shiro

最新推荐文章于 2022-08-27 20:10:07 发布
最新推荐文章于 2022-08-27 20:10:07 发布
阅读量99 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/programmer188/article/details/104949701
版权
  1. 添加shiro依赖

  <dependency>

  <groupId>org.apache.shiro</groupId>

  <artifactId>shiro-spring</artifactId>

  <version>1.3.2</version>

  </dependency>

 

  1. Dao中方法定义

业务描述

在SysUserDao中添加数据访问方法

  1. 根据用户名获取用户对象
  2. 根据用户id查询用户权限标识

 

根据用户名查询用户对象的方法定义

  1. 返回值SysUser
  2. 方法名findUserByUserName
  3. 参数列表(String username)

 

根据用户名查询用户权限标识

  1. 返回值List<String>
  2. 方法名 findUserPermissions
  3. 参数列表 (Integer id)

 

代码实现:

/**

 * 根据用户名查找用户信息

 * @param username

 * @return

 */

SysUser findUserByUserName(String username);

 

/**

 * 根据用户id查找用户权限标识信息

 * 例如:sys:role:view,sys:role:add

 * @param username

 * @return

 */

SysUser findUserByUserName(Integer id);

 

      1. Mapper中元素定义

根据SysUserDao中定义的方法,添加元素定义

 

  <select id="findUserByUserName"

           resultType="sysUser">

      select *

      from sys_users  

      where username=#{username}

   </select>

 

 

<select id="findUserPermissions"

        parameterType="integer" 

        resultType="string">

select m.permission

from sys_users u join sys_user_roles ur join sys_role_menus rm  

join sys_menus m

on u.id=ur.user_id and ur.role_id = rm.role_id and rm.menu_id = m.id

where u.username = #{username}

</select>

 

 

      1. 构建Realm类

通过Realm实现基本认证及权限控制

 

public class ShiroUserRealm extends AuthorizingRealm{

@Resource

private SysUserDao sysUserDao;

@Override

protected AuthorizationInfo doGetAuthorizationInfo(

PrincipalCollection principals) {

System.out.println("==doGetAuthorizationInfo==");

String username= (String)principals.getPrimaryPrincipal();

List<String> permsList = new ArrayList<>();

permsList = sysUserDao.findUserPermissions(userId);

//用户权限列表

Set<String> permsSet = new HashSet<String>();

for(String perm : permsList){

if(perm!=null && !("".equals(perm))){

permsSet.add(perm);

}

}

System.out.println("permsSet="+permsSet);

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

info.setStringPermissions(permsSet);

return info;

}

@Override

protected AuthenticationInfo doGetAuthenticationInfo(

AuthenticationToken token) throws AuthenticationException {

        System.out.println("==doGetAuthenticationInfo==");

//1. 把 AuthenticationToken 转换为 UsernamePasswordToken

UsernamePasswordToken upToken = (UsernamePasswordToken) token;

//2. 从 UsernamePasswordToken 中来获取 username

String username = upToken.getUsername();

//判断用户名是否存在,若存在,返回user对象

SysUser user =sysUserDao.findUserByUserName(username);

//盐值.

ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt());

//自动完成密码比对   - 密码的比对:

//通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!

SimpleAuthenticationInfo info =

new SimpleAuthenticationInfo(

username, user.getPassword(),credentialsSalt,getName());

return info;

}

}

      1. Service中方法定义及实现

业务描述

  1. 在SysUserService接口及实现类中添加登录方法
  2. 接收用户名及密码参数,并对其进行有效验证
  3. 执行登录认证

 

代码实现

 

@Override

public void login(String username, String password) {

Subject subject = SecurityUtils.getSubject();

if(subject.isAuthenticated())return;

// 把用户名和密码封装为 UsernamePasswordToken 对象

        UsernamePasswordToken token =

        new UsernamePasswordToken(username, password);

        try{//登录认证 - 调用userRealm

         subject.login(token);

        }catch (IncorrectCredentialsException ice) {

        throw new ServiceException("密码错误!");

        } catch(AuthenticationException ae){

        ae.printStackTrace();

        throw new ServiceException("认证失败");

        }

}

 

      1. Controller及方法定义

定义SysLoginController并添加业务处理方法

 

 

@Controller

public class SysLoginController {

@Autowired

private SysShiroService loginService;

@RequestMapping("/loginUI")

public String login(){

return "login";

}

/**登录操作*/

@RequestMapping("/login")

@ResponseBody

public JsonResult login(String username,String password){

System.out.println(username+"/"+password);

    loginService.login(username, password);

return new JsonResult("login ok");

}

}

 

 

      1. Shiro 注解应用

Shiro中通过使用@RequiresPermissions注解实现对某些方法的标识权限标识,例如,在SysUserServiceImpl类中的validById方法上添加权限检测注解。

 

@RequiresPermissions("sys:user:valid")

@Override

public int validById(Integer id, Integer valid) {

//1.合法性验证

if(id==null||id<1)

throw new ServiceException("数据不合法,id="+id);

if(valid==null)

throw new ServiceException("状态值不能为空");

if(valid!=0&&valid!=1)

throw new ServiceException("状态值不正确,valid="+valid);

//2.执行更新操作

int rows;

try{

    rows=sysUserDao.validById(id, valid);

}catch(Throwable e){

e.printStackTrace();

    //报警

throw new ServiceException("系统维护中");

}

//3.验证结果并处理

if(rows==0)

throw new ServiceException("数据可能已经不存在");

return rows;

}

 

在此方法被访问时会启动权限检查操作。

 

  1. 修改Web.xml

 

配置shiro中的核心filter,负责拦截客户端所有请求。

<!-- spring整合shiro安全框架 -->

<filter>

        <filter-name>DelegatingFilterProxy</filter-name>

        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

        <!-- 初始化参数 -->

        <init-param>

            <param-name>targetBeanName</param-name>

            <param-value>shiroFilter</param-value>

        </init-param>

</filter>

<filter-mapping>

      <filter-name>DelegatingFilterProxy</filter-name>

      <url-pattern>/*</url-pattern>

</filter-mapping>

 

说明:建议配置在所有servlet的配置上面

  1. 添加spring-shiro配置文件

配置realm对象

 

<bean id="userRealm" class="com.jt.sys.service.realm.ShiroUserRealm">

     <!-- 配置凭证算法匹配器 -->

     <property name="credentialsMatcher">

     <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

     <property name="hashAlgorithmName" value="MD5"/>

     <!-- <property name="hashIterations" value="1024"/> -->

     </bean>

     </property>

</bean>

 

配置shiro安全管理器

 

<bean id="securityManager" 

           class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

         <property name="realm" ref="userRealm"></property>

</bean>

 

 

配置shiro过滤器

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

         <!-- shiro的核心安全接口 -->

         <property name="securityManager" ref="securityManager"/>

          <!-- 要求登录时的连接 -->

        <property name="loginUrl" value="/loginUI.do"></property>

         <!-- 登录成功后要跳转的连接(此处已经在登录中处理了) -->

         <!-- <property name="successUrl" value="/index.jsp"></property> -->

         <!-- 访问未对其授权的资源时,要跳转的连接

         <property name="unauthorizedUrl" value="/default.html"></property>-->

         <!-- shiro连接约束配置 -->

         <property name="filterChainDefinitions">

             <value>

                 <!-- 对静态资源设置允许匿名访问 -->

                 /bower_components/** = anon

                 /build/** = anon

                 /dist/** = anon

                 /plugins/** = anon

                 /doLogin.do = anon

                 <!-- 退出 -->

                 /logout.do = logout  <!-- 会调用Subject的logout方法,此方法会将session清空 -->

                 <!-- 剩余其他路径,必须认证通过才可以访问 -->

                 /** = authc

             </value>

         </property>

     </bean>

   

 

Shiro生命周期处理器

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

 

启用shiro注解权限检查

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>

<bean  class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

    <property name="securityManager" ref="securityManager"/>

</bean>

 

 

​​​​​​​Shiro 缓存配置

Step01: 添加ehcache 依赖

 

  <dependency>

    <groupId>org.apache.shiro</groupId>

    <artifactId>shiro-ehcache</artifactId>

   <version>1.3.2</version>

  </dependency>

 

 

Step02: 添加ehcache 配置文件

 

在项目的src/main/resources目录下添加ehcache.xml

 

Step03:  Spring 中配置ehcache 配置文件

 

 

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 

</bean>

 

将cacheManager添加到securityManager中

     <bean id="securityManager" 

           class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

         <property name="cacheManager" ref="cacheManager"/>

         <property name="realm" ref="userRealm"></property>

     </bean>

清北_
关注
shiro 简介
Zllvincent的博客
09-18 8653
一.What is Apache Shiro? shiro 可以在command line、mobile application、web 中使用的安全框架,其中有4个核心组件。 Authentication: 认证(校验用户身份,常叫做登录) Authorization:授权(可简单理解为授权登录用户某种操作的能力) Cryptography: 加密 Session Management:会话管...
Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
Shiro
书启鸿蒙知秋枫
08-13 2014
一、权限控制 1、什么是权限管理 2、用户的认证 3、用户的授权 4、权限控制的实现方案 5、权限控制的数据库设计 二、Shiro基本概念 Shiro官网:http://shiro.apache.org/ 中文帮助文档:http://greycode.github.io/shiro/doc/reference.html 2.1 Shiro 介绍 Apache Shiro (发音为“shee-roh”,日语......
一篇适合小白的Shiro教程
热门推荐
潮汐先生的专栏
12-02 6万+
Shiro的基本使用Shiro简介什么是ShiroShiro核心架构SubjectSecurityManagerAuthenticatorAuthorizerRealmSessionManagerSessionDAOCacheManagerCryptographyShiro中的认证什么是认证三个概念SubjectPrincipalcredential认证的实现Shiro认证的源码分析Shiro使用自定义Relam实现认证CustomerRealmCustomerRealmAuthenticatorTest测
shiro原理
tiantian929的博客
02-19 4091
shiro原理
Shiro介绍
PinkCoder
02-12 1675
Shiro介绍
shiro(详解)
weixin_56404155的博客
06-26 5430
这里写自定义目录标题什么是shiro什么是权限管理什么是身份认证什么是授权SubjectSecurityManagerAuthenticatorAuthorizerRealmSessionManagerSessionDAOCacheManagerCryptography`面试题`认证的开发1. 创建项目并引入依赖2. 引入shiro配置文件并加入如下配置自定义Realm自定义realm使用自定义Realm认证使用MD5和Salt1.自定义md5+salt的realm2.使用md5 + salt 认证shir
Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro
MinggeQingchun的博客
08-27 3万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
Shiro之注解篇
qq_43654581的博客
10-15 3176
1.开启注解功能,比较使用注解 2.解决注解式,登录页和无权访问页面不跳转问题 3.拦截器跟注解同时使用的执行顺序
spring集成shiro详解
u010752885的博客
06-24 7337
shiro说明 springboot集成shiro 前后端分离项目集成shiro shiro集成其他认证方式
shiro(shiro1.3.2)
03-21
Apache Shiro是一个强大且易用的Java安全框架,主要用于处理认证、授权、加密以及会话管理等核心安全性问题。在给定的压缩包"shiro1.3.2"中,包含了Shiro的一个核心组件库"shiro-all-1.3.2.jar"以及两个日志管理库...
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
C++面试干货---带你梳理常考的面试题(二).docx
06-16
C++面试干货---带你梳理常考的面试题(二).docx
乐谱符号转码:CTF中MIDI事件的时值到ASCII转换.pdf
06-16
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB 隐写,在虚拟战场中提升网络安全意识与技术能力。记住:所有技术仅用于学习与竞赛!
上市公司-全要素生产率1999-2024年.xlsx
最新发布
06-16
数据名称:上市公司全要素生产率+dofile5种测算 数据范围:上市公司 时间范围:1999-2024年 有效样本:59722条 数据来源:上市公司年报 数据整理:内含原始数据、测算结果和dofile 更新时间:2025年5月 更多说明:含OLS、FE、LP、OP、GMM 5种TFP测算方法
PP-OCRv5-mobile-cls-onnx.onnx
06-16
PP-OCRv5_mobile_cls_onnx.onnx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值