Shiro认证和授权学习记录

最新推荐文章于 2022-07-21 13:19:52 发布
最新推荐文章于 2022-07-21 13:19:52 发布
阅读量179 收藏
点赞数
分类专栏: Java开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45462732/article/details/107887249
版权

Shiro

简介

  • shiro是一个安全框架,拥有认证(Authentication)授权(Authorization)会话管理(Session Management)加密(Cryptography)缓存等。
  • 核心组件
  1. Subject:用户主体(操作扔给SecurityManager)
  2. SecurityManager:安全管理器(关联Realm)
  3. Realm:shiro和数据库打交道的
  • shiro整合spring
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>

自定义Realm类

自定义Realm类继承AuthorizingRealm,并实现其两个方法(认证和授权)。

public class UserRealm extends AuthorizingRealm{

	/**
	 * 执行授权逻辑
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("执行授权逻辑");
		return null;
	}

	/**
	 * 执行认证逻辑
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		System.out.println("执行认证逻辑");
		return null;
	}

}

shiro配置类

@Configuration
public class ShiroConfig {

	/**
	 * 创建ShiroFilterFactoryBean
	 */
    @Bean
	public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		
		//设置安全管理器
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		
		return shiroFilterFactoryBean;
	}
	
	/**
	 * 创建DefaultWebSecurityManager
	 */
	@Bean(name="securityManager")
	public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		//关联realm
		securityManager.setRealm(userRealm);
		return securityManager;
	}
	
	/**
	 * 创建Realm
	 */
	@Bean(name="userRealm")
	public UserRealm getRealm(){
		return new UserRealm();
	}
}

使用shiro内置过滤器

@Configuration
public class ShiroConfig {

	/**
	 * 创建ShiroFilterFactoryBean
	 */
	@Bean
	public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		
		//设置安全管理器
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		
		//添加Shiro内置过滤器
		/**
		 * Shiro内置过滤器,可以实现权限相关的拦截器
		 *    常用的过滤器:
		 *       anon: 无需认证(登录)可以访问
		 *       authc: 必须认证才可以访问
		 *       user: 如果使用rememberMe的功能可以直接访问
		 *       perms: 该资源必须得到资源权限才可以访问
		 *       role: 该资源必须得到角色权限才可以访问
		 */
		Map<String,String> filterMap = new LinkedHashMap<String,String>();
		/*filterMap.put("/add", "authc");
		filterMap.put("/update", "authc");*/
		
		filterMap.put("/testThymeleaf", "anon");
		
		filterMap.put("/*", "authc");
		
		//修改调整的登录页面
		shiroFilterFactoryBean.setLoginUrl("/toLogin");
		
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
		
		
		return shiroFilterFactoryBean;
	}
	
	/**
	 * 创建DefaultWebSecurityManager
	 */
	@Bean(name="securityManager")
	public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		//关联realm
		securityManager.setRealm(userRealm);
		return securityManager;
	}
	
	/**
	 * 创建Realm
	 */
	@Bean(name="userRealm")
	public UserRealm getRealm(){
		return new UserRealm();
	}
}

登录逻辑

/**
 * 登录逻辑处理
 */
@RequestMapping("/login")
public String login(String name,String password,Model model){
	
	/**
	 * 使用Shiro编写认证操作
	 */
	//1.获取Subject
	Subject subject = SecurityUtils.getSubject();
	
	//2.封装用户数据
	UsernamePasswordToken token = new UsernamePasswordToken(name,password);
	
	//3.执行登录方法
	try {
		subject.login(token);
		
		//登录成功
		//跳转到test.html
		return "redirect:/testThymeleaf";
	} catch (UnknownAccountException e) {
		//e.printStackTrace();
		//登录失败:用户名不存在
		model.addAttribute("msg", "用户名不存在");
		return "login";
	}catch (IncorrectCredentialsException e) {
		//e.printStackTrace();
		//登录失败:密码错误
		model.addAttribute("msg", "密码错误");
		return "login";
	}
}

Realm判断逻辑

public class UserRealm extends AuthorizingRealm{

	/**
	 * 执行授权逻辑
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("执行授权逻辑");
		return null;
	}

	/**
	 * 执行认证逻辑
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		System.out.println("执行认证逻辑");
		
		//假设数据库的用户名和密码
		String name = "xiaoming";
		String password = "123456";
		
		//编写shiro判断逻辑,判断用户名和密码
		//1.判断用户名
		UsernamePasswordToken token = (UsernamePasswordToken)arg0;
		if(!token.getUsername().equals(name)){
			//用户名不存在
			return null;//shiro底层会抛出UnKnowAccountException
		}
		
		//2.判断密码
		return new SimpleAuthenticationInfo("",password,"");
	}

}

整合Mybatis动态实现认证
实体类和持久层,业务层代码自己实现

public class UserRealm extends AuthorizingRealm{

	/**
	 * 执行授权逻辑
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("执行授权逻辑");
		return null;
	}
	
	@Autowired
	private UserService userSerivce;

	/**
	 * 执行认证逻辑
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		System.out.println("执行认证逻辑");
		
		//编写shiro判断逻辑,判断用户名和密码
		//1.判断用户名
		UsernamePasswordToken token = (UsernamePasswordToken)arg0;
		
		User user = userSerivce.findByName(token.getUsername());
		
		if(user==null){
			//用户名不存在
			return null;//shiro底层会抛出UnKnowAccountException
		}
		
		//2.判断密码
		return new SimpleAuthenticationInfo("",user.getPassword(),"");
	}

}

授权(shiro内置过滤器)

/**
	 * 创建ShiroFilterFactoryBean
	 */
	@Bean
	public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		
		//设置安全管理器
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		
		//添加Shiro内置过滤器
		/**
		 * Shiro内置过滤器,可以实现权限相关的拦截器
		 *    常用的过滤器:
		 *       anon: 无需认证(登录)可以访问
		 *       authc: 必须认证才可以访问
		 *       user: 如果使用rememberMe的功能可以直接访问
		 *       perms: 该资源必须得到资源权限才可以访问
		 *       role: 该资源必须得到角色权限才可以访问
		 */
		Map<String,String> filterMap = new LinkedHashMap<String,String>();
		/*filterMap.put("/add", "authc");
		filterMap.put("/update", "authc");*/
		
		filterMap.put("/testThymeleaf", "anon");
		//放行login.html页面
		filterMap.put("/login", "anon");
		
		//授权过滤器
		//注意:当前授权拦截后,shiro会自动跳转到未授权页面
		filterMap.put("/add", "perms[user:add]");
		
		filterMap.put("/*", "authc");
		
		//修改调整的登录页面
		shiroFilterFactoryBean.setLoginUrl("/toLogin");
		//设置未授权提示页面
		shiroFilterFactoryBean.setUnauthorizedUrl("/noAuth");
		
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
		
		
		return shiroFilterFactoryBean;
	}

授权(shiro资源授权)

/**
	 * 执行授权逻辑
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("执行授权逻辑");
		
		//给资源进行授权
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		
		//添加资源的授权字符串
		info.addStringPermission("user:add");
		
		return info;
	}

授权(数据库动态)

首先自行再数据库中建立user表时候添加perms字段,写入数据。并进行spring开发相关的配置。
我们使用两个user分别为xiaoming(add权限),xiaohong(update权限)

/**
	 * 创建ShiroFilterFactoryBean
	 */
	@Bean
	public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		
		//设置安全管理器
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		
		//添加Shiro内置过滤器
		/**
		 * Shiro内置过滤器,可以实现权限相关的拦截器
		 *    常用的过滤器:
		 *       anon: 无需认证(登录)可以访问
		 *       authc: 必须认证才可以访问
		 *       user: 如果使用rememberMe的功能可以直接访问
		 *       perms: 该资源必须得到资源权限才可以访问
		 *       role: 该资源必须得到角色权限才可以访问
		 */
		Map<String,String> filterMap = new LinkedHashMap<String,String>();
		/*filterMap.put("/add", "authc");
		filterMap.put("/update", "authc");*/
		
		filterMap.put("/testThymeleaf", "anon");
		//放行login.html页面
		filterMap.put("/login", "anon");
		
		//授权过滤器
		//注意:当前授权拦截后,shiro会自动跳转到未授权页面
		filterMap.put("/add", "perms[user:add]");
		filterMap.put("/update", "perms[user:update]");
		filterMap.put("/*", "authc");
		
		//修改调整的登录页面
		shiroFilterFactoryBean.setLoginUrl("/toLogin");
		//设置未授权提示页面
		shiroFilterFactoryBean.setUnauthorizedUrl("/noAuth");
		
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
		
		
		return shiroFilterFactoryBean;
	}

/**
	 * 执行授权逻辑
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("执行授权逻辑");
		
		//给资源进行授权
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		//到数据库查询当前登录用户授权信息
		//获取当前登录用户
		Subject subject = SecurityUtils.getSubject();
		User user = (User)subject.getPrincipal();
		//根据id获取数据库中当前user的perms
		User nowUser = userService.findByid(user.getId());
		info.addStringPermission(nowUser.getPerms());
		return info;
	}
Keven He
关注
专栏目录
shiro实现认证授权
weixin_49494939的博客
09-06 196
文章目录realm类加密类配置文件类jar包 realm类 进行认证授权 public class MyRealm extends AuthorizingRealm { @Autowired private UserService userService; @Autowired private MenuService menuService; /** * shiro安全授权 * @param principals * @return
Shiro认证授权
编程小白养成手记
08-12 506
shiro实战教程 一、权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源,用户首先经过身份认证通过后,如果该用户有访问这个资源的权限才可以继续访问。 1.2用户身份认证 概念 所谓的身份认真就是判断一个用户是否是合法用户的过程。最常见的就是通过用户输入用户名和密码来校验,看
shiro的过滤器和权限控制
weixin_44044929的博客
07-21 2576
shiro的过滤器配置、权限控制
二、shiro授权流程
蓄势待发
04-25 247
一、基本流程概括 继承AuthorizingRealm类重写doGetAuthorizationInfo方法实现认证。 配置ShiroFilterFactoryBean中的setFilterChainDefinitionMap配置认证规则【PermissionsAuthorizationFilter路径配置权限】 二、code 配置自定义Realm public class MyShiroRealm extends AuthorizingRealm { @Autowired ICom
shiro授权操作
shiqinghuan的博客
07-31 458
ShiroConfig: 先设置相应权限操作 perms:拥有对某个资源的权限才能访问; //设置权限, filterMap.put("/user/add","perms[user:add]"); filterMap.put("/user/update","perms[user:update]"); 添加一个页面 提示未授权 “未经授权,无法访问页面” MyController: @RequestMapping("/noauth") @Response
ShiroShiroFilterFactoryBean(*)
weixin_42408447的博客
11-16 2534
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制。本文主要介绍在spring-boot 中用ShiroFilterFactoryBean 来创建ShiroFilter: @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { # 创建ShiroFilterFactoryBean对象 ShiroFilterFactor
Shiro 认证授权详解
皓晨的架构笔记
03-27 8124
1     权限管理1.1用户身份认证1.1.1  概念         身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。1.1.2  用户名密码身份认证流程1.1.3  关键对象      ...
shiro认证授权
qq_41644069的博客
10-27 630
1.shiro认证 1.1.身份验证 身份验证:一般需要提供如身份ID等一些标识信息来表明登录者的身份,如提供email,用户名/密码来证明。 在shiro中,用户需要提供principals(身份)和credentials(证明)给shiro,从而应用能验证用户身份。 principals:身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primaryprincipals,一般是用户名/邮箱/手机号。 credentials.
shiro学习笔记
04-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证授权、加密和会话...通过深入学习这份笔记,你可以掌握Shiro的基本用法,理解其内部机制,并能够应用于实际项目中,提供高效且安全的身份验证和授权功能。
Shiro学习笔记】二、Shiro过滤器执行链路梳理(认证授权
xiao_zhu_kuai_pao的博客
11-12 1242
PS:欢迎转载,但请注明出处,谢谢配合。 Shiro过滤器执行链路梳理一、前言二、Shiro过滤器是如何加入Spring容器中的三、过滤器作用1、认证过滤器(FormAuthenticationFilter)2、授权过滤器(RolesAuthorizationFilter)四、过滤器执行链路梳理五、认证授权过滤器的执行优先级 一、前言 本文章主要针对认证过滤器(FormAuthenticationFilter)和授权过滤器(RolesAuthorizationFilter),说明Shiro过滤器拦截到.
shiro实现用户授权
dsl
05-29 376
我的场景是:
shiro设置setUnauthorizedUrl无效
qq_29477175的博客
08-02 1067
解决方案: 对抛出的异常进行统一处理:(新建类) package com.example.demo.exceptions; import org.apache.shiro.authz.UnauthorizedException; import org.springframework.web.bind.annotation.ControllerAdvice; import org.sprin...
Shiro授权配置 -3
haoyun的博客
09-21 224
Shiro请求授权 主要流程 ShiroConfig中的getShiroFilterFactoryBean,给请求设置权限,给入setFilterChainDefinitionMap中,就设定好了授权规则 未授权的请求跳到自己制作的非授权提示界面 当用户每次访问设定的请求页面就会进入UserRealm的doGetAuthorizationInfo方法中查看是否有授权 创建subject获取当前用户,读取用户的权限 先给数据库用户表加权限存放权限的列 没有权限的应该设置为其他
springboot整合shiro实现登录认证以及授权
baidu_35692846的博客
09-29 323
1.添加shiro的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web- starter</artifactId> <version>1.4.0</version> </dependency> 2.先创建一个Real
springboot+shiro入门学习(三)setUnauthorizedUrl的设置
java_chegnxuyuan的博客
06-05 3587
在上一篇中我们遗留了一个问题就是当没有权限时页面跳转的问题。 首先搭建一个jsp的环境 pom文件: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-in...
Tomcat配置Web默认页面(index.html)。
热门推荐
wenqi
11-27 1万+
由于之前经常使用springboot框架,最近的一个项目中使用到了ssm框架,需要更改web默认页面,web服务器为tomcat,环境为idea 首先找到项目中的web.xml文件 进入web.xml文件 <welcome-file-list> <welcome-file>index.html</welcome-file> <welcome-file>index.htm</welcome-file> <wel.
异常java.lang.IllegalArgumentException: Validation failed for query for method public abstract..原因和解决
wenqi
10-28 6279
使用Spring Data JPA 报java.lang.IllegalArgumentException: Validation failed for query for method public abstract …异常的一种原因和解决办法 报错: java.lang.IllegalArgumentException: Validation failed for query for method public abstract java.util.List com.dao.BarDao.findB.
Linux环境下Nginx部署静态资源文件。
wenqi
11-30 4848
环境: 阿里云服务器:Linux Centos7.4 已安装过nginx 准备好静态资源文件。 安放静态资源文件 我把自己的静态资源文件放在了/usr/local/nginx/html下。 dv文件夹中为静态资源文件 nginx配置静态资源 进入/nginx/conf/目录下面,使用vim nginx.conf命令修改配置文件。 重启nginx服务器。 在/usr/local/nginx/sbin/目录下 使用 ./nginx -s reload命令进行重启nginx。 访问静态资源 在浏览器输入.
layui分页乱码问题解决方案...
wenqi
12-03 4257
使用layui框架中的分页时出现乱码 把laypage.js里面的中文替换一下,我的代码把Unicode替成中文 了,应该是把中文替成Unicode码。下面是汉字和Unicode的对应关系。 共 &#x5171 页 &#x9875 条 &#x6761 ...
Shiro权限管理框架学习笔记
Apache Shiro 是一个强大且易用的Java安全框架,主要用于身份验证、授权、会话管理和加密等安全相关功能。在学习Shiro的过程中,我们可以了解到它的一些核心概念和常见应用场景。 首先,Shiro提供了一种简单的方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值