shiro和servlet的结合

最新推荐文章于 2023-12-17 01:32:32 发布
最新推荐文章于 2023-12-17 01:32:32 发布
阅读量1.5k 收藏 6
点赞数
分类专栏: java 文章标签: shiro servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42412462/article/details/81704848
版权

shiro.ini

[main] 
#使用数据库进行验证和授权
databaseRealm=com.how2java.DatabaseRealm
securityManager.realms=$databaseRealm
 
#当访问需要验证的页面,但是又没有验证的情况下,跳转到login.jsp
authc.loginUrl=/login.jsp
#当访问需要角色的页面,但是又不拥有这个角色的情况下,跳转到noroles.jsp
roles.unauthorizedUrl=/noRoles.jsp
#当访问需要权限的页面,但是又不拥有这个权限的情况下,跳转到noperms.jsp
perms.unauthorizedUrl=/noPerms.jsp
 
#users,roles和perms都通过前面知识点的数据库配置了
[users] 
 
#urls用来指定哪些资源需要什么对应的授权才能使用
[urls] 
#doLogout地址就会进行退出行为
/doLogout=logout
#login.jsp,noroles.jsp,noperms.jsp 可以匿名访问
/login.jsp=anon
/noroles.jsp=anon
/noperms.jsp=anon
 
#查询所有产品,需要登录后才可以查看
/listProduct.jsp=authc 
#增加商品不仅需要登录,而且要拥有 productManager 权限才可以操作
/deleteProduct.jsp=authc,roles[productManager] 
#删除商品,不仅需要登录,而且要拥有 deleteProduct 权限才可以操作
/deleteOrder.jsp=authc,perms["deleteOrder"]

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:web="http://xmlns.jcp.org/xml/ns/javaee" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
  <listener>
    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
  </listener>
  <context-param>
    <param-name>shiroEnvironmentClass</param-name>
    <param-value>org.apache.shiro.web.env.IniWebEnvironment</param-value>
  </context-param>
  <context-param>
    <param-name>shiroConfigLocations</param-name>
    <param-value>classpath:shiro.ini</param-value>
  </context-param>
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
</web-app>

DatabaseRealm:

package com.how2java;
 
import java.util.Set;
 
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
 
public class DatabaseRealm extends AuthorizingRealm {
 
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //能进入到这里,表示账号已经通过验证了
        String userName =(String) principalCollection.getPrimaryPrincipal();
        //通过DAO获取角色和权限
        Set<String> permissions = new DAO().listPermissions(userName);
        Set<String> roles = new DAO().listRoles(userName);
         
        //授权对象
        SimpleAuthorizationInfo s = new SimpleAuthorizationInfo();
        //把通过DAO获取到的角色和权限放进去
        s.setStringPermissions(permissions);
        s.setRoles(roles);
        return s;
    }
 
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取账号密码
        UsernamePasswordToken t = (UsernamePasswordToken) token;
        String userName= token.getPrincipal().toString();
        String password= new String( t.getPassword());
        //获取数据库中的密码
        String passwordInDB = new DAO().getPassword(userName);
 
        //如果为空就是账号不存在,如果不相同就是密码错误,但是都抛出AuthenticationException,而不是抛出具体错误原因,免得给破解者提供帮助信息
        if(null==passwordInDB || !passwordInDB.equals(password))
            throw new AuthenticationException();
         
        //认证信息里存放账号密码, getName() 是当前Realm的继承方法,通常返回当前类名 :databaseRealm
        SimpleAuthenticationInfo a = new SimpleAuthenticationInfo(userName,password,getName());
        return a;
    }
 
}

login.servlet:

package com.how2java;
 
import java.io.IOException;
 
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
 
@WebServlet(name = "loginServlet", urlPatterns = "/login") 
public class LoginServlet extends HttpServlet { 
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) 
      throws ServletException, IOException { 
        String name = req.getParameter("name"); 
        String password = req.getParameter("password"); 
        Subject subject = SecurityUtils.getSubject(); 
        UsernamePasswordToken token = new UsernamePasswordToken(name, password); 
        try { 
            subject.login(token);
            Session session=subject.getSession();
            session.setAttribute("subject", subject);
             
            resp.sendRedirect("index.jsp");
        } catch (AuthenticationException e) { 
            req.setAttribute("error", "验证失败"); 
            req.getRequestDispatcher("login.jsp").forward(req, resp);
        } 
    } 
}

 

黑色幽默ma
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro_tool.zip
11-18
在实际项目中,Shiro可以很好地与Spring Boot等框架结合,为微服务架构提供安全保障。 总之,"shiro_tool.zip"可能是一个有价值的资源,对于想要深入理解并应用Apache Shiro的开发者来说,它可以提供实践中的参考和...
springboot整合shiro实现前后端分离,兼容最新的jakarta的依赖包(片尾推荐当前最好用的权限框架)
最新发布
qq_30519365的博客
12-21 1156
【代码】springboot整合shiro实现前后端分离,兼容最新的jakarta的依赖包(片尾推荐当前最好用的权限框架)
Apache Shiro 还不兼容 Jarkarta 命名空间 即最新默认的springboot tomcat10 版本目前不支持 shiro
洗刷先生的博客
01-16 731
只能将springboot 内置的tomcat 进行版本降级。1、直接在pom.xml中覆盖默认的版本。
Shiro中javax.servlet.ServletRequest和javax.servlet.ServletResponse类冲突问题解决
weixin_45848992的博客
12-17 681
为了解决shiro中javax.servlet.ServletRequest、javax.servlet.ServletResponse与现在的Jakarta.servlet.ServletRequest、Jakarta.servlet.ServletResponse冲突问题,在SpringBoot3.0以上版本,需要Java 17,并且使用的事Jakarta EE。shiro2.0版本还在测试中,后续会使用Jakarta的命名空间。可以修改Shiro的依赖。
Springboot整合shiro
chao的博客
07-10 2271
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
shiro简介及入门
qq_44847231的博客
10-13 447
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiro与web容器的集成 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
Shiro和cas部分整合
11-04
Shiro的简洁配置和CAS的SSO能力结合,为Java应用提供了一种高效且易于管理的认证解决方案。不过,为了确保安全性和稳定性,开发者需要对CAS和Shiro的配置进行详细理解,并根据具体需求进行调整。例如,可能需要配置...
shirodemo实现web登陆
10-10
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,可以非常方便地为 Web 应用程序提供安全性。在这个"shirodemo实现web登陆"的项目中,我们将探讨如何利用 Shiro 框架在 ...
shiro-springboot.zip
05-24
不过,当与 Spring Boot 结合时,更多情况下会选择使用 Java 配置(`ShiroConfig` 类)来替代 ini 配置。 3. `main/webapp/WEB-INF`: 如果项目包含 Web 组件,这里可能有 `web.xml` 文件,但在 Spring Boot 中,...
shiro核心资料笔记
04-04
3. **Spring MVC 集成**:使用Shiro 的Filter 和Spring MVC 结合,实现Web 层的安全控制。 ### Shiro 的实际应用 Shiro 可用于各种场景,如登录验证、权限控制、会话管理等。例如,你可以使用Shiro 创建一个登录...
学习日常-Servlet集成Shiro
Shen19981110的博客
05-17 404
一个简单的Servlet集成Shiro案例 开发工具:IDEA pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/P
shiro session HttpSession servlet session
Cassidy的博客
05-29 887
Shiro 提供了三个默认实现: DefaultSessionManager:DefaultSecurityManager 使用的默认实现,用于 JavaSE 环境; ServletContainerSessionManager:DefaultWebSecurityManager 使用的默认实现,用于 Web环境,其直接使用 Servlet 容器的会话; DefaultWebSessionM...
Spring Boot3.0升级,踩坑之旅,附解决方案
m0_57042151的博客
12-07 3223
这个报错主要是Spring Boot3.0已经为所有依赖项从 迁移到 ,导致 包名的修改,Spring团队这样做的原因,主要是避免 的版权问题,解决办法很简单,两步走:1 添加 依赖 修改项目内所有代码的导入依赖 二. 附带的众多依赖包升级,导致的部分代码写法过期报警 2.1 Thymeleaf升级到3.1.0.M2,日志打印的报警 可以看出作者很贴心,日志里已经给出了升级后的写法,修改如下: 2.2 Thymeleaf升级到3.1.0.M2,后端使用 手动渲染网页
【开发技术】2万字分析shiro、spring security两大安全框架,spring session,OAuth2 入门级教程
a23452的博客
07-25 3803
SpringBootSpringBoot开发技术 — 应用程序安全,Spring security,ShiroWeb开发中还有一个要点就是应用程序的安全性,比如一般通过登录验证保护用户的个人资源,会员制度将会员和普通用户享用的功能区分,管理系统要进行角色进行相关的权限的管理,安全管理框架: Spring Security和ShiroShiro为轻量级,主要就是一个验证器RBAC role based access control 访问控制基于角色,安全管理的实现思路就是前台通过相关的标签进行标记,后台通过
shiro安全框架初识--shiro简介、认证与授权
qq_44189274的博客
08-03 794
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和session会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security,Shiro 要简单的多.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。...
shiro(一):shiro基本概念及基本使用(认证、授权)
weixin_39724194的博客
01-31 1209
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。
Springboot基础学习之(十七):通过Shiro实现用户得到登录认证和授权
m0_52479012的博客
04-13 3277
springboot项目:通过shiro实现用户的认证和授权服务 设置网页的访问权限,不同的网页是具有不同的权限的用户才能够访问的
spring boot配置shiro自定义shiro filter匹配异常
qq_46416934的博客
04-22 910
原文地址:http://www.hillfly.com/2017/179.html 最近忙着研究在 Springboot 上使用 Shiro 的问题。刚好就遇到个诡异事,百度 Google 也没找到啥有价值的信息,几番周折自己解决了,这里稍微记录下。 自定义 FilterTOC Shiro 支持自定义 Filter 大家都知道,也经常用,这里我也用到了一个自定义 Filter,主要用于验证接口调用的 AccessToken 是否有效。 // AccessTokenFilter.java public cl
shiro 结合 jwt
12-07
Shiro可以与JWT(JSON Web Token)结合使用来实现认证和授权功能。具体步骤如下: 1.编写JWT工具类,用于生成和验证JWT token。 2.编写JWTToken,继承Shiro的AuthenticationToken接口,用于封装JWT token。 3....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值