Java研学-Shiro安全框架(四)

最新推荐文章于 2024-11-16 17:49:09 发布
最新推荐文章于 2024-11-16 17:49:09 发布
阅读量967 收藏 9
点赞数 38
分类专栏: # Java研学 文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhlyxx/article/details/139803293
版权

六 SpringBoot集成Shiro认证

1 分析

  Shiro提供认证授权功能,所以SpringBoot中不需再编写自定义注解,权限拦截,登录拦截,登录登出。Shiro 环境中有三个封装对象Subject ,SecurityManager和Realms,SpringBoot 集成 Shiro 时需要配置相对应的Bean(Subject 不用)
shiro认证

2 导入依赖

<properties>
	<java.version>8</java.version>
	<shiro.version>1.7.1</shiro.version>
	<thymeleaf.extras.shiro.version>2.0.0</thymeleaf.extras.shiro.version>
</properties>

<!--Shiro核心框架 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>${shiro.version}</version>
</dependency>
<!-- Shiro使用Spring框架 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>${shiro.version}</version>
</dependency>
<!-- Shiro使用EhCache缓存框架 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>${shiro.version}</version>
</dependency>
<!-- thymeleaf模板引擎和shiro框架的整合 -->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>${thymeleaf.extras.shiro.version}</version>
</dependency>

3 创建数据源

// 有类才能生成Bean
public class EmployeeRealm extends AuthorizingRealm {
    @Autowired
    private IEmployeeService employeeService;
    @Autowired
    private IPermissionService permissionService;
    @Autowired
    private IRoleService roleService;
    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        Employee currentEmployee= (Employee) principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        if(currentEmployee.isAdmin()){
            List<Role> roles=roleService.listAll();
            for(Role role:roles){
                info.addRole(role.getSn());
            }
            info.addStringPermission("*:*");
        }else{
            List<Role> roleList=roleService.queryByEmployeeId(currentEmployee.getId());
            for(Role role:roleList){
                info.addRole(role.getSn());
            }
            //查询该用户的权限集合
            List<String> permissionList=permissionService.queryByEmployeeId(currentEmployee.getId());
            info.addStringPermissions(permissionList);
        }
        return info;
    }
     //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 根据token获取用户名
        String username = (String) authenticationToken.getPrincipal();
        // 根据用户名查询用户
        Employee currentEmployee=employeeService.getByUsername(username);
        // 根据查询结果返回对应数据
        if(currentEmployee==null){
            return null;
        }
        return new SimpleAuthenticationInfo(currentEmployee,currentEmployee.getPassword()
                , ByteSource.Util.bytes(currentEmployee.getSalt()),getName());
    }
}

4 创建Shiro配置类

// 配置类注解
@Configuration
public class ShiroConfig {
    // 1.Realm 数据源从数据库中查询数据(先有Realm才能配置Bean,配置这个Bean需要先有这个类)
    // Bean一定是对象,对象不一定是Bean,对象需要基于类创建
    @Bean
    public EmployeeRealm employeeRealm(){
        EmployeeRealm realm = new EmployeeRealm();
        return realm;
    }
    // 2.SecurityManager 安全管理器(基于web环境下的)
    // 此处可用set调本类方法或传参的方式联系Realm    
    // 传参是在spring容器中查找这个Bean先类型再名字,去掉@Bean注解会报错(参数名与方法名尽量一致)
    // 调用方法首先不会运行该方法,会看方法的返回值类型,在容器中查找该类型,找到多个再按照名字去找,找到了就直接用
    // 不会运行该方法,若在容器中没找到该方法,就运行该方法并把返回值放到容器中,然后再拿过来用(无@Bean注解也行)
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(EmployeeRealm employeeRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(employeeRealm);
        return securityManager;
    }
    // 请求拦截器 shiro过滤器 由于创建麻烦此处使用工厂类创建过滤器对象
    // 若想知道一个工厂类返回什么类型的Bean 可查询其getObject()方法
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
        // 配置登录页面
        shiroFilterFactoryBean.setLoginUrl("/static/login.html");
        // 配置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 配置拦截规则(过滤链) 底层为双链表组成(有序,就是我们放入的顺序,过滤器根据顺序执行)
        LinkedHashMap<String,String> filterChainDefinitionMap=new LinkedHashMap<>();
        // 对静态资源设置匿名访问(浏览器图标 html css js)放行
        filterChainDefinitionMap.put("/favicon.ico**","anon");
        filterChainDefinitionMap.put("/static/**","anon");
        // 不需拦截的访问(公共资源)放行
        filterChainDefinitionMap.put("/login","anon");
        // 退出并且shiro清除session信息(上下文对象也就是用户信息) 执行退出方法
        // 无需在再编写退出方法,直接调用logout即可踢回登陆页面
        filterChainDefinitionMap.put("/logout","logout");
        // 进行拦截
        filterChainDefinitionMap.put("/**","authc");
        // 将拦截规则设置给拦截器链(shiro生成了很多拦截器,看我们选用哪个)
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        // 此时无登录信息 访问任何页面都应该被踢回登录页面
        return shiroFilterFactoryBean;
    }
}

5 LoginController – 登录方法

  登录认证实际上是shiro在做,但数据需要在realm中提供

@Controller
public class LoginController {
    @RequestMapping("/login")
    @ResponseBody
    public JsonResult login(String username, String password){
        // 他会自动从Spring容器中拿到SecurityManager设置给SecurityUtils
        // 然后再将SecurityManager设置给subject
        Subject subject = SecurityUtils.getSubject();
        // 将用户名密码封装到token
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        // 此处返回异常不精确到某一项,防止有人试错(先试帐号再试密码)
        try {
            // 登录失败就抛异常
            subject.login(token);
            subject.getSession().setAttribute("user_in_session",subject.getPrincipal());
        } catch (UnknownAccountException e) {
            return new JsonResult(false,"账号密码有误");
        } catch (IncorrectCredentialsException e) {
            return new JsonResult(false,"帐号密码有误");
        } catch (Exception e) {
            return new JsonResult(false,"系统异常,稍后再试");
        }
        return new JsonResult(true,"登录成功");
    }
}

6 数据源查询方法(service) – getByUsername

// IEmployeeService
Employee getByUsername(String username);
// EmployeeServiceImpl
public Employee getByUsername(String username) {
	return employeeMapper.getByUsername(username);
}

7 数据源查询方法(mapper) – getByUsername

// mapper
Employee getByUsername(String username);
// xml
<select id="getByUsername" resultMap="BaseResultMap">
      select e.id, e.username, e.name, e.password, e.email, e.age, e.admin,d.id d_id,d.name d_name,d.sn d_sn,e.salt
      from employee e left join department d on e.dept_id = d.id
      where username=#{username}
</select>

8 shiro 内置过滤器

  shiro 启动时会默认将以下这些类(过滤器)加载到程序中,然后使用Map将这些数据的关系以key value的方式存储起来。

过滤器的名称(key)Java 类(value)
anonorg.apache.shiro.web. lter.authc.AnonymousFilter
authcorg.apache.shiro.web. lter.authc.FormAuthenticationFilter
authcBasicorg.apache.shiro.web. lter.authc.BasicHttpAuthenticationFilter
rolesorg.apache.shiro.web. lter.authz.RolesAuthorizationFilter
permsorg.apache.shiro.web. lter.authz.PermissionsAuthorizationFilter
userorg.apache.shiro.web. lter.authc.UserFilter
logoutorg.apache.shiro.web. lter.authc.LogoutFilter
portorg.apache.shiro.web. lter.authz.PortFilter
restorg.apache.shiro.web. lter.authz.HttpMethodPermissionFilter
sslorg.apache.shiro.web. lter.authz.SslFilter

anon: 匿名拦截器,即不需要登录即可访问(谁都可以访问,不需要拦截);一般用于静态资源过滤;示例“/static/**=anon”

authc: 表示需要认证(登录)才能使用,该路径所有请求都需登录后才能访问;示例“/**=authc”

authcBasic:Basic HTTP身份验证拦截器

roles: 角色授权拦截器,验证用户是否拥有资源角色;示例“/admin/**=roles[admin]”

perms: 权限授权拦截器,验证用户是否拥有资源权限;示例“/user/create=perms[“user:create”]”

user: 用户拦截器,用户已经身份验证/记住我登录的都可;示例“/index=user”

logout: 退出拦截器,登出后自动清理session中的用户信息。主要属性:redirectUrl:退出成功后重定向的地址(/);示例“/logout=logout”

port: 端口拦截器,主要属性:port(80):可以通过的端口;示例“/test= port[80]”,如果用户访问该页面是非80,将自动将请求端口改为80并重定向到该80端口,其他路径/参数等都一样

rest: rest风格拦截器;

ssl: SSL拦截器,只有请求协议是https才能通过;否则自动跳转会https端口(443);其他和port拦截器一样;

9 400错误问题解决

  当传入的参数 SpringMVC 无法转换时,就会出现400问题(第一次访问时出现),session是在浏览器第一次访问服务器时,由服务器创建并生成一个sessionID,通过response响应给浏览器。

  浏览器访问服务器时,服务器中有一个session池,当找到session后,将返回对应的JsessionID。

  但第一次访问时会首先经过shiro过滤器,其中有一个会话管理器(SessionManager),他发现当前是第一次访问,因此会进行一次URL重写,服务器会生成session并把sessionID返回给安全管理器,会话管理器通过重定向回到浏览器,再次发起申请访问服务器,此时第一次访问服务器实际上是没有访问到服务器,因此服务器无法接收携带的参数(JsessionID)报400错误。(去掉url中的JsessionID即可访问)

  第二次访问时,session已经存在,通过id寻找session,可以正常访问。或者告诉会话管理器,不需要做url重写,可在shiroconfig中生成会话管理器,将 setSessionIdUrlRewritingEnabled 设置为false即可(默认为true)。

@Configuration
public class ShiroConfig {
    // 略
    // 会话管理器
    @Bean
    public DefaultWebSecurityManager sessionManager(){
        DefaultWebSessionManager sessionManager=new DefaultWebSessionManager();
        // url重写开关
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        return sessionManager;
    }
}

  此处需注意,编写好 sessionManager 会话管理器后,需要将其设置给 SecurityManager 安全管理器(通过参数)

@Configuration
public class ShiroConfig {
	// 略
    @Bean
    //安全管理器
    public DefaultWebSecurityManager defaultWebSecurityManager(EmployeeRealm employeeRealm, DefaultWebSessionManager sessionManager){
        // 创建安全管理器
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        // 设置realm
        securityManager.setRealm(employeeRealm);
        // 设置会话管理器
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }
    //会话管理器
    @Bean
    public DefaultWebSecurityManager sessionManager(){
        DefaultWebSessionManager sessionManager=new DefaultWebSessionManager();
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        return sessionManager;
    }
}
Java---Shiro框架
weixin_67224308的博客
07-31 1624
Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。下载地址。
Java 安全框架 - Shiro
Robot
03-07 1786
简介Apache Shiro 官网 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。主要特性Authentication(验证) Authorization(授权) Session Management(会话管理) Cryptog
Java研学-Shiro安全框架(一)
zhlyxx的博客
06-25 1756
我们需要使用的账户信息通常来自程序或者数据库中, 而不是前面使用到的 ini 文件的配置,因此要做到想去哪里查,就去那里查。此处使用 DataMapper 作为一组假数据模拟数据库static{//初始化数据//提供静态方法,模拟数据库返回数据实体类@Setter@Getter@ToString//用户名//密码UserRealm// 继承Realm下的接口 实现两个方法 一般来说do开头的方法就是模板设计模式。
Java研学-Shiro安全框架(五)
zhlyxx的博客
08-26 1561
/ 自定义异常(向让用户看到的)// 异常也分为页面异常和 ajax 请求的异常。// ajax 请求try {} else{// 页面请求// 系统异常(不想让用户看到的)// 异常也分为页面异常和 ajax 请求的异常。// ajax 请求try {response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"系统繁忙,请联系管理员")));
简单易上手- Shiro 权限框架
oyang的博客
08-24 998
shiro是apache的一个开源框架,是一个权限控制器框架,在应用程序角度来观察如何使用Shiro, securityManager:安全管理器,域:Realm(与开发相关的)-> 主要负责安全数据,安全管理器:securityManager -> 管理系统中的所有用户,主体:subject -> 当前用户,认证 -> 接管了用户登录操作,授权 -> 接管管理系统资源的分配,Spring web 集成 监听器ContextLoadListener
一个Java的权限框架-Shiro
奔走的王木木Sir的博客
06-14 3387
Shiro可以做什么?可以完成认证、授权、加密、会话管理等
Java代码审计-shiro反序列化漏洞分析
qq_44780157的博客
08-08 1138
Shiro550反序列化的漏洞原理分析。
适合才最美:Shiro安全框架使用心得
威哥爱编程,CSDN 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
11-05 1177
自定义Realm,从数据库获取用户和角色信息,并使用 JWT Token 进行无状态认证。@Override@Override// 验证 Tokenthrow new AuthenticationException("Token 无效");// 查询用户throw new AuthenticationException("用户不存在");@Override// 添加角色和权限。
Shiro框架集成EhCaChe实现缓存用户的权限和身份信息提高系统性能------Shiro框架
春风若有怜花意,可否许我再少年
06-13 1445
Shiro框架集成EhCaChe实现缓存用户的权限和身份信息提高系统性能------Shiro框架
JAVA安全框架shiro
xindongyuni666的博客
09-28 1519
一个容易,简单,安全,易上手的框架shiro
FEBS-Shiro-jht:FEBS-Shiro个人适应版
02-19
原因:主要是因为懒,想找个技术较新,干净的项目作为开发的基础框架,于是找到了FEBS-Shiro初步技术不考虑,前端使用layui解决所有是我最喜欢的 个人适应版修改点: 1.html js css分离,考虑到实际业务的复杂性,...
基于Java的Apache Shiro安全框架设计源码
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
springboot-shiro认证系统框架--成型框架
09-17
- Shiro是一个强大且易用的Java安全框架,处理认证、授权、会话管理和加密等安全相关任务。 - 认证:验证用户身份,即"你是谁"。 - 授权:确定用户可以访问哪些资源,即"你能做什么"。 - 会话管理:支持跨请求的...
Java-Shiro学习思维导图.zip
08-20
Java Shiro 是一个强大且灵活的开源安全框架,用于身份认证、授权和会话管理等安全领域的应用开发。学习 Java Shiro 可以通过思维导图来梳理核心概念和学习路径,以下是一个简要的 Java Shiro 学习思维导图。 Java ...
Mybatis
庸不易的博客
11-15 794
1、定义不同:#{} 预处理:而 ${} 是直接替换2、使用不同:#{} 适用于所有类型的参数匹配;但 ${} 只适用于数值类型。3、安全性不同:#{} 性能高,并且没有安全问题;但 $ {} 存在 SQL 注入的安全问题。4、使用场景不同:当传递的是一个 SQL 关键字 的时候,只能 使用 ${}。当传递的是一个字段,总之,就是需要获取到参数类型 与 内容,只能使用 #{}。(PS:数字类型,#{} 和 ${} 都是可以使用的!5、 ${} 不能用于 模糊匹配查询;
SpringBoot(五)
₍˄·͈༝·͈˄*₎◞ ̑̑的博客
11-13 934
Rest请求处理
java加锁问题详解
qq_74056922的博客
11-14 764
java(JVAM)对加锁的API进行了封装,通过使用synchronized关键字来完成加锁操作。
什么是面向对象编程?什么是面向过程编程?
m0_70208894的博客
11-15 515
不同的编程范式适用于不同的场景,选择合适的范式可以提高代码的可维护性、可读性和效率。Java 和 Go 的选择反映了不同的设计哲学,Java 更加注重封装和对象的使用,而 Go 更加简洁,强调过程和函数的使用。
HashMap源码分析下
最新发布
L25000的专栏
11-16 615
如果这个cap刚好是2的幂次方呢,即4,8,16,32,64等这样的,这样的数已经满足条件了,再减去1,把数变成3,7,31,63。,即hash值的第5为是1,这样在扩容到32后,取索引得出来的结果就和16的不一样了,索引位置比oldCap大了一个oldCap值;,求余数,n是一个2的幂次方数,减去1,即后面全是1,前面全是0,与上这个hash,只能保证经过运算,结果都会在。,即hash值的第5为是0,这样在扩容到32后,取索引得出来的结果还是和16的一样;cap=1,2的0次方就等于1,返回的是就是4。
Java私塾《深入浅出学Shiro》- Shiro安全框架全面教程
"Apache Shiro是一个强大的Java安全框架,用于处理身份认证、授权、会话管理和加密等功能。这份PDF教程《深入浅出学Shiro》由java私塾提供,涵盖了Shiro的基础到高级用法,旨在帮助开发者系统地学习和掌握Shiro的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

泰勒疯狂展开

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值