jeecmsv8 shiro 分析
源代码注释可见 https://github.com/chenbo19867758/jeecmsV8-BoBo.git
1.后台登录页面
/jeeadmin/jeecms/login.do
- 1
web.xml中
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<!--
targetFilterLifecycle 允许代理注入Spring bean
解决因为filter比bean先加载,也就是spring会先加载filter指定的类到container中,这样filter中注入的spring
bean就为null了 设置为true由servlet容器控制filter的生命周期
-->
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!--
设置spring容器filter的bean id,如果不设置则找与filter-name一致的bean 这里未设置 自动找到
shiro-context.xml 中的 shiroFilter bean 过滤 <init-param>
<param-name>targetBeanName</param-name>
<param-value>shiroFilter</param-value> </init-param>
-->
</filter>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
shiro-context.xml 配置了
/jeeadmin/jeecms/login.do = authc
- 1
请求登录时会进入自定义过滤器 authcFilter
<bean id="authcFilter" class="com.jeecms.core.security.CmsAuthenticationFilter"
parent="adminUrlBean">
<!-- 登录成功后进入的页面 -->
<property name="adminIndex" value="/jeeadmin/jeecms/index.do" />
</bean>
- 1
- 2
- 3
- 4
- 5
CmsAuthenticationFilter 中
public boolean onPreHandle(ServletRequest request,
ServletResponse response, Object mappedValue) throws Exception {
boolean isAllowed = isAccessAllowed(request, response, mappedValue);
// 判断是否登录页面的请求,转向登录页面
if (isAllowed && isLoginRequest(request, response)) {
try {
issueSuccessRedirect(request, response);
} catch (Exception e) {
logger.error("", e);
}
return false;
}
return isAllowed || onAccessDenied(request, response, mappedValue);
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
/**
* 在这返回成功页面successUrl
*/
protected void issueSuccessRedirect(ServletRequest request, ServletResponse response)
throws Exception {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse res = (HttpServletResponse) response;
String successUrl = req.getParameter(RETURN_URL);
if (StringUtils.isBlank(successUrl)) {
if (req.getRequestURI().startsWith(
req.getContextPath() + getAdminPrefix())) {
// 后台直接返回首页,这里为 /jeeadmin/jeecms/index.do
successUrl = getAdminIndex();
// 清除SavedRequest
WebUtils.getAndClearSavedRequest(request);
WebUtils.issueRedirect(request, response, successUrl, null,true);
return;
} else {
// 返回默认的成功页,AuthenticationFilter 中 DEFAULT_SUCCESS_URL = "/";
successUrl = getSuccessUrl();
}
}
WebUtils.getAndClearSavedRequest(request);
WebUtils.issueRedirect(request, response, successUrl, null,true);
//WebUtils.redirectToSavedRequest(req, res, successUrl);
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
判断是否登录页面的请求, 登录页面转向的成功页面,并区分前端登录和后端登录
登录失败则跳转到spring mvc 映射的路径, CmsLoginAct 中
// 登录失败转向这里
// submit 名称不是固定的随便取, 只需匹配 @RequestMapping
@RequestMapping(value = "/login.do", method = RequestMethod.POST)
public String submit(String username, HttpServletRequest request,
HttpServletResponse response, ModelMap model) {
Object error = request.getAttribute(DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);
if (error != null) {
model.addAttribute("error", error);
Integer errorRemaining= unifiedUserMng.errorRemaining(username);
model.addAttribute("errorRemaining", errorRemaining);
}
//此方法不处理登陆成功(认证成功),shiro认证成功会自动跳转到上一个请求路径
//登陆失败还到login页面
return "login";
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
shiro详解
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:util="http://www.springframework.org/schema/util"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-3.2.xsd"
default-lazy-init="true">
<!-- web.xml中 对应名称 <filter-name>shiroFilter</filter-name> -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- Shiro的核心安全接口,这个属性是必须的 -->
<property name="securityManager" ref="securityManager" />
<!-- /login.jspx 前端用户登录地址 -->
<property name="loginUrl" value="/login.jspx" />
<!-- successUrl认证成功统一跳转地址,不配置,shiro认证成功自动到上一个请求路径 -->
<property name="successUrl" value="/" />
<!--
这是因为shiro源代码中判断了filter是否为AuthorizationFilter,
只有perms,roles,ssl,rest,port才是属于AuthorizationFilter(授权),
而anon,authcBasic,auchc,user是AuthenticationFilter(验证),所以unauthorizedUrl(未被授权的url)设置后不起作用。
这里不需要配置 unauthorizedUrl
-->
<!-- 自定义filter配置 -->
<property name="filters">
<util:map>
<!-- 下面配置 authcFilter bean -->
<entry key="authc" value-ref="authcFilter" />
<!-- 下面配置 userFilter bean -->
<entry key="user" value-ref="userFilter" />
<!-- 退出过滤器, 下面配置 logoutFilter bean -->
<entry key="logout" value-ref="logoutFilter" />
</util:map>
</property>
<!--
anon匿名 authc登录认证 user用户已登录 logout退出filter anon:例子/admins/**=anon
没有参数,表示可以匿名使用。 authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
roles(角色):例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
perms(权限):例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method]
,其中method为post,get,delete等。
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
user是介于,anon和authc直之间的。换句话来说:而“/authenticated=
user”表示访问该地址的用户是身份验证通过或RememberMe
登录的都可以。或者说,某个页面需要登录才能看,但这个页面信息又不太重要,就可已使用这个
-->
<!--
后台首页登录 /jeeadmin/jeecms/login.do 后台登录页面访问的接口
/jeeadmin/jeecms/login.do = authc 配置为需要验证权限登录 需要过来器<entry key="authc"
value-ref="authcFilter" /> 过滤
-->
<!--
filterChainDefinitions Shiro连接约束配置,即过滤链的定义
Shiro Filter的执行顺序 “ 自上而下,从左到右”
-->
<property name="filterChainDefinitions">
<value>
*.jspx = anon
*.jhtml = anon
/member/forgot_password.jspx = anon
/member/password_reset.jspx = anon
/member/jobapply.jspx = anon
/login.jspx = authc
/logout.jspx = logout
/member/** = user
/jeeadmin/jeecms/login.do = authc
/jeeadmin/jeecms/logout.do = logout
/jeeadmin/jeecms/** =user
</value>
</property>
</bean>
<!-- Shiro Filter -->
<!-- 全局定义adminLogin,adminPrefix 供下面的bean使用 -->
<bean id="adminUrlBean" class="com.jeecms.core.security.CmsAdminUrl">
<property name="adminLogin" value="/jeeadmin/jeecms/login.do" />
<property name="adminPrefix" value="/jeeadmin/jeecms/" />
</bean>
<!--
自定义过滤
parent="adminUrlBean" 继承adminUrlBean 注入的属性
-->
<bean id="authcFilter" class="com.jeecms.core.security.CmsAuthenticationFilter"
parent="adminUrlBean">
<!-- 登录成功后进入的页面 -->
<property name="adminIndex" value="/jeeadmin/jeecms/index.do" />
</bean>
<!--
<entry key="user" value-ref="userFilter" /> 配置过滤 user 权限的访问地址
/member/** = user /jeeadmin/jeecms/** =user
-->
<bean id="userFilter" class="com.jeecms.core.security.CmsUserFilter"
parent="adminUrlBean" />
<!-- 退出过滤器 -->
<bean id="logoutFilter" class="com.jeecms.core.security.CmsLogoutFilter"
parent="adminUrlBean" />
<!-- 核心管理类 入口, security 安全,-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="cacheManager" ref="shiroEhcacheManager" />
<property name="rememberMeManager" ref="rememberMeManager" />
<property name="realm" ref="authorizingRealm" /> <!-- 凭证匹配器 -->
</bean>
<!-- 凭证匹配器,核心验证登录与权限授权 -->
<bean id="authorizingRealm" class="com.jeecms.core.security.CmsAuthorizingRealm">
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<!-- 加密的方式,MD5 -->
<property name="hashAlgorithmName" value="MD5" />
<!-- true means hex encoded, false means base64 encoded -->
<property name="storedCredentialsHexEncoded" value="true" />
<!-- 迭代次数,散列的次数 ,加密的次数,2的话就是加密后把加密的值再加密一次 -->
<property name="hashIterations" value="1" />
</bean>
</property>
<property name="cmsUserMng" ref="cmsUserMng" />
</bean>
<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<!--
<property name="cacheManagerConfigFile">
<value>classpath:ehcache-shiro.xml</value> </property>
-->
<property name="cacheManager">
<ref local="cacheManager" />
</property>
</bean>
<!-- 会话Cookie模板 -->
<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
<!--
constructor-arg 构造器注入
前端登录或后端登录,可以传入rememberMe 参数实现记住我功能
rememberMe是cookie的名字
-->
<constructor-arg value="rememberMe" />
<property name="httpOnly" value="true" />
<property name="maxAge" value="31536000" /><!-- 365天 -->
</bean>
<!--
rememberMe管理器
cipherKey是加密rememberMe Cookie的密钥;默认AES算法;
-->
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
<property name="cipherKey"
value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}" />
<property name="cookie" ref="rememberMeCookie" />
</bean>
<!--
Enable Shiro Annotations for Spring-configured beans. Only run after
-->
<!--
the lifecycleBeanProcessor has run:
jeecms-servlet-admin.xml中配置使用
lifecycleBeanPostProcessor Shiro生命周期处理器
LifecycleBeanPostProcessor用于在实现了Initializable接口的Shiro bean初始化时调用Initializable接口回调,
在实现了Destroyable接口的Shiro bean销毁时调用 Destroyable接口回调。
如UserRealm就实现了Initializable,
而DefaultSecurityManager实现了Destroyable。
-->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
</beans>
jeecmsv8 shiro 分析的更多相关文章
- spring boot整合shiro
安全框架Shiro和Spring Security比较,本文主要围绕Shiro进行学习 一 Shiro 是一个强大而灵活的开源安全框架,能够清晰的处理认证 授权 管理会话以及,密码加密 01 .认证与 ...
- shiro550反序列化分析
拖了很久的shiro分析 漏洞概述 Apache Shiro <= 1.2.4 版本中,加密的用户信息序列化后存储在Cookie的rememberMe字段中,攻击者可以使用Shiro的AES加密 ...
- Shiro源码分析-初始化-Realm
在上一篇介绍SecurityManager的初始化过程中,也有realm的粗略介绍. realm的概念在安全领域随处可见: 各种中间件的realm.spring security的realm.shir ...
- Shiro 源码分析
http://my.oschina.net/huangyong/blog/215153 Shiro 是一个非常优秀的开源项目,源码非常值得学习与研究. 我想尝试做一次 不一样 的源码分析:源码分析不再 ...
- shiro实现无状态的会话,带源码分析
转载请在页首明显处注明作者与出处 朱小杰 http://www.cnblogs.com/zhuxiaojie/p/7809767.html 一:说明 在网上都找不到相关的信息,还是翻了大半天 ...
- Java安全(权限)框架 - Shiro 功能讲解 架构分析
Java安全(权限)框架 - Shiro 功能讲解 架构分析 作者 : Stanley 罗昊 [转载请注明出处和署名,谢谢!] 简述Shiro Shiro出自公司Apache(阿帕奇),是java的一 ...
- shiro过滤器详解分析
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了.登录有时间再补录说明,这里分析下shiro过滤器怎样玩的. 1.目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处. 先看一下 ...
- Apache Shiro Java反序列化漏洞分析
1. 前言 最近工作上刚好碰到了这个漏洞,当时的漏洞环境是: shiro-core 1.2.4 commons-beanutils 1.9.1 最终利用ysoserial的CommonsBeanuti ...
- Shiro源码分析之SecurityManager对象获取
目录 SecurityManager获取过程 1.SecurityManager接口介绍 2.SecurityManager实例化时序图 3.源码分析 4.总结 @ 上篇文章Shiro源码分析之获 ...
随机推荐
- WinDBG常用断点命令
WinDBG提供了多种设断点的命令: bp 命令是在某个地址 下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction . 对于后者,WinDBG 会自动找到MyA ...
- final、static、package、import,和内部类、代码块总结
final: final是最终修饰符,可以修饰类.成员方法.变量 final修饰的类无法被继承 final修饰的方法无法被重写 final修饰的变量无法被再次赋值,变为了常量 final修饰的引用数据 ...
- IDEA 创建普通的maven+java Project
最近想把以前积累的零散java练习和学习的东西建一个项目整理出来上传到码云托管,免得电脑挂了啥也找不到 配置是IDEA2017+java8+maven3.2.5,截图记录下步骤 第一步:File--& ...
- <scrapy爬虫>基本操作
scrapy选择器的用法 //selector可以加可以不加 response.selector.xpath("//title/text()").extract_first() r ...
- C 遍历目录及其子目录
遍历某一目录,获取该目录下所有文件路径的数组 #include <iostream> #include <dirent.h> #include <vector> v ...
- Vim操作 -- 按列
1, 拷贝行 Y y 拷贝当前光标字符 如果需要拷贝整个单词,可以用 ye,e表示跳到词尾 2, 粘贴 P(大写) 粘贴到光标前 p(小写)粘贴到光标后 3, 进入快操作模式 ctrl+q 4, 用 ...
- 阿里云 Aliplayer高级功能介绍(四):直播时移
基本介绍 时移直播基于常规的HLS视频直播,直播推流被切分成TS分片,通过HLS协议向播放用户分发,用户请求的m3u8播放文件中包含不断刷新的TS分片地址:对于常规的HLS直播而言,TS分片地址及相应 ...
- 「题解」NOIP模拟测试题解乱写II(36)
毕竟考得太频繁了于是不可能每次考试都写题解.(我解释个什么劲啊又没有人看) 甚至有的题目都没有改掉.跑过来写题解一方面是总结,另一方面也是放松了. NOIP模拟测试36 T1字符 这题我完全懵逼了.就 ...
- Python-线程(3)-协程
目录 Event事件 线程池 进程池 回调函数 高性能爬取梨视频 协程 yield保存状态 gevent模块 协程的目的 TCP服务端单线程下实现并发 Event事件 event 事件用来控制线程的执 ...
- ConcurrentHashMap 和 Hashtable 的区别
ConcurrentHashMap 和 Hashtable 的区别主要体现在实现线程安全的方式上不同. 1.底层的数据结构: ConcurrentHashMap 在jdk1.7之前采用的是 分段的数组 ...