shiro的配置和使用

最新推荐文章于 2024-05-13 10:02:43 发布
最新推荐文章于 2024-05-13 10:02:43 发布
阅读量866 收藏 2
点赞数
分类专栏: java 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingkong_hdc/article/details/85130708
版权

shiro的配置和使用

1.shiro整合spring的配置

	<!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 -->
<!-- Web应用中,Shiro可控制的Web请求必须经过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
    <!-- Shiro的核心安全接口,这个属性是必须的 -->  
    <property name="securityManager" ref="securityManager"/>  
    <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 -->  
    <property name="loginUrl" value="/login.html"/>
    <!-- 登录成功后要跳转的连接 -->  
    <property name="successUrl" value="/index.html"/>
    <!-- 用户访问未对其授权的资源时,所显示的连接 -->  
    <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp -->
    <property name="unauthorizedUrl" value="/"/>
    <!-- Shiro连接约束配置,即过滤链的定义 -->  
    <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 -->  
    <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->  
    <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->  
    <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->  
    <property name="filterChainDefinitions">  
        <value>
        	/statics/**=anon
			/api/**=anon
        	/login.html=anon
        	/sys/login=anon
        	/captcha.jpg=anon
        	/**=authc
        </value>
   	 </property>
	</bean>

<!-- 继承自AuthorizingRealm的自定义Realm,即指定Shiro验证用户登录的类为自定义的UserRealm.java -->  
<bean id="userRealm" class="com.platform.shiro.UserRealm"/>

<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
	<!-- 设置session过期时间为1小时(单位:毫秒),默认为30分钟 -->
	<property name="globalSessionTimeout" value="3600000"></property>
	<property name="sessionValidationSchedulerEnabled" value="true"></property>
	<property name="sessionIdUrlRewritingEnabled" value="false"></property>
</bean>

<!-- 缓存配置 -->
<bean id="cacheManager" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean">
	<property name="configLocation" value="classpath:${ehcache.configFile}" />
</bean>
<!-- 缓存shiro -->
<bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
	<property name="cacheManager" ref="cacheManager"/>
</bean>	

<!-- Shiro默认会使用Servlet容器的Session,可通过sessionMode属性来指定使用Shiro原生Session -->  
<!-- 即<property name="sessionMode" value="native"/>,详细说明见官方文档 -->  
<!-- 这里主要是设置自定义的单Realm应用,若有多个Realm,可使用'realms'属性代替 -->  
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="sessionManager" ref="sessionManager"></property>
    <property name="realm" ref="userRealm"/>
	<property name="cacheManager" ref="shiroCacheManager" />
</bean>
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

<!-- AOP式方法级权限检查  -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
	<property name="proxyTargetClass" value="true" />
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	<property name="securityManager" ref="securityManager"/>
</bean>

2.shiro配置的讲解

  1. shiroFilter 是shiro的过滤器,包含属性securityManager,securityManager是shiro的安全认证的核心组件。属性filterChainDefinitions是过滤连,anon表示不要认证,authc则需要登陆认证。

  2. securityManager是安全认证器,包含属性会话管理器sessionManager,用户认证器userRealm,缓存管理器shiroCacheManager

  3. sessionManager会话管理器,可以配置session保持时间等

  4. userRealm用户认证需要自己继承AuthorizingRealm,并重写登陆认证方法doGetAuthenticationInfo,权限认证方法doGetAuthorizationInfo,还可以重写匹配器方法setCredentialsMatcher来实现自定义密码匹配规则。实现自定义匹配规则有两种方式,一种就是重写setCredentialsMatcher方法如下:

    /**
  * 设置认证加密方式
  */

    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
    HashedCredentialsMatcher md5CredentialsMatcher = new HashedCredentialsMatcher();
    md5CredentialsMatcher.setHashAlgorithmName(“MD5”);
    md5CredentialsMatcher.setHashIterations(“1024”);
    super.setCredentialsMatcher(md5CredentialsMatcher);
    }
    另一种是在userRealm配置下,增加属性credentialsMatcher,如下:

    <bean id="credentialsMatcher"class=“org.apache.shiro.authc.credential.HashedCredentialsMatcher”>



  5. AOP式方法级权限检查的配置是spring注解扫描的配置,可以在方法上添加权限的注解 @RequiresPermissions("***"),括号内的参数自定义的权限名称。
    ####3.shiro的使用
    shiro的登陆以及权限认证一般要配合数据库的三张表,用户user,用户角色user_role,角色权限role_permission三张表。用户登陆验证实现流程有两种,一个是没有使用自定义匹配器的,一种是自定义匹配器的

1.没有使用自定义匹配器的登陆验证流程:

(1)点击请求登陆进入login方法,不适用匹配器,默认是不加密进行密码比较的,所以一般是,用户注册时,使用自定义加密方式存密码,用户登陆时,对传过来的密码使用相同的加密方式加密后再传入传入UsernamePasswordToken中。

		//创建UsernamePasswordToken对象
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		//登陆验证
        subject.login(token);

(2)接着会自动进入自定义的realm类的doGetAuthenticationInfo()方法,从AuthenticationToken中取出username,通过username到数据库中取出用户,创建并返回SimpleAuthenticationInfo对象。SimpleAuthenticationInfo使用三参的构造函数,SimpleAuthenticationInfo(user, password, realmName)

第一个参数是user。

第二个参数是数据库中存的password,这个password是在注册时加密好并存入数据库的,和传入UsernamePasswordToken的password的加密方式一致,从而可以正确匹配。

第三个参数是自定义的realm的名字。shiro框架内部会进行密码验证,如果UsernamePasswordToken中的password的值和数据库的password的值相等则登陆成功,否则抛出异常。

 /**
 	* 认证(登录时调用)
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
        AuthenticationToken token) throws AuthenticationException {
    String username = (String) token.getPrincipal();

    //查询用户信息
    SysUserEntity user = sysUserDao.queryByUserName(username);

    //账号不存在
    if (user == null) {
        throw new UnknownAccountException("账号或密码不正确");
    }

    SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword, getName());
    return info;
}

2.使用自定义匹配器的登陆验证流程:

(1)自定义匹配器有上文介绍的两种方式,选择在实现自定义realm中重写setCredentialsMatcher()方法,该方法在加载realm时调用,设置匹配器。

    @Override
	public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
    	HashedCredentialsMatcher md5CredentialsMatcher = new HashedCredentialsMatcher();
    	md5CredentialsMatcher.setHashAlgorithmName("MD5");
    	md5CredentialsMatcher.setHashIterations(1024);
    	super.setCredentialsMatcher(md5CredentialsMatcher);
	}

(2)点击请求登陆进入login方法,因为自定义了匹配器,则客户端传过来的password不需要处理直接传入UsernamePasswordToken中。

		//创建UsernamePasswordToken对象
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		//登陆验证
        subject.login(token);

(3)接着会自动进入自定义的realm类的doGetAuthenticationInfo()方法,从AuthenticationToken中取出username通过username到数据库中取出用户,创建并返回SimpleAuthenticationInfo对象。注意:如果用户注册时存入数据库的密码是加盐加密处理的则使用四参的构造方法,SimpleAuthenticationInfo(user, credentials, salt, realmName)

第一个参数是user。

第二个是数据库中密码。

第三个是盐值。

第四个是realm的名字。

这时候会使用自定义的HashedCredentialsMatcher进行匹配。shiro内部进行匹配时会将UsernamePasswordToken中的passsword按匹配器的规则加密后与数据库中的password进行匹配,匹配成功则登陆成功,否则抛异常。

如果注册时密码是没有加盐处理的,则使用三参的构造函数创建并返回SimpleAuthenticationInfo(user, password, realmName)。

	 /**
 	* 认证(登录时调用)
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
        AuthenticationToken token) throws AuthenticationException {
    String username = (String) token.getPrincipal();

    //查询用户信息
    SysUserEntity user = sysUserDao.queryByUserName(username);

    //账号不存在
    if (user == null) {
        throw new UnknownAccountException("账号或密码不正确");
    }
	//salt是盐
    SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword,user.getSalt, getName());
    return info;
}

3.shiro的权限认证

如果方法上加了注解 @RequiresPermissions(" “),则需要相应的权限,当请求过来时,则先调用realm的doGetAuthorizationInfo()方法来进行权限验证。获取用户具备的权限集合Set permsSet,然后创建并返回SimpleAuthorizationInfo,simpleAuthorizationInfo.setStringPermissions(permsSet)将权限设置进去,如果具备@RequiresPermissions(” ")权限则可以执行该方法,否则抛异常。

    /**
 * 授权(验证权限时调用)
 */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    SysUserEntity user = (SysUserEntity) principals.getPrimaryPrincipal();
    String userId = user.getUserId();

	List<String> permsList = rolePermissionDao.queryList(userId);

    //用户权限列表
    Set<String> permsSet = new HashSet<String>();
    if (permsList != null && permsList.size() != 0) {
        for (String perms : permsList) {
            if (StringUtils.isBlank(perms)) {
                continue;
            }
            permsSet.addAll(Arrays.asList(perms.trim().split(",")));
        }
    }

    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    info.setStringPermissions(permsSet);
    return info;
}

总结:以上是shiro的基本使用方法,也是借鉴了一些开源项目(platform,guns,jeesite等)并加上自己的理解。如有错误,欢迎指正。

hdc_星空古路
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Shiro使用配置实战
逍遥飞鹤的专栏
05-28 1587
1.关于Shiro在Spring中的配置 1.直接在HIbernate中使用Ehcache的配置 <beans xmlns="http://www.springframework.org/schema/beans" xmlns:aop="http://www.springframework.org/schema/aop" xmlns:context="http://www.sp
Apache Shiro 使用手册(五) Shiro 配置说明
09-15
主要为大家分享了Apache Shiro 配置说明,需要的朋友可以参考下
Shiro配置跳过权限验证
web18484626332的博客
03-28 2348
需求 因为在开发环境,测试环境,有时候需要跳过shiro的权限验证.所以想写个简单的配置跳过shiro的权限验证. 跳过权限验证的原理就是重写**@RequiresPermissions**的实现,然后在配置文件中写一个开关,最后通过Aop注入进去就大功告成. @RequiresPermissions 处理类 在 org.apache.shiro.authz.aop.PermissionAnnotationHandler 中处理这个注解,这就是我们要 覆写的类.我准备将它替换成log日志. /** * 检
Shiro安全框架】核心概念、基本配置、整合Web项目_shiropeizhi
最新发布
2401_84970121的博客
05-13 519
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。[外链图片转存中…(img-h8bgizuZ-1715565752420)]
Shiro使用步骤
m0_37596145的博客
10-22 647
URL权限过滤 shiro安全框架: +ehcache缓存1、引入依赖pom.xml <!-- Apache Shiro 权限架构 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId>
shiro配置使用 整体流程
natural_的博客
06-15 5593
shiro的介绍网上很多,详细的有开涛的博客。因为开涛的博客文章较多,而项目又比较赶,所以博主是根据项目需要来搜资料的,当然了,获取资料最多的就是开涛的博客了。 当然了,使用一个东西最开始就应该就是导入它的包了,在官网上写了好多种包,但是shiro不是自己都说,好的项目不是什么都有,而是不能再少一点东西了,所以大家在导包 的时候尽量不要太贪心的全导入了,视项目的情况而定吧。 下面是maven的
Shiro框架的配置和简单使用
qq_36983822的博客
01-02 301
1.配置shiro框架 1.1 导入shiro需要依赖的jar包 我是使用maven项目直接加载的。 在pom.xml文件中加入如下依赖: &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artif...
shiro的搭建与基本使用
暴走的后端
03-25 193
shiro是一个java的安全权限框架 shiro.ini 配置文件关键代码:获取subject:Subject user=SecurityUtils.getSubject();user.getSession() 获取session测试当前的用户是否被认证 user.isAuthenticated()把用户名和密码封装为UsernamePasswordToken对象UsernamePassword...
shiro 配置文件
01-06
接下来,我们看 `springmvc.xml` 文件,这是 Spring MVC 的配置文件,通常在这里配置 Shiro 的 Realm,即认证和授权的实现。Realm 是 Shiro 与应用数据源交互的桥梁,你可以自定义 Realm 类,继承 `AuthorizingRealm...
springmvc+shiro配置教程
11-16
SpringMvc+Shiro配置教程 SpringMvc和Shiro是两个widely使用的Java Web开发框架,前者是一个基于模型-视图-控制器(MVC)模式的Web应用程序框架,而后者是一个基于权限控制的安全框架。将这两个框架结合使用,可以...
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
在本篇文章中,我们将详细介绍如何在 SpringBoot 项目中配置自定义密码加密器代码实例,使用 Shiro 框架来实现身份认证和授权管理。Shiro 框架提供了一个灵活的安全管理系统,可以满足各种应用场景的需求。 Shiro ...
Shiro基本使用详解以及多Realm使用配置.rar
08-09
Shiro基本使用详解以及多Realm使用配置,拿来可以直接使用,也可以在此基础上进行自己业务逻辑的添加和修改,如果希望进一步深入学习,可以查看我的博客,可以查看https://blog.csdn.net/u014748504/article/details/107813181,或给我留言
shiro 框架的数据库表
01-06
用户表 用户角色表 角色表权限表 角色权限表 数据库表已建好还有数据,导入MySQL就可以用了 简单方便
shiro基本配置使用
weixin_30361641的博客
06-01 78
这里讲shiro整合spring 实现登录验证 和权限拦截 首先pom文件添加依赖 <!-- shiro --><dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.3....
shiro大致介绍,shiro配置shiro用法
Syntactic_tang的博客
10-17 235
shiro大致介绍 shiro是什么 shiro是apache组织下维护的一个安全框架. 1. 帮我们做认证. 2. 帮我们做权限的校验. 3. 帮我们做密码加密加盐. 4. shiro可以自定义Session. 5. shiro可以帮我们缓存用户权限信息. 6. shiro还一共了各种认证/授权的校验方式,针对项目类型可以自由选择. shiro和Spring security比较 shi...
Shiro的安装和基本使用
programmer想玩潮
02-24 1340
Shiro的安装和基本使用 shiro中的核心架构 添加依赖到 pom.xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.0</version> </dependency> shiro
总结原生Shiro使用流程
qq_43518557的博客
06-07 217
总结原生Shiro使用流程 一、准备 1. 配置依赖 <dependencies> <!--配置shiro的依赖--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version&
什么是Shiro
星空椰
02-16 2418
Shiro是一款功能强大且易于使用的 Java 安全框架,是实现安全认证和权限控制的必选框架之一一、Shiro是什么?使用Shiro的好处?
Shiro学习(四)——认证与授权(ini文件配置与数据库配置方式)
sadoshi的专栏
09-02 800
前言 安全框架最基本的两个功能是认证和授权。在系列第一篇文章《Shiro学习(一)——Shiro配置与快速开始》中,我们已经通过login验证了其认证功能。本篇主要讲讲授权功能。 另外也想讲讲通过数据库方式进行授权的管理。网上搜索以及很多例子基本都是以ini文件配置为主,即使个别使用数据库管理的,也讲得不清不楚,希望这篇文章能让大家搞明白。 ini文件配置方式 还是先以ini文件配置方式讲起,我们新建文件shiro.ini [users] zhang=123,role1 wang=456,r
shiro配置redis
08-21
使用Shiro配置Redis时,可以按照以下步骤进行操作: 1. 首先,将shiro-redis-tutorial克隆到本地磁盘上,使用以下命令来克隆项目:git clone https://github.com/alexxiyang/shiro-redis-tutorial.git 2. 打开克隆下来的项目,并进入src/main/resources目录下。 3. 在resources目录下,可以找到shiro.ini配置文件。这个文件用于配置ShiroShiro-Redis。可以根据自己的需要对文件进行修改。 4. 如果需要详细了解ShiroShiro-Redis的配置,可以参考Shiro官网或者这个博客:https://blog.csdn.net/LHacker/article/details/10438387 5. 根据项目的需求,可以使用开源项目中的类来实现Redis作为缓存,缓存用户的权限和session信息。同时,还可以使用开源项目中的其他功能,如并发登录限制和密码错误次数限制。 6. 在整合过程中,首先需要进行Redis的配置。可以根据项目的具体情况,对Redis进行相关的优化。 总结:要配置Shiro使用Redis作为缓存,可以参考shiro.ini配置文件,并根据需要进行修改。在整合过程中,可以使用开源项目中的类来实现Redis的相关功能,并根据项目的需求进行优化。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [shiro-redis-tutorial:shiro-redis教程](https://download.csdn.net/download/weixin_42117032/18665099)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [Shiro配置以及redis配置](https://blog.csdn.net/wucaifang819787/article/details/82050394)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Shiro使用Redis作为缓存(解决Shiro频繁访问Redis)(十一)](https://blog.csdn.net/qq_45822970/article/details/109582568)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值