ssm+shrio前后端分离详解

最新推荐文章于 2024-06-18 15:59:34 发布
置顶 最新推荐文章于 2024-06-18 15:59:34 发布
阅读量486 收藏 4
点赞数 2
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy13765287861/article/details/109520753
版权

Shiro概述

1、什么是Shiro

Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。

2、为什么要学shiro

既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。

3、基本功能

在这里插入图片描述
【Authentication】
身份认证/登录,验证用户是不是拥有相应的身份;
【Authorization】
授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
【Session Manager】
会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信
【Cryptography】
加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
【Web Support】
Web 支持,可以非常容易的集成到Web 环境;
【Caching】
缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
【Concurrency】
shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能 把权限自动传播过去;
【Testing】
提供测试支持;
【Run As】
允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
【Remember Me】
记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

注意:Shiro 不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过 相应的接口注入给Shiro即可

4,架构说明

在这里插入图片描述
【Subject】
Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权
【SecurityManager】
SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。
【Authenticator】
Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。
【Authorizer】
Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
【realm】
Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据

注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。

【sessionManager】
sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
【SessionDAO】
SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。
【CacheManager】
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
【Cryptography】
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

ssm+shrio集成

准备工作

  1. sql文件
SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for permission
-- ----------------------------
DROP TABLE IF EXISTS `permission`;
CREATE TABLE `permission`  (
  `perid` int(11) NOT NULL AUTO_INCREMENT,
  `pername` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `percode` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`perid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 6 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of permission
-- ----------------------------
INSERT INTO `permission` VALUES (1, '用户查询', 'user:query');
INSERT INTO `permission` VALUES (2, '用户添加', 'user:add');
INSERT INTO `permission` VALUES (3, '用户修改', 'user:update');
INSERT INTO `permission` VALUES (4, '用户删除', 'user:delete');
INSERT INTO `permission` VALUES (5, '导出用户', 'user:export');

-- ----------------------------
-- Table structure for role
-- ----------------------------
DROP TABLE IF EXISTS `role`;
CREATE TABLE `role`  (
  `roleid` int(11) NOT NULL AUTO_INCREMENT,
  `rolename` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`roleid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 4 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of role
-- ----------------------------
INSERT INTO `role` VALUES (1, '超级管理员');
INSERT INTO `role` VALUES (2, 'CEO');
INSERT INTO `role` VALUES (3, '保安');

-- ----------------------------
-- Table structure for role_permission
-- ----------------------------
DROP TABLE IF EXISTS `role_permission`;
CREATE TABLE `role_permission`  (
  `perid` int(255) NOT NULL,
  `roleid` int(11) NOT NULL,
  PRIMARY KEY (`perid`, `roleid`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of role_permission
-- ----------------------------
INSERT INTO `role_permission` VALUES (1, 1);
INSERT INTO `role_permission` VALUES (1, 2);
INSERT INTO `role_permission` VALUES (1, 3);
INSERT INTO `role_permission` VALUES (2, 1);
INSERT INTO `role_permission` VALUES (2, 2);
INSERT INTO `role_permission` VALUES (3, 1);
INSERT INTO `role_permission` VALUES (3, 2);
INSERT INTO `role_permission` VALUES (4, 1);
INSERT INTO `role_permission` VALUES (5, 3);

-- ----------------------------
-- Table structure for user
-- ----------------------------
DROP TABLE IF EXISTS `user`;
CREATE TABLE `user`  (
  `userid` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `userpwd` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `sex` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `address` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`userid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 4 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of user
-- ----------------------------
INSERT INTO `user` VALUES (1, 'zhangsan', '639ffb0cbcca39d4fff8348844b1974e', '男', '武汉');
INSERT INTO `user` VALUES (2, 'lisi', '0d303fa8e2e2ca98555f23a731a58dd9', '女', '北京');
INSERT INTO `user` VALUES (3, 'wangwu', '473c41db9af5cc0d90e7adfd2b6d9180', '女', '成都');

-- ----------------------------
-- Table structure for user_role
-- ----------------------------
DROP TABLE IF EXISTS `user_role`;
CREATE TABLE `user_role`  (
  `userid` int(11) NOT NULL,
  `roleid` int(11) NOT NULL,
  PRIMARY KEY (`userid`, `roleid`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of user_role
-- ----------------------------
INSERT INTO `user_role` VALUES (1, 1);
INSERT INTO `user_role` VALUES (2, 2);
INSERT INTO `user_role` VALUES (3, 3);

SET FOREIGN_KEY_CHECKS = 1;

  1. 数据结构

    张三 -->user:query  user:add user:update user:delete
李四 -->user:query  user:add user:update
王五 -->user:query user:export

ssm环境搭建

  1. IDEA创建WEB程序:ssm_shiro
  2. pom.xml
  <!-- 声明常量 -->
  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <maven.compiler.source>1.8</maven.compiler.source>
    <maven.compiler.target>1.8</maven.compiler.target>
    <servlet.version>3.1.0</servlet.version>
    <jsp.version>2.3.1</jsp.version>
    <spring.version>4.3.24.RELEASE</spring.version>
    <mybatis.version>3.5.1</mybatis.version>
    <mybatis.spring.version>2.0.1</mybatis.spring.version>
    <mysql.version>5.1.47</mysql.version>
    <pagehelper.version>5.1.10</pagehelper.version>
    <druid.version>1.1.19</druid.version>
    <log4j.version>1.2.17</log4j.version>
    <slf4j.version>1.7.26</slf4j.version>
    <jackson.version>2.9.9</jackson.version>
    <fastjson.version>1.2.60</fastjson.version>
    <shiro.version>1.4.1</shiro.version>
  </properties>

  <dependencies>
    <!--servlet -->
    <dependency>
最低0.47元/天 解锁文章
张反水
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
请求的session为null 或 每次请求的session都不同的问题。
Xiaofeng_Lu__的博客
08-17 4562
在项目开发中,使用了session保存邮箱验证的验证码,当使用swagger测试时没有问题,但是vue项目中测试的时候,明明验证码都发送成功了,也填写了发送过来的验证码,却返回“验证码未发送”。这是验证验证码的代码,返回“验证码未发送”,则可以知道,该浏览器在服务器的session为null,即传过来的sessionid为空,因为服务器要根据请求cookie中的sessionid找服务器中对应的session。可是,......
Shiro获取不到用户问题/不同请求不同session
MOKE_SPACE
07-16 4468
这个问题困扰了我好久,看源码从线程分析到Session,最后确定是 session 的问题,我发现每次在 swagger 请求后,后台的 Shiro 都是重新创建一个 session,且没有把用户信息更新到新的 session 中。 也就是说,swagger 的每次请求是没有携带 JSESSIONID 的,而无意间听到前辈说,后端 swagger 一般是不会出现跨域问题,而我却为 swagger ...
三,SSM整合-前后端分离(实现增删改查)
最新发布
你好, 我在学java的博客
06-18 306
搭建Vue前端工程
shiro中session的问题
2301_77664771的博客
07-15 403
原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。默认session存储再各自服务的内存中,可以让session统一存储再redis中。我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。修改shiro的配置类。
Shiro关于session时间刷新规则重写,变更调用touch()逻辑,shiro可不刷新session
z362249834的博客
12-30 2335
Shiro关于session时间刷新规则重写 为了迎合代码需求,前端需要对后台做轮训请求,于是遇到一个问题:由于每次请求shiro会对session做LastAccessTime时间更新,则导致用户只要浏览器保持页面,session将永远无法失效,那关于30分钟失效时间在这种场景下就不再有意义,所以我们需要做是的指定接口请求时不再刷新session时间,保证用户静默时能在理论失效时间后自动登出系统。 实际需求 指定请求路径,依旧会过shiro鉴权、有效判断,但不会刷新当前session时间。 源码分析 首先
解决uni-app+springboot+shiro前后端分离导致sessionId不一致的问题
qq_35921925的博客
06-25 733
在request.js中找到request公共方法 新增payload.defaults.withCredentials = true; request(payload) { console.log("request=========") payload.defaults.withCredentials = true; //加上这一行即可 console.log(`payload=========${JSON.stringify(payload)}`) const that = thi
Maven+SSM+Shiro
02-18
** Maven + SSM + Shiro 知识点详解 ** Maven、SSM(Spring、Spring MVC、MyBatis)和Shiro是Java Web开发中常见的技术栈,它们各自承担着不同的职责,共同构建出一个功能强大的Web应用程序。下面将分别介绍这三个...
SSM + shiro + activity工作流 实现的图书管理系统
11-25
SSM + Shiro + Activiti 实现的图书管理系统详解》 在当今信息化时代,图书管理系统作为信息资源的重要载体,其高效、便捷的管理方式显得尤为重要。本系统采用主流的SSM(Spring、SpringMVC、MyBatis)框架,结合...
Question-Bank-and-Examination-System:题库和考试系统,SSM + Shiro + Redis
05-11
《题库和考试系统:基于SSM、Shiro与Redis的实现详解》 在现代教育领域,题库和考试系统的应用越来越广泛,它们为教师提供便捷的试题管理,为学生提供个性化的在线测试环境。本项目名为"Question-Bank-and-...
SSM+easyUI整合详解
04-03
整合SSM和EasyUI,主要是为了实现前后端的高效协作。后端通过SSM处理业务逻辑,提供RESTful API,前端利用EasyUI组件展示数据和处理用户交互。以下是一些整合的关键步骤: 1. **配置SpringMVC**:在SpringMVC配置...
基于Maven的ssm与shiro整合项目
03-21
**基于Maven的SSM与Shiro整合项目详解** 在现代Java Web开发中,Maven、SSM(Spring、Spring MVC、MyBatis)和Shiro框架的整合应用是非常常见的一种架构模式。这个项目旨在帮助开发者理解如何将这些组件集成到一个...
每次获取sessionId不同的问题
Hertz_FiveTwo的博客
11-17 1786
场景 : 前段时间在pis项目中修复了一些安全漏洞,filter中包括处理cookie跨域问题的相关代码 //处理cookie问题 Cookie[] cookies = request.getCookies(); if (cookies != null) { for (Cookie cookie : cookies) { String value = cookie.getValue();
Shiro.ini文件概述
qq_39368007的博客
04-18 212
1,Shiro.ini文件的说明 1. ini (InitializationFile) 初始文件.Window系统文件扩展名. 2. Shiro 使用时可以连接数据库,也可以不连接数据库. 2.1 如果不连接数据库,可以在shiro.ini中配置静态数据 2,Shrio.ini文件的组成部分 1,[main] :定义全局变量 1 内置securityManag...
每次发起的request获取的sessionid不一致问题
shenya2的专栏
10-07 4万+
遇到类似问题的博客不少,也没几个能说出个所以然或是给出一个合理的解决方案的。 找到一个博客还可以:http://blog.csdn.net/u011521890/article/details/73719198 这里仅作记录,待日后验证!!
客户端访问后台每次请求sessionId不同的两种不同处理方式
12-05 1万+
许多框架在封装的时候由于各种安全等原因,导致使用自身的封装请求时每次都是使用新的会话,导致每次的sessionid都不同。 解决方法: 1.如微信小程序 可以直接修改 header.cookie = ‘SESSION=’ + sessionId cookie里面的数据时可以考虑在后端校验成功后将当次的sessionid返回到页面,页面再修改cookie进行下一次请求,如果过期了,再调用后台登录方法...
遇到问题----shrio------shiro登录,多个项目session被覆盖问题---两个web项目会导致shiro的session污染
直到世界的尽头
03-08 1万+
情况遇到问题----shrio------shiro登录,多个项目session被覆盖问题---一个项目两个web模块会导致shiro的session污染表现为 我在同一台机子上部署了两个都使用了shiro管理的web项目。它们的访问路径除了端口不一样,ip是一样的。当两个系统同时访问时,在一个系统中操作之后另一个系统就会自动退出登录。但是 如果用域名访问就不会出现这个问题。原因web项目的ses
【Shiro】概述
Dream it Possible
07-20 736
【简介】    1. Apache Shiro 是Java的一个安全框架。    2. Shiro可以非常容易的开发出足够好的应用,其不仅可以用在J2SE环境,也可以用在JavaEE环境。    3. Shiro可以完成:认证、授权、加密、会话管理、与Web集成、缓存等。【功能简介】    基本功能点如下图所示:    1. Authentication: 身份认证/登录,验证用户是不是拥有相应的身
Shiro基本概述
一行代码敲一天
11-28 633
引言 最近学习的shiro安全框架,打算把现有的知识梳理一下,下面我们来了解一下shiro这个强大且易用的Java安全框架。 Shiro介绍 ​ Shiro是一个Java安全框架,可以帮助我们完成:执行身份验证、授权、密码、会话管理等。 ​ Shiro是Apache 的一个开源项目,前身是JSecurity 项目,始于2003年初。 ​ Shiro 可以为任何应用提供安全保障 - 从命令行应用...
shiro简单配置
热门推荐
都是浮云
04-20 13万+
注:这里只介绍spring配置模式。 因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。 涉及的jar包 Jar包名称 版本 核心包shiro-core 1.2.0 Web相关包shiro-web 1.2.0
ssm+vue前后端分离
05-26
SSM是指Spring+Spring MVC+MyBatis,它是一种常见的...总之,SSM+Vue前后端分离开发可以提高开发效率和代码质量,同时也可以更好地实现前后端分离,将后端和前端的开发分别进行,各负其责,提高开发效率和代码质量。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值