java安全框架-Shiro学习笔记(六)-url匹配方式+shiro标签使用+session会话机制

最新推荐文章于 2021-01-25 07:04:06 发布
原创 最新推荐文章于 2021-01-25 07:04:06 发布 · 4.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Java安全框架Shiro的URL匹配方式,包括如何配置和实现不同的URL权限控制。同时,文章还探讨了Shiro标签在Web应用中的具体使用,以及Shiro如何管理和实现会话(Session)机制,为Web应用的安全提供有效保障。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Url匹配方式:

匹配一个字符/admin? 可以匹配/admin1 /admin2 但是不能匹配/admin12 /admin
 *   匹配零个或者一个或者多个字符/admin* 可以匹配/admin /admin1 /admin12 但是不能匹配/admin/abc
** 匹配零个或者多个路径/admin/** 可以匹配/admin /admin/a /admin/a/b

基于第五节的shiro.ini配置,继续往下讲解。
[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized.jsp
perms.unauthorizedUrl=/unauthorized.jsp
[users]
java1234=123456,admin
jack=123,teacher
marry=234
json=345
[roles]
admin=user:*
teacher=student:*
[urls]
/login=anon
/admin=authc
/student=roles[teacher]
/teacher=perms["user:create"]

shiro标签使用
    准备工作,在jsp页面上添加:<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
编辑success.jsp页面
<body>
欢迎你!
<!-- name:角色名称 -->
<shiro:hasRole name="teacher">
	欢迎有teacher角色的用户。<shiro:principal/>
</shiro:hasRole>
<!-- name:权限名称 -->
<shiro:hasPermission name="user:create">
	欢迎有user:create权限的用户<shiro:principal/>
</shiro:hasPermission>
</body>
测试结果:
1、使用java1234,123456登录后,访问http://127.0.0.1:8080/ShiroWeb/success.jsp
测试结果如下:
结果分析:可以看到用户java1234,没有teache角色,所以显示不了欢迎有teacher角色的用户。
2、使用jack,123登录后,访问http://127.0.0.1:8080/ShiroWeb/success.jsp
测试结果如下:
测试分析:可以看到,没有user:create权限的用户jack,看不到“欢迎有user:create权限的用户”。

shiro自己实现的session会话机制:
修改LoginServlet.java文件
import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;

public class LoginServlet extends HttpServlet{
	private static final long serialVersionUID = 1L;
	@Override
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		// TODO Auto-generated method stub
		System.out.println("login doget");
		req.getRequestDispatcher("login.jsp").forward(req, resp);
	}
	@Override
	protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		System.out.println("login dopost");
		String userName=req.getParameter("userName");
		String password=req.getParameter("password");
		Subject subject=SecurityUtils.getSubject();
		UsernamePasswordToken token=new UsernamePasswordToken(userName, password);
		try{
			subject.login(token);
			Session session = subject.getSession();
			System.out.println("sessionId:"+session.getId());
			System.out.println("IP地址:"+session.getHost());
			System.out.println("session存活时间:"+session.getTimeout());
			//存储数据
			session.setAttribute("info", "session中存储的数据");
			resp.sendRedirect("success.jsp");
		}catch(Exception e){
			e.printStackTrace();
			req.setAttribute("errorInfo", "用户名或者密码错误");
			req.getRequestDispatcher("login.jsp").forward(req, resp);
		}
	}
}
测试结果:

控制台打印结果:


ShiroFilter工作原理、支持的过滤器、URL 匹配模式、URL 匹配顺序
Hern(宋兆恒)
08-30 1480
ShiroFilter工作原理 Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控URL,然后进行相应的控ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控器,其是安全控的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。 而要在Spring中使用Shiro的话,可在web...
shiro学习笔记四:shiro拦截器与url匹配规则
chunlulin2540的博客
08-17 1997
综合实例:基于shiro的按钮级别的权限管理系统 一、使用场景举例 注:shiro过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤 二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin...
shiro】关于shiro匹配URL的小用法
weixin_33724059的博客
05-11 191
今天涉及到这个地方 1.登录请求需要带着username和password一起过去,这样的话发出的请求就是:http://localhost:8080/wxSecond/welcome/login.htmls?username=123&amp;password=123 而shiro的配置中,还在担忧仅仅配置/welcome/login.htmls=anon能不能过去呢~ 结果证明: 这样的请求地...
Shiro安全框架)——Url匹配方式Shiro标签使用Session话机
qq_42386143的博客
08-12 326
1.Url匹配方式 匹配一个字符 /admin? 可以匹配 /admin1 ,/admin2 但是不能匹配 /admin12, /admin。 匹配零个或者一个或者多个字符 /admin* 可以匹配/admin ,/admin1 ,/admin12 但是不能匹配/admin/abc。 匹配零个或者多个路径 /admin/** 可以匹配/admin, /admin/a, /admin/a/b。 ...
Shiro集成Web时的url匹配规则
BADAO_LIUMANG_QIZHI的博客
05-12 537
场景 从实例入手学习Shiro与Web的整合:https://blog.youkuaiyun.com/BADAO_LIUMANG_QIZHI/article/details/90140802 实现 在上面实现Web整合的基础上配置文件shiro.ini中进行配置url匹配。 现有的shiro.ini代码: [main] authc.loginUrl=/login roles.unauthorize...
_006_Shiro_URL匹配模式
poiuyppp的博客
01-10 218
1    URL 匹配模式  • url 模式使用 Ant 风格模式 • Ant 路径通配符支持 ?、*、**,注意通配符匹配不 包括目录分隔符“/”: – ?:匹配一个字符,如 /admin? 将匹配 /admin1,但不 匹配 /admin 或 /admin/; – *:匹配零个或多个字符串,如 /admin 将匹配 /admin、 /admin123,但不匹配 /admin/1; – **...
learning-shiro:Shiro学习笔记
04-27
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本项目“learning-shiro”显然是一个关于 Apache Shiro 的学习资源集合,包含了作者...
apache-shiro 学习笔记
04-12
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它专注于应用程序的安全性,而不是网络安全性,因此它非常适合用于Web应用和桌面...
吴天雄--shiro个人总结笔记.doc
04-30
Apache Shiro 是一款Java安全框架,它提供了身份认证、授权、加密和会话管理功能,适用于Java SE和Java EE环境,甚至能在分布式集群环境中运行。Shiro因其简单易用而受到青睐,相比于依赖Spring的Spring Security,...
shiro学习笔记
04-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。Shiro 不仅可以用于Java Web 应用,也可以用于任何Java应用,如Java桌面应用或者...
Apache Shiro安全框架深入讲解+面试题+案例
07-02
本课程共24节,包含一节课程总结和面试题讲解。内容包括权限管理原理和表结构设计,基于文本域的身份验证和权限验证,基于JDBC域的身份验证和权限验证,盐和加密,集成web环境,shiro过滤器的使用session的管理,缓存和SSM的集成等。边讲边记,绝不照搬照念,是shiro学习的好资料。
shiro判断session失效_Shiro简介及与spring集成
weixin_35958783的博客
01-25 1187
1、权限基础两个基本的概念——安全实体:就是被权限系统保护的对象,比如工资数据。——权限:就是需要被校验的行为,比如查看、修改等。分配权限:——把对某些安全实体的某些权限分配给某些人员。——是向数据库里面添加数据、或是维护数据的过程权限验证(权限匹配):——判断某个人员或程序对某个安全实体是否拥有某个或某些权限。——从数据库中获取相应数据进行匹配的过程。权限的继承性:如果多个安全实体存在包含关系,...
Shiro教程(九)Shiro JSP标签使用
baidu_37366055的博客
03-02 3684
Shiro 提供了 JSP 的一套 JSTL 标签,用于做 JSP 页面做权限控的。可以控一些按钮和一些超链接,或者一些显示内容。 Freemarker Shiro标签讲解:https://blog.youkuaiyun.com/baidu_37366055/article/details/88072120 其实标签都是和Freemarker Shiro标签对应的,只不过是把...
shiroFilter配置详解
热门推荐
eriz程序之路
06-06 2万+
Shiros是我们开发中常用的用来实现权限控的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。Shiro  权限配置一般使用的有两种,一种是采用注解的方式,在我们的  Controller  方法上,或者Action 方法上写入一些权限判断注解,具体怎么使用,我不做介绍,我主要推荐使用配置的方式。这也是我们现在要讲到的配置方式加载系统基础权限控,采用对Url 进行控...
shiro学习笔记——shiro拦截器与url匹配规则
JEECG官方博客
03-18 7064
一、使用场景举例 注:shiro过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤 二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin1”、“/admin2”,但不匹配“/admin” (2)“*”:匹配零个或多个字符串,如“/admin*”,将匹配“ /admin”、“/admin123...
shiro设置session超时时间
dream@coding
03-23 2625
系统默认超时时间是180000毫秒(30分钟) long timeout = SecurityUtils.getSubject().getSession().getTimeout(); System.out.println(timeout+"毫秒"); 可以通过下面2中方式设置自定义的超时时间 一: 配置文件 <!-- 会话管理器 --> <bean id="sess...
shiro登录成功后如何获取他的登录名
MF_Mofy的博客
12-25 1万+
ShiroUser user = (ShiroUser) SecurityUtils.getSubject().getPrincipal();  String username = user.username;
快速入门Java Shiro安全框架
资源摘要信息:"Apache Shiro是一个功能强大且易于使用Java安全框架,提供认证、授权、加密和会话管理功能。本学习笔记提供了快速入门Shiro的基本知识点,虽然笔记内容不多,但覆盖了Shiro的核心概念和初步使用方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值