如何正确的使用shiro

最新推荐文章于 2024-08-08 08:16:39 发布
最新推荐文章于 2024-08-08 08:16:39 发布
阅读量317 收藏
点赞数
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42281565/article/details/80413003
版权

从来没接触过shiro Java安全框架,突然有一天需要要用用户登陆验证和用户角色权限的任务,而且是针对shiro 进行整合,开始收到任务,心都有点凉凉的。经过一轮的搜索,感觉没多大的收获。很多用户的角色都是写在xml配置文件中。觉得太不人性化了,想换个用户角色还得改xml?我觉得这么强大的框架应该不可能这么狗血的存在。然后认真的看文档,发现真的是可以直接读取数据库的。我把我搭建的流程发布在此。有问题的可以交流交流。我写的也并不是正确的,只能参考参考。

1.web.xml的配置

<listener>
   <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>
<filter>
	<filter-name>shiroFilter</filter-name>
	<filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>shiroFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

2.shiro.ini配置

[main]

[filters]

#自定义realm
shiroAuthorizingRealm = com.frame.security.ShiroAuthorizingRealm
securityManager.realm = $shiroAuthorizingRealm

# 声明一个自定义的用户校验拦截器
customFormAuthenticationFilter = com.frame.security.CustomFormAuthenticationFilter
# 声明一个自定义的用户角色权限拦截器
customPermissionsAuthorizationFilter = com.frame.security.CustomPermissionsAuthorizationFilter

#cache
shiroCacheManager = org.apache.shiro.cache.ehcache.EhCacheManager
shiroCacheManager.cacheManagerConfigFile = classpath:ehcache.xml
securityManager.cacheManager = $shiroCacheManager

#session
sessionDAO = org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionManager.sessionDAO = $sessionDAO
securityManager.sessionManager = $sessionManager
securityManager.sessionManager.globalSessionTimeout = 1800000

securityManager = org.apache.shiro.web.mgt.DefaultWebSecurityManager


[urls]
/admin/user/login = anon
/admin/user/logout = anon
/admin/user/registered = anon
/admin/** = customFormAuthenticationFilter,customPermissionsAuthorizationFilter

从shiro.ini配置中可以看出,需要三个文件,分别为ShiroAuthorizingRealm.java(realm文件),CustomFormAuthenticationFilter.java(自定义用户登陆验证文件),CustomPermissionsAuthorizationFilter(自定义用户角色权限文件);

在urls配置中可以看出不需要拦截的url后面加上anon便可,但有先后顺序。

缓存是使用ehcache

3.ehcache.xml配置

4.ShiroAuthorizingRealm.java

public class ShiroAuthorizingRealm extends AuthorizingRealm {
	private AuthorityService authorityService = FrameContext.getBean(AuthorityService.class);
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("=======doGetAuthenticationInfo=======");
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;

        String username = userToken.getUsername();
        String password = String.valueOf(userToken.getPassword());
        User user = User.dao.findFirst("select * from m_user where account = ?", username);
        if (user != null) {//下面可以做一些登陆的操作,密码错误,用户状态等等
        	if(MD5Encoder.validPassword(password, user.getPassword())==false){
        		throw new UnknownAccountException();
            }
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password, getName());
            return info;
        } else {
            return null;
        }
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("=======doGetAuthorizationInfo=======");
        User user = (User) principals.getPrimaryPrincipal();
        if(user!=null){//从数据库中读取用户的角色权限,
        	SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        	List<String> perms = authorityService.getUrlByUser(user);
        	if(perms!=null&&perms.size()>0){//调用addStringPermissions方法把用户的权限添加到info中,可调用addRoles方法把用户的角色添加到info中
        		info.addStringPermissions(perms);
        	}
        	return info;
        }
        return null;
    }
}

5.CustomFormAuthenticationFilter.java

public class CustomFormAuthenticationFilter extends FormAuthenticationFilter   {
    private final static Logger log = Logger.getLogger(CustomFormAuthenticationFilter.class);
    private static final String contentType = "application/json; charset=UTF-8";
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpRequest = WebUtils.toHttp(request);
        HttpServletResponse httpResponse = WebUtils.toHttp(response);
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                if (log.isTraceEnabled()) {
                    log.trace("Login submission detected.  Attempting to execute login.");
                }
                return executeLogin(request, response);
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Login page view.");
                }
                return true;
            }
        } else {
            Result<Object> result = new Result<Object>(false, "401", "没有授权,请先登录", null);
            renderJson(httpResponse, result);
            return false;
        }          
    }

    private void renderJson(HttpServletResponse response, Object object) {
        String jsonText = JsonKit.toJson(object);
        PrintWriter writer = null;
        try {
            response.setHeader("Pragma", "no-cache");   // HTTP/1.0 caches might not implement Cache-Control and might only implement Pragma: no-cache
            response.setHeader("Cache-Control", "no-cache");
            response.setDateHeader("Expires", 0);
            response.setContentType(contentType);
            writer = response.getWriter();
            writer.write(jsonText);
            writer.flush();
        } catch (IOException e) {
            throw new RenderException(e);
        }
        finally {
            if (writer != null) {
                writer.close();
            }
        }
    }
}

 

6.CustomPermissionsAuthorizationFilter.java

 

public class CustomPermissionsAuthorizationFilter extends PermissionsAuthorizationFilter {
	private static final String contentType = "application/json; charset=UTF-8";
	private AuthorityService authorityService = McmsContext.getBean(AuthorityService.class);
	
	@Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
		if(getMappedValue(request)!=null){
			return super.isAccessAllowed(request, response, getMappedValue(request));
		}
		return false;
        
    }
	
	
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
		// TODO Auto-generated method stub
		
		HttpServletRequest httpRequest = WebUtils.toHttp(request);
		HttpServletResponse httpResponse = WebUtils.toHttp(response);
		String path = httpRequest.getServletPath();
		Subject subject = getSubject(request, response);
		if (subject.isPermitted(path)) {
			return true;
		} else {
			Result<Object> result = new Result<Object>(false, "401", "抱歉,您没有该权限!", null);
			renderJson(httpResponse, result);
			return false;
		}
        
	}
	

    /**
     * 得到mappedValue,相当于perms[user:add]中的“user:add”
     * @param path
     * @return
     */
    public String[] getMappedValue(ServletRequest request) {
        HttpServletRequest req = (HttpServletRequest) request;
        String path = req.getServletPath();
        String code = getCodesByPath(path);
        if(null == code) {
            return null;
        }
        return new String[]{code};
    }

    /**
     * 根据访问路径获取权限代码
     * @param path
     * @return
     */
    public String getCodesByPath(String path) {
    	User user = (User) SecurityUtils.getSubject().getPrincipal();
    	String pers = authorityService.getUrlByUserPath(path,user);
        return Optional.ofNullable(pers).orElse(null);
    }
    
    private void renderJson(HttpServletResponse response, Object object) {
        String jsonText = JsonKit.toJson(object);
        PrintWriter writer = null;
        try {
            response.setHeader("Pragma", "no-cache");   // HTTP/1.0 caches might not implement Cache-Control and might only implement Pragma: no-cache
            response.setHeader("Cache-Control", "no-cache");
            response.setDateHeader("Expires", 0);
            response.setContentType(contentType);
            writer = response.getWriter();
            writer.write(jsonText);
            writer.flush();
        } catch (IOException e) {
            throw new RenderException(e);
        }
        finally {
            if (writer != null) {
                writer.close();
            }
        }
    }
}

7.用户登陆入口

public void login() {
      String account = getPara("account");
      String password = getPara("password");
      Subject subject = SecurityUtils.getSubject();
      UsernamePasswordToken tokens = new UsernamePasswordToken(account, password);
      tokens.setRememberMe(false);
      try {
          subject.login(tokens);
          User user = (User) subject.getPrincipal();
          loginSuccess(user);
          UserVo userVo = convertToUserVO(user);
          renderSucessResult(userVo);
      } catch (UnknownAccountException ue) {
    	  tokens.clear();
          renderFailedResult("登录失败!无效的账号或密码!");
      } catch (IncorrectCredentialsException ie) {
    	  tokens.clear();
          renderFailedResult("用户已注销!");
      } catch(LockedAccountException le){
    	  tokens.clear();
          renderFailedResult("账号被锁定!");
      } catch (RuntimeException re) {
          re.printStackTrace();
          tokens.clear();
          renderFailedResult("登录失败!");
      }
      
}

8.项目使用maven

<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-core</artifactId>
	<version>1.3.0</version>
</dependency>
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-web</artifactId>
	<version>1.3.0</version>
</dependency>
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-ehcache</artifactId>
	<version>1.3.0</version>
</dependency>

 

数据库可以自己去设计,这里就不提供了。

 

参照上面的去整合框架,便可以使用了,这样搭建适合多种框架的整合!有问题可以留言!

chanleealice
关注
专栏目录
Shiro使用
qq_43460315的博客
08-15 2177
关于shiro使用方法
第一次使用shiro踩坑 输入正确密码登录也会
qq_42084222的博客
03-10 2200
shiro输入正确密码也会登录失败 shiro整合springBoot后登录一直失败的原因 最后发现是存入数据库的密码密文在shiro比较之前会进行一次base64的转换 上代码 shiro配置 @Configuration public class ShiroConfig { /** * 加密算法 * @return */ @Bean p...
shiro如何使用详解
9527的博客
04-06 6416
一.Shiro能做什么。 Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单 (注意:记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可)二.Shiro使用步骤。1.先把账号密码传入Shiro里面的UsernamePasswor...
ShiroAttack2 使用教程
最新发布
gitblog_00686的博客
08-08 1017
ShiroAttack2 使用教程 ShiroAttack2shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原版中NoCC的问题 https://github.com/j1anFen/shiro_attack项目地址:https://gitcode.com/gh_mirrors/sh/ShiroAttack2 项目介绍 ShiroAttack2 是一个针对 Apache Sh...
Shiro之基本使用
每天至少八杯水的博客
03-31 9428
1.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在.
Shiro的简单使用
weixin_44342481的博客
04-23 211
流程 Shiro的执行流程: Subject --> SecurityManager --> Realm Subject:主体,相当于当前用户,所有用户将由SecurityManager来管理 SecurityManager:安全管理器,它管理着所有 Subject,它是 Shiro 的核心 Realm:域,Shiro 从从 Realm 获取安全数据,SecurityManager需要从Realm中获取数据进行校验 所需依赖 <groupId>commons-logg
shiro使用的jar包
12-29
"shiro使用的jar包"指的是在Java项目中集成Shiro所需的库文件。 在描述中提到的"java项目使用shiro开发所使用的jar包都在里面",这暗示了压缩包可能包含了Shiro框架的所有必需组件。通常,这些jar包包括: 1. **...
Shiro_lib.zip
01-08
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。...通过深入理解和正确使用Shiro,你可以有效地保护你的应用,确保用户数据的安全。
shiro(shiro1.3.2)
03-21
Apache Shiro是一个强大且易用的Java安全框架,主要用于处理认证、授权、加密以及会话管理等核心安全性问题。在给定的压缩包"shiro1.3.2...同时,对于Shiro的配置,要确保正确设置认证和授权规则,以防止未授权的访问。
使用Shiro实现登录成功后跳转到之前的页面
09-01
本文将探讨如何使用 Shiro 实现这一功能。 首先,有两种常见的实现方法。第一种是利用 AJAX 进行登录,这种方法使得用户可以在当前页面上弹出登录窗口,登录完成后直接在原页面刷新,保持用户体验的连贯性。这种...
Shiro使用手册
03-29
这个文档是Apache中的开源项目shiro使用手册,仅供参考
shiro_tool.zip
11-18
https://blog.csdn.net/xixiyuguang/article/details/109744942
shiro-jar包
12-13
spring 整合shiro框架所需要的所有jar包 ................
shiro_attack:shiro反序列化进攻综合利用,包含(回显执行命令注入内存马)
03-11
shiro反序列化进攻综合利用 项目基于javafx,利用shiro反序列化扩展进行回显命令执行以及注入类别内存马 检出唯一密钥(SimplePrincipalCollection)cbc / gcm Tomcat / Springboot回显命令执行 集成公用集合K1 / K2 通过POST请求中defineClass字节码实现注入内存马(Servlet实现参考哥斯拉内存马) resources目录下shiro_keys.txt可扩展键 关于内存马 某些spring环境以jar包启动写shell麻烦 渗透中找目录很烦,经常出现各种写壳浪费时间问题 无落地文件舒服 错误修复 2020.11.08 高低版本base64库不一致,当前使用org.apache.shiro.codec.Base64避免此问题 2020.11.10 修复注入内存马都显示注入成功的错误。 2020.11.23
Shiro
余笙的博客
05-02 420
一、Shiro概述 1、什么是Shiro Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 2、为什么要学Shiro shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快...
shiro详细使用
limpiditysky的博客
08-31 659
shiro详细使用
1. shiro的基本使用
weixin_39563769的博客
08-02 306
1. Shiro是基于Java语言编写的,Shiro最核心的功能就是认证和授权。
如何在Idea中正确配置shiro
06-08
在Idea中正确配置Shiro,需要以下步骤: 1. 添加Shiro依赖 在pom.xml文件中添加Shiro依赖,...需要注意的是,Shiro的配置和使用有很多细节,需要仔细阅读官方文档或者相关书籍,才能正确使用Shiro实现权限控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值