2021-01-06

最新推荐文章于 2022-08-03 11:05:59 发布
最新推荐文章于 2022-08-03 11:05:59 发布
阅读量245 收藏
点赞数
原文链接:https://www.cnblogs.com/chenyanbin/p/shiro.html
版权

陈彦斌博客园首页归档新随笔联系订阅管理
SpringBoot整合Shiro权限框架实战
什么是ACL和RBAC#
ACL#
Access Control list:访问控制列表
优点:简单易用,开发便捷
缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理
例子:常见的文件系统权限设计,直接给用户加权限
RBAC#
Role Based Access Control:基于角色的访问控制
权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限
优点:简化了用户与权限的管理,通过对用户进行分类,使得角色与权限关联起来
缺点:开发比ACL相对复杂
例子:基于RBAC模型的权限验证框架,Apache Shiro
什么是Apache Shiro#
官网地址#
点我直达

介绍#
  Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

什么是身份认证#
  Authentication,身份认证,一般就是登陆校验

什么是授权#
  Authorization,给用户分配角色或者访问某些资源的权限

什么是会话管理#
  Session Management,用户的会话管理员,多数情况下是web session

什么是加密#
  Cryptography,数据加密,比如密码加解密

核心概念#
Subject#
  我们把用户或者程序称为主体,主体去访问系统或者资源

SecurityManager#
  安全管理器,Subject的认证和授权都要在安全管理器下进行

Realm#
  数据域,Shiro和安全数据的连接器,通过realm获取认证授权相关信息

Authenticator#
  认证器,主要负责Subject的认证

Authorizer#
  授权器,主要负责Subject的授权,控制Subject拥有的角色或者权限

Crytography#
  加解密,Shiro的包含易于使用和理解的数据加解密方法,简化了很多复杂的API

Cache Manager#
  缓存管理器,比如认证或授权信息,通过缓存进行管理,提高性能

快速上手#
构建项目#

认证和授权#

QuickStartTest.java
常用API#
//是否有对应的角色
subject.hasRole(“root”);
//获取subject名
subject.getPrincipal();
//检查是否有对应的角色,无返回值,直接在SecurityManager里面进行判断
subject.checkRole(“admin”);
//检查是否有对应的角色
subject.hasRole(“admin”);
//退出登录
subject.logout();

QuickStartAPITest.java
pom.xml
realm实战#
作用#
  Shiro从Realm获取安全数据

概念#
principal:主体的标识,可以有多个,但是需要具有唯一性,如:手机号、邮箱
credential:凭证,一般就是密码
内置ini realm#

QuickStartIniTest.java
shiro.ini
校验权限#

QuickStartIniTest.java
shiro.ini
注:配置文件必须ini结尾

内置JdbcRealm#
方式一#

QuickStartJdbcIniTest.java
jdbcrealm.ini
建表语句.sql
注意#
  表名和字段要对应上,否则自定义定,继承:AuthorizingRealm,重写sql查询语句!!!!并重新指定realm类型!!!!

方式二#

QuickStartJdbc2Test.java
自定义realm#
  继承AuthorizingRealm,重写授权方法doGetAuthorizationInfo、重写认证方法doGetAuthenticationInfo。

UsernamePasswordToken:对应就是shiro的token中有Principal和Credential。

SimpleAuthorizationInfo:代表用户角色权限信息

SimpleAuthenticationInfo:代表该用户的认证信息

CustomRealm.java
QuickCustomRealmTest.java
Filter过滤器#
核心过滤器
DefaultFilter,配置那个路径对应那个拦截器进行处理
authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter
需要认证登录才能访问
user:org.apache.shiro.web.filter.authc.UseerrFilter
用户拦截器,表示必须存在用户
anon:org.apache.shiro.web.filter.authc.AnonymoousFilter
匿名拦截器,不需要登录即可访问的资源,匿名用户或游客,一般用于过滤静态资源。
roles:org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
角色授权拦截器,验证用户是否拥有角色
参数可写多个,表示某些角色才能通过,多个参数时,写roles[“root,role1”],当有多个参数时必须每个参数都通过才算通过
perms:org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
权限授权拦截器,验证用户是否拥有权限
参数可写多个,表示需要某些权限才能通过,多个参数写perms[“user,admin”],当有多个参数时必须每个参数都通过才算可以
authcBasci:org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
httpBasic,身份验证拦截器
logout:org.apache.shiro.web.filter.authc.LogoutFilter
退出拦截器,执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(),设置的url
port:org.apache.shiro.web.filter.authz.PortFilter
端口拦截器,可通过的端口
ssl:org.apache.shiro.web.filter.authz.SslFilter
ssl拦截器,只有请求协议是https才能通过

Filter配置路径#
路径通配符支持?、、**,注意通配符匹配不包含目录分隔符“/”
:可以匹配所有,不加,可以进行前缀匹配,但多个冒号就需要多个来匹配
url权限采取第一次匹配优先的方式
?:匹配一个字符,如:/user?,匹配:/user1,但不匹配:/user/
:匹配零个或多个字符串,如:/add,匹配:/addtest,但不匹配:/user/1
**:匹配路径中的零个或多个路径,如:/user/**将匹配:/user/xxx/yyy
Shiro权限控制注解#
注解方式#
@RequiresRoles(value={“admin”,“editor”},logical=Logical.AND)
需要角色:admin和editor两个角色,AND表示两个同时成立
RequiresPermissions(value={“user:add”,“user:del”},logical.OR)
需要权限user:add或user:del权限其中一个,OR是或的意思
@RequiresAuthentication
已经授过权,调用Subject.isAuthenticated()返回true
@RequiresUser
身份验证或通过记住我登录过的

使用文件的方式#
  使用ShiroConfig。

编程方式#

SpringBoot整合Shiro#
技术栈#
  前后端分离+SpringBoot+Mysql+Mybatis+Shiro+Redis+JDK8

数据库表#
shiro_2.sql
项目结构#

CustomRealm.java
CustomSessionManager.java
ShiroConfig.java
AdminController.java
LogoutController.java
OrderController.java
OtherController.java
PublicController.java
VideoController.java
PermissionMapper.java
RoleMapper.java
UserMapper.java
Permission.java
Role.java
RolePermission.java
User.java
UserQuery.java
UserRole.java
CustomException.java
GlobalExceptiions.java
UserServiceImpl.java
UserService.java
JsonData.java
SpringbootShiroApplication.java
application.properties
Md5Test.java
pom.xml
项目源码#
链接: https://pan.baidu.com/s/1adjwICKge83YcPycE8ZaEQ 密码: if9s
项目postman测试#
127.0.0.1:12888/pub/index

127.0.0.1:12888/pub/not_permit

127.0.0.1:12888/pub/need_login

127.0.0.1:12888/pub/login

127.0.0.1:12888/authc/video/play_record

127.0.0.1:12888/admin/video/video_list

127.0.0.1:12888/video/add

127.0.0.1:12888/video/update

备注#
  因为链接较多,就不一一做gif动图了,直接导入项目源码,请求的时候,在header上加入token即可~

Filter过滤器#
业务需求#
一个接口,可以让2个角色中的任意一个访问
自定义一个类,继承:AuthorizationFilter
package com.ybchen.springboot_shiro.config;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.CollectionUtils;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.util.Set;

/**

  • @Description:自定义Filter

  • @Author:chenyanbin

  • @Date:2021/1/4 11:14 下午

  • @Versiion:1.0
    */
    public class CustomRolesOrAuthorizationFilter extends AuthorizationFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    Subject subject = getSubject(request, response);
    //filterChainDefinitionMap.put("/admin/**", “roles[admin,user]”); mappedValue <==> admin,user
    String[] rolesArray = (String[]) mappedValue;
    if (rolesArray == null || rolesArray.length == 0) {
    return true;
    }
    Set roles = CollectionUtils.asSet(rolesArray);
    //当前subject是roles中的任意一个,则有权限访问
    for (String role : roles) {
    if (subject.hasRole(role)) {
    return true;
    }
    }
    return false;
    }
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
    System.out.println(“ShiroConfig ShiroFilterFactoryBean 执行”);
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    //设置SecurityManager
    shiroFilterFactoryBean.setSecurityManager(securityManager);
    //如果访问需要登录的某个接口,却没有登录,则调用此接口(如果不是前后端分离,则跳转页面)
    shiroFilterFactoryBean.setLoginUrl("/pub/need_login");
    //shiroFilterFactoryBean.setLoginUrl("/xxx.jsp");
    //登录成功后,跳转的链接,若前后端分离,没必要设置这个
    //shiroFilterFactoryBean.setSuccessUrl("");
    //登录成功,未授权会调用此方法
    shiroFilterFactoryBean.setUnauthorizedUrl("/pub/not_permit");

     //设置自定义Filter
 Map<String, Filter> filterMap=new LinkedHashMap<>();
 filterMap.put("roleOrFilter",new CustomRolesOrAuthorizationFilter());
 shiroFilterFactoryBean.setFilters(filterMap);

 //拦截路径,必须使用:LinkedHashMap,要不然拦截效果会时有时无,因为使用的是无序的Map
 Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
 //key=正则表达式路径,value=org.apache.shiro.web.filter.mgt.DefaultFilter
 //退出过滤器
 filterChainDefinitionMap.put("/logout", "logout");
 //匿名可以访问,游客模式
 filterChainDefinitionMap.put("/pub/**", "anon");
 //登录用户才可以访问
 filterChainDefinitionMap.put("/authc/**", "authc");
 //管理员角色才能访问

// filterChainDefinitionMap.put("/admin/", “roles[admin,user]”);
filterChainDefinitionMap.put("/admin/", “roleOrFilter[admin,user]”);
//有编辑权限才能访问
filterChainDefinitionMap.put("/video/update", “perms filterChainDefinitionMap.put(”/video/update", “perms[video_update]”);
//authc:url必须通过认证才可以访问
//anon:url可以匿名访问
//过滤链是顺序执行,从上而下,一般把/,放到最下面
filterChainDefinitionMap.put("/", “authc”);
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
Redis整合CacheManager#
原因#
  授权的时候每次都去查询数据库,对于频繁访问的接口,性能和响应速度比较慢,此处可以使用缓存,提高响应速度,也可以使用Guava(本地内存缓存)。

Redis(分布式缓存)还不了解的小伙伴,在这里我就不一一讲解了,可以看我以前写过的博客。

Redis 从入门到精通:点我直达
Redis 微信抢红包,电商场景下秒杀系统设计:点我直达
Redis 高级项目实战:点我直达
添加依赖#


org.crazycake
shiro-redis
3.3.1

在ShiroConfig中添加如下代码

//使用自定义cacheManager
securityManager.setCacheManager(cacheManager());

/**
 * 配置redisManager
 * @return
 */
public RedisManager getRedisManager(){
    RedisManager redisManager=new RedisManager();
    redisManager.setHost("127.0.0.1:6379");
    //连接那个数据库
    redisManager.setDatabase(0);
    //设置密码

// redisManager.setPassword(“123”);
return redisManager;
}

/**
 * 设置具体cache实现类
 * @return
 */
public RedisCacheManager cacheManager(){
    RedisCacheManager redisCacheManager=new RedisCacheManager();
    redisCacheManager.setRedisManager(getRedisManager());
    return redisCacheManager;
}

修改CustomRealm

设置redis缓存过期时间

Redis整合SessionManager#
为啥Session也要持久化#
  重启应用,用户无感知,可以继续以原先的状态继续访问。

修改shiroconfig

ShiroConfig.java
Shiro整合Redis后的源码#
链接: https://pan.baidu.com/s/1cNQfBiw50A-U5izzOQclpw 密码: 6wqt

作者:陈彦斌
出处:https://www.cnblogs.com/chenyanbin/
关注: 点我哟(^U^)ノ~YO
个性签名:没有学不会的技术,只有不学习的人!
联系方式:543210188(WeChat/QQ),「推荐WeChat」
分类: Shiro, Spring Boot
联系方式
2
« 上一篇: Mac下安装Redis,附可视化工具Medis
posted @ 2021-01-05 23:07 陈彦斌 阅读(86) 评论(0) 编辑 收藏
登录后才能发表评论,立即 登录 或 注册, 访问 网站首页
Copyright © 2021 陈彦斌
Powered by .NET 5.0 on Kubernetes & Theme Silence v3.0.0
作词 : 无

作曲 : 无

李瑨瑶-Count On You

Written by :Bruno Mars

吉他:@李瑨瑶瑶瑶瑶

You can count on me like 123

I’ll be there

'Cause I know when I need it

I can count on you like 432

And you’ll be there

'Cause that’s what friends are supposed to do oh yeah

Oh yeah

You can count on me like 123

I’ll be there

And I know when I need it

I can count on you like 432

And you’ll be there

'Cause that’s what friends are supposed to do oh yeah

wubaoyu123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro安全框架
m0_46525448的博客
10-31 350
1 Shiro安全框架简介 1.1 Shiro概述 Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/),它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示: 1.2 Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念,如图-2所
2021-01-05
qq_42635948的博客
01-05 418
第二次作业:高光谱分类 一、关于HybridSN 高光谱则是由很多通道组成的图像,每一个通道捕捉指定波长的光。根据论文《S. K. Roy, G. Krishna, S. R. Dubey, B. B. Chaudhuri HybridSN: Exploring 3-D–2-D CNN Feature Hierarchy for Hyperspectral Image Classification, IEEE GRSL 2020》得知:作者提出了HybridSN 模型,即混合特征学习框架。HybridSN是
shiro动态配置过滤器
yaoct的博客
05-14 3674
在创建AbstractShiroFilter(shiro过滤器)时,可以配置过滤器,比如: @Bean("shiroFilter") @DependsOn({"securityManager"}) public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBea
shiro过滤器
qq_35366466的博客
01-06 1350
ShiroFilterFactoryBean实现FactoryBean,说明他是shiroFilter工厂类,他是怎么初始化能很好的工作呢?该类的入口方法是createInstance(),该方法实现了几个功能 1、创建了一个过滤器管理类FilterChainManager,该类主要管理shiro里的过滤器,里面有两个重要的属性 1.1 filters:管理全部过滤器,包括默认的身份验证和权限验证的过滤器,这些过滤器分为两组,一组是认证过滤器,有anon,authenBasic,auchc,user,一
shiro setFilterChainDefinitionMap 多个路径不生效问题
热门推荐
woaiqianzhige的博客
11-30 1万+
shiro setFilterChainDefinitionMap 多个路径不生效问题 Map&lt;String, String&gt; map = new HashMap&lt;&gt;(); map.put("/cms/admin/**", "perms[admin]"); map.put("/cms/appeal/**", "perms[appeal]");
shiro安全认证之FilterChainDefinitionMap
xiguaxiansheng的博客
08-03 3308
shiro安全认证之FilterChainDefinitionMap
YYT 1824-2021
04-01
【YYT 1824-2021】是中国医药行业的一项标准,全称为"EB病毒核酸检测试剂盒(荧光PCR法)",它规定了使用荧光PCR技术检测EB病毒核酸的相关要求和试验方法。这项标准适用于定性或定量检测人体全血、血清/血浆中的EB病毒...
gitlab包(2021-06-01)
03-16
在ubuntu16.04部署gitlab时,因为ubuntu版本最好能和gitlab版本对应,对应ubuntu16.04的gitlab包(2021-06-01)
VW 80000 最新版 EN-2021.pdf
04-06
* VW 80101:1987-06, 1988-08, 1992-01, 1993-04, 1994-05, 1995-06, 1998-01, 1999-06, 2000-09, 2001-04, 2003-05, 2004-07, 2005-06, 2006-10, 2009-03 * VW 80000:2009-10, 2013-06, 2017-10, 2020-12 变化 ...
spine-unity-3.8-2021-06-01.unitypackage
06-18
spine骨骼动画导入unity插件
mec-ttp-2021-winter
05-26
01-04 主题预评估,课程规范,git基础幻灯片 作业选择自己的冒险部分2-2021-01-05 主题git续,概述项目,javascript第1部分幻灯片 作业二十一点游戏引擎 最初的小组任务,破冰船打开请求以切换组部分3-2021-01-06 ...
CesiumJS 1.82(发布时间 2021-06-01)
07-12
这个版本发布于2021年6月1日,它提供了丰富的功能和改进,使得开发者能够轻松地在Web环境中创建复杂的地理信息系统(WebGIS)应用。CesiumJS的核心特性在于其对3D Tiles的支持,这是一种高效的数据分发格式,特别...
leetcode2-golang-at-ocado:课程的官方存储库2021-06-01/2021-07-08
06-29
leetcode 2 投入生产 可用的注释和代码: [第 1 周] - Golang 介绍 <-- 已添加 其他资源 [第 1 周] 除此之外,我建议用 Go 做一些算法类型的任务。 [第 2 周] 测试 - 查看 Gomock ...是一个很好的网站
Video_2021-01-09_124704.mp4
01-12
在线教育系统javaweb项目毕业设计
Shiro四种权限控制方式
sinat_19594515的博客
10-21 674
@Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shirFilter(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryB.
Shiro中ShiroFilterFactoryBean的filterChainDefinitionMap配置
core815的专栏
07-22 1万+
通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[permissive]");//jwt[permissive]就是一个普...
SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_34258782的博客
12-16 1265
先从我们写的一个自定义Filter来看: public class RoleOrFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) t...
快速上手Shiro拦截器、认证、授权功能
piaolaoshi的博客
03-20 8251
快速实现shiro拦截器授权认证等功能
扮演个python2021-01-01 周五 7° -6° 多云~晴 西南风2级 2021-01-02 周六 8° -2° 多云 东风2级 2021-01-03 周日 8° -1° 多云 东北风3级 2021-01-04 周一 9° 1° 多云~阴 东北风2级 2021-01-05 周二 4° 0° 阴 东北风3级 2021-01-06 周三 2° -7° 阴 北风3级 2021-01-07 周四 -4° -7° 多云 北风4级 2021-01-08 周五 1° -9° 晴~多云 西北风3级 2021-0
最新发布
05-17
1-01-01 周五 7° -6° ...2021-01-06 周三 2° -7° 阴 北风3级 2021-01-07 周四 -4° -7° 多云 北风4级 2021-01-08 周五 1° -9° 晴~多云 西北风3级 以上是2021年1月1日到1月8日的天气情况,你需要我帮你做什么?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值