Shiro安全框架

最新推荐文章于 2025-04-10 09:39:38 发布
最新推荐文章于 2025-04-10 09:39:38 发布
阅读量147 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43660093/article/details/100098110
版权

文章目录

Shiro

搭建

  • pom.xml: 导入库

    <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <!--缓存包-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.4.0</version>
        </dependency>
        <!--核心包-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.0</version>
        </dependency>

  • web.xml: 过滤器

     <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

  • xml: bean设置

    1. anno,任何人都可以访问;
    2. authc:必须是登录之后才能进行访问,不包括remember me;
    3. user:登录用户才可以访问,包含remember me;
    4. perms:指定过滤规则,这个一般是扩展使用,不会使用原生的
    
	<?xml version="1.0" encoding="UTF-8"?>
<beans  xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans  http://www.springframework.org/schema/beans/spring-beans.xsd">
    <!-- 授权 认证 -->
    <bean id="jdbcRealm"  class="controller.UserRealm"></bean>
    <!-- Shiro安全管理器 -->
    <bean id="securityManager"  class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm"  ref="jdbcRealm"></property>
    </bean>
    	//id必须与过滤器名称一致
    <bean id="shiroFilter"  class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager"  ref="securityManager"></property>
        <property name="loginUrl"  value="/login.html"></property>
        <property name="successUrl"  value="/index"></property>
        <!-- 用户访问未对其授权的资源时,所显示的连接 -->
        <property name="unauthorizedUrl"  value="/unauthorizedUrl"></property>
       
        <property name="filterChainDefinitions">
            <value>
                /inlogin=anon
                /test/**=roles[role1]
                /index=authc
            </value>
        </property>
    </bean>
</beans>

  • Realm实现

    		package controller;

import java.util.HashSet;
import java.util.Set;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
@Component
public class UserRealm extends AuthorizingRealm
{
    protected Logger logger =  LoggerFactory.getLogger(this.getClass());  
    @Override
    protected AuthorizationInfo  doGetAuthorizationInfo(PrincipalCollection arg0)
    {
        UsernamePasswordToken token =  (UsernamePasswordToken)  SecurityUtils.getSubject().getPrincipal();
        String username = token.getUsername();
        logger.info(username + "授权...");
        // 从数据库中查找该用户的角色和权限
        SimpleAuthorizationInfo sainfo = new  SimpleAuthorizationInfo();
        Set<String> roles = new  HashSet<String>();
        roles.add("admin");
        //roles.add("role1");
        Set<String> permissions = new  HashSet<String>();
        permissions.add("add");
        permissions.add("delete");
        sainfo.setRoles(roles);
         sainfo.setStringPermissions(permissions);
        return sainfo;
    }
    @Override
    protected AuthenticationInfo  doGetAuthenticationInfo(AuthenticationToken  arg0)
        throws AuthenticationException
    {
    UsernamePasswordToken token =  (UsernamePasswordToken) arg0;
        String username = token.getUsername();
        // 根据username从数据库查找用户,得到密码
        // 假设找到的用户如下
        // User user =  userService.findByUsername(username)
//        if (null == user)
//        {
//            throw new  AccountException("username is not exist");
//        }
//        else if  (!user.getPassword().equals(new  String(token.getPassword())))
//        {
//            throw new  AccountException("password is not right");
//        }
//        else
//        {
            // 登陆成功
            logger.info("{} login success.",  username);
//        }
        return new  SimpleAuthenticationInfo(arg0,  "21232f297a57a5a743894a0e4a801fc3", username);
    }
}

登录验证

  • 验证
	Subject sub = SecurityUtils.getSubject();
	UsernamePasswordToken token = new UsernamePasswordToken(username,password);
	 sub.login(token);
  • 退出登录sub.logout();
  • 获取session:sub.getsession();

权限检验

  • xml属性

    	 <property name="filterChainDefinitions">
	            <value>
	                /callback=anon
	                /=authc
	                /**=anon
	            </value>
	        </property>

  • annotation

    1. @RequiresAuthentication
      验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。

    2. @RequiresUser
      验证用户是否被记忆,user有两种含义

      • 一种是成功登录的(subject.isAuthenticated() 结果为true);
      • 另外一种是被记忆的(subject.isRemembered()结果为true)。

    3. @RequiresGuest
      验证是否是一个guest的请求,与@RequiresUser完全相反。
      换言之,RequiresUser == !RequiresGuest。
      此时subject.getPrincipal() 结果为null.

    4. @RequiresRoles

      	@RequiresRoles("aRoleName");
	 						 void someMethod();

      如果subject中有aRoleName角色才可以访问方法someMethod。如果没有这个权限则会抛出异常AuthorizationException。

    5. @RequiresPermissions

      	@RequiresPermissions({"file:read", "write:aFile.txt"} )   void
		someMethod();

      要求subject中必须同时含有file:read和write:aFile.txt的权限才能执行方法someMethod()

  • tag标签

    1. <shiro:guest>
	游客访问 <a href = "login.jsp"></a> 
</shiro:guest>

    2. user 标签:用户已经通过认证\记住我 登录后显示响应的内容

      <shiro:user>
	欢迎[<shiro:principal/>];
	登录 <a href = "logout">;
	退出</a> 
</shiro:user>

    3. authenticated标签:用户身份验证通过,即 Subjec.login 登录成功 不是记住我登录的

       <shiro:authenticted>
	用户[<shiro:principal/>] 
	已身份验证通过 
</shiro:authenticted>

    4. notAuthenticated标签:用户未进行身份验证,即没有调用Subject.login进行登录,包括"记住我"也属于未进行身份验证

      <shiro:notAuthenticated>
	未身份验证(包括"记住我")
</shiro:notAuthenticated>

    5. principal 标签:显示用户身份信息,默认调用

      Subjec.getPrincipal()获取,即Primary Principal
<shiro:principal property = "username"/>

    6. hasRole标签:如果当前Subject有角色将显示body体内的内容

      <shiro:hashRole name = "admin">
	用户[<shiro:principal/>] 拥有角色admin
</shiro:hashRole>

    7. hasAnyRoles标签:如果Subject有任意一个角色(或的关系)将显示body体里的内容

      <shiro:hasAnyRoles name = "admin,user">
	用户[<shiro:pricipal/>]拥有角色admin 或者 user
</shiro:hasAnyRoles>

    8. lacksRole:如果当前 Subjec没有角色将显示body体内的内容

      <shiro:lacksRole name = "admin">
	用户[<shiro:pricipal/>]没有角色admin 
</shiro:lacksRole>

    9. hashPermission:如果当前Subject有权限将显示body体内容

      <shiro:hashPermission name ="user:create">
	用户[<shiro:pricipal/>] 拥有权限user:create 
</shiro:hashPermission>

    10. lacksPermission:如果当前Subject没有权限将显示body体内容

      <shiro:lacksPermission name = "org:create">
	用户[<shiro:pricipal/>] 没有权限org:create 
</shiro:lacksPermission>

  • 指定权限

    	Subject currentUser = SecurityUtils.getSubject();
	    if (currentUser.hasRole("admin")) {
	        logger.info("-----------啊啊啊啊--admin---------");
	    }
	    if (currentUser.hasRole("user")) {
	        logger.info("-----------user---------");
	    }

注解支持

<!-- 开启shiro的注解支持 -->
	<bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
		<!-- 必须改为true,即使用cglib方式为Action创建代理对象。默认值为false,使用JDK创建代理对象,会造成问题 -->
		<property name="proxyTargetClass" value="true"></property>
	</bean>
	
	<!-- 使用shiro框架提供的切面类,用于创建代理对象 -->
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"></bean>

无权限时转接

 <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
		<property name="exceptionMappings">
			<props>
				<prop key="org.apache.shiro.authz.UnauthorizedException">/mg/unauthorized</prop>
			</props>
		</property>
	</bean>
是海洋啊
关注
k8s 部署 springboot 项目内存持续增长问题分析解决
山河已无恙
07-07 1940
工作中遇到,请教公司前辈解决,简单整理记忆博文内容涉及一次 GC 问题的分析以及解决理解不足小伙伴帮忙指正 😃,生活加油99%的焦虑都来自于虚度时间和没有好好做事,所以唯一的解决办法就是行动起来,认真做完事情,战胜焦虑,战胜那些心里空荡荡的时刻,而不是选择逃避。不要站在原地想象困难,行动永远是改变现状的最佳方式。
cAdvisor内存占用不断飙升导致其在k8s内不断crash的排查手记
oADong12的博客
03-27 3157
背景 我们的额监控方案为:KubernetesK8S)+cAdvisor+Prometheus+Grafana。 然后,用cAdivor监控容器信息,其实,cAdivor其实到现在的主流K8S版本中,Kubelet进程已经将其内置了,但是我们没有这么用,因为没有必要因为让Prometheus定期去Kubelet上采集容器信息,平白增添对Kubelet的压力。相反,我觉得,还是应该还是应该单独部署...
容器内存使用率(container_memory_working_set_bytes)问题排查
回归心灵的专栏
05-07 5824
容器内存使用率升问题排查
kubelet CPU 使用率过问题排查
zing的博客
11-29 6262
kubelet CPU 使用率过问题排查 问题背景 客户的k8s集群环境,发现所有的worker节点的kubelet进程的CPU使用率长时间占用,通过pidstat可以看到CPU使用率达100%。针对此问题对kubelet进程的异常进行问题排查。 集群环境 软件 版本 kubernetes v1.18.8 docker 18.09.9 rancher v2.4.8-ent CentOS 7.6 kernel 4.4.227-1.el7.elrepo.x86_64
真实企业级K8S故障案例:ETCD集群断电恢复与数据保障实践
最新发布
1dea_Cao的博客
04-10 1161
备份策略:必须遵循3-2-1原则(3副本、2种介质、1个离线)3-2-1原则的落地实现# 多介质备份示例(本地磁盘+对象存储+磁带)3副本:本地磁盘(SSD)、AWS S3 Glacier、LTO-8磁带2种介质:电子介质(云存储)+物理介质(磁带)1个离线:每周人工更换磁带并转移至防爆保险柜备份生命周期管理# 自动清理旧备份(保留策略)热备份保留7天冷备份保留30天归档备份保留5年断电防护:UPS容量需按实际负载的150%配置数据验证:每次备份后必须执行监控覆盖。
nginx+php-fpm整体上线k8s集群之后虚拟内存不断上涨原因排查
qq_41342577的博客
02-19 3116
为了可以更好的管理我们的lnmp集群,打算将原有的php环境整体打包成一个镜像然后上到k8s容器,这样可以不仅使用到k8s的快速扩缩容和管理的好处,而且让机器资源能更好被利用,减少机器数量。
为什么容器内存占用居高不下,频频 OOM
EDDYCJY的博客
06-07 2595
最近我在回顾思考(写 PPT),整理了现状,发现了这个问题存在多时,经过一番波折,最终确定了元凶和相对可行的解决方案,因此分享一下排查历程,希望能够给大家一些借鉴的经验。时间线:在上 K...
K8S中的某个容器突然出现内存和CPU占用的情况解决办法
炫爱小七的博客
06-28 1974
K8S中的某个容器突然出现内存和CPU占用的情况解决办法
buffer/cach内存占用k8s java后端pod容器超出内存限制被kill重启
热门推荐
Kainx
11-15 1万+
现象 之前某个后端服务pod在不停的重启导致线上环境很不稳定,于是开始分析问题的原因
k8s内存一直增大(进程rss和free的使用率相差较大)问题排查
莎拉拉吗酷奇的博客
10-07 4347
近期发现有台线上的k8s节点服务器的内存总会超过90%。
WebRTC,音视频会议底层支撑技术解读
weixin_45583158的博客
07-10 915
WebRTC 是 Web Real-Time Communication 的缩写,是谷歌在 2011 年推出的一种技术,可以实现跨网络和本地浏览器的实时音频、视频和数据传输。它的使命是为...
Slack的512宕机故障分析:负载均衡策略的失误
weixin_45583158的博客
07-08 413
本文描述了 2020年 5 月 12 日导致 Slack 宕机的技术细节,要想了解更多关于此故障背后的过程,请参阅 Ryan Katkov 的文章 All Hands on Deck ...
哔哩哔哩「会员购」业务网关的研发赋能实践
weixin_45583158的博客
07-01 1150
作者 沈佳伟 哔哩哔哩会员购架构师写在前面网关是个每隔一段时间就会被请出来「鞭尸」的概念,概念本身的起源已经无从考究。随着微服务和云原生的兴起,网关也伴随着不同的使用场景在各个领域进行细...
现代数据栈中的消费层
m0_73257876的博客
09-17 885
在完成了基础架构,产品体验,自助式分析的有效管控几方面的基础夯实之后,企业的数据分析成熟度自然就会开始逐渐上升,从现状分析,到原因诊断,再到未来预测,最终到达辅助决策智能的处方建议。尤其是后面两点,需要深度结合 AI 能力来进行赋能,实现数据驱动的质量决策。分析成熟度从另一个角度看,迈向决策智能也不仅仅是分析能力的提升,还有一个重要的考量是要解决“最后一公里”问题,实现由数据驱动的业务流程。
JDK 1.8 Linux性能监控:实时监控工具与日志分析终极指南
本文系统地探讨了JDK 1.8在Linux环境下的性能监控方法,包括监控工具的理论基础、实际应用技巧和日志分析技术。文中首先介绍了性能监控工具的分类、功能和应用场景,并深入分析了JVM运行时数据区域、垃圾收集器和...
centos7.9 安装k8s内存占用求解
qq_37036342的博客
06-30 1151
1、总内存250G已使用205G,因安装k8s的原因,要求Swap关闭 2、通过top,按使用内存排序查看 3、通过查看 1、也没有发现有内存泄漏 1、停止kubelet,跟docker 2、执行释放内存命令,都无法释放内存 3、只能重启服务器才能释放内存 其它人提出相似问题...
一次生产环境内存占用排查
BLF2
08-26 948
生产环境出现内存使用较大的情况,没有OOM,但K8s服务重启了,查一下原因
k8s oomkilled超出容器内存限制
weixin_34013044的博客
12-25 8541
超出容器内存限制 只要节点有足够的内存资源,那容器就可以使用超过其申请的内存,但是不允许容器使用超过其限制的 资源。如果容器分配了超过限制的内存,这个容器将会被优先结束。如果容器持续使用超过限制的内存, 这个容器就会被终结。如果一个结束的容器允许重启,kubelet就会重启他,但是会出现其他类型的运行错误。 本实验,我们创建一个Pod尝试分配超过其限制的内存,下面的这个Pod的配置文档,它申请5...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值