安全框架Apache Shiro学习心得

最新推荐文章于 2024-11-05 15:32:19 发布
最新推荐文章于 2024-11-05 15:32:19 发布
阅读量135 收藏
点赞数
本文详细记录了Shiro框架的配置要点,包括Web.xml配置、SpringContext配置、支持Shiro注释的配置调整及自定义realm实现。同时,文章还深入探讨了Shiro注解的配置与应用,以及如何解决配置问题,如successUrl和unauthorizedUrl的调试,为开发者提供了一站式的Shiro使用指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于Shiro的介绍网上有太多,就不赘述了,写这篇文章的目的就是记录一下使用配置的要点。

1. Web.xml配置,Shiro的filter必须放在其他filter之前

[html]  view plain copy
  1. <filter>  
  2.     <filter-name>shiroFilter</filter-name>  
  3.     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  4.     <init-param>  
  5.         <param-name>targetFilterLifecycle</param-name>  
  6.         <param-value>true</param-value>  
  7.     </init-param>  
  8. </filter>  
  9. <filter-mapping>  
  10.     <filter-name>shiroFilter</filter-name>  
  11.     <url-pattern>/*</url-pattern>  
  12. </filter-mapping>  

2. Spring Context配置,都是官网摘来的,就不详述了。有以下问题需要注意:

     1) Shiro提供的realm没有需要的,所以自己写了个

     2) successUrl和unauthorizedUrl调试时曾经没有起作用,后来莫名其妙好了,原因不明,可能是开始代码或配置有问题,比如:为了测试权限注解,在login Action里调用了一个加上了@RequiresPermissions("account:create")的private method,不深究了。

[html]  view plain copy
  1. <!-- shiro security -->  
  2. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
  3.     <property name="securityManager" ref="securityManager"/>  
  4.     <property name="loginUrl" value="/login"/>  
  5.     <property name="successUrl" value="/welcome"/>  
  6.     <property name="unauthorizedUrl" value="/refuse"/>  
  7.     <property name="filterChainDefinitions">  
  8.         <value>  
  9.     /refuse = anon  
  10.     <!-- /welcome = perms[accout:edit] -->  
  11.     /** = authc  
  12.         </value>  
  13.     </property>  
  14. </bean>  
  15.   
  16. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
  17.     <property name="realm" ref="customRealm"/>  
  18. </bean>  
  19. <bean id="customRealm" class="com.capgemini.framework.common.access.CustomShiraRealm" />  
  20.   
  21. <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />  

3. 为了支持Shiro的注释,按官方文档的介绍,在applicationContext.xml加两个bean定义:DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor。

可是测试下来却不起作用,搜了半天,终于找到原因,原来用了spring mvc的话就需要把这两个bean定义写在相应的springmvc-servlet.xml文件中,并加上SimpleMappingExceptionResolver

[html]  view plain copy
  1. <!-- Support Shiro Annotation -->  
  2. <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">    
  3.     <property name="exceptionMappings">    
  4.         <props>    
  5.             <prop key="org.apache.shiro.authz.UnauthorizedException">shiro-test/refuse</prop>  
  6.         </props>    
  7.     </property>    
  8. </bean>    
  9. <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"   
  10.                       depends-on="lifecycleBeanPostProcessor"/>      
  11. <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  
  12.     <property name="securityManager" ref="securityManager"/>  
  13. </bean>  

4. 自定义的realm必须继承AuthorizingRealm,并实现两个Abstract方法doGetAuthorizationInfo和doGetAuthenticationInfo

[java]  view plain copy
  1. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  
  2.     String username = (String) principals.fromRealm(getName()).iterator().next();  
  3.     if (username != null) {  
  4.         try {  
  5.             User user = userMgntService.getUserByUserCode(username);  
  6.             if (user != null && user.getRole() != null) {  
  7.                 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();  
  8.                 info.addRole(user.getRole().getRoleName());  
  9.                 info.addStringPermission("account:view");  
  10.                 return info;  
  11.             }  
  12.         } catch (AppException e) {  
  13.             logger.error(e, e);  
  14.         }  
  15.     }  
  16.     return null;  
  17.   
  18. }  
[java]  view plain copy
  1. protected AuthenticationInfo doGetAuthenticationInfo(  
  2.         AuthenticationToken authcToken ) throws AuthenticationException {  
  3.     UsernamePasswordToken token = (UsernamePasswordToken) authcToken;  
  4.     String userName = token.getUsername();  
  5.     if (userName != null && !"".equals(userName.trim())) {  
  6.         try {  
  7.             User user = userMgntService.getUserByUserCode(token.getUsername());  
  8.             if (user != null && user.getPassword().equals(String.valueOf(token.getPassword())))  
  9.                 return new SimpleAuthenticationInfo(user.getUserCode(),   
  10.                                                 user.getPassword(), getName());  
  11.         } catch (AppException e) {  
  12.             logger.error(e, e);  
  13.         }  
  14.     }  
  15.     return null;  
  16. }  

5. 如果jsp的login form按照官方文档的写法,表单元素的名字都和文档一样的话,那么login Action基本不需要做太多操作,只需要完成验证失败的跳转。验证成功的话不会回到/login,而是从realm一直往下走跳到successUrl,默认的FormAuthenticationFilter会找这三个requestparameters:username,password andrememberMe,如果非要用不一样的名字,那么就设置FormAuthenticationFilter的这几个参数

[html]  view plain copy
  1. <form action="${pageContext.request.contextPath}/login" method="post">  
  2.   
  3.    Username: <input type="text" name="username"/> <br/>  
  4.    Password: <input type="password" name="password"/>  
  5.    ...  
  6.    <input type="checkbox" name="rememberMe" value="true"/>Remember Me?   
  7.    ...  
  8. </form>  
[html]  view plain copy
  1. [main]  
  2. ...  
  3. authc.loginUrl = /whatever.jsp  
  4. authc.usernameParam = somethingOtherThanUsername  
  5. authc.passwordParam = somethingOtherThanPassword  
  6. authc.rememberMeParam = somethingOtherThanRememberMe  
  7. ...  

[java]  view plain copy
  1. @RequestMapping(value = "/login")  
  2. public String login(String username, String password) {  
  3.     return "shiro-test/login";  
  4. }  
bensantan
关注
安全认证框架-Apache_Shiro研究心得
03-06
### 安全认证框架-Apache Shiro研究心得 #### Apache Shiro简介 Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常容易地开发出足够安全的应用——无论它们是部署...
shiro框架学习心得
06-27
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。Shiro 不仅可以用于大型企业级应用,同样适用于小型项目,其设计简洁,易于理解和集成...
Shiro学习总结(2)——Apache Shiro快速入门教程
weixin_33943347的博客
05-09 93
第一部分 什么是Apache Shiro 1、什么是 apache shiroApache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 如同springsecurity 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。 2、Apache Shiro 的三大核心组件: ...
Shiro框架详解
懿的博客
05-19 394
之间工作中曾经用到过shiro这个权限控制的框架,之前一直都是停留在用的方面,没有过多的 去理解这方面的知识,现在有时间,专门研究了一下这个Shiro权限的框架使用。 Shiro是什么? Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要...
安全认证框架-apache shiro研究心得
我们不生产任何代码 只做代码的搬运工
06-23 4887
Apache Shrio是一个安全认证框架,和Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。其提供的native-session(即把用户认证后的授权信息保存在其自身提供Session中)机制,这样就可以和HttpSession、EJB Session Bean的基于容器的Session脱耦,到到和客户端应用、Flex应用、远程方法调用等都可以使用它来配置权限认证
适合才最美:Shiro安全框架使用心得
威哥爱编程,优快云 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
11-05 1305
自定义Realm,从数据库获取用户和角色信息,并使用 JWT Token 进行无状态认证。@Override@Override// 验证 Tokenthrow new AuthenticationException("Token 无效");// 查询用户throw new AuthenticationException("用户不存在");@Override// 添加角色和权限。
JAVA安全框架Apache Shiro浅析
weixin_42600182的博客
10-09 343
构建一个互联网应用,权限校验管理是很重要的安全措施,这其中主要包含: 认证 - 用户身份识别,即登录 授权 - 访问控制 密码加密 - 加密敏感数据防止被偷窥 会话管理 - 与用户相关的时间敏感的状态信息 Shiro对以上功能都进行了很好的支持,而且十分易于使用,且可运行在注入WEB, IOC, EJB等环境中。 在Shiro中,有以下几个核心概念。 1. Subject 对于一个应用...
安全认证框架-Apache Shiro研究心得
今天是昨天的明天
11-08 1568
Apache Shrio是一个安全认证框架,和SpringSecurity相比,在于他使用了和比较简洁易懂的认证和授权方式。其提供的native-session(即把用户认证后的授权信息保存在其自身提供Session中)机制,这样就可以和HttpSession、EJBSessionBean的基于容器的Session脱耦,到客户端应用、Flex应用、远程方法调用等都可以使用它来配置权限认证。 1、
安全认证框架-APACHE SHIRO研究心得
10-27 185
最近因为项目需要,研究了一下Apache Shiro安全认证框架,把心得记录下来。(原创by:西风吹雨)  Apache Shrio是一个安全认证框架,和Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。其提供的native-session(即把用户认证后的授权信息保存在其自身提供Session中)机制,这样就可以和HttpSession、EJB Sessi
shiro学习心得
05-20
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证(Authentication)、授权(Authorization)、加密(Cryptography)以及会话管理等功能。通过本文档,将深入探讨 Shiro 的核心概念,并结合实际应用...
cornerstone基石开源元胶片前端开发应用
08-20
cornerstone基石开源元胶片前端开发应用
电力系统基于SPDMD算法的XLPE电缆介质响应参数辨识:电缆绝缘状态评估与老化检测系统设计(论文复现含详细代码及解释)
08-20
内容概要:本文档详细介绍了基于稀疏增强动态模态分解(SPDMD)算法对交联聚乙烯(XLPE)电缆介质响应参数的辨识方法。该方法通过分析极化电流谱线,计算增强稀疏幅值向量,确定Debye模型支路数量并计算支路元件参数。相比传统方法,SPDMD算法具有更高的辨识精度,特别是在极化电流分析上表现出色。文中提供了完整的Python代码实现,涵盖数据预处理、DMD模态计算、稀疏优化、Debye参数识别及结果可视化等步骤。此外,还讨论了该方法在电缆老化评估中的应用,包括抗噪性能、极化电流与去极化电流的对比、老化特征提取及击穿电压预测等方面。 适合人群:电气工程领域的研究人员和技术人员,特别是从事电缆绝缘状态监测和评估工作的专业人员。 使用场景及目标:①研究XLPE电缆绝缘介质的弛豫过程和老化机理;②开发电缆绝缘状态在线监测系统;③评估电缆老化程度并预测剩余寿命;④提高电缆维护效率,预防突发性故障。 其他说明:该方法不仅在理论上提供了新的视角,而且在实际工程应用中展示了良好的性能。建议在具体应用时结合现场实际情况调整相关参数,如窗口长度、稀疏系数等,以达到最佳效果。同时,对于噪声较大的环境,可以采用中值滤波等预处理手段提高数据质量。
【开发者工具与效率提升】集成开发环境及辅助工具综述:提升代码开发、测试与部署全流程效率
08-20
内容概要:本文介绍了多种开发者工具及其对开发效率的提升作用。首先,介绍了两款集成开发环境(IDE):IntelliJ IDEA 以其智能代码补全、强大的调试工具和项目管理功能适用于Java开发者;VS Code 则凭借轻量级和多种编程语言的插件支持成为前端开发者的常用工具。其次,提到了基于 GPT-4 的智能代码生成工具 Cursor,它通过对话式编程显著提高了开发效率。接着,阐述了版本控制系统 Git 的重要性,包括记录代码修改、分支管理和协作功能。然后,介绍了 Postman 作为 API 全生命周期管理工具,可创建、测试和文档化 API,缩短前后端联调时间。再者,提到 SonarQube 这款代码质量管理工具,能自动扫描代码并检测潜在的质量问题。还介绍了 Docker 容器化工具,通过定义应用的运行环境和依赖,确保环境一致性。最后,提及了线上诊断工具 Arthas 和性能调优工具 JProfiler,分别用于生产环境排障和性能优化。 适合人群:所有希望提高开发效率的程序员,尤其是有一定开发经验的软件工程师和技术团队。 使用场景及目标:①选择合适的 IDE 提升编码速度和代码质量;②利用 AI 编程助手加快开发进程;③通过 Git 实现高效的版本控制和团队协作;④使用 Postman 管理 API 的全生命周期;⑤借助 SonarQube 提高代码质量;⑥采用 Docker 实现环境一致性;⑦运用 Arthas 和 JProfiler 进行线上诊断和性能调优。 阅读建议:根据个人或团队的需求选择适合的工具,深入理解每种工具的功能特点,并在实际开发中不断实践和优化。
PyTorch计算机视觉实战notebook
08-20
资源下载链接为: https://pan.quark.cn/s/247e1722a433 PyTorch计算机视觉实战notebook(最新、最全版本!打开链接下载即可用!)
JAVA画图形学(论文+源代码)
最新发布
08-20
java
塔塔汽车股票历史数据 (1995–2025),汽车公司近三十年股票数据开盘价、最高价、最低价、收盘价、成交金额、成交股数等数据集
08-20
塔塔汽车有限公司(Tata Motors Limited) 交易所:印度国家证券交易所(NSE) 代码:TATAMOTORS 时间跨度:1995年1月 – 2025年8月(30年+历史数据) 二、字段结构与数据特征 字段 类型 描述 Date 日期 交易日(DD-MM-YYYY) Symbol 文本 股票代码(TATAMOTORS) Open 数值 (₹) 当日开盘价 High 数值 (₹) 当日最高价 Low 数值 (₹) 当日最低价 Close 数值 (₹) 当日收盘价(核心分析变量) PrevClose 数值 (₹) 前一日收盘价 Volume 数值 成交股数 Turnover 数值 (₹) 成交金额(总交易价值) VWAP 数值 (₹) 成交量加权平均价(机构交易参考) Trades 数值 交易笔数(流动性指标) Daily_Return_% 数值 (%) 日收益率 = (Close / PrevClose - 1) × 100 Cumulative_Return_% 数值 (%) 累计收益率(从起始日计算) MA_20 数值 (₹) 20日收盘均价(短期趋势) MA_50 数值 (₹) 50日收盘均价(中期趋势) 数据分布特点: 数值型字段占比 100%,适合统计建模 MA_20 和 MA_50 已计算完成,可直接用于技术分析 Daily_Return_% 支持波动率、风险分析 Turnover 与 Volume 结合可分析市场情绪
计算机视觉相关学习资料汇总整理
08-20
资源下载链接为: https://pan.quark.cn/s/04cf0a4c4578 计算机视觉相关学习资料汇总整理(最新、最全版本!打开链接下载即可用!)
深入了解Shiro框架:学习与实践心得
标题中提及的“shiro框架学习心得”,意味着我们将要深入探讨Apache Shiro这个开源安全框架的学习体会和体会。Shiro是一个功能强大、易用的安全框架,它提供了身份验证、授权、加密、会话管理等多种安全功能。本篇...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值