第七章 与Web集成(三) WEB INI配置

最新推荐文章于 2023-04-21 16:00:54 发布
最新推荐文章于 2023-04-21 16:00:54 发布
阅读量754 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yifanSJ/article/details/77689211
版权

我学本章的时候做的一个Demo,可借鉴参考下。

shiro 第七章 完整Demo


ini配置部分和之前的相比将多出对url部分的配置。

[main]
#默认是/login.jsp
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized
[users]
zhang=123,admin
wang=123
[roles]
admin=user:*,menu:*
[urls]
/login=anon
/unauthorized=anon
/static/**=anon
/authenticated=authc
/role=authc,roles[admin]
/permission=authc,perms["user:create"]

其中最重要的就是[urls]部分的配置,其格式是: “url=拦截器[参数],拦截器[参数]”;即如果当前请求的url匹配[urls]部分的某个url模式,将会执行其配置的拦截器。比如:

anon拦截器表示匿名访问(即不需要登录即可访问);

authc拦截器表示需要身份认证通过后才能访问;

roles[admin]拦截器表示需要有admin 角色授权才能访问;

perms["user:create"]拦截器表示需要有“user:create”权限才能访问。


url模式使用Ant风格模式

Ant路径通配符支持?、*、**,注意通配符匹配不包括目录分隔符“/”:

?:匹配一个字符,如”/admin?”将匹配/admin1,但不匹配/admin 或/admin2;

*:匹配零个或多个字符串,如/admin*将匹配/admin、/admin123,但不匹配/admin/1;

**:匹配路径中的零个或多个路径,如/admin/**将匹配/admin/a或/admin/a/b。


url模式匹配顺序

url 模式匹配顺序是按照在配置中的声明顺序匹配,即从头开始使用第一个匹配的url 模式对应的拦截器链。如:

/bb/**=filter1
/bb/aa=filter2
/**=filter3

如果请求的url是“/bb/aa”,因为按照声明顺序进行匹配,那么将使用filter1进行拦截。

拦截器将在下一节详细介绍。接着我们来看看身份验证、授权及退出在web中如何实现。

一、身份验证(登录)

0. web.xml

<listener>
    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>
<context-param>
    <param-name>shiroEnvironmentClass</param-name>
    <param-value>org.apache.shiro.web.env.IniWebEnvironment</param-value><!-- 默认先从/WEB-INF/shiro.ini,如果没有找classpath:shiro.ini -->
</context-param>
<context-param>
    <param-name>shiroConfigLocations</param-name>
    <param-value>classpath:shiro.ini</param-value>
</context-param>
<!-- ShiroFilter类似 于Spring MVC框架的前端 控制器,其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录 /权限等工作 -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

1. 首先配置需要身份验证的url

/authenticated=authc
/role=authc,roles[admin]
/permission=authc,perms["user:create"]

即访问这些地址时会首先判断用户有没有登录,如果没有登录默会跳转到登录页面,默认是/login.jsp,可以通过在[main]部分通过如下配置修改

authc.loginUrl=/login

完整如下:

[main]
#默认是/login.jsp
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized

logout.redirectUrl=/login

[users]
zhang=123,admin
wang=123

[roles]
admin=user:*,menu:*

[urls]
/logout2=logout
/login=anon
/logout=anon
/unauthorized=anon
/static/**=anon
/authenticated=authc
/role=authc,roles[admin]
/permission=authc,perms["user:create"]

2. 登录Servlet

@WebServlet(name="loginServlet",urlPatterns="/login")
public class LoginServlet extends HttpServlet{
	@Override
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request, response);
	}
	@Override
	protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		String error = null;
		String username = req.getParameter("username");
		String password = req.getParameter("password");
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(username,password);
		token.setRememberMe(true);
		try {
			subject.login(token);
		} catch (UnknownAccountException e){
			error = "用户名/密码错误";
		} catch (IncorrectCredentialsException e) {
			error = "用户名/密码错误";
		} catch (AuthenticationException e) {
			//其他错误,比如锁定,如果想单独处理请单独catch处理
			error = "其他错误:"+e.getMessage();
		}
		if(error!=null){//出错了,返回登录页面
			System.out.println("error");
			req.setAttribute("error", error);
			req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
		}else{//登录成功
			System.out.println("ok");
			req.getRequestDispatcher("/WEB-INF/jsp/loginSuccess.jsp").forward(req, resp);
		}
	}
}

1)doGet请求时展示登录页面;

2)doPost时进行登录,登录时收集username/password参数,然后提交给Subject进行登录。如果有错误再返回到登录页面;否则跳转到登录成功页面(此处应该返回到访问登录页面之前的那个页面,或者没有上一个页面时访问主页)。

3. login.jsp

<body>
<div class="error">${error}</div>
<div class="error">${pageContext.request.contextPath}</div>
<form action="/MavenTest6/login" method="post">
    用户名111:<input type="text" name="username"><br/>
    密码:<input type="password" name="password"><br/>
    <input type="submit" value="登录">
</form>
</body>

4. loginSuccess.jsp

<body>
欢迎${subject.principal}登录成功!<a href="${pageContext.request.contextPath}/logout">退出</a>
</body>

5. 显示当前登录用户Servlet

@WebServlet(name="authenticatedServlet",urlPatterns="/authenticated")
public class AuthenticatedServlet extends HttpServlet{
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		Subject subject = SecurityUtils.getSubject();
		if(subject.isAuthenticated()){
			request.getRequestDispatcher("/WEB-INF/jsp/authenticated.jsp").forward(request, response);
		}else{
			request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request, response);
		}
	}
}

6. authenticated.jsp

<body>
${subject.principal}身份验证已通过。
</body>
</html>

7. 退出Servlet

@WebServlet(name="LogoutServlet",urlPatterns="/logout")
public class LogoutServlet extends HttpServlet{
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		Subject subject = SecurityUtils.getSubject();
		subject.logout();
		req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
	}
}

8. 测试

首先输入http://localhost:8080/chapter7/login 进行登录,登录成功后接着可以访问http://localhost:8080/chapter7/authenticated来显示当前登录的用户:

${subject.principal}身份验证已通过。

当前实现的一个缺点就是,永远返回到同一个成功页面(比如首页),在实际项目中比如支付时如果没有登录将跳转到登录页面,登录成功后再跳回到支付页面;对于这种功能大家可以在登录时把当前请求保存下来,然后登录成功后再重定向到该请求即可。

Shiro 内置了登录(身份验证)的实现:基于表单的和基于Basic 的验证,其通过拦截器实现。

二、基于Basic的拦截器身份验证

1. shiro-basicfilterlogin.ini配置

[main]
authcBasic.applicationName=please login
………省略users
[urls]
/role=authcBasic,roles[admin]

1.1 authcBasic是org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter类型的实例,其用于实现基于Basic 的身份验证;applicationName 用于弹出的登录框显示信息使用,如图:


1.2 [urls]部分配置了/role 地址需要走authcBasic 拦截器,即如果访问/role 时还没有通过身份验证那么将弹出如上图的对话框进行登录,登录成功即可访问

完整如下:

[main]
authcBasic.applicationName=please login

perms.unauthorizedUrl=/unauthorized
roles.unauthorizedUrl=/unauthorized
[users]
zhang=123,admin
wang=123

[roles]
admin=user:*,menu:*

[urls]
/role=authcBasic,roles[admin]

2. web.xml

把shiroConfigLocations改为shiro-basicfilterlogin.ini即可。

3. 测试

输入http://localhost:8080/chapter7/role,会弹出之前的Basic 验证对话框输入“zhang/123”即可登录成功进行访问。

三、基于表单的拦截器身份验证

基于表单的拦截器身份验证和【1】类似,但是更简单,因为其已经实现了大部分登录逻辑;我们只需要指定:登录地址/登录失败后错误信息存哪/成功的地址即可。

1. shiro-formfilterlogin.ini

[main]
authc.loginUrl=/formfilterlogin
authc.usernameParam=username
authc.passwordParam=password
authc.successUrl=/
authc.failureKeyAttribute=shiroLoginFilure
perms.unauthorizedUrl=/unauthorized
roles.unauthorizedUrl=/unauthorized

[users]
zhang=123,admin
wang=123

[roles]
admin=user:*,menu:*

[urls]
/role=authc,roles[admin]
/static/**=anon
/formfilterlogin=authc
/permission=authc,perms["user:create"]

authc 是org.apache.shiro.web.filter.authc.FormAuthenticationFilter 类型的实例,其用于实现基于表单的身份验证;通过loginUrl指定当身份验证时的登录表单;

usernameParam指定登录表单提交的用户名参数名;

passwordParam指定登录表单提交的密码参数名;

successUrl指定登录成功后重定向的默认地址(默认是“/”)(如果有上一个地址会自动重定向带该地址);

failureKeyAttribute指定登录失败时的request属性key(默认shiroLoginFailure);这样可以在登录表单得到该错误key显示相应的错误消息;

2. web.xml

把shiroConfigLocations改为shiro- formfilterlogin.ini 即可。

3. 登录Servlet

@WebServlet(name="formFilterLoginServlet",urlPatterns="/formfilterlogin")
public class FormFilterLoginServlet extends HttpServlet{
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		doPost(req, resp);
	}
	protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		System.out.println("1111");
		String errorClassName = (String) req.getAttribute("shiroLoginFilure");
		if(UnknownAccountException.class.getName().equals(errorClassName)){
			req.setAttribute("error", "用户名密码错误");
		}else if(IncorrectCredentialsException.class.getName().equals(errorClassName)){
			req.setAttribute("error", "用户名/密码错误");
		}else if(errorClassName!=null){
			req.setAttribute("error", "未知错误:"+errorClassName);
		}
		req.getRequestDispatcher("/WEB-INF/jsp/formfilterlogin.jsp").forward(req, resp);
	}
}

在登录Servlet 中通过shiroLoginFailure 得到authc 登录失败时的异常类型名,然后根据此异常名来决定显示什么错误消息。

4. formfilterlogin.jsp

<body>
<div class="error">${error}</div>
<form action="${pageContext.request.contextPath}/formfilterlogin" method="post">
    用户名2323:<input type="text" name="username"><br/>
    密码:<input type="password" name="password"><br/>
    <input type="submit" value="登录">
</form>
</body>

5. 测试

输入http://localhost:8080/chapter7/role,会跳转到“/formfilterlogin”登录表单,提交表单如果authc 拦截器登录成功后,会直接重定向会之前的地址“/role”;假设我们直接访问“/formfilterlogin”的话登录成功将直接到默认的successUrl。

四、授权(角色 / 权限验证)

1. shiro.ini

[main]
#默认是/login.jsp
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized

logout.redirectUrl=/login

[users]
zhang=123,admin
wang=123

[roles]
admin=user:*,menu:*

[urls]
/logout2=logout
/login=anon
/logout=anon
/unauthorized=anon
/static/**=anon
/authenticated=authc
/role=authc,roles[admin]
/permission=authc,perms["user:create"]

通过unauthorizedUrl 属性指定如果授权失败时重定向到的地址。

roles 是org.apache.shiro.web.filter.authz.RolesAuthorizationFilter类型的实例,通过参数指定访问时需要的角色,如“[admin]”,如果有多个使用“,”分割,且验证时是hasAllRole验证,即且的关系。

Perms 是org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter类型的实例,和roles类似,只是验证权限字符串。

2. web.xml

把shiroConfigLocations改为shiro.ini即可。

3. RoleServlet / PermissionServlet

@WebServlet(name="roleServlet",urlPatterns="/role")
public class RoleServlet extends HttpServlet{
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		Subject subject = SecurityUtils.getSubject();
		subject.checkRole("admin");
		req.getRequestDispatcher("/WEB-INF/jsp/hasRole.jsp").forward(req, resp);
	}
}

&

@WebServlet(name="permissionServlet",urlPatterns="/permission")
public class PermissionServlet extends HttpServlet{
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		Subject subject = SecurityUtils.getSubject();
		subject.checkPermission("user:create");
		req.getRequestDispatcher("/WEB-INF/jsp/hasPermission.jsp").forward(req, resp);
	}
}

4. 测试

首先访问http://localhost:8080/chapter7/login,使用帐号“zhang/123”进行登录,再访问/role或/permission 时会跳转到成功页面(因为其授权成功了);如果使用帐号“wang/123”登录成功后访问这两个地址会跳转到“/unauthorized”即没有授权页面。

五、退出

1. shiro.ini

同上,指定/logout使用anon拦截器即可,即不需要登录即可访问。

2. LogoutServlet

@WebServlet(name="LogoutServlet",urlPatterns="/logout")
public class LogoutServlet extends HttpServlet{
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		Subject subject = SecurityUtils.getSubject();
		subject.logout();
		req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, resp);
	}
}

直接调用Subject.logout即可,退出成功后转发/重定向到相应页面即可。

3. 测试

首先访问http://localhost:8080/chapter7/login,使用帐号“zhang/123”进行登录,登录成功后访问/logout即可退出。


Shiro 也提供了logout拦截器用于退出,其是org.apache.shiro.web.filter.authc.LogoutFilter类型的实例,我们可以在shiro.ini配置文件中通过如下配置完成退出:

[main]
logout.redirectUrl=/login
[urls]
/logout2=logout

通过logout.redirectUrl 指定退出后重定向的地址;通过/logout2=logout 指定退出url 是/logout2。这样当我们登录成功后然后访问/logout2 即可退出。

Testdddddddddddddddd
关注
spring-shiro实现角色(roles)自定义Filter----配置多个角色的或关系
椭圆的博客
10-09 7751
roles:正常情况下URL路径的拦截设置如下: /admins/user/**=roles[admin] 参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles[“admin,guest”] 但是这个设置方法是需要每个参数满足才算通过,相当于hasAllRoles()方法。也就是我们的角色必须同时拥有admi
Web安全攻防渗透测试实战指南笔记
Ren59421的博客
04-05 8022
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
web页面常用方法及INI文件的读取方法
weixin_30454481的博客
01-09 259
  public static classPageBase { public static String MD5(String input) { System.Security.Cryptography.MD5 md5 = new System.Security.Cryptography.MD5CryptoS...
Shiro过滤器配置(ShiroFilterFactoryBean)
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro unauthorizedUrl页面不跳转问题
zhaokuner的专栏
11-20 1万+
最近使用shiro框架控制用户权限,用户权限认证未通过时,无法跳转到unauthorizedUrl对应的页面,直接抛出了异常 解决方法: 1、mvc none_authority 2、web.xml error-page>         error-code>500error-code>         location>/error.jsplo
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3489
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
飞书集成chatgpt-web
最新发布
qq_38522265的博客
04-21 2191
集成飞书与chatgpt
七叔教你用Pytest+Allure+Jenkins实现Web自动化集成测试
qishuzdh的博客
05-10 2671
前言 今天我们来讲讲Pytest+Allure+Jenkins实现Web自动化集成测试,喜欢的小伙伴记得点赞哟。 Pytest介绍 pytest是一个非常成熟的全功能的Python测试框架,主要有以下几个特点:简单灵活、容易上手、文档丰富;支持参数化,可以细粒度地控制被测用例;能够支持简单的单元测试和复杂的功能测试,还可以用来做Web自动化(selenium)、APP自动化(appium)以及接口自动化(pytest+requests);pytest具有很多第方插件,并且可以自动以扩展.
php.ini配置文件参数中文说明文档【持续整理】
云度
09-22 938
php.ini配置文件参数中文说明文档【持续整理】 一、中文翻译php.ini配置文件 [PHP 5.0.4 php.ini-dist] ;;;;;;;;;; ;; 警告 ;; ;;;;;;;;;; ; 这是PHP新安装时的默认设置。默认设置适合于开发但是不适合正式应用。 ; 出于安全方面考虑,请在发布正式应用程序时使用php.ini-recommended ; 并且参考如下页面:http...
Web Tours 1.0.7z
05-08
3. **库文件**:支持程序运行的动态链接库(dll)或静态库(lib),可能包括第方库如jQuery、Angular等。 4. **数据库脚本**:用于创建和初始化数据库结构的SQL脚本,可能是为了存储用户数据或其他应用信息。 5. *...
Vue 页面权限控制和登陆验证
eliodadada的博客
07-06 644
页面权限控制 页面权限控制是什么意思呢? 就是一个网站有不同的角色,比如管理员和普通用户,要求不同的角色能访问的页面是不一样的。如果一个页面,有角色越权访问,这时就得做出限制了。 Vue 动态添加路由及生成菜单这是我写过的一篇文章, 通过动态添加路由和菜单来做控制,不能访问的页面不添加到路由表里,这是其中一种办法。 另一种办法就是所有的页面都在路由表里,只是在访问的时候要判断一下角色权限。如果有权限就让访问,没有权限就拒绝,跳转到 404 页面。 思路: 在每一个路由的meta属性里,将能访..
shiro角色( roles)自定义Filter----同一个URL配置多个角色的或关系
直到世界的尽头
03-08 1万+
情况介绍roles:正常情况下URL路径的拦截设置如下:/admins/user/**=roles[admin]参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles["admin,guest"]但是这个设置方法是需要每个参数满足才算通过,相当于hasAllRoles()方法。也就是我们的角色必须同时拥有admin和guest权限
关于Apache Shiro权限框架的一些使用误区的解释
ccdust的博客
08-24 8564
本人目前在用apache shiro在做权限管理,主要参照张开涛的跟开涛学shiro教程,这个教程写的不好,有一些错误,本人在这里指出来。    本人csdn博客被关闭,正在问csdn那群傻逼到底是怎么回事?我的博客全是技术贴,没有半点不和谐得问题,当然无论如何都是csdn的错,哪怕是服务器故障。    多了不说了,进入正题,shiro是个权限框架提供权限管理等功能,网上的教程一般都是互相抄,
Shiro @RequiresRoles注解不生效解决方案及相应设置
坤哥的博客
11-25 2万+
刚开始集成的时候@RequiresRoles和@RequiresPermissions注解一直不生效,只能进入方法之后在代码中判断 Subject subject= SecurityUtils.getSubject(); try { subject.checkPermissions("add","update"); }catch
shiro之roles实现or关系的角色过滤
chen1218chen的专栏
06-20 6094
个人主页,欢迎来访原文链接roles参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,每个参数通过才算通过,相当于hasAllRoles()方法。shiro的角色过滤是and的关系。而最近根据项目需求,要求订阅号管理模块,多个角色都可以进行管理,角色的过滤非and关系而是or的关系,applicationContext.xml中roles[“管理员”,”订阅号”]不能实现或
Shiro安全框架学习(四) —— shiro集成WEB
_夜渐凉
08-03 605
web.xml文件  修改web.xml,在里面加了个过滤器。 这个过滤器的作用, 简单的说,就是 替换掉Shiro 入门里的TestShiro 这部分的工作,下面的代码就可以省掉了。 //加载配置文件,并获取工厂 Factory&lt;SecurityManager&gt; factory = new IniSecurityManagerFactory("classpath:shir...
关于Spring Boot下Spring Security权限访问设置@PreAuthorize("hasRole('ROLE_ADMIN')")没有用
热门推荐
邹浩阳的专栏
08-25 7万+
承接上篇:Spring Security整合后post数据不了,403拒绝访问 前几天想要限制不同角色的访问权限,于是就直接使用:@PreAuthorize("hasRole('ROLE_ADMIN')")注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果
redis-shiro session 共享subject中principal 为空
goodtimeflying的博客
11-25 1846
redis-shiro session共享,登陆后subject中principal 为空 看过我的上一篇文章 redis-shiro session共享,序列化大坑的人,你可能遇到一个新的问题,就是登陆后再去请求的时候,报错This subject is anonymous 具体的错误信息如下: This subject is anonymous - it does not have any identifying principals and authorization operations requi
Shiro教程:身份验证、授权与Web集成详解
- 第七章:**与WEB集成**,涉及如何将Shiro与Web应用集成,包括环境准备和Web INI配置。 - 其他章节涵盖了拦截器机制、JSP标签、会话管理(包括会话存储、验证和工厂)、缓存机制(REALM和SESSION缓存),以及与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值