shiro的一点记录

最新推荐文章于 2022-11-06 08:00:00 发布
原创 最新推荐文章于 2022-11-06 08:00:00 发布 · 933 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #Filter #spring security

本文详细介绍了如何将Shiro框架集成到基于Spring的Web项目中,包括配置核心拦截器、编写自定义验证和授权方法、创建相关bean以及使用Shiro注解等关键步骤。通过简单的示例,展示了如何实现用户认证和授权的基本功能。

     由于项目的需要,最近开始研究shiro这个框架。shiro是一个安全框架,主要是验证和授权管理,和它类似的有spring security框架,当然,spring security框架更加强大,但是shiro更加灵活(一般小的东西都比较灵活)。

    对于shiro,网上的资料可谓是少之又少。基本上算是被开涛大魔王的一个《跟我学shiro》垄断,当然这个教程是很全面,楼主也是跟着这个教程一点点学的(没办法,没有别的资料啊,很多看不懂的地方没地方找啊,shiro官网的英文看不懂啊卧槽)。虽然过程很痛苦,还好最近对这个框架基本上了解了一些,所以现在敢记录记录。

    这里就不从头开始介绍什么ini配置了,一般都是集成在spring项目里面的,使用maven进行项目管理,这一章先简单的写点基础配置吧。代码是学习的时候写的,还有待修改的地方,不过学习足够了。

  1.     shiro实际上算是一个拦截器,当然得在web.xml中配置:
     
     <!-- 配置shiro的核心拦截器 -->
    <filter>  
        <filter-name>shiroFilter</filter-name>  
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>shiroFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>

  2.  对于一个验证和授权框架,我们当然得自己写自己的验证和授权方法。这两个方法在一个叫Realm的类中,要我们自己来写:
    @Component
public class UserRealm extends AuthorizingRealm {

    @Autowired
    private IUserService userService;
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String username= (String) principalCollection.getPrimaryPrincipal();
        User user=userService.findByUsername(username);
        //System.out.println("授权"+user);
        if (user!=null)
        {
            SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
            // System.out.println(userService.findRole(username));
            info.addRole(userService.findRole(username));
            info.addStringPermission(userService.findPermissions(username));
            // System.out.println(info);
            return info;
        }
        else  throw new IncorrectCredentialsException();
    }
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username= (String) authenticationToken.getPrincipal();
        String password=new String((char[])authenticationToken.getCredentials());
        User user=userService.findByUsername(username);
        System.out.println(user);
        if(user!=null)
        {
            if(password.equals(user.getPassword())){

                Session session= SecurityUtils.getSubject().getSession();
                session.setAttribute("username",user.getUsername());
                return new SimpleAuthenticationInfo(username,password,getName());
            }
            else throw new UnknownAccountException();

        }
        else
        {
            throw new UnknownAccountException();
        }


    }


  3. 大家都知道spring的尿性,你用它,就得在他的配置文件里创建相应的bean。shiro也不例外,要在他的配置文件里面创建跟web.xml中你配置的拦截器名字一样的bean。
    分几个小步吧:
    1)最重要的你要有一个shiroFilter的bean
     <!--配置shiroFilter-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!-- 登录路径-->
        <property name="loginUrl" value="/jsp/login.jsp"/>
        <!--登录成功路径-->
        <property name="successUrl" value="/jsp/loginSuccess.jsp"/>
        <!--授权失败路径-->
        <property name="unauthorizedUrl" value="/jsp/unauthorized.jsp"/>
        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
                <entry key="stateless" value-ref="statelessFilter"/>
                <!--<entry key="ssl" value-ref="sslFilter"/>-->
            </util:map>
        </property>
        <!--过滤链定义-->
        <property name="filterChainDefinitions">
            <value>
                /jsp/login.jsp=anon
                /jsp/loginSuccess.jsp=authc
                /jsp/logout.jsp=logout
                /jsp/success.jsp=user
                /static/**=anon
                /hello**=stateless
            </value>
        </property>
    </bean>

           2)它还得需要一个叫安全管理器的东东:
            

    <!--配置securityManager-->
     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="userRealm"/>
    </bean>
        3)安全管理器需要一个Realm的东东,就是刚才自己写的那个,配置上就可以了:
           
     <!--Realm实现-->
    <bean id="userRealm" class="com.pps.sps.realm.UserRealm" >
    </bean>
       4)shiro的生命周期管理器,人家都加了,我不加也不好看:
          
   <!-- Shiro生命周期处理器-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
  

      倘若需要使用注解,在springMVC的配置文件中引入这个配置文件,加上注解的配置就可以了:
   

    <!--使用shiro注解-->
    <import resource="spring-shiro.xml"/>
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true"></property>
    </bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"></property>
    </bean>

    嗯,这样一个最基本的shiro框架就集成到spring的web项目中去了,这里没有使用缓存,没有使用会话管理,没有用到SSL。。。反正就是啥高级都没有,就一个简单的框架,但是基本上就可以拦截你的信息了。OK,今天先写到这吧,回头再写。

      

        

Shiro安全框架
m0_59598908的博客
11-25 562
前言 在没有使用安全框架之前,大家做的登录,权限什么的都是五花八门,各种花里胡哨的代码,不同系统的做法很有可能千差万别。但是使用了一些现成的安全框架之后,大家做权限的方式都一致化了,这样的好处就是你的代码我看起来容易,我的代码你也好理解。 前言:重要单词 Authorization: Shiro中的授权 Security[安全]Manager[管理] Authenticator: 即认证 Authorizer: 授权 Realm: 领域,相当于datasourc...
Shiro框架详解
qq_39756007的博客
02-21 948
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。记住一点Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
Shiro会话管理
Reid的专栏
07-15 1万+
转自:http://www.zblog.us/java/shiro_session_manager.html shiro提供了一个完整的企业级会话管理解决方案,不再依赖web容。可以在web和非web环境下使用。 shiro的session特性 基于POJO/J2SE:shiro中session相关的类都是基于接口实现的简单的java对象(POJO),兼容所有jav
使用shiro框架完成认证、授权、加密、缓存、记住我和session会话周期管理
程序人生
06-09 1585
使用shiro框架完成认证、授权、加密、缓存、记住我和session会话周期管理 Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 使用shiro框架用户访问资源控制流程分析: shiro框架的详细架...
shiroFilter生命周期
祈祷之手
06-27 2280
基本说明 filter执行的是代理bean的id为shiroFilter相应的方法 接下来看看 shiroFilter 是什么 再来分析shiroFilter 这个实现了 javax.servlet.Filter 的生命周期 spring 配置信息 &amp;lt;bean id=&quot;shiroFilter&quot; class=&quot;org.apache.shiro.spring.web.Shir...
shiro原理
11-19 7389
  一、web.xml中过滤配置 1、过滤DelegatingFilterProxy DelegatingFilterProxy做的事情是代理Filter的方法,从application context里获得bean。spring bean实现了Filter接口,但默认情况下,是由spring来管理其生命周期的(不是由servlet容来管理)。如果设 置"targetFilterL...
shiro一点记录(三)
jeyson的博客
05-16 2011
shiro的无状态web集成。所谓无状态就是服务端无状态,就是不保存会话。一般的会话机制的web应用,都是session机制来保存用户状态。无状态的web应用就是每次请求都带上相应的用户名进行登录。     具体的实践就是:客户端传入秘钥和一个消息作为输入,他们声称相应消息摘要,秘钥是只有客户端和服务端知道的。访问的时候服务端对消息摘要进行验证。    具体的实例如下:   首先我们创建s
shiro一点记录(二)
jeyson的博客
05-09 1123
这次主要写shiro的exception定制,RememberMe和SSL。  Exception页面定制 不知道这个属不属于shiro自身的范畴,反正这里用到了,就写上吧,主要是这些Exception都是shiro里面的,所以就在这里写上吧。根据资料显示,要定制错误页面,需要在springMVC配置文件里面配置相应的控制异常处理。例如: 不知道咋回事,
一篇适合小白的Shiro教程
热门推荐
潮汐先生的专栏
12-02 6万+
Shiro的基本使用Shiro简介什么是ShiroShiro核心架构SubjectSecurityManagerAuthenticatorAuthorizerRealmSessionManagerSessionDAOCacheManagerCryptographyShiro中的认证什么是认证三个概念SubjectPrincipalcredential认证的实现Shiro认证的源码分析Shiro使用自定义Relam实现认证CustomerRealmCustomerRealmAuthenticatorTest测
shiro实战教程
想要成为大佬的彪彪
11-06 1344
shiro框架的使用
shiro权限
weixin_46423748的博客
05-14 1827
shiro权限框架 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 shiro架构 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授权相关的方法,外部程序通过su
shiro使用教程
Daniel
05-26 1033
Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。
shiro入门
weixin_66277385的博客
04-11 3566
Shiro简介 1、什么是Shiro Shiro是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。 2、Shiro核心架构 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前的操作用户,将用户的概念理解为当前操作的主体。外部程序通过subject进行认证授权,而subject是通.
Shiro详细使用
残影的博客
10-10 1823
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
含中间直流的三相电力电子变压PET仿真模型(Simulink仿真实现)
12-16
含中间直流的三相电力电子变压PET仿真模型(Simulink仿真实现)内容概要:本文档介绍了含中间直流环节的三相电力电子变压(PET)的Simulink仿真模型,重点在于构建和模拟PET系统的核心结构与工作原理。该仿真模型涵盖了PET的前级整流、中间直流环节以及后级逆变部分,能够实现电能的高效转换与隔离,适用于研究PET在智能电网、新能源接入等场景下的动态特性与控制策略。通过Simulink平台,用户可对系统进行稳态与暂态性能分析,验证控制算法的有效性。; 适合人群:电气工程、电力电子及相关专业的高校师生、科研人员以及从事电力系统仿真的工程技术人员。; 使用场景及目标:①用于教学演示电力电子变压的工作原理;②支撑科研项目中对PET控制策略(如电压、电流双闭环控制)的设计与验证;③为新型电力系统中电能变换装置的开发提供仿真基础。; 阅读建议:建议结合电力电子技术基础知识学习本仿真模型,重点关注各模块的参数设置与控制逻辑实现,建议动手搭建模型并进行仿真实验,以加深对PET系统运行机制的理解。
考虑柔性负荷的综合能源系统低碳经济优化调度【考虑碳交易机制】(Matlab代码实现)
最新发布
12-16
考虑柔性负荷的综合能源系统低碳经济优化调度【考虑碳交易机制】(Matlab代码实现)内容概要:本文围绕“考虑柔性负荷的综合能源系统低碳经济优化调度”展开,重点研究在碳交易机制下如何实现综合能源系统的低碳化与经济性协同优化。通过构建包含风电、光伏、储能、柔性负荷等多种能源形式的系统模型,结合碳交易成本与能源调度成本,提出优化调度策略,以降低碳排放并提升系统运行经济性。文中采用Matlab进行仿真代码实现,验证了所提模型在平衡能源供需、平抑可再生能源波动、引导柔性负荷参与调度等方面的有效性,为低碳能源系统的设计与运行提供了技术支撑。; 适合人群:具备一定电力系统、能源系统背景,熟悉Matlab编程,从事能源优化、低碳调度、综合能源系统等相关领域研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①研究碳交易机制对综合能源系统调度决策的影响;②实现柔性负荷在削峰填谷、促进可再生能源消纳中的作用;③掌握基于Matlab的能源系统建模与优化求解方法;④为实际综合能源项目提供低碳经济调度方案参考。; 阅读建议:建议读者结合Matlab代码深入理解模型构建与求解过程,重点关注目标函数设计、约束条件设置及碳交易成本的量化方式,可进一步扩展至多能互补、需求响应等场景进行二次开发与仿真验证。
大学怎样用AI工具3分钟生成技术成熟度报告?.docx
12-16
大学怎样用AI工具3分钟生成技术成熟度报告?
【云原生运维】基于Kubernetes的CI/CD全流程自动化:Spring Boot应用在容化环境下的持续集成与部署实践
12-16
内容概要:本文详细展示了在Kubernetes环境下实现CI/CD全流程的完整示例,涵盖从代码提交、自动化构建、测试、安全扫描到多环境部署的各个环节。技术栈包括GitLab CI、Docker、Helm、Kustomize、Trivy等工具,并以Spring Boot应用为例,提供了Dockerfile、Kubernetes资源配置、Helm Chart结构以及蓝绿部署、金丝雀发布等高级部署策略的具体实现。同时,文章还介绍了GitOps(ArgoCD)、HPA自动扩缩容、Prometheus监控告警等增强能力,并强调了安全性、可靠性、可观测性和成本优化的最佳实践。; 适合人群:具备一定Kubernetes、容化和DevOps基础知识,从事后端开发、运维或平台工程的技术人员,尤其是希望落地标准化CI/CD流程的团队成员; 使用场景及目标:①构建基于Kubernetes的企业级持续交付流水线;②实现安全可控的多环境自动化部署;③集成监控告警与弹性伸缩机制提升系统稳定性;④推动GitOps理念在团队中的实践落地; 阅读建议:建议结合实际Kubernetes集群环境,逐步复现文档中的各个步骤,重点关注CI/CD配置逻辑、部署策略差异及最佳实践部分,并将其适配到自身项目体系中进行持续优化。
【分布式系统】基于Redis的Session集中存储方案:实现Web服务高可用与横向扩展
12-16
内容概要:本文介绍了基于Redis实现分布式Session的解决方案,重点阐述了将Session集中存储于Redis集群的技术思路与优势。文中指出,传统的tomcat-redis-session-manager仅适用于Tomcat容层的HttpSession同步,存在应用层适配局限;相比之下,推荐使用Spring Session与Redis结合的方式,实现更灵活的应用层Session管理。通过将sessionId作为key、session数据作为value存储在Redis中,可在多台应用服务间共享Session,确保高可用性和横向扩展能力。同时,文章对比了多种保证Session一致性的架构方案,包括Session同步法、客户端存储法、反向代理Hash一致性以及后端统一存储法,并强调后端统一存储为最优选择。; 适合人群:具备Java Web开发基础,熟悉分布式架构、Redis及Session机制的1-3年经验后端研发人员; 使用场景及目标:①解决传统Web服务集群中Session不一致问题;②实现服务无状态化设计,提升系统可扩展性与容灾能力;③在微服务或负载均衡环境下构建统一的Session管理中心; 阅读建议:学习时应结合Spring Session实际集成案例,理解其与Redis的协作机制,并深入掌握不同Session共享方案的适用边界与设计权衡。
Apache Shiro基础教程:简单安全框架的学习指南
Shiro的授权模式允许开发人员在不同的粒度上控制访问,既可以是粗粒度的角色(例如,管理员、用户)控制,也可以是细粒度的权限控制(例如,文件编辑、数据库记录删除)。 Shiro还提供密码管理功能,允许应用程序以...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值