返回反射创建shiroEnvironmentClass对象,调用其init方法.
    		shiroEnvironmentClass中的init方法创建SecurityManager实例并绑定到当前运行环境
     -->
    <listener>
        <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
    </listener>


    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <!-- 拦截所有的请求 -->
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

3、ini配置文件

[main]
#默认是/login.jsp
authc.loginUrl=/login
#用户无需要的角色时跳转的页面
roles.unauthorizedUrl=/nopermission.jsp
#用户无需要的权限时跳转的页面
perms.unauthorizedUrl=/nopermission.jsp
#登出之后重定向的页面
logout.redirectUrl=/login
[users]
admin=666,admin
zhangsan=666,deptMgr
[roles]
admin=employee:*,department:*
deptMgr=department:view
[urls]
#静态资源可以匿名访问
/static/**=anon
#访问员工列表需要身份认证及需要拥有admin角色
/employee=authc,roles[admin]
#访问部门列表需要身份认证及需要拥有department:view的权限
/department=authc,perms["department:view"]
#当请求loginOut,会被logout捕获并清除session
/loginOut=logout
#所有的请求都需要身份认证
/**=authc

4、主要代码:

    LoginServlet:

package com.zhangchao.shiro.servlet;

import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@WebServlet(name = "loginServlet", urlPatterns = "/login")
public class LoginServlet  extends HttpServlet {
	@Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		doPost(req, resp);
    }

	@Override
	protected void doPost(HttpServletRequest req, HttpServletResponse resp)
			throws ServletException, IOException {
        //如果登陆失败从request中获取认证异常信息,shiroLoginFailure就是shiro异常类的全限定名
        String exceptionClassName = (String) req.getAttribute("shiroLoginFailure");
        //根据shiro返回的异常类路径判断,抛出指定异常信息
        System.out.println(exceptionClassName);
        if(exceptionClassName!=null){
            if (UnknownAccountException.class.getName().equals(exceptionClassName)) {
                //最终会抛给异常处理器
                System.out.println("账号不存在");
                req.setAttribute("errorMsg", "账号不存在");
            } else if (IncorrectCredentialsException.class.getName().equals(exceptionClassName)) {
                System.out.println("用户名/密码错误");
                req.setAttribute("errorMsg", "用户名/密码错误");
            } else {
                //最终在异常处理器生成未知错误.
                System.out.println("其他异常信息");
                req.setAttribute("errorMsg", "其他异常信息");
            }
        }
        //此方法不处理登陆成功(认证成功),shiro认证成功会自动跳转到上一个请求路径
        //登陆失败还到login页面
        req.getRequestDispatcher("/WEB-INF/views/login.jsp").forward(req, resp);
    }
	
}

完整代码在github,点击前往

同时,非常感谢姚老师的视频,还有笔记,本文大部分内容由笔记而来,笔记和xmind都在github

视频学习地址,点击进入

 

 

旧风年间
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
分步学习:不积跬步,无以至千里;不积小流,无以成江河
02-20
逐步学习 学习过程中看过的比较好的文章,书籍等资源,更全面的书籍索引推荐。 Java J2EE Http和WebSocket 前端开发 & 和 项目建成 码头工人 MySQL Linux 设计 测试TDD 软件开发 数据结构与算法 工具 其他 的事情&
Apache Shiro 使用手册
gdn_wolf的专栏
11-21 1157
原文:Apache Shiro 使用手册(一)Shiro架构介绍http://kdboy.iteye.com/blog/1154644   Apache Shiro 使用手册(一)Shiro架构介绍 博客分类: 开发 安全框架Shiro  一、什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:
shiro学习-与Web集成
Andrew的博客
05-06 142
Web集成 shiro提供了与web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,其实安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作. 准备环境 1、创建 webapp 应用 此处我们使用了 jetty-mave...
shiro-学习1-shiro快速入门
wj903829182的专栏
12-08 569
     shiro是一框简易的认证授权的开源框架,开源使用它快速的完成权限管理。网上的资料很多,具体详细的就不多说了,这里只记录下怎么快速的使用:      shiro的架构图如下:        上面的架构图,开源看出用户信息和权限信息都在Realm中,在Authenticator中进行认证,在Authorizer中进行授权。       SessionManager是sessio...
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiro-web-1.3.2-API文档-中文版.zip
04-08
赠送jar包:shiro-web-1.3.2.jar; 赠送原API文档:shiro-web-1.3.2-javadoc.jar; 赠送源代码:shiro-web-1.3.2-sources.jar; 包含翻译后的API文档:shiro-web-1.3.2-javadoc-API文档-中文(简体)版.zip 对应...
shiro-web-1.3.2.jar包
02-24
Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiro学习——高级概述(二)
聪明的阿呆
08-26 493
Subject 实质上是一个当前执行用户的特定的安全“视图”。Subject 可以是一个人,也可以代表第三方服务,或其他类似的任何东西——基本上是当前正与软件进行交互 的任何东西。 所有Subject 实例都被绑定到(且这是必须的)一个SecurityManager上。当你与一个Subject 交互时,那些交互作用转化为与SecurityManager交互的特定subject 的交 互作用。
Jquery分步学习
夜风
07-28 509
引入Jquery body中放入文本框和按钮    用Jquery里带的访问来测试 function getContent(){ // var content=document.getElementById("content").value; var content=$("#content1").val(); alert(content); } 另外一种方法: 不设onc
shiro权限框架详解06-shiroweb项目整合(上)
在路上
02-09 8918
shiroweb项目整合,实现与真实项目一致的基本需求。并全面介绍shiro的常用filter的作用。
shiro分步学习,详细-------基础
旧风年间的博客
11-21 236
什么是权限管理    一、使用ini完成认证,入门 1、创建shiro.ini文件,模拟数据库查询 #固定写法-创建用户对象 [users] # 账号=密码 zhangchao=666 2、测试类 package com.zhangchao.shiro.study; import org.apache.shiro.SecurityUtils; i...
shiro学习一 (开涛的跟我学系列 ) 身份验证
ahaha413525642的博客
10-27 3773
shiro
shiro分布式的配置和怎么使用的方式
qq_41895699的博客
05-24 4564
之前老想写这一片关于分布式安全框架shiro记住一点,想用shiro需要导包不知道你们是用版本是多少所以这个得配置因为我用shiro只是在登录识别身份,缓存什么等没配置,如果想要其他的shiro的特性,那么给你们介绍去shiro的官网和这个   https://www.sojson.com/blog/199.html 但是不是整合分布式框架,所以你可以看他的其他配置获取特性/** *  *  *s...
shiro简介及入门
qq_44847231的博客
10-13 453
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiroweb容器的集成 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
Shiro笔记(三)----Shiro配置文件ini详解
热门推荐
fendo
07-09 3万+
一、INI简介 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类中的key不可重复,#号代表注释,shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。 1.在web.xml中配置shiro的过滤器 要使用Shiro必须在web
shiro-redis-spring-boot-starter
最新发布
10-06
shiro-redis-spring-boot-starter是一个用于集成Apache Shiro和Redis的Spring Boot Starter项目。Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存数据库,其具有快速的数据存取能力和持久化支持。 shiro-redis-spring-boot-starter提供了一种简化和快速集成Shiro和Redis的方式,使得在Spring Boot应用中实现安全功能变得更加容易。通过使用该Starter,我们可以方便地将Shiro的会话管理功能存储到Redis中,从而支持分布式环境下的会话共享和管理。 使用shiro-redis-spring-boot-starter可以带来以下好处: 1. 分布式环境的会话共享:通过将Shiro的会话数据存储到Redis中,不同的应用节点可以共享同一个会话,从而实现分布式环境下的会话管理和跨节点的身份验证和授权。 2. 高可用性和性能:Redis作为一个高性能的内存数据库,具有出色的数据读写能力和持久化支持,可以提供可靠的会话存储和高性能的数据访问能力。 3. 简化配置和集成:shiro-redis-spring-boot-starter提供了封装好的配置和集成方式,减少了我们自己实现集成的复杂性和工作量。 总结来说,shiro-redis-spring-boot-starter为我们提供了一种简化和快速集成Shiro和Redis的方式,使得在Spring Boot应用中实现安全功能变得更加容易和高效。通过它,我们可以实现分布式环境下的会话共享和管理,提供高可用性和性能的数据存取能力,同时简化了配置和集成的复杂性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值