ssm+shrio前后端分离详解

最新推荐文章于 2023-07-27 10:28:20 发布
置顶 最新推荐文章于 2023-07-27 10:28:20 发布
阅读量517 收藏 4
点赞数 2
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy13765287861/article/details/109520753
版权
Apache Shiro是一个安全框架,用于处理认证、授权、加密和会话管理。本文详细介绍了Shiro的基本概念、功能及架构,并展示了如何与SSM(Spring、SpringMVC、MyBatis)进行集成,包括环境搭建、配置和包结构设计。同时,通过实际的登录和权限测试,解释了Shiro在实现用户权限控制方面的作用。
摘要由CSDN通过智能技术生成

Shiro概述

1、什么是Shiro

Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。

2、为什么要学shiro

既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。

3、基本功能

在这里插入图片描述
【Authentication】
身份认证/登录,验证用户是不是拥有相应的身份;
【Authorization】
授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
【Session Manager】
会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信
【Cryptography】
加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
【Web Support】
Web 支持,可以非常容易的集成到Web 环境;
【Caching】
缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
【Concurrency】
shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能 把权限自动传播过去;
【Testing】
提供测试支持;
【Run As】
允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
【Remember Me】
记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

注意:Shiro 不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过 相应的接口注入给Shiro即可

4,架构说明

在这里插入图片描述
【Subject】
Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权
【SecurityManager】
SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。
【Authenticator】
Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。
【Authorizer】
Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
【realm】
Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据

注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。

【sessionManager】
sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
【SessionDAO】
SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。
【CacheManager】
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
【Cryptography】
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

ssm+shrio集成

准备工作

  1. sql文件
SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for permission
-- ----------------------------
DROP TABLE IF EXISTS `permission`;
CREATE TABLE `permission`  (
  `perid` int(11) NOT NULL AUTO_INCREMENT,
  `pername` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `percode` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`perid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 6 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of permission
-- ----------------------------
INSERT INTO `permission` VALUES (1, '用户查询', 'user:query');
INSERT INTO `permission` VALUES (2, '用户添加', 'user:add');
INSERT INTO `permission` VALUES (3, '用户修改', 'user:update');
INSERT INTO `permission` VALUES (4, '用户删除', 'user:delete');
INSERT INTO `permission` VALUES (5, '导出用户', 'user:export');

-- ----------------------------
-- Table structure for role
-- ----------------------------
DROP TABLE IF EXISTS `role`;
CREATE TABLE `role`  (
  `roleid` int(11) NOT NULL AUTO_INCREMENT,
  `rolename` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`roleid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 4 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of role
-- ----------------------------
INSERT INTO `role` VALUES (1, '超级管理员');
INSERT INTO `role` VALUES (2, 'CEO');
INSERT INTO `role` VALUES (3, '保安');

-- ----------------------------
-- Table structure for role_permission
-- ----------------------------
DROP TABLE IF EXISTS `role_permission`;
CREATE TABLE `role_permission`  (
  `perid` int(255) NOT NULL,
  `roleid` int(11) NOT NULL,
  PRIMARY KEY (`perid`, `roleid`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of role_permission
-- ----------------------------
INSERT INTO `role_permission` VALUES (1, 1);
INSERT INTO `role_permission` VALUES (1, 2);
INSERT INTO `role_permission` VALUES (1, 3);
INSERT INTO `role_permission` VALUES (2, 1);
INSERT INTO `role_permission` VALUES (2, 2);
INSERT INTO `role_permission` VALUES (3, 1);
INSERT INTO `role_permission` VALUES (3, 2);
INSERT INTO `role_permission` VALUES (4, 1);
INSERT INTO `role_permission` VALUES (5, 3);

-- ----------------------------
-- Table structure for user
-- ----------------------------
DROP TABLE IF EXISTS `user`;
CREATE TABLE `user`  (
  `userid` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `userpwd` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `sex` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `address` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`userid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 4 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of user
-- ----------------------------
INSERT INTO `user` VALUES (1, 'zhangsan', '639ffb0cbcca39d4fff8348844b1974e', '男', '武汉');
INSERT INTO `user` VALUES (2, 'lisi', '0d303fa8e2e2ca98555f23a731a58dd9', '女', '北京');
INSERT INTO `user` VALUES (3, 'wangwu', '473c41db9af5cc0d90e7adfd2b6d9180', '女', '成都');

-- ----------------------------
-- Table structure for user_role
-- ----------------------------
DROP TABLE IF EXISTS `user_role`;
CREATE TABLE `user_role`  (
  `userid` int(11) NOT NULL,
  `roleid` int(11) NOT NULL,
  PRIMARY KEY (`userid`, `roleid`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of user_role
-- ----------------------------
INSERT INTO `user_role` VALUES (1, 1);
INSERT INTO `user_role` VALUES (2, 2);
INSERT INTO `user_role` VALUES (3, 3);

SET FOREIGN_KEY_CHECKS = 1;

  1. 数据结构

    张三 -->user:query  user:add user:update user:delete
李四 -->user:query  user:add user:update
王五 -->user:query user:export

ssm环境搭建

  1. IDEA创建WEB程序:ssm_shiro
  2. pom.xml
  <!-- 声明常量 -->
  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <maven.compiler.source>1.8</maven.compiler.source>
    <maven.compiler.target>1.8</maven.compiler.target>
    <servlet.version>3.1.0</servlet.version>
    <jsp.version>2.3.1</jsp.version>
    <spring.version>4.3.24.RELEASE</spring.version>
    <mybatis.version>3.5.1</mybatis.version>
    <mybatis.spring.version>2.0.1</mybatis.spring.version>
    <mysql.version>5.1.47</mysql.version>
    <pagehelper.version>5.1.10</pagehelper.version>
    <druid.version>1.1.19</druid.version>
    <log4j.version>1.2.17</log4j.version>
    <slf4j.version>1.7.26</slf4j.version>
    <jackson.version>2.9.9</jackson.version>
    <fastjson.version>1.2.60</fastjson.version>
    <shiro.version>1.4.1</shiro.version>
  </properties>

  <dependencies>
    <!--servlet -->
    <dependency>
最低0.47元/天 解锁文章
张反水
关注
专栏目录
Maven+SSM+Shiro
02-18
** Maven + SSM + Shiro 知识点详解 ** Maven、SSM(Spring、Spring MVC、MyBatis)和Shiro是Java Web开发中常见的技术栈,它们各自承担着不同的职责,共同构建出一个功能强大的Web应用程序。下面将分别介绍这三个...
springmvc+shiro 同一会话,后台获取的sessionid不一致问题
一个程序员的专栏
06-02 1877
SecurityUtils.getSubject().getPrincipal()为null,shiro 同一会话sessionid不一致
shiro session每次请求都不一样_Shiro使用Jwt达到前后端分离
weixin_39653405的博客
11-26 725
作者:fzsywhttps://www.cnblogs.com/fzsyw/p/11405504.html1,概述前后端分离之后,因为HTTP本身是无状态的,Session就没法用了。项目采用jwt的方案后,请求的主要流程如下:用户登录成功之后,服务端会创建一个jwt的token(jwt的这个token中记录了当前的操作账号),并将这个token返回给前端,前端每次请求服务端的数据时,都...
shiro session每次请求都不一样_Shiro--->02
weixin_39532466的博客
11-26 385
SSM-Shiro整合配置文件配置web.xml文件的Shiro Filter:Shiro是一个安全框架,web进行配置的时候,选择是filter标签进行安全过滤。配置applicationContext.xml文件:1、配置凭证匹配器: 注册bean标签,也就是交给Spring容器来管理。HashedCredentialsMatcher,和之前安全框架的shiro.ini的配置基本上一致。 2...
请求的session为null 或 每次请求的session都不同的问题。
Xiaofeng_Lu__的博客
08-17 4910
在项目开发中,使用了session保存邮箱验证的验证码,当使用swagger测试时没有问题,但是vue项目中测试的时候,明明验证码都发送成功了,也填写了发送过来的验证码,却返回“验证码未发送”。这是验证验证码的代码,返回“验证码未发送”,则可以知道,该浏览器在服务器的session为null,即传过来的sessionid为空,因为服务器要根据请求cookie中的sessionid找服务器中对应的session。可是,......
Shiro框架入门 认证和授权过程实现
iyzhao的博客
07-22 920
1.Shiro安全框架 1Shiro概述 Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示: 图-1 2 Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念,如图-2所示: 图-2 其中: Sub
SSM + shiro + activity工作流 实现的图书管理系统
11-25
SSM + Shiro + Activiti 实现的图书管理系统详解》 在当今信息化时代,图书管理系统作为信息资源的重要载体,其高效、便捷的管理方式显得尤为重要。本系统采用主流的SSM(Spring、SpringMVC、MyBatis)框架,结合...
Question-Bank-and-Examination-System:题库和考试系统,SSM + Shiro + Redis
05-11
《题库和考试系统:基于SSM、Shiro与Redis的实现详解》 在现代教育领域,题库和考试系统的应用越来越广泛,它们为教师提供便捷的试题管理,为学生提供个性化的在线测试环境。本项目名为"Question-Bank-and-...
SSM+easyUI整合详解
04-03
整合SSM和EasyUI,主要是为了实现前后端的高效协作。后端通过SSM处理业务逻辑,提供RESTful API,前端利用EasyUI组件展示数据和处理用户交互。以下是一些整合的关键步骤: 1. **配置SpringMVC**:在SpringMVC配置...
基于Maven的ssm与shiro整合项目
03-21
**基于Maven的SSM与Shiro整合项目详解** 在现代Java Web开发中,Maven、SSM(Spring、Spring MVC、MyBatis)和Shiro框架的整合应用是非常常见的一种架构模式。这个项目旨在帮助开发者理解如何将这些组件集成到一个...
springboot项目前后端分离使用shiro的情况解决sessionid不同问题
热门推荐
chenyidong521的博客
08-12 1万+
遇到的问题 开发中遇到开发app或者前后端分离的项目时候,使用ajax等方式向后台访问的时候session每次都不同,这样使用shiro验证全是不能通过.原来我们使用的是token的方式,可以自己通过验证token来实现权限判断问题,但是使用shiro我们还需要自己重写权限判断.那么如何实现shiro中通过token来进行sessionid不变呢. 我们通过配置shiro的session管理器来解...
跨域请求每次请求都是新的回话导致Session不同的问题
最新发布
m0_62778642的博客
07-27 675
前后端分离的项目中,因为,前段和后端都是不通项目,所以会出现跨域请求的问题,这个问题该怎么解决,我们在前后端都需配置,前段需要看你用的什么框架(在这里我用的是Vue2)所以我就做了vue2的反向代理,然后后端就简单的做了一个,允许所有请求访问。至此,问题就都解决了。
跨域每次请求sesseionid不同_解决Springboot+ajax跨域及每次请求sessionId不一样的问题...
weixin_39564368的博客
01-17 703
1、问题复现:项目中后端使用Springboot搭建,使用Shiro做安全管理。前后端分离后,前端使用ajax访问服务端程序。在未做任何处理前,ajax报错:Access to XMLHttpRequest at 'http://127.0.0.1:8080/login/checkLogin' from origin'http://localhost:63342' has been blocked...
shiro中session的问题
2301_77664771的博客
07-15 496
原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。默认session存储再各自服务的内存中,可以让session统一存储再redis中。我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。修改shiro的配置类。
Shiro获取不到用户问题/不同请求不同session
MOKE_SPACE
07-16 4592
这个问题困扰了我好久,看源码从线程分析到Session,最后确定是 session 的问题,我发现每次在 swagger 请求后,后台的 Shiro 都是重新创建一个 session,且没有把用户信息更新到新的 session 中。 也就是说,swagger 的每次请求是没有携带 JSESSIONID 的,而无意间听到前辈说,后端 swagger 一般是不会出现跨域问题,而我却为 swagger ...
解决uni-app+springboot+shiro前后端分离导致sessionId不一致的问题
weixin_38981756的博客
10-24 3195
srpingboot增加跨域处理的配置类 /** * 解决跨域请求的 */ @Configuration public class CorsConfig { private CorsConfiguration buildConfig() { CorsConfiguration corsConfiguration = new CorsConfiguration(); // 你需要跨域的地址 注意这里的 127.0.0.1 != localhost .
ssm+shrio前后端分离的使用方法
京北游戏官方
12-24 9212
1,概述 接上一个知识点,上一个项目里面我们实现的是在jsp页面如何判断用户有没有某个角色和权限,那么在前后端分离的情况下【没有jsp】如何去实现呢,我们接着上一个项目开发 2,复制项目 3,修改appliaction-shiro.xml 4,修改UserController @RestController @RequestMapping("user") public class UserController { @RequestMapping("query") @RequiresPermissio
ssm整合shiro完成前后端分离
weixin_56162501的博客
08-09 286
前后端完全分离:后端响应的都是json数据,而不再是网页。1. 登录成功或者失败应该返回json数据2. 当未登录时返回的也是json数据3. 访问未授权的资源,也要分会json。
SSM+Shiro博客系统毕业设计项目详解
资源摘要信息: 本毕业设计项目是一个结合了SSM框架和Shiro安全框架的博客系统。SSM是Spring、SpringMVC和MyBatis三个开源框架整合的简称,它们分别在Java EE应用程序开发中负责不同的功能。Spring是一个全面的企业级...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值