SSM集成安全框架shiro

最新推荐文章于 2021-09-02 16:33:58 发布
最新推荐文章于 2021-09-02 16:33:58 发布
阅读量2.5k 收藏 10
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java工具 文章标签: 安全 框架 shiro 管理 博客
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_15153911/article/details/78506195

SSM集成安全框架shiro
这里写图片描述
前言,阅读这篇博客前可以先看看RBAC打造通用的权限管理平台http://blog.youkuaiyun.com/sinat_15153911/article/details/55046741
之前小编一直用拦截器来实现权限登录的拦截,现在使用高大上的shiro,多重拦截,大量拦截,其中一个安全知识点是md5颜值加密,噢,是盐值。现在就一步一步教大家怎么配置。
也可以加Q490647751,回复‘开通VIP获取SSM集成安全框架shiro’,获取源码研究,当然你还可以使用shiro二级缓存ehcache或者redis缓存session。

视频教程:链接:http://pan.baidu.com/s/1geQJCH1 密码:mo22

第一步导入jar包
shir-core-1.2.3.jar
shiro-ehcache-1.2.3.jar
shiro-spring-1.2.3.jar
shiro-web-1.2.3.jar

第二步配置web.xml

<!-- shiro的filter -->
    <!-- shiro过虑器,DelegatingFilterProxy通过代理模式将spring容器中的bean和filter关联起来 -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>shiroFilter</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

第三步加配置文件applicationContext-shiro.xml

<import resource="applicationContext-*.xml"/>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:mvc="http://www.springframework.org/schema/mvc"
    xmlns:context="http://www.springframework.org/schema/context"
    xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx"
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
        http://www.springframework.org/schema/beans/spring-beans-3.2.xsd 
        http://www.springframework.org/schema/mvc 
        http://www.springframework.org/schema/mvc/spring-mvc-3.2.xsd 
        http://www.springframework.org/schema/context 
        http://www.springframework.org/schema/context/spring-context-3.2.xsd 
        http://www.springframework.org/schema/aop 
        http://www.springframework.org/schema/aop/spring-aop-3.2.xsd 
        http://www.springframework.org/schema/tx 
        http://www.springframework.org/schema/tx/spring-tx-3.2.xsd ">

<!-- web.xml中shiro的filter对应的bean -->
<!-- Shiro 的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <!-- loginUrl认证提交地址,如果没有认证将会请求此地址进行认证,请求此地址将由formAuthenticationFilter进行表单认证 -->
        <property name="loginUrl" value="/manage/login.html" />
        <!-- 认证成功统一跳转到index.html,建议不配置,shiro认证成功自动到上一个请求路径 -->
        <property name="successUrl" value="/manage/index.html"/>
        <!-- 通过unauthorizedUrl指定没有权限操作时跳转页面-->
        <property name="unauthorizedUrl" value="/manage/refuse.html" />
        <!-- 自定义filter配置 -->
        <!-- <property name="filters">
            <map>
                将自定义 的FormAuthenticationFilter注入shiroFilter中
                <entry key="authc" value-ref="formAuthenticationFilter" />
            </map>
        </property> -->

        <!-- 过虑器链定义,从上向下顺序执行,一般将/**放在最下边 -->
        <property name="filterChainDefinitions">
            <value>
                <!-- 对静态资源设置匿名访问 -->
                /resource/** = anon
                /file/** = anon
                <!-- 验证码,可匿名访问 -->
                /validatecode.jsp = anon

                <!-- 请求 logout.action地址,shiro去清除session-->
                /logout.html = logout
                <!--商品查询需要商品查询权限 ,取消url拦截配置,使用注解授权方式 -->
                <!-- /items/queryItems.action = perms[item:query]
                /items/editItems.action = perms[item:edit] -->
                <!-- 配置记住我或认证通过可以访问的地址 -->
                /login.jsp  = user
                /index.html = user
                /welcome.jsp = user 
                <!-- /** = authc 所有url都必须认证通过才可以访问-->
                /** = authc
                <!-- /** = anon所有url都可以匿名访问 -->

            </value>
        </property>
    </bean>

<!-- securityManager安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="customRealm" />
        <!-- 注入缓存管理器 -->
        <!-- <property name="cacheManager" ref="cacheManager"/>  -->
        <!-- 注入session管理器 -->
        <property name="sessionManager" ref="sessionManager" /> 
        <!-- 记住我 -->
        <property name="rememberMeManager" ref="rememberMeManager"/> 

    </bean>

<!-- realm -->
<bean id="customRealm" class="com.yanhui.shiro.CustomRealm">
<!-- 将凭证匹配器设置到realm中,realm按照凭证匹配器的要求进行散列 -->
    <property name="credentialsMatcher" ref="credentialsMatcher"/> 
</bean>

<!-- 凭证匹配器 -->
<bean id="credentialsMatcher"
    class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    <property name="hashAlgorithmName" value="md5" />
    <property name="hashIterations" value="1" />
</bean> 

<!-- 缓存管理器 -->
<!-- <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml"/>
</bean> -->

<!-- 会话管理器 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <!-- session的失效时长,单位毫秒 -->
    <property name="globalSessionTimeout" value="600000"/>
    <!-- 删除失效的session -->
    <property name="deleteInvalidSessions" value="true"/>
</bean>

<!-- rememberMeManager管理器 -->
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
    <property name="cookie" ref="rememberMeCookie" />
</bean>
<!-- 记住我cookie -->
<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
    <constructor-arg value="rememberMe" />
    <!-- 记住我cookie生效时间30天 -->
    <property name="maxAge" value="2592000" />
</bean>



</beans>

第四步添加CustomRealm的类

package com.yanhui.shiro;

import java.util.HashMap;
import java.util.List;
import java.util.Map;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

import com.yanhui.mapping.system.UserManagerMapper;
import com.yanhui.pojo.auth.Permission;
import com.yanhui.pojo.system.UserManager;
import com.yanhui.service.auth.PermissionService;


public class CustomRealm extends AuthorizingRealm {

    public static void main(String[] args) {
        //所需加密的参数  即  密码
        String source = "123456";
        //[盐] 一般为用户名 或 随机数
        String salt = "customRealm";
        //加密次数
        int hashIterations = 1;

        //调用 org.apache.shiro.crypto.hash.Md5Hash.Md5Hash(Object source, Object salt, int hashIterations)构造方法实现MD5盐值加密
        Md5Hash mh = new Md5Hash(source, salt, hashIterations);
        //打印最终结果
        System.out.println(mh.toString());


        /*调用org.apache.shiro.crypto.hash.SimpleHash.SimpleHash(String algorithmName, Object source, Object salt, int hashIterations)
         * 构造方法实现盐值加密  String algorithmName 为加密算法 支持md5 base64 等*/
        SimpleHash sh = new SimpleHash("md5", source, salt, hashIterations);
        //打印最终结果
        System.out.println(sh.toString());
    }

    @Autowired
    private UserManagerMapper userMapper;

    @Autowired
    private PermissionService permissionService;

    @Override
    public String getName() {
        return "customRealm";
    }

    // 支持什么类型的token
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;
    }

    // 认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {

        // 从token中 获取用户身份信息
        String username = (String) token.getPrincipal();
        // 拿username从数据库中查询
//      UserExample example = new UserExample();
//      Criteria criteria = example.createCriteria();
//      criteria.andNameEqualTo(username);
        Map<String,Object> map = new HashMap<String,Object>();
        map.put("name", username);
        List<UserManager> list = userMapper.listForPage(map);
        if(list.size() < 1){
            // 如果查询不到则返回null
            return null;
        }

        UserManager user = list.get(0);
        // 获取从数据库查询出来的用户密码
        String password = user.getPassword();
//      String salt = user.getSalt();
//      String password = "cb571f7bd7a6f73ab004a70322b963d5";
        String salt = "customRealm";

        // 如果查询到返回认证信息AuthenticationInfo

        //activeUser就是用户身份信息
        UserManager activeUser = new UserManager();
        activeUser.setId(user.getId());
//      activeUser.setUsercode(user.getPhone());
        activeUser.setUsername(user.getUsername());
        // 返回认证信息由父类AuthenticatingRealm进行认证
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
//              employee.getPhone(), "123456", ByteSource.Util.bytes(salt), this.getName());
                user, password, ByteSource.Util.bytes(salt), getName());


        return simpleAuthenticationInfo;
    }


    // 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {

        //身份信息
        UserManager activeUser = (UserManager) principals.getPrimaryPrincipal();
//      Employee activeUser = (Employee) subject.getPrincipal();
        //用户id
        Integer userid = activeUser.getId();
        //获取用户权限
        List<Permission> permissions = null;
        try {
            permissions = permissionService.findPermissionList(userid);
        } catch (Exception e) {
            e.printStackTrace();
        }
        //构建shiro授权信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        for(Permission permission : permissions){
            simpleAuthorizationInfo.addStringPermission(permission.getPercode());
        }

        return simpleAuthorizationInfo;
    }

        //清除缓存
        public void clearCached() {
            PrincipalCollection principals = SecurityUtils.getSubject().getPrincipals();
            super.clearCache(principals);
        }



}

第五步登录方法

/**
     * 后台管理主页
     * @return
     */
    @RequestMapping("/index")
    public String indexAdmin(HttpServletRequest request){
        //主体
        Subject subject = SecurityUtils.getSubject();
//      //身份
        UserManager activeUser = (UserManager) subject.getPrincipal();
        request.setAttribute("activeUser", activeUser);
        HttpSession session = request.getSession(); 
        session.setAttribute(Global.USER_BACKEND_SESSION, activeUser);

        request.setAttribute("mainPage", "welcome.html");
        return Global.WEB_BACK_PAGE + "/index";
    }
/**
     * 后台登录
     * @return
     * @throws Exception 
     */
    @RequestMapping("/login")
    public String login(String username,String password,HttpServletRequest request) throws Exception{
        //如果登陆失败从request中获取认证异常信息,shiroLoginFailure就是shiro异常类的全限定名
                String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");
                //根据shiro返回的异常类路径判断,抛出指定异常信息
                if(exceptionClassName!=null){
                    if (UnknownAccountException.class.getName().equals(exceptionClassName)) {
                        //最终会抛给异常处理器
                        //throw new CustomException("账号不存在");
                        System.out.println("账号不存在");
                    } else if (IncorrectCredentialsException.class.getName().equals(exceptionClassName)) {
                        //throw new CustomException("用户名/密码错误");
                        System.out.println("用户名/密码错误");
                    } /*else if("randomCodeError".equals(exceptionClassName)){
                        //throw new CustomException("验证码错误 ");
                    }*/else {
                        System.out.println("未知错误");
                        throw new Exception();//最终在异常处理器生成未知错误
                    }
                }

//      String result = "";
//      UserManager user = userService.login(username,password);
//      if(user != null){
//          HttpSession session = request.getSession(); 
//          session.setAttribute(Global.USER_BACKEND_SESSION, user);
//          result = "redirect:/manage/index.html";
//      }else{
//          result = "redirect:/manage/toSignIn.html";
//      }
//      return result;
        return Global.WEB_BACK_PAGE + "/signin";
    }

第六步前端显示

<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>

<shiro:hasPermission name="dic:query">
        <a href="http://www.baidu.com" class="list-title">dic列表</a>
        </shiro:hasPermission>

知识点:
1、自定义Realm

自定义Realm一般需要实现AuthorizingRealm接口,该接口有两个接口,一个是doGetAuthorizationInfo,另一个是doGetAuthenticationInfo。
doGetAuthenticationInfo(认证)
该接口方法的逻辑是验证用户登录的合法性,通常在这里面来判断用户名是否存在、密码是否正确、用户账号状态是否被禁用或者锁定等操作。
doGetAuthorizationInfo(授权)
该接口方法的逻辑是在用户身份验证完成后,设置用户的权限信息,一般包括设置用户所拥有的角色信息和相应的权限字信息。

2、MD5盐值加密

 int temp;
            temp = ss < 0 ? ss + 256 : ss;
            return GOAL[temp / 16] + GOAL[temp % 16];       //自己实现转化
            /*
                用现有的方法实现转化
                StringBuffer s = new StringBuffer();
                if(temp < 16)s.append("0");
                s.append(Integer.toHexString(temp));
                return s.toString();   
             */
String password_md5_sale_1 = new Md5Hash("123456", "customRealm", 1).toString(); 
<!-- 凭证匹配器 -->
<bean id="credentialsMatcher"
    class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    <property name="hashAlgorithmName" value="md5" />
    <property name="hashIterations" value="1" />
</bean>
SSM整合Shiro框架
qq_39310063的博客
09-18 576
什么Shiro Shiro是做安全验证,权限管理,等… 是一种安全框架,属于轻量级框架。。 导入依赖(导入jar包) 如果用的是maven来管理项目的话,我们需要在pom.xml文件中加入依赖, 如果用的是动态的web工程,我们需要在lib文件夹中导入jar包,然后Build Path --&gt; Add to Build Path Spring相关依赖 ; &lt;dependency...
SSM安全框架Shiro
m0_46674387的博客
12-01 467
Spring框架 1.什么是spring框架? spring是一个开放源代码的设计层面框架,它解决的是业务逻辑层和其他各层的松耦合问题,是一个分层的javaEE一站式轻量级开 源框架 2.spring的作用 方便解耦,简化开发,AOP编程支持,声明式事务支持,集成Junit更加方便的进行分层测试,方便集成各种优秀框架 3.什么是IOC? 控制反转,把创建对象的权利交给spring 4.什么是DI 属性的依赖注入,spring在通过IOC创建对象的时候,如果对象还有属性,就一并给赋值进去DI是在I
ssm+shiro(安全框架)+redis项目实践
01-26
Apache Shiro 是 Java 的一个安全框架。我们经常看到它被拿来和 Spring 的 Security 来对比。大部分人认为 Shiro 比 Security 要简单。我的观点赞成一半一半吧,首先 Shiro 确实和 Security 是同类型的框架,主要用来做安全,也就是我们俗称权限校验(控制)。居多人对 Shiro 的定义为好入门。我选型为 Shiro ,主要的原因扩展太easy了,而且我要的功能它都有。 Redis 是一个开源,先进的存储,并用于构建高性能,可扩展的 Web 应用程序的完美解决方案。 Redis 从它的许多竞争继承来的三个主要特点:Redis 数据库完全在内存中,使用磁盘仅用于持久性。相比许多键值数据存储, Redis 拥有一套较为丰富的数据类型。Redis 可以将数据复制到任意数量的从服务器。
shiro框架ssm集成
weixin_51717204的博客
09-02 257
shiro框架ssm集成 组成部分:Spring + SpringMVC + Mybatis + shiro; 本教程的使用环境为Java8, IDEA 以及 Maven; 开始教程 搭建SSM教程详见https://blog.youkuaiyun.com/weixin_51717204/article/details/119180393?spm=1001.2014.3001.5501; 在pom.xml文件中写入以下代码: <!-- shiro --> <depend
使用SSM整合shiro安全框架
shi_AXing_a的博客
04-21 1345
SSM整合shiro安全框架1. shiro的密码加密功能2. shiro整合ssm完成认证和授权的功能3. shiro整合ssm完成前后端完全分离(json类型) 1. shiro的密码加密功能 public static void main(String[] args) { //Md5Hash md5Hash=new Md5Hash("123456");//把明文123456 转化为密文 //System.out.println(md5Hash.toString());
SSM 整合 Shiro 安全框架
m0_52462015的博客
05-24 327
SSM 整合 Shiro 安全框架 1、介绍 (1)Shiro 是什么? Shiro 是一个功能强大和易于使用的 Java安全框架Shiro 为开发人员提供一个直观而全面的解决方案:认证、授权、加密、会话管理、Web集成、缓存等。 Apache Shiro 和 Spring Security 是同类型的框架,主要用来做安全方面,也就是我们俗称的权限校验(控制),Shiro 扩展更简单和灵活。 (2)Shiro 四个主要的功能 Authentication:身份认证/登录,验证用户是不是拥有相应
ssm集成redis和shiro
01-08
SSM(Spring、SpringMVC、MyBatis)是一个经典的Java web开发框架组合,而Redis是内存数据库,常用于缓存和会话管理Shiro则是一个强大的安全框架,负责认证、授权、会话管理安全控制。下面我们将深入探讨如何在...
ssm+maven+shiro
03-29
本项目是基于SSM框架,利用Maven进行构建和依赖管理,并且整合了Apache Shiro进行权限控制,实现了与数据库的交互。 首先,Spring框架作为基础,它提供了依赖注入(Dependency Injection,DI)和面向切面编程...
ShiroSSM整合(内含详细文档介绍)
11-06
SSM(Spring、Spring MVC和MyBatis)框架集成Shiro,可以利用Shiro的强项,同时利用Spring的依赖注入和事务管理能力,构建出更为强大的安全系统。 SSM是Spring框架的三个核心模块&mdash;&mdash;Spring Core、Spring MVC和...
SSM+Shiro安全框架代码
07-06
SSM+Shiro安全框架是Java Web开发中常用的安全解决方案,结合了Spring、Spring MVC(SSM)和Apache Shiro这三个强大的工具。本项目提供的代码示例旨在帮助开发者理解和实现基于SSM的权限管理和认证功能。 Spring是...
ssm+shiro框架整合完整jar包
11-15
最新的,完整的springmvc+mybatis+spring+shiro框架整合所需所有jar包
shiro+SSM实现安全登录的项目
06-19
Shiro+SSM框架实现安全登录的demo,本项目为自己编写运行,导入eclipse可用。
最全的安全框架shiro学习视频
08-09
最全的安全框架学习视频,很全很完整,有代码,很不错的学习资料
ssm+shiro整合的一个项目适合初学者
03-05
这是一个ssm项目和shiro整合的一个项目,配置和jar包都特别的完整完全可以直接拿过来用
ssm搭建、Oauth2.0客户端和服务端
02-26
包括三个简单的项目以及mybatis用于自动生成bean、dao、mapping所需的文件,项目分别为: 1、ssm的简单搭建。 2、oauth2.0的客户端。 3、oauth2.0的服务端。
shiro安全框架ssm+maven的整合
qq_38669394的博客
05-11 1283
1,新建maven 一个ssm的maven工程。在这里我就不做多余的介绍了。下面是我的工程目录结构2,我们要整合shiro安全框架,首先要在pom.xml中引入jar包这是我的截图,需要在项目中引入可以复制下面蓝色字体内容&lt;!-- shiro --&gt;        &lt;!-- Spring 整合Shiro需要的依赖 --&gt;        &lt;dependency&gt; ...
SSM集成Shiro安全框架(二)
qq_36090190的博客
10-23 219
五、RememberMe 1.UserController.java @RequestMapping(value = "/login", method = RequestMethod.POST) public String login(HttpServletRequest request) { System.out.println("UserController的login方法开始执...
ssm项目集成shiro
qq_40706089的博客
12-11 1096
首先,这是创建ssm项目的地址:http://blog.youkuaiyun.com/qq_40706089/article/details/78707234,今天打算将shiro安全框架也给集成进来,网上对shiro的介绍非常之多,在这也不多赘述了,直接开始集成。 step1:通过pom文件管理shiro框架所需的jar包 整合shiro需要的依赖--> org.apache.shiro
ssm基础上集成shiro框架
qq_38650223的博客
03-31 372
项目开发过程中,发现需要用到权限分配,这个时候就展现了shiro的重要性。1、首先,什么是shiroshiro,一个java安全框架。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。shiro的三个核心组件:Subject,Secu...
高效易用的ssm框架集成shiro与database全面优化开发流程
SSM框架集成Shiro,意味着可以直接利用Shiro提供的安全管理功能,实现用户的登录认证和资源访问控制。 5. json转换:在Web开发中,前后端数据交互经常需要以JSON格式进行,框架集成了json转换工具,使得将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值