shiro学习笔记(三)

最新推荐文章于 2024-02-09 12:28:26 发布
最新推荐文章于 2024-02-09 12:28:26 发布
阅读量591 收藏 2
点赞数
分类专栏: shiro 文章标签: shiro spring boot spring 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41922289/article/details/86496360
版权

今日内容:

  • shiro实现rememberMe功能
  • shiro权限的两种方式总结

1.shiro实现rememberMe

1.什么是rememberMe

Shiro 对记 住我的 Subject 和通过验证的 Subject 作了精确的区分:

  1. Remembered(记住我):一个记住我的 Subject 不是匿名的,而且有一个已知的身份 ID(也就是 subject.getPrincipals()是非空的)。但是这个被记住的身份 ID 是在之前的 session 中被认证的。如果 subject.isRemembered()返回 true,则 Subject 被认为是被记住的。
  2. Authenticated(已认证):一个已认证的 Subject 是指在当前 Session 中被成功地验证过了(也就是说,login 方法被调用并且没有抛出异常)。如果 subject.isAuthenticated()返回 true 则认为 Subject 已通过验证。

2.记住我和认证我的区别( isAuthenticated()和isRemembered())

两者为互斥关系
Remembered 和 Authenticated 是互斥的——若其中一个为真则另一个为假,反之亦然
当用户只记得之前与应用的交互时,认证将不复存在:被记住的身份 ID 使系统明白这个用户可能是谁,但在 现实中没有办法绝对保证被记住的 Subject 代表期望的用户。一旦 Subject 通过验证,它们将不再仅仅被认为 是被记住的,由于它们的身份已经在当前 session 中被证实。

3.具体实现

具体实现很简单

1.在shiro配置类配置好,可以通过记住我直接免登陆访问路径,采用"user"

在这里插入图片描述

    //创建shiroFilter关联securityManager
        @Bean
        public ShiroFilterFactoryBean getShiroFilterFactoryBean( @Qualifier("securityManager") DefaultWebSecurityManager securityManager){
            ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
            shiroFilterFactoryBean.setSecurityManager(securityManager);
    
            //拦截器,拦截路径有顺序,所以采用LinkedHashMap
            Map<String,String> filterMap = new LinkedHashMap<>();
    
            //配置拦截路径,注意顺序,先配置无需权限的路径,过滤链定义,从上向下顺序执行,一般将/**放在最为下边
            filterMap.put("/all/login2","anon");
            filterMap.put("/all/toLogin2","anon");
    
            //配置rememberme可以直接访问的路径
            filterMap.put("/all/selectByPages","user");
    
            //配置资源授权过滤器
            filterMap.put("/all/toUpdateUser","authc,perms[user:update]");
            filterMap.put("/all/deleteUser","authc,perms[user:delete]");
            filterMap.put("/all/insertUser","perms[user:add]");
    
            filterMap.put("/all/**","authc");
            //设置登录url,如果不设置的,shiro会自动跳转到login.jsp
            shiroFilterFactoryBean.setLoginUrl("/all/toLogin2");
            //设置未授权url
            shiroFilterFactoryBean.setUnauthorizedUrl("/all/toUnanthorizedUrl");
    
            shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
            System.out.print("shiro拦截器已经加载");
            return shiroFilterFactoryBean;
        }
2.在controller层登录方法, token.setRememberMe(true);
     //登录认证页面
        @RequestMapping("/all/login2")
        public String login2(@RequestParam("nick")String nick, @RequestParam("pwd") String pwd,Model model) {
            /**
             * @认证流程
             * 1.获取当前用户:Subject = SecurityUtils.getSubject();
             * 2.判断是否已经获得认证: !subject.isAuthenticated()
             * 3.若没有获得认证,则封装token: UsernamePasswordToken token = new UsernamePasswordToken(nick,pwd);
             * 4.执行登录: subject.login(token);
             * 5.自定义realm,从数据库中获取对应的记录,返回给shiro
             * 6.最后由shiro完成密码比对
             */
    
            Subject subject = SecurityUtils.getSubject();
            if(!subject.isAuthenticated()) {
                UsernamePasswordToken token = new UsernamePasswordToken(nick,pwd);
                token.setRememberMe(true);
                try {
                    subject.login(token);
                    model.addAttribute("msg", "登录成功");
                    return "redirect:/all/selectByPages";
                } catch (UnknownAccountException e) {
                    model.addAttribute("msg", "用户名错误");
                    return "login2";
                } catch (IncorrectCredentialsException e) {
                    model.addAttribute("msg", "密码错误");
                    return "login2";
                }
            }
            return "redirect:/all/selectByPages";
        }
3.测试
第一次登录:

在这里插入图片描述
在这里插入图片描述

关掉再开一个,直接访问selectByPages(之前没登录会直接拦截,跳转到登录界面)

在这里插入图片描述
发现可以直接访问,rememberMe生效了
但是,当尝试修改功能时,又会直接跳转到登录界面

4.应用与感想

下面是一个相当普遍的情况,有助于说明 Remembered 和 Authenticated 之间区别的重要性。 比方说,你正在访问 Amazon.com。你已经登录成功并添加了几本书到你的购物车。但你心烦意乱地跑出去开 会,却忘了注销。会议结束后,已经到了回家的时候,于是你离开了办公室。 第二天你工作的时候,你意识到你没有完成购买,于是你返回到 amazon.com。这一次,Amazon“记得”你是 谁,给出了你的欢迎页面,并仍然为你提供一些个性化的建议书籍。对 Amazon 而言,subject.isRemembered() 将返回 true。 但是,当你尝试访问你的帐户来更新你的信用卡信息为你书付账时会发生什么呢?尽管 Amazon“记住”你 (isRemembered() = = true),它不能保证你就是实际上的你(例如,也许一个同事正在使用你的计算机)。
所以,在你能够执行像更新信用卡信息等敏感行为之前,Amazon 将强制让你登录,使它们能够保证你的身份。 在登录后,你的身份已经被核实,同时对 Amazon 而言,isAuthenticated()现在返回是 true。 这种情况在许多类型的应用中发生的是如此的频繁,所以这些功能被内置在 Shiro 中,这样你就能利用它来为 你的应用服务了。现在,无论你使用的是 isRemembered()还是 isAuthenticated()来定制你的视图和工作流都由 你来决定,但 Shiro 将维持这一基本情况以防你需要它。

二,shiro权限实现的两种方式:

1.基于授权字符串

1.shiro配置类配置授权字符串,必须和数据库中的授权字符串一样
   		    //配置资源授权过滤器---1.授权字符串
            //filterMap.put("/all/toUpdateUser","authc,perms[user:user]");
            //filterMap.put("/all/deleteUser","authc,perms[user:boss]");
            //filterMap.put("/all/insertUser","authc,perms[user:boss]");
2.自定义realm
            Subject subject = SecurityUtils.getSubject();
            String username = (String) subject.getPrincipal();
            /*
            @第一种方式:权限字符串
            UserInfo userInfo = userService.getPerm(username);
            if (userInfo!=null){
               simpleAuthorizationInfo.addStringPermission(userInfo.getPerm());
               return simpleAuthorizationInfo;
            }else {
                return null;
            }
            */
3.前端html页面使用shiro标签控制
     <!--thymeleaf整合shiro权限标签,实现权限管理--><!--shiro:hasPermission="user:boss"-->

2.基于角色授权

步骤和上边一样

1.自定义realm
            Subject subject = SecurityUtils.getSubject();
            String username = (String) subject.getPrincipal();
            //@第二种方式:角色授权
            UserInfo userInfo = userService.getRole(username);
            if(userInfo!=null){
                simpleAuthorizationInfo.addRole(userInfo.getRole());
                return simpleAuthorizationInfo;
            }else{
                return null;
            }
2.shiro配置类
	
		//配置资源授权过滤器---2.角色授权
        filterMap.put("/all/toUpdateUser","roles[boss]");
        filterMap.put("/all/deleteUser","roles[boss]");
        filterMap.put("/all/insertUser","roles[boss]");
3.前台html
    <div shiro:hasRole="boss">

数据库

在这里插入图片描述

效果展示

第一个用户,没有任何操作权限
在这里插入图片描述

第二个用户: 在这里插入图片描述
这个比较简单,后期会基于这个深入

Kevin_cai09
关注
专栏目录
shiro学习心得
05-20
自己在学习shiro一点心得与shiro应用
shiro框架的学习总结
青树寒鸦的博客
04-16 582
shiro的使用,配置和理解
Shrio学习心得
zhuzi147的博客
09-27 200
最近又跟这个老师学了shrio,他先解释了认证和授权,然后以原始的过滤器(或者springmvc拦截器)的方式进行认证和授权。然后说明了使用角色进行授权的问题 推荐使用权限授权。 认证和授权---认证 即登陆 是否是系统的用户 | ----授权 ...
安全框架Apache Shiro学习心得
qq_32814555的博客
08-31 316
安全框架Apache Shiro学习心得
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - ShiroSpring的整合 - Shiro的Filter链配置 - ...
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
shiro学习笔记(四次课,从入门到案例)
06-15
Shiro01-概念、入门、认证的基本使用; Shiro02-认证加密,授权; Shiro03-SpringBoot集成、注册、登录; Shiro04-SpringBoot授权,Shiro注解、Shiro标签
shiro框架学习心得
06-27
shiro框架学习心得,简介!
Shiro 学习总结
qq_41904978的博客
08-27 295
一、介绍 Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the sm
shiro学习_总结
it_lihongmin的博客
07-12 343
Shiro的流程大致如下(图画的不是很好,能表达清楚意思就可以了):           说明:shiro只会使用对用户、角色和权限进行管理,并注入到Subject中方便用户进行使用编程、注解或标签的形式对角色或权限控制不同用户拥有不同的权限。 其底层需要自己去实现,包括表结构设计等,然后用重写方法的形式将关系注入到shiro中。说明shiro只能对一般的授权模型进行控制 一般表结构设
shiro小结
ja.rome
07-16 1095
过滤器简称 对应的java类 anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FromAuthenticationFilter authcBasic org.apa
Shiro学习(10)Session管理
m0_67403073的博客
08-24 2793
但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。更新会话最后访问时间及销毁会话;
shiro源代码分析
钢铁之家
09-06 294
登录入口: Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(userModel.getId() + "", rsaDecryptPwd); subject.login(token); 权限入口: Subject subject = Secur...
Shiro的SecurityUtils.getSubject()是如何获取到正确的用户信息
最新发布
qq_61592687的博客
02-09 2666
Shiro的SecurityUtils.getSubject()是如何获取到正确的用户信息的呢?每次调用SecurityUtils.getSubject()方法,它会去当前所处线程获取用户信息,组装subject返回。如果是没有登录过的,他就会为当前访问的JSESSIONID创建一个subject,只是这个的就是未登录状态。
Shiro学习随笔【二】身份认证
OceanSky的专栏
09-14 656
一、身份认证也就是提供相应的凭证证明你是用户本人,通常是指用户名和密码,在Shiro中用户需要体用Principals(身份)、Credentials(证明)给shiro,从而能够验证用户的身份。 Principals:身份,即主题的标识属性,可以有多个如邮箱、手机号、用户名等,但是只能有一个主身份标识。 Credentials:证明/凭证,即用户的密码或者数字证书。   二、用户的登录和...
浅谈shiro的认证
qq_54778098的博客
08-07 801
shiro认证流程和细节
区别isRemembered 和 isAuthenticated 例子
钱袋博客
11-17 7655
假设你使用卓越网,你已经成功登录并且在购物蓝中添加了一些书籍,但你由于临时要参加一个会议,匆忙中你忘记退出登录,当会议结束,回家的时间到了,于是你离开了办公室。 第二天当你回到工作,你意识到你没有完成你的购买动作,于是你回到卓越网,这时,卓越网“记得”你是认证,通过你的名字向你打招呼,仍旧给你提供个性化的图书推荐,对于卓越,subject.isRemembered()将返回真。 但是当
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值