Shiro简介

Apache Shiro是Java的一个安全框架,官网为shiro.apache.org,主要场景为控制登陆,判断用户是否有访问某个功能的权限等等。

Shiro的核心功能(入门知识,只介绍前两个)

  • 认证

  • 授权

  • 会话管理

  • 加密

引入jar包和配置web.xml

  • 引入Shiro对应的jar包,下面给出Maven

    <dependency>
    
    <groupId>org.apache.shiro</groupId>
    
    <artifactId>shiro-all</artifactId>
    
    <version>1.2.2</version>
    
</dependency>

  • 在web.xml中配置spring框架提供的用于整合shiro框架的过滤器

    	<!-- 配置shiro过滤器 -->
    
<filter>
    
	<filter-name>shiroFilter</filter-name>	  // 需要在spring的配置文件中创建一个bean(shiroFilter)
    
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    
</filter>
    
<filter-mapping>
    
	<filter-name>shiroFilter</filter-name>
    
	<url-pattern>/*</url-pattern>
    
</filter-mapping>

下面我们将要进行Shiro的认证功能和授权功能的实现,代码比较多。

登录方法的实现

Shiro认证的流程

  • Application Code:应用程序代码, 即登录方法(登录方法不是直接查询数据库,而是调用Shiro框架提供的接口来实现)

  • Subject:框架提供的接口,代表当前用户对象

  • SecurityManager:框架提供的接口,代表安全管理器对象

  • Realm:可以开发人员编写(即认证和授权方法)

  1. 我们首先将登录方法按照Shiro指定的方式进行改进

     public String login() {
    
  	// 获取验证码
    
    String validateCode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");
    
    // 判断验证码
    
    if (StringUtils.isNotBlank(checkcode) && checkcode.equals(validateCode)) {
    
    	// 获取getSubject对象,Shiro中代表当前用户对象
    
        Subject subject = SecurityUtils.getSubject();

        // 令牌 传递进去前台接受的账号和密码
    
        AuthenticationToken token = new UsernamePasswordToken(model.getUsername(),
    
                MD5Utils.md5(model.getPassword()));// 创建用户名密码令牌对象
    
        try {
    
            subject.login(token); // 调用内置的登录方法来实现检验 如果登陆错误就会抛出异常,返回登录页面
    
        } catch (Exception e) {
    
            e.printStackTrace();
    
            return LOGIN;
    
        }
    
        User user = (User) subject.getPrincipal();   // 登录成功后可以从subject取得登录对象
    
        ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);
    
        return HOME;

    } else {
    
        this.addActionError("输入验证码错误");
    
        return LOGIN;
    
    }

}

  2. 然后编写Realm继承AuthorizingRealm ,即编写具体的认证和授权方法

        public class BOSRealm extends AuthorizingRealm {
    
    @Autowired
    
    private IUserDao userDao

    // 授权方法
    
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
    
    	// 可以在这里将用户所属的权限查询出来,然后遍历赋值给info对象,这样就可以实现了授权
    
    	// 判断访问路径或者方法有没有权限的时候就是根据info中的数据来判断
    
        info.addStringPermission("staff-list");
    
        return info;
    
    }
    
    // 认证方法(登陆方法)
    
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
    
        System.out.println("认证...");
    
        UsernamePasswordToken passwordToken = (UsernamePasswordToken) arg0;   // 对象转换
    
        String username = passwordToken.getUsername();   // 获得username
    
        User user = userDao.findByUsername(username);    // 通过username从数据库中获取到User对象
    
        if (user == null) {
    
            return null;
    
        }
    
        // 内置验证方法 (数据库中获取的对象,对象的密码, this.getName())
    
        AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
    
        return authenticationInfo;
    
    }

}

  3. 到上面以后编码工作就完成了,剩下的就是进行配置了,首先将编写的Realm注入到安全管理器,整合的是Spring,所以下面的配置都是在Spring配置文件中。

    <!-- 注册realm -->
    
<bean id="bosRealm" class="lyh.bos.realm.BOSRealm"></bean>

<!-- 注册安全管理器对象 -->
    
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    
	<property name="realm" ref="bosRealm"/>
    
</bean>

  4. 配置ShiroFilterFactoryBean,同时还可以配置一下URL拦截规则,注意这里的id要和web.xml<filter-name>shiroFilter</filter-name>相同

    <!-- shiro 配置 -->
    
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  <!-- 此处为web.xml配置的拦截器 -->
    
	<!-- 注入安全管理器对象 -->
    
	<property name="securityManager" ref="securityManager"/>
    
	<!-- 注入相关页面访问URL -->
    
	<property name="loginUrl" value="/login.jsp"/>          <!-- 登录页面 -->
    
	<property name="successUrl" value="/index.jsp"/>   <!-- 登录成功的主页 -->
    
	<property name="unauthorizedUrl" value="/unauthorized.jsp"/>   <!-- 权限不足转向的错误页面 -->
    
            <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    
	<!--注入URL拦截规则, -->
    
	<!-- anon 都可以访问
    
                   perms["staff-list"] 是否有staff-list权限
    
                   authc 登录才可以访问 -->
    
	<property name="filterChainDefinitions">
    
		<value>
    
			/css/** = anon
    
			/admin/logout = logout    <!-- 注销,访问这个路径,自动注销不需要自己编写方法 -->
    
			/images/** = anon
    
			/validatecode.jsp* = anon
    
			/login.jsp = anon
    
			/userAction_login.action = anon
    
			/page_base_staff.action = perms["staff-list"]   <!-- 表示page_base_staff.action路径需要有staff-list权限才可访问 -->
    
			/* = authc
    
		</value>
    
	</property>
    
</bean>

  5. Shiro还提供了使用注解控制权限的方法,开启方式如下,同时,使用的注解权限还需要配置全局异常,用来捕获当权限不足抛出异常时转向的页面,这里使用的是SpringMVC,开启方式@RequiresPermissions("staff-list")

    	<!-- 开启注解配置权限 -->
    
<bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
    
	<!-- 必须使用cglib方式为       Action对象创建代理对象 -->
    
	<property name="proxyTargetClass" value="true"/>
    
</bean>

<!-- 配置shiro框架提供的切面类,用于创建代理对象 -->
    
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
    

    // 配置全局异常处理器
    
    <!-- 需要进行权限控制的页面访问 -->
    
<global-results>
    
	<result name="login">/login.jsp</result>
    
	<result name="unauthorized">/unauthorized.jsp</result>
    
</global-results>

<!-- 全局异常处理 -->
    
<global-exception-mappings>
    
	<exception-mapping result="unauthorized" exception="org.apache.shiro.authz.UnauthorizedException"></exception-mapping>
    
</global-exception-mappings>

Shiro提供的控制权限的方式

  • URL权限拦截控制

  • 方法注解权限控制

  • 页面标签权限控制(当有对应的权限就显示对应的页面元素,没有权限则不显示), 需要在对应的页面引入Shiro的标签库

    <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>,可以用在HTMl也可以用在JS中。

  • 代码级别权限控制(在方法内添加代码)

Shiro整合ehcache缓存权限数据

如果访问一个页面就执行一次授权,就会访问数据库,浪费资源,所以我们可以使用ehcache来进行缓存权限,只要登录时进行一次授权,后面无需再次授权,直接使用缓存。

shiro自动整合ehcache,只需要简单配置就能使用。

  • 在根目录下建立ehcache.xml
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">

    <diskStore path="java.io.tmpdir"/>

    <defaultCache

            maxElementsInMemory="10000"

            eternal="false"

            timeToIdleSeconds="600"

            timeToLiveSeconds="600"

            overflowToDisk="true"

            maxElementsOnDisk="10000000"

            diskPersistent="false"

            diskExpiryThreadIntervalSeconds="120"

            memoryStoreEvictionPolicy="LRU"

            />

    <!--

    	内存中最多可以存储多少个数据

    	是否永久有效

    	空闲时间

    	存活时间

		内存空间不够是否存储到磁盘

    	磁盘最大存储个数

    	服务器重启,磁盘数据是否需要

    	线程

      	淘汰策略(最近最少使用)

     -->

</ehcache>
  • 在spring配置文件中配置缓存管理器对象,并注入给安全管理器对象
        <!-- 注册ehcache -->

	<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

		<property name="cacheManagerConfigFile" value="classpath:ehcache.xml" />

	</bean>
  • 将ehcache注入到shiro的配置管理器,shiro会自动使用缓存管理,在原来的管理器中添加<property name="cacheManager" ref="cacheManager"/> 一条语句即可。
        <!-- 注册安全管理器对象 -->

	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

		<property name="realm" ref="bosRealm"/>

		<!-- 将ehcache注入shiro -->

		<property name="cacheManager" ref="cacheManager"/>

	</bean>

安全框架Shiro入门的更多相关文章

  1. 权限控制框架---shiro入门

    1.shiro控制权限的两种思想:粗粒度url级别,细粒度方法级别 2.shiro执行流程简介 3.案例 3.1shiro控制用户登录实现,登录其实就是shiro中的认证. (1)配置web.xml( ...

  2. 用户认证授权和Shiro入门

    1.权限管理基础(认证和授权): 前言 本文主要讲解的知识点有以下: 权限管理的基础知识 模型 粗粒度和细粒度的概念 回顾URL拦截的实现 Shiro的介绍与简单入门 一.Shiro基础知识 在学习S ...

  3. 转:JAVAWEB开发之权限管理(二)——shiro入门详解以及使用方法、shiro认证与shiro授权

    原文地址:JAVAWEB开发之权限管理(二)——shiro入门详解以及使用方法.shiro认证与shiro授权 以下是部分内容,具体见原文. shiro介绍 什么是shiro shiro是Apache ...

  4. Shiro入门学习与实战(一)

    一.概述 1.Shiro是什么? Apache Shiro是java 的一个安全框架,主要提供:认证.授权.加密.会话管理.与Web集成.缓存等功能,其不依赖于Spring即可使用: Spring S ...

  5. Springmvc整合tiles框架简单入门示例(maven)

    Springmvc整合tiles框架简单入门示例(maven) 本教程基于Springmvc,spring mvc和maven怎么弄就不具体说了,这边就只简单说tiles框架的整合. 先贴上源码(免积 ...

  6. 安全框架Shiro

    原文地址:https://www.cnblogs.com/learnhow/p/5694876.html 一.架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精 ...

  7. Apache shiro集群实现 (一) shiro入门介绍

    近期在ITOO项目中研究使用Apache shiro集群中要解决的两个问题,一个是Session的共享问题,一个是授权信息的cache共享问题,官网上给的例子是Ehcache的实现,在配置说明上不算很 ...

  8. OkHttp框架从入门到放弃,解析图片使用Picasso裁剪,二次封装OkHttpUtils,Post提交表单数据

    OkHttp框架从入门到放弃,解析图片使用Picasso裁剪,二次封装OkHttpUtils,Post提交表单数据 我们这片博文就来聊聊这个反响很不错的OkHttp了,标题是我恶搞的,本篇将着重详细的 ...

  9. Java安全(权限)框架 - Shiro 功能讲解 架构分析

    Java安全(权限)框架 - Shiro 功能讲解 架构分析 作者 : Stanley 罗昊 [转载请注明出处和署名,谢谢!] 简述Shiro Shiro出自公司Apache(阿帕奇),是java的一 ...

随机推荐

  1. Eight hdu 1043 八数码问题 双搜

    Eight Time Limit: 10000/5000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others)Total Subm ...

  2. Windows下如何创建低权限进程

       1.  前言 在使用 Sysinternals 出品的 Process Explorer 过程中,对 “Run as Limited User” 功能的实现方式颇感兴趣,一番搜寻之下发现Mark ...

  3. 解决VMware下安装Ubuntu 16.04 不支持1920X1080分辨率的问题

    解决方法: flashmx@ubuntu:~$ cvt # 192.07M9) hsync: 67.16 kHz; pclk: 173.00 MHz Modeline -hsync +vsync fl ...

  4. Java历程-初学篇 Day07 循环结构2 for循环

    一,格式 for(赋值语句//为循环变量赋初值;条件语句//循环结构的循环条件;赋值语句//迭代,修改循环变量的值){ //循环体; } 二,简单举例 for(int i=1;i<=10;i++ ...

  5. java关于随机数和方法重构

    1.生成随机数 源代码 package Zuote; public class SuiJiShu { public static void main( String args[] ) { java.u ...

  6. cellForItemAtIndexPath没有调用

    前几天碰到cellForItemAtIndexPath这个数据源方法没有被调用.这是一个collectionView返回cell(item)的数据源方法. 它没有被调用的原因有下: 1.没有设置del ...

  7. WPF加载程序集中字符串资源

    WPF资源 WPF资源使用其实的也是resources格式嵌入资源,默认的资源名称为"应用程序名.g.resources",不过WPF资源使用的pack URI来访问资源. 添加图 ...

  8. 强大的grep,sed和awk--用案例来讲解

    准备工作: 先简单了解grep,sed和awk功能 1) grep 显示匹配特定模式的内容 grep -v 'boy' test.txt 过滤掉test.txt文件的boy,显示其余内容 grep ' ...

  9. Java可变参数以及一个简单应用

    可变参数: Java1.5增加了新特性:可变参数:适用于参数个数不确定,类型确定的情况,java把可变参数当做数组处理. 注意:可变参数必须位于最后一项. 原因:当可变参数个数多余一个时,必将有一个不 ...

  10. 关于Python输出时间戳的问题

    在我们的程序中,有时候想要知道程序的执行时间或者准确的停止时间,这时候就需要我们自己添加一个时间戳,以便我们做出判断和相应的处理. 下面是我亲测并收集的资料,菜鸟一枚,不全之处大神可给予补充和指正. ...