shiro 05

最新推荐文章于 2022-11-13 20:23:14 发布
最新推荐文章于 2022-11-13 20:23:14 发布
阅读量130 收藏
点赞数
分类专栏: Shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44858201/article/details/95394110
版权

1、shiro简介

1.1是什么

Apache Shiro是一个强大且易用的Java安全框架,有身份验证、授权、密码学和会话管理四大基石。
securityManager:核心对象 realm:获取数据接口
Spring security 重量级安全框架,细粒度
Apache Shiro轻量级安全框架,粗粒度

1.2shiro能干什么

Authentication:身份验证(登陆)
Authorization:授权(权限验证,能干什么)
SessionManagement:会话管理
Cryptography:密码
Caching:缓存
Concurrency:并发性

1.3重要的几个对象

SecurityManager:安全管理对象(核心对象,shiro的所有功能都在这里面)
Realm:获取用户和它对应的权限(IniRealm,JdbcRealm)—>我们使用自定义的Realm
Subject:主体(当前用户)

2、shiro的核心api

2.1 操作之前,先得到securityManager对象

 //创建我们自己的Realm
MyRealm myRealm = new MyRealm();
//二.搞一个核心对象:
DefaultSecurityManager securityManager = new DefaultSecurityManager();
securityManager.setRealm(myRealm);
//三.把securityManager放到上下文中
SecurityUtils.setSecurityManager(securityManager);

2.2 我们使用过的方法

//拿到当前用户
Subject currentUser = SecurityUtils.getSubject();//2.判断是否登录
currentUser.isAuthenticated();//3.登录(需要令牌的)/**
    UnknownAccountException:用户名不存在
    IncorrectCredentialsException:密码错误
    AuthenticationException:其它错误
*/
 UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");
 currentUser.login(token);
 //判断是否是这个角色/权限
currentUser.hasRole("角色名")
currentUser.isPermitted("权限名")

3、密码加密功能

/**
 * String algorithmName, Object source, Object salt, int hashIterations)
 * 第一个参数algorithmName:加密算法名称
 * 第二个参数source:加密原密码
 * 第三个参数salt:盐值
 * 第四个参数hashIterations:加密次数
 */
SimpleHash hash = new SimpleHash("MD5","123456","itsource",10);System.out.println(hash.toHex());

4、自定义Realm

继承AuthorizingRealm
实现两个方法:doGetAuthorizationInfo(授权)
/doGetAuthenticationInfo(登录认证)
//身份认证

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//1.拿用户名与密码
UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
String username = token.getUsername();
//2.根据用户名拿对应的密码
String password = getByName(username);
if(password==null){
    return null; //返回空代表用户名有问题
}
//返回认证信息
//准备盐值
ByteSource salt = ByteSource.Util.bytes("itsource");
//密码是shiro自己进行判断
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username,password,salt,getName());
return authenticationInfo;

}
//授权

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    //拿到用户名  Principal:主体(用户对象/用户名)
    String username = (String)principalCollection.getPrimaryPrincipal();
    //拿到角色
    Set<String> roles = findRolesBy(username);
    //拿到权限
    Set<String> permis = findPermsBy(username);
    //把角色权限交给用户
    SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
    authorizationInfo.setRoles(roles);
    authorizationInfo.setStringPermissions(permis);
    return authorizationInfo;
}
注意:如果我们的密码加密,应该怎么判断(匹配器)
//一.创建我们自己的Realm
MyRealm myRealm = new MyRealm();//创建一个凭证匹配器(无法设置盐值)
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();//  使用MD5的方式比较密码
matcher.setHashAlgorithmName("md5");// 设置编码的迭代次数
matcher.setHashIterations(10);//设置凭证匹配器(加密方式匹配)
myRealm.setCredentialsMatcher(matcher);

5、集成Spring

去找:shiro-root-1.4.0-RC2\samples\spring

5.1 导包

<!-- shiro的支持包 -->
 <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-all</artifactId>
    <version>1.4.0</version>
    <type>pom</type></dependency>
  <!-- shiro与Spring的集成包 -->
  <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
  </dependency>

5.2 web.xml

这个过滤器是一个代码(只关注它的名称)

  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

5.3 application-shiro.xml

在咱们的application引入

<import resource="classpath:applicationContext-shiro.xml" />

是从案例中拷备过来,进行了相应的修改

<?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd">
    <!-- 创建securityManager这个核心对象 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- 设置一个realm进去 -->
        <property name="realm" ref="jpaRealm"/>
    </bean>
    <!-- 被引用的realm(一定会写一个自定义realm) -->
    <bean id="jpaRealm" class="cn.itsource.aisell.shiro.JpaRealm">
        <!-- 为这个realm设置相应的匹配器 -->
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!-- 设置加密方式 -->
                <property name="hashAlgorithmName" value="md5"/>
                <!-- 设置加密次数 -->
                <property name="hashIterations" value="10" />
            </bean>
        </property>
    </bean>
    <!--  可以让咱们的权限判断支持【注解】方法 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
    <!--  真正实现权限的过滤器 它的id名称和web.xml中的过滤器名称一样 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!-- 登录路径:如果没有登录,就会跳到这里来 -->
        <property name="loginUrl" value="/s/login.jsp"/>
        <!-- 登录成功后的跳转路径 -->
        <property name="successUrl" value="/s/main.jsp"/>
        <!-- 没有权限跳转的路径 -->
        <property name="unauthorizedUrl" value="/s/unauthorized.jsp"/>
        <!--
            anon:这个路径不需要登录也可以访问
            authc:需要登录才可以访问
            perms[depts:index]:做权限拦截
                咱们以后哪些访问有权限拦截,需要从数据库中读取
        -->
        <!--
        <property name="filterChainDefinitions">
            <value>
                /s/login.jsp = anon
                /login = anon
                /s/permission.jsp = perms[user:index]
                /depts/index = perms[depts:index]
                /** = authc
            </value>
        </property>
        -->
        <property name="filterChainDefinitionMap" ref="filterChainDefinitionMap" />
    </bean>
    <!-- 实例工厂设置 -->
    <bean id="filterChainDefinitionMap"
          factory-bean="filterChainDefinitionMapFactory"
          factory-method="createFilterChainDefinitionMap" />
    <!-- 创建可以拿到权限map的bean -->
    <bean id="filterChainDefinitionMapFactory" class="cn.itsource.aisell.shiro.FilterChainDefinitionMapFactory" /></beans>

5.4 获取Map过滤

注意,返回的Map必需是有序的(LinkedHashMap)

public class FilterChainDefinitionMapFactory {

    /**
     * 后面这个值会从数据库中来拿
     * /s/login.jsp = anon
     * /login = anon
     * /s/permission.jsp = perms[user:index]
     * /depts/index = perms[depts:index]
     * /** = authc
     */
    public Map<String,String> createFilterChainDefinitionMap(){
        //注:LinkedHashMap是有序的
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();

        filterChainDefinitionMap.put("/s/login.jsp", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/s/permission.jsp", "perms[user:index]");
        filterChainDefinitionMap.put("/depts/index", "perms[depts:index]");
        filterChainDefinitionMap.put("/**", "authc");
        return filterChainDefinitionMap;
    }
}
Chat world
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
05-shiro.chm
01-15
shiro文档手册,Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web ...
shiro_rce_tool:shiro rce tool 反序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent -->...2020-05-26: 原来的停止服务了,请下载最新版本。
30分钟学会如何使用Shiro
weixin_30426879的博客
07-22 1122
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
ShiroFilterFactoryBean分析
不忘初心,方能始终。
01-01 5165
创建核心Filter同其他框架一样,都有个切入点,这个核心Filter就是拦截所有请求的。通过web.xml中配置的Filer进入,执行init方法获取这个instance,调用下面的createInstance方法创建核心Filter:protected AbstractShiroFilter createInstance() throws Exception { log.debug("Cr
ShiroFilterFactoryBean源码及拦截原理深入分析
热门推荐
懒人的博客
03-12 3万+
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。而要在Spring中使用Shiro的话,可在web.xml中配置一个DelegatingFil
ShiroShiroFilterFactoryBean
baidu_28610773的博客
03-10 2万+
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制。本文主要介绍在spring-boot 中用ShiroFilterFactoryBean 来创建ShiroFilter: @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager...
springboot整合shiro与mybatis的理解总结:shiroConfig部分
weixin_41816382的博客
01-15 215
shiro框架是一个轻量级的安全框架,整合了会话管理、权限管理、角色管理等功能,封装程度高,API完善,使用方便。 但个人认为其框架的高度封装性也相应的导致了其学习难度的提升。 shiro过滤器 首先学习shiro要知道shiro框架在何时起作用的。 先上张图 可以看到项目启动的过程中出现了这么一句话 into shirofilter 我们再来看shiro过滤器的代码代码 @Bean p...
Shiro
gh_xiaohe的博客
11-13 464
😹 作者: gh-xiaohe 😻 gh-xiaohe的博客 😽 觉得博主文章写的不错的话,希望大家三连(✌关注,✌点赞,✌评论),多多支持一下!!!
shiro05 spring中如何配置
The_s1_1Y的博客
06-03 106
/** 在spring里面如何配置 1,配置凭证匹配器 2,配置realm 3,配置SecurityManager */
Shiro之会话篇
qq_43654581的博客
10-15 397
1.会话管理、会话持久化(redis缓存) 2.会话监听,超时清除孤立会话
05 shiro的Remeber me
张力的程序园
11-20 101
在了解了shiro中的缓存管理之后,我们接下来再来测试shiro中的“记住我”功能。 1、前提约束 完成shiro与spring的整合 https://www.jianshu.com/p/a352b6338833 2、理论解释 在通常的认证管理当中,每次登录都需要输入账号密码,用户体验不好。能否让用户在一段时间之内只登录一次。那就意味着必须把用户的登录信息存储起来,而我们这里...
尚硅谷Shiro视频教程
02-17
尚硅谷_Shiro_工作流程(1) · 05.尚硅谷_Shiro_DelegatingFilterProxy · 06. 尚硅谷_Shiro_权限 URL 配置细节 · 07. 尚硅谷_Shiro_认证思路分析 · 08.尚硅谷_Shiro_实现认证流程 · 09.尚硅谷_Shiro_实现...
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
v2.0.0 2021.05.09 支持一个用户多个角色 使用token作为登录凭证,不使用session,避免跨域问题 使用自定义注解+aop 替代shiro的功能,简化了配置,增强了可拓展性 设计思路 核心 每个登录用户拥有各自的N条权限,比如 ...
在C++项目中集成代码文档工具:提升开发效率与代码质
09-08
在现代软件开发过程中,代码文档是不可或缺的一部分。它不仅帮助开发者理解代码逻辑和结构,还有助于维护和后续开发。C/C++作为广泛使用的编程语言,拥有多种工具可以帮助开发者自动生成代码文档。本文将详细介绍如何在C/C++项目中集成代码文档工具,包括工具的选择、配置以及如何通过少量代码实现自动化文档生成。 集成代码文档生成工具到C/C++项目中,可以显著提高开发效率和代码质量。通过自动化的文档生成,开发者可以专注于代码本身,而不是繁琐的文档编写工作。Doxygen和Sphinx是两个非常强大的工具,可以根据项目需求和团队偏好进行选择。通过遵循上述步骤,你可以轻松地将这些工具集成到你的C/C++项目中,从而实现高效的文档管理和维护。
新疆大学在广东2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
COMSOL 三维离散裂隙注浆模型 基于粘度空间衰减的宾汉姆流体注浆 裂隙采用随机分布的圆盘模型,恒压注浆
09-08
COMSOL 三维离散裂隙注浆模型。 基于粘度空间衰减的宾汉姆流体注浆。 裂隙采用随机分布的圆盘模型,恒压注浆。
华北科技学院在广东2021-2024各专业最低录取分数及位次表.pdf
最新发布
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
河北工业大学Android课程的课程设计,由6人完成的,coder交流平台.zip
09-08
河北工业大学Android课程的课程设计,由6人完成的,coder交流平台
Apache Shiro 安全框架教程
Apache Shiro 教程 Apache Shiro 是一个 Java 安全框架,目前越来越多的人使用它,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值