shiro

最新推荐文章于 2022-09-06 19:59:03 发布
最新推荐文章于 2022-09-06 19:59:03 发布
阅读量267 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013796473/article/details/53580926

一,功能

1,提供认证服务,通过他可以完成身份认证,让他去判断用户是否为真实的用户;

2,提供授权服务,识别用户是否有权限访问该服务;

3,提供回话管理服务

二,实现

1,实现认证服务功能

读取classpath下的shiro。ini文件,并通过工厂类来创建securitymanager对象,将对象放入securityutil中,供shiro框架随时读取;

通过securityutil类获取subject对象,其实就是当前用户;

创建一个usernamepasswordtoken 对象,通过subject对象的login方法让shiro进行用户认证。此时,shiro创建了一个session。

三,shiro调用流程


通过subject调用securitymanager,通过securitymanager调用realm,realm就是提供用户信息的数据源。


四,使用shiro

1,配置web.xml

    <listener>
        <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
    </listener>

    <filter>
        <filter-name>ShiroFilter</filter-name>
        <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>ShiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>
通过environmentLoaderListener初始化securitymanager,并通过shirofilter认证和授权。

在shiro.ini中配置数据库信息

五,封装扩展shiro

1.配置smart-security.ini文件,实际是shiro。ini文件;

2,实现安全控制接口

提供一个名为smartSecurity的接口,需要实现三个方法:

根据用户名获取,密码在认证时调用,

根据用户名获取角色名集合,在授权时调用

根绝角色名获取操作名集合,在授权时需调用。

提供一个snartsecurity的实现类,完成相应的数据库操作


在smart.properties中配置

3,不配置web.xml

实现javax.servlet.servletContainerInitializer接口,并在classpath下的meta-inf/services/javax.servlet.servletContainerinitializer问见中添加实现ervletContainerinitializer的实现类,如:

该实现类如下:

public class SmartSecurityPlugin implements ServletContainerInitializer {

    public void onStartup(Set<Class<?>> c, ServletContext ctx) throws ServletException {

        //设置初始化参数
        ctx.setInitParameter("shiroConfigLocations","classPath:smart-security.ini");
        //注册listener
        ctx.addListener(EnvironmentLoaderListener.class);
        //注册filter
        FilterRegistration.Dynamic smartSecurityFilter = ctx.addFilter("SmartSecurityFilter",SmartSecurityFilter.class);
        smartSecurityFilter.addMappingForUrlPatterns(null,false,"/*");
    }
通过shiro提供的初始化参数来定制默认的shiro配置文件名,通过servletcontext注册listener和filter,这里注册的不是shirofilter,而是smartSecturityfilter,是filter的扩展。

4,实现认证特性

smartjdbcrealm:获取jdbc连接以及sql查询语句;

smartcustomrealm:

securityconfig:提供了一系列静态方法,用于获取smart。properties文件中的配置项。

securityConstatnt:常量类

5,实现securityhelper:提供登陆和注销方法,这些方法在controller中调用



Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
Shiro Security
refire
07-31 855
Overview 1.权限模型 除了够简单,Shiro与SpringSecurity的不同在于支持权限判断与角色判断两套API,代码里既可以简单的判断hasRole("administrator"),也可以更准确的判断hasPermission("Order:Approve")。 实际上,大部分的应用都采用后者,角色只用来组织管理一堆权限的集合,而不会在最终代码(JSP, URL
Shiro框架
level__1的博客
04-28 160
Shiro安全框架,提供了认证,授权,会话管理,加密。可以在任何环境中运行,从最简单的命令行应用程序到最大的企业Web和集群应用程序。 认证:当认证成功时,程序可以信任这个对象。可以是登录或其他方式…… 授权:通常根据角色,控制访问资源或功能。   RBAC((Role-Based Access Control,基于角色的访问控制)。...
生命在于学习——框架-中间件的学习(一)
易水哲的博客
09-06 1706
框架-中间件的漏洞学习
shiro(shiro1.3.2)
03-21
Apache Shiro是一个强大且易用的Java安全框架,主要用于处理认证、授权、加密以及会话管理等核心安全性问题。在给定的压缩包"shiro1.3.2"中,包含了Shiro的一个核心组件库"shiro-all-1.3.2.jar"以及两个日志管理库...
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro-attack-4.7.0-SNAPSHOT-all.zip
最新发布
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
shiro初步 shiro认证
weixin_33690963的博客
01-14 124
什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以...
Shiro的身份认证(Authentication)
weixin_33882443的博客
11-20 205
为什么80%的码农都做不了架构师?>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值