shiro安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证、授权、加密和会话管理等功能 。

  shiro能做什么?

       认证:验证用户的身份

       授权:对用户执行访问控制:判断用户是否被允许做某事

       会话管理:在任何环境下使用 Session API,即使没有 Web 或EJB 容器。

       加密:以更简洁易用的方式使用加密功能,保护或隐藏数据防止被偷窥

       Realms:聚集一个或多个用户安全数据的数据源

       单点登录(SSO)功能。

       为没有关联到登录的用户启用 "Remember Me“ 服务

  Shiro 的四大核心部分

      Authentication(身份验证):简称为“登录”,即证明用户是谁。

      Authorization(授权):访问控制的过程,即决定是否有权限去访问受保护的资源。

      Session Management(会话管理):管理用户特定的会话,即使在非 Web 或 EJB 应用程序。

      Cryptography(加密):通过使用加密算法保持数据安全

  shiro的三个核心组件:     

      Subject :正与系统进行交互的人,或某一个第三方服务。所有 Subject 实例都被绑定到(且这是必须的)一个SecurityManager 上。

      SecurityManager:Shiro 架构的心脏,用来协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务。当 Shiro 与一个 Subject 进行交互时,实质上是幕后的 SecurityManager 处理所有繁重的 Subject 安全操作。

      Realms :本质上是一个特定安全的 DAO。当配置 Shiro 时,必须指定至少一个 Realm 用来进行身份验证和/或授权。Shiro 提供了多种可用的 Realms 来获取安全相关的数据。如关系数据库(JDBC),INI 及属性文件等。可以定义自己 Realm 实现来代表自定义的数据源。

  shiro整合SSM框架:

      1.加入 jar 包:以下jar包自行百度下载

      

      2.配置 web.xml 文件

      在web.xml中加入以下代码—shiro过滤器。

<filter>

        <filter-name>shiroFilter</filter-name>

        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

        <init-param>

            <param-name>targetFilterLifecycle</param-name>

            <param-value>true</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>shiroFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

      3.在 Spring 的配置文件中配置 Shiro

      Springmvc配置文件中:

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"

          depends-on="lifecycleBeanPostProcessor"/>

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

        <property name="securityManager" ref="securityManager"/>

    </bean>

      Spring配置文件中导入shiro配置文件:

<!-- 包含shiro的配置文件 -->

          <import resource="classpath:applicationContext-shiro.xml"/>

      新建applicationContext-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

    <!-- 配置緩存管理器 -->

    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

        <!-- 指定 ehcache 的配置文件,下面会给到 -->

        <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>

    </bean>

    <!-- 配置进行授权和认证的 Realm,要新增一个java类来实现,下面会有,class=包名.类名,init-methood是初始化的方法 -->

    <bean id="myRealm"

        class="shiro.MyRealm"

        init-method="setCredentialMatcher"></bean>

    <!-- 配置 Shiro 的 SecurityManager Bean. -->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="cacheManager" ref="cacheManager"/>

        <property name="realm" ref="myRealm"/>

    </bean>

    <!-- 配置 Bean 后置处理器: 会自动的调用和 Spring 整合后各个组件的生命周期方法. -->

    <bean id="lifecycleBeanPostProcessor"

        class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- 配置 ShiroFilter bean: 该 bean 的 id 必须和 web.xml 文件中配置的 shiro filter 的 name 一致  -->

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

        <!-- 装配 securityManager -->

        <property name="securityManager" ref="securityManager"/>

        <!-- 配置登陆页面 -->

        <property name="loginUrl" value="/index.jsp"/>

        <!-- 登陆成功后的一面 -->

        <property name="successUrl" value="/shiro-success.jsp"/>

        <property name="unauthorizedUrl" value="/shiro-unauthorized.jsp"/>

        <!-- 具体配置需要拦截哪些 URL, 以及访问对应的 URL 时使用 Shiro 的什么 Filter 进行拦截.  -->

        <property name="filterChainDefinitions">

            <value>

                <!-- 配置登出: 使用 logout 过滤器 -->

                /shiro-logout = logout

                /shiro-* = anon

                /user.jsp = roles[user]

                /admin.jsp = roles[admin]

                /** = authc

            </value>

        </property>

    </bean>

</beans>

    导入ehcache-shiro.xml配置文件:

<!--

  ~ Licensed to the Apache Software Foundation (ASF) under one

  ~ or more contributor license agreements.  See the NOTICE file

  ~ distributed with this work for additional information

  ~ regarding copyright ownership.  The ASF licenses this file

  ~ to you under the Apache License, Version 2.0 (the

  ~ "License"); you may not use this file except in compliance

  ~ with the License.  You may obtain a copy of the License at

  ~

  ~     http://www.apache.org/licenses/LICENSE-2.0

  ~

  ~ Unless required by applicable law or agreed to in writing,

  ~ software distributed under the License is distributed on an

  ~ "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY

  ~ KIND, either express or implied.  See the License for the

  ~ specific language governing permissions and limitations

  ~ under the License.

  -->

<!-- EhCache XML configuration file used for Shiro spring sample application -->

<ehcache>

    <!-- Sets the path to the directory where cache .data files are created.

If the path is a Java System Property it is replaced by

its value in the running VM.

The following properties are translated:

user.home - User's home directory

user.dir - User's current working directory

java.io.tmpdir - Default temp file path -->

    <diskStore path="java.io.tmpdir/shiro-spring-sample"/>

    <!--Default Cache configuration. These will applied to caches programmatically created through

    the CacheManager.

    The following attributes are required:

    maxElementsInMemory            - Sets the maximum number of objects that will be created in memory

    eternal                        - Sets whether elements are eternal. If eternal,  timeouts are ignored and the

                                     element is never expired.

    overflowToDisk                 - Sets whether elements can overflow to disk when the in-memory cache

                                     has reached the maxInMemory limit.

    The following attributes are optional:

    timeToIdleSeconds              - Sets the time to idle for an element before it expires.

                                     i.e. The maximum amount of time between accesses before an element expires

                                     Is only used if the element is not eternal.

                                     Optional attribute. A value of 0 means that an Element can idle for infinity.

                                     The default value is 0.

    timeToLiveSeconds              - Sets the time to live for an element before it expires.

                                     i.e. The maximum time between creation time and when an element expires.

                                     Is only used if the element is not eternal.

                                     Optional attribute. A value of 0 means that and Element can live for infinity.

                                     The default value is 0.

    diskPersistent                 - Whether the disk store persists between restarts of the Virtual Machine.

                                     The default value is false.

    diskExpiryThreadIntervalSeconds- The number of seconds between runs of the disk expiry thread. The default value

                                     is 120 seconds.

    memoryStoreEvictionPolicy      - Policy would be enforced upon reaching the maxElementsInMemory limit. Default

                                     policy is Least Recently Used (specified as LRU). Other policies available -

                                     First In First Out (specified as FIFO) and Less Frequently Used

                                     (specified as LFU)

    -->

    <defaultCache

            maxElementsInMemory="10000"

            eternal="false"

            timeToIdleSeconds="120"

            timeToLiveSeconds="120"

            overflowToDisk="false"

            diskPersistent="false"

            diskExpiryThreadIntervalSeconds="120"

            />

    <!-- We want eternal="true" (with no timeToIdle or timeToLive settings) because Shiro manages session

expirations explicitly.  If we set it to false and then set corresponding timeToIdle and timeToLive properties,

ehcache would evict sessions without Shiro's knowledge, which would cause many problems

(e.g. "My Shiro session timeout is 30 minutes - why isn't a session available after 2 minutes?"

Answer - ehcache expired it due to the timeToIdle property set to 120 seconds.)

diskPersistent=true since we want an enterprise session management feature - ability to use sessions after

even after a JVM restart.  -->

    <cache name="shiro-activeSessionCache"

           maxElementsInMemory="10000"

           eternal="true"

           overflowToDisk="true"

           diskPersistent="true"

           diskExpiryThreadIntervalSeconds="600"/>

    <cache name="org.apache.shiro.realm.SimpleAccountRealm.authorization"

           maxElementsInMemory="100"

           eternal="false"

           timeToLiveSeconds="600"

           overflowToDisk="false"/>

</ehcache>

     到这一步,配置文件都基本准备好了,接下来要写Realm方法了,新建shiro包,在包下新建MyRealm.java文件继承AuthorizingRealm

package shiro;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.crypto.hash.Md5Hash;

import org.apache.shiro.crypto.hash.SimpleHash;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import org.springframework.beans.factory.annotation.Autowired;

import bean.user;

import dao.userdao;

public class MyRealm extends AuthorizingRealm {

    @Autowired

    private userdao userdao;

    String pass;

    /**

     * 授权:

     *

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        Object principal = principalCollection.getPrimaryPrincipal();//获取登录的用户名

        if("admin".equals(principal)){               //两个if根据判断赋予登录用户权限

            info.addRole("admin");

        }

        if("user".equals(principal)){

            info.addRole("list");

        }

        info.addRole("user");

        return info;

    }

    /*

     * 用户验证

     *

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        //1. token 中获取登录的 username! 注意不需要获取password.

        Object principal = token.getPrincipal();

        //2. 利用 username 查询数据库得到用户的信息.

        user user=userdao.findbyname((String) principal);

        if(user!=null){

            pass=user.getPass();

        }

        String credentials = pass;

        //3.设置盐值 ,(加密的调料,让加密出来的东西更具安全性,一般是通过数据库查询出来的。 简单的说,就是把密码根据特定的东西而进行动态加密,如果别人不知道你的盐值,就解不出你的密码)

        String source = "abcdefg";

        ByteSource credentialsSalt = new Md5Hash(source);

        //当前 Realm 的name

        String realmName = getName();

        //返回值实例化

        SimpleAuthenticationInfo info =

                new SimpleAuthenticationInfo(principal, credentials,

                        credentialsSalt, realmName);

        return info;

    }

    //init-method 配置.

    public void setCredentialMatcher(){

        HashedCredentialsMatcher  credentialsMatcher = new HashedCredentialsMatcher();

        credentialsMatcher.setHashAlgorithmName("MD5");//MD5算法加密

        credentialsMatcher.setHashIterations(1024);//1024次循环加密

        setCredentialsMatcher(credentialsMatcher);

    }

    //用来测试的算出密码password盐值加密后的结果,下面方法用于新增用户添加到数据库操作的,我这里就直接用main获得,直接数据库添加了,省时间

    public static void main(String[] args) {

        String saltSource = "abcdef";

        String hashAlgorithmName = "MD5";

        String credentials = "passwor";

        Object salt = new Md5Hash(saltSource);

        int hashIterations = 1024;

        Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);

        System.out.println(result);

    }

}

    好了,接下来我们写一个简单的action来通过shiro登录验证。

//登录认证

    @RequestMapping("/shiro-login")

    public String login(@RequestParam("username") String username,

            @RequestParam("password") String password){

        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        try {

            //执行认证操作.

            subject.login(token);

        }catch (AuthenticationException ae) {

            System.out.println("登陆失败: " + ae.getMessage());

            return "/index";

        }

        return "/shiro-success";

    }

//温馨提示:记得在注册中密码存入数据库前也记得加密哦,提供一个utils方法

//进行shiro加密,返回加密后的结果

public static String md5(String pass){

String saltSource = "blog";

String hashAlgorithmName = "MD5";

Object salt = new Md5Hash(saltSource);

int hashIterations = 1024;

Object result = new SimpleHash(hashAlgorithmName, pass, salt, hashIterations);

String password = result.toString();

return password;

}

好了,shiro登录验证到这里完了,这个简单的实例也应该能让大家初步了解了

shiro权限控制(一):shiro介绍以及整合SSM框架的更多相关文章

  1. shiro权限控制入门

    一:权限控制两种主要方式 粗粒度 URL 级别权限控制和细粒度方法级别权限控制 1.粗粒度 URL 级别权限控制 可以基于 Filter 实现在数据库中存放 用户.权限.访问 URL 对应关系, 当前 ...

  2. shiro框架整合ssm框架

    下面我通过一个web的maven项目来讲解如何将shiro整合ssm框架,具体结构如下图 一.引入依赖的jar包 <?xml version="1.0" encoding=& ...

  3. 整合SSM框架必备基础—SpringMVC(下)

    在上一篇文章<整合SSM框架必备基础-SpringMVC(上)>中,胖达介绍了关于SpringMVC的诞生.优势以及执行流程等理论知识点,这篇文章打算在实操中加深一下对SpringMVC的 ...

  4. IDEA+Maven 整合SSM框架实现简单的增删改查(新手入门,傻瓜操作)

    原博客地址:https://blog.csdn.net/khxu666/article/details/79851070 选用SSM框架的原因在目前的企业级Java应用中,Spring框架是必须的.S ...

  5. 用Maven整合SSM框架

    前述 Maven 是专门用于构建和管理Java相关项目的工具,利用 Maven 的主要目的是统一维护 jar 包.关于 Maven 的安装在这篇里面就不说了. SSM(Spring+SpringMVC ...

  6. shiro权限控制

    1.1  简介 Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Securi ...

  7. shiro权限控制的简单实现

    权限控制常用的有shiro.spring security,两者相比较,各有优缺点,此篇文章以shiro为例,实现系统的权限控制. 一.数据库的设计 简单的五张表,用户.角色.权限及关联表: CREA ...

  8. JAVAEE——BOS物流项目11:在realm中授权、shiro的方法注解权限控制、shiro的标签权限控制、总结shiro的权限控制方式、权限管理

    1 学习计划 1.在realm中进行授权 2.使用shiro的方法注解方式权限控制 n 在spring文件中配置开启shiro注解支持 n 在Action方法上使用注解 3.★使用shiro的标签进行 ...

  9. Spring Boot + Spring Cloud 实现权限管理系统 权限控制(Shiro 注解)

    技术背景 当前,我们基于导航菜单的显示和操作按钮的禁用状态,实现了页面可见性和操作可用性的权限验证,或者叫访问控制.但这仅限于页面的显示和操作,我们的后台接口还是没有进行权限的验证,只要知道了后台的接 ...

随机推荐

  1. VSCode里的一些有用的插件

    1.EaseServer 作用:开启本地 http server,然后在browser里打开html: 在调试页面的时候,打开页面比较方便,不需要先开启server,再打开html 2.Debugge ...

  2. Angularjs 动态添加指令并绑定事件

    先说使用场景,动态生成DOM元素并绑定事件,非常常见的一种场景,用jq实现效果: http://jsbin.com/gajizuyuju/edit?html,js,output var count=0 ...

  3. jenkins容器权限被被拒绝

    问题,我们从官网上面pull下jenkins后,如果直接运行容器的没问题 docker run -d -p 8080:8080 -v jenkins:latest 不过我们可能需要映射下容器内部的地址 ...

  4. 使用Java注解来简化你的代码

         注解(Annotation)就是一种标签,可以插入到源代码中,我们的编译器可以对他们进行逻辑判断,或者我们可以自己写一个工具方法来读取我们源代码中的注解信息,从而实现某种操作.需要申明一点, ...

  5. 在eclipse中使用Maven建web工程项目

    在eclipse中使用Maven建web工程项目: 第一种方式: 右键新建maven工程,勾选创建一个简单工程 填入信息,注意打包方式要改为war 点击完成,创建完的工程目录如下: 项目中没有WEB- ...

  6. Spring+SpringMVC+MyBatis+easyUI整合优化篇(十一)数据层优化-druid监控及慢sql记录

    本文提要 前文也提到过druid不仅仅是一个连接池技术,因此在将整合druid到项目中后,这一篇文章将去介绍druid的其他特性和功能,作为一个辅助工具帮助提升项目的性能,本文的重点就是两个字:监控. ...

  7. RSA加密算法 C++实现

    上信息安全课,老师布置了几个大作业,其中一个为RSA加密算法的实现,不能用Java写.出于兴趣,决定尝试.完成之后,为了便于查找,于是写下这篇文章,以备后续查看.也供大家一起学习,一起进步. 1.预备 ...

  8. 【web】之 jquery上传插件的Plupload的使用

    首先下载plupload->http://www.plupload.com 因为Plupload可配置参数比较多,所以这里讲解最常用的,结合jquery-ui展示的界面!如下: Plupload ...

  9. Azure IoT 技术研究系列4-Azure IoT Hub的配额及缩放级别

    上两篇博文中,我们介绍了将设备注册到Azure IoT Hub,设备到云.云到设备之间的通信: Azure IoT 技术研究系列2-设备注册到Azure IoT Hub Azure IoT 技术研究系 ...

  10. vue实现全选效果

    vue实现全选效果 接触vue快半年了,记得刚用vue做项目的时候遇到一个全选功能,当时到处百度也没有找到怎么实现,最后还是用了jquery进行dom操作实现的. 今天没事就顺手写了一个,感觉很简单, ...