shiro的一点记录

最新推荐文章于 2022-11-06 08:00:00 发布
原创 最新推荐文章于 2022-11-06 08:00:00 发布 · 933 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #Filter #spring security

本文详细介绍了如何将Shiro框架集成到基于Spring的Web项目中,包括配置核心拦截器、编写自定义验证和授权方法、创建相关bean以及使用Shiro注解等关键步骤。通过简单的示例,展示了如何实现用户认证和授权的基本功能。

     由于项目的需要,最近开始研究shiro这个框架。shiro是一个安全框架,主要是验证和授权管理,和它类似的有spring security框架,当然,spring security框架更加强大,但是shiro更加灵活(一般小的东西都比较灵活)。

    对于shiro,网上的资料可谓是少之又少。基本上算是被开涛大魔王的一个《跟我学shiro》垄断,当然这个教程是很全面,楼主也是跟着这个教程一点点学的(没办法,没有别的资料啊,很多看不懂的地方没地方找啊,shiro官网的英文看不懂啊卧槽)。虽然过程很痛苦,还好最近对这个框架基本上了解了一些,所以现在敢记录记录。

    这里就不从头开始介绍什么ini配置了,一般都是集成在spring项目里面的,使用maven进行项目管理,这一章先简单的写点基础配置吧。代码是学习的时候写的,还有待修改的地方,不过学习足够了。

  1.     shiro实际上算是一个拦截器,当然得在web.xml中配置:
     
     <!-- 配置shiro的核心拦截器 -->
    <filter>  
        <filter-name>shiroFilter</filter-name>  
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>shiroFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>

  2.  对于一个验证和授权框架,我们当然得自己写自己的验证和授权方法。这两个方法在一个叫Realm的类中,要我们自己来写:
    @Component
public class UserRealm extends AuthorizingRealm {

    @Autowired
    private IUserService userService;
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String username= (String) principalCollection.getPrimaryPrincipal();
        User user=userService.findByUsername(username);
        //System.out.println("授权"+user);
        if (user!=null)
        {
            SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
            // System.out.println(userService.findRole(username));
            info.addRole(userService.findRole(username));
            info.addStringPermission(userService.findPermissions(username));
            // System.out.println(info);
            return info;
        }
        else  throw new IncorrectCredentialsException();
    }
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username= (String) authenticationToken.getPrincipal();
        String password=new String((char[])authenticationToken.getCredentials());
        User user=userService.findByUsername(username);
        System.out.println(user);
        if(user!=null)
        {
            if(password.equals(user.getPassword())){

                Session session= SecurityUtils.getSubject().getSession();
                session.setAttribute("username",user.getUsername());
                return new SimpleAuthenticationInfo(username,password,getName());
            }
            else throw new UnknownAccountException();

        }
        else
        {
            throw new UnknownAccountException();
        }


    }


  3. 大家都知道spring的尿性,你用它,就得在他的配置文件里创建相应的bean。shiro也不例外,要在他的配置文件里面创建跟web.xml中你配置的拦截器名字一样的bean。
    分几个小步吧:
    1)最重要的你要有一个shiroFilter的bean
     <!--配置shiroFilter-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!-- 登录路径-->
        <property name="loginUrl" value="/jsp/login.jsp"/>
        <!--登录成功路径-->
        <property name="successUrl" value="/jsp/loginSuccess.jsp"/>
        <!--授权失败路径-->
        <property name="unauthorizedUrl" value="/jsp/unauthorized.jsp"/>
        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
                <entry key="stateless" value-ref="statelessFilter"/>
                <!--<entry key="ssl" value-ref="sslFilter"/>-->
            </util:map>
        </property>
        <!--过滤链定义-->
        <property name="filterChainDefinitions">
            <value>
                /jsp/login.jsp=anon
                /jsp/loginSuccess.jsp=authc
                /jsp/logout.jsp=logout
                /jsp/success.jsp=user
                /static/**=anon
                /hello**=stateless
            </value>
        </property>
    </bean>

           2)它还得需要一个叫安全管理器的东东:
            

    <!--配置securityManager-->
     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="userRealm"/>
    </bean>
        3)安全管理器需要一个Realm的东东,就是刚才自己写的那个,配置上就可以了:
           
     <!--Realm实现-->
    <bean id="userRealm" class="com.pps.sps.realm.UserRealm" >
    </bean>
       4)shiro的生命周期管理器,人家都加了,我不加也不好看:
          
   <!-- Shiro生命周期处理器-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
  

      倘若需要使用注解,在springMVC的配置文件中引入这个配置文件,加上注解的配置就可以了:
   

    <!--使用shiro注解-->
    <import resource="spring-shiro.xml"/>
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true"></property>
    </bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"></property>
    </bean>

    嗯,这样一个最基本的shiro框架就集成到spring的web项目中去了,这里没有使用缓存,没有使用会话管理,没有用到SSL。。。反正就是啥高级都没有,就一个简单的框架,但是基本上就可以拦截你的信息了。OK,今天先写到这吧,回头再写。

      

        

Shiro安全框架
m0_59598908的博客
11-25 562
前言 在没有使用安全框架之前,大家做的登录,权限什么的都是五花八门,各种花里胡哨的代码,不同系统的做法很有可能千差万别。但是使用了一些现成的安全框架之后,大家做权限的方式都一致化了,这样的好处就是你的代码我看起来容易,我的代码你也好理解。 前言:重要单词 Authorization: Shiro中的授权 Security[安全]Manager[管理] Authenticator: 即认证 Authorizer: 授权 Realm: 领域,相当于datasourc...
Shiro框架详解
qq_39756007的博客
02-21 948
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。记住一点Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
Shiro会话管理
Reid的专栏
07-15 1万+
转自:http://www.zblog.us/java/shiro_session_manager.html shiro提供了一个完整的企业级会话管理解决方案,不再依赖web容。可以在web和非web环境下使用。 shiro的session特性 基于POJO/J2SE:shiro中session相关的类都是基于接口实现的简单的java对象(POJO),兼容所有jav
使用shiro框架完成认证、授权、加密、缓存、记住我和session会话周期管理
程序人生
06-09 1585
使用shiro框架完成认证、授权、加密、缓存、记住我和session会话周期管理 Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 使用shiro框架用户访问资源控制流程分析: shiro框架的详细架...
shiroFilter生命周期
祈祷之手
06-27 2280
基本说明 filter执行的是代理bean的id为shiroFilter相应的方法 接下来看看 shiroFilter 是什么 再来分析shiroFilter 这个实现了 javax.servlet.Filter 的生命周期 spring 配置信息 &amp;lt;bean id=&quot;shiroFilter&quot; class=&quot;org.apache.shiro.spring.web.Shir...
shiro原理
11-19 7392
  一、web.xml中过滤配置 1、过滤DelegatingFilterProxy DelegatingFilterProxy做的事情是代理Filter的方法,从application context里获得bean。spring bean实现了Filter接口,但默认情况下,是由spring来管理其生命周期的(不是由servlet容来管理)。如果设 置"targetFilterL...
shiro一点记录(三)
jeyson的博客
05-16 2012
shiro的无状态web集成。所谓无状态就是服务端无状态,就是不保存会话。一般的会话机制的web应用,都是session机制来保存用户状态。无状态的web应用就是每次请求都带上相应的用户名进行登录。     具体的实践就是:客户端传入秘钥和一个消息作为输入,他们声称相应消息摘要,秘钥是只有客户端和服务端知道的。访问的时候服务端对消息摘要进行验证。    具体的实例如下:   首先我们创建s
shiro一点记录(二)
jeyson的博客
05-09 1123
这次主要写shiro的exception定制,RememberMe和SSL。  Exception页面定制 不知道这个属不属于shiro自身的范畴,反正这里用到了,就写上吧,主要是这些Exception都是shiro里面的,所以就在这里写上吧。根据资料显示,要定制错误页面,需要在springMVC配置文件里面配置相应的控制异常处理。例如: 不知道咋回事,
一篇适合小白的Shiro教程
热门推荐
潮汐先生的专栏
12-02 6万+
Shiro的基本使用Shiro简介什么是ShiroShiro核心架构SubjectSecurityManagerAuthenticatorAuthorizerRealmSessionManagerSessionDAOCacheManagerCryptographyShiro中的认证什么是认证三个概念SubjectPrincipalcredential认证的实现Shiro认证的源码分析Shiro使用自定义Relam实现认证CustomerRealmCustomerRealmAuthenticatorTest测
shiro实战教程
想要成为大佬的彪彪
11-06 1344
shiro框架的使用
shiro权限
weixin_46423748的博客
05-14 1828
shiro权限框架 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 shiro架构 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授权相关的方法,外部程序通过su
shiro使用教程
Daniel
05-26 1034
Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。
shiro入门
weixin_66277385的博客
04-11 3566
Shiro简介 1、什么是Shiro Shiro是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。 2、Shiro核心架构 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前的操作用户,将用户的概念理解为当前操作的主体。外部程序通过subject进行认证授权,而subject是通.
Shiro详细使用
残影的博客
10-10 1823
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
Feigong,针对各种情况自由变化的mysql注入脚本,In view of the different things freely change the mysql injection scrip
最新发布
12-17
下载前可以先看下教程 https://pan.quark.cn/s/90f2470d331b Feigong --非攻 rm... 最近有了新的体验...Feigong 2.0loading....
【空气质量预测】北京 36 站预处理数据 落地即用无套路!.zip
12-17
【空气质量预测】北京 36 站预处理数据 落地即用无套路!.zip
理光 MP7503 MP6503 MP9003 维修手册p
12-17
理光 MP7503 MP6503 MP9003 维修手册p
【电子测试设备】基于USB-TMC协议的SPD3000系列直流稳压电源固件升级方法:通过EasyPower软件实现.ugf文件更新操作指导
12-17
内容概要:本文介绍了鼎阳直流稳压电源SPD3000系列的固件升级方法,通过PC端管理软件EasyPower和USBTMC连接实现。升级过程包括:安装EasyPower软件并建立与电源设备的USB连接,在软件界面中选择“版本”菜单下的“升级”选项,进入固件升级对话框后选择扩展名为.ugf的固件文件,确认后点击“升级”按钮开始更新。升级过程中需等待进度条完成,结束后重启设备即可正常使用。文中配有操作界面图示,详细展示了各步骤的操作位置和流程。; 适合人群:电子工程师、技术支持人员及具备基本仪操作经验的实验室技术人员;适用于需要维护或更新SPD3000系列电源设备固件的专业用户。; 使用场景及目标:①当设备功能异常或需要新增功能时进行固件升级;②配合最新版EasyPower软件确保设备兼容性和稳定性;③提升设备性能或修复已知问题。; 阅读建议:在执行升级前请确保正确安装驱动和软件,并使用官方提供的.ugf格式固件文件,避免升级失败。操作过程中保持设备供电稳定,切勿中断升级流程,以防设备损坏。
米游社每日米游币自动化脚本
12-17
源码地址: https://pan.quark.cn/s/d1f41682e390 miyoubiAuto 米游社每日米游币自动化Python脚本(务必使用Python3) 8更新:更换cookie的获取地址 注意:禁止在B站、贴吧、或各大论坛大肆传播! 作者已退游,项目不维护了。 如果有能力的可以pr修复。 小引一波 推荐关注几个非常可爱有趣的女孩! 欢迎B站搜索: @嘉然今天吃什么 @向晚大魔王 @乃琳Queen @贝拉kira 第三方库 食用方法 下载源码 在Global.py中设置米游社Cookie 运行myb.py 本地第一次运行时会自动生产一个文件储存cookie,请勿删除 当前仅支持单个账号! 获取Cookie方法 浏览无痕模式打开 http://user.mihoyo.com/ ,登录账号 按,打开,找到并点击 按刷新页面,按下图复制 Cookie: How to get mys cookie 当触发时,可尝试按关闭,然后再次刷新页面,最后复制 Cookie。 也可以使用另一种方法: 复制代码 浏览无痕模式打开 http://user.mihoyo.com/ ,登录账号 按,打开,找到并点击 控制台粘贴代码并运行,获得类似的输出信息 部分即为所需复制的 Cookie,点击确定复制 部署方法--腾讯云函数版(推荐! ) 下载项目源码和压缩包 进入项目文件夹打开命令行执行以下命令 xxxxxxx为通过上面方式或取得米游社cookie 一定要用双引号包裹!! 例如: png 复制返回内容(包括括号) 例如: QQ截图20210505031552.png 登录腾讯云函数官网 选择函数服务-新建-自定义创建 函数名称随意-地区随意-运行环境Python3....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值