shiro安全框架 + **金融项目【安全】总结

最新推荐文章于 2025-05-24 22:50:44 发布
转载 最新推荐文章于 2025-05-24 22:50:44 发布 · 115 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/maoguangdong/blog/868230

本文详细介绍了Shiro安全框架在实际项目中的应用,包括登录认证流程、权限验证、使用Redis替代Ehcache作为缓存机制等内容。同时展示了如何结合Redis集群、Nginx负载均衡搭建高性能的SpringMVC+MyBaits项目。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

一、**金融项目【安全】

在做**app 接口项目中,项目中使用到了shiro 做安全认证:

登录用anon

userId+imei+time加密生成令牌

//如果客户端没有上送IMEI,使用默认IMEI,为防止根据userId+imei 获取时间戳导致空指针异常
        String temp = user.getId() + "&" + (imei == null ? "" : imei);
        long time = System.currentTimeMillis() + DigitalAndStringConstant.DigitalConstant.MILLISECOND_SEVEN_DAY;
        map.put("token",
            Base64.encodeBase64String(RSAEncryptor.encryptByPublicKey((temp + "&" + time).getBytes(), publicKey)));
使用缓存存放 令牌token
loginCache.put(new Element((String)map.get("token"), user.getId()));

其他非登录需要做认证的访问均拦截

用authc,重写了拦截,不直接去认证。

1.首先判断令牌

if (StringUtils.isBlank(authentication))

2.判断 缓存

if(loginCache.get(authentication)==null)

3.判断token时间是否在有效期内

if (System.currentTimeMillis() > time)

4.再做认证

其他非登录调转第三方请求如:充值,提现。需要再次访问 另外** 项目。

做了签名验证:将请求中的参数实体加密变成 signStr签名字符串

charge.setSignStr(MD5.createMD5SignStr(charge, ConfigParametersUtil.getTransatcionMd5Key())); jsonStr = JSONUtil.toJSON(charge);

其他项目接收到该请求,获取字符串在转成实体 ,再加密,匹配验证该签名

二、shiro 安全框架

1.概述:这里使用shiro 主要是自己学习验证的 过程。因为前期做了redis 的相关研究,故而在学些shiro 的时候将官方常用的ehcache缓存用了redis替代 ,并结合redis 集群,Nginx 负载均衡,搭建了Springmvc+mybaits的框架。

redis 集群,Nginx 负载均衡前面已经做了叙述

redis替换ehcache,并使用Nginx 做负载均衡。需要完成如下两个问题:

a.session共享

b.授权信息的cache共享

http://blog.youkuaiyun.com/lishehe/article/details/45218251

/**
	 * shiro 注解验证 登录认证,权限认证
	 * @return
	 */
	@RequestMapping("/shiro1")
	@RequiresAuthentication 
	@RequiresPermissions("user:create")
	public ModelAndView Shiro1(){
		ModelAndView mv =this.getModelAndView();
		 mv.setViewName("/index");
		 return mv;
	}

2.filterChainDefinitions参数说明

 <!--   
    filterChainDefinitions参数说明,注意其验证顺序是自上而下  
    =================================================================================================  
    anon        org.apache.shiro.web.filter.authc.AnonymousFilter  
    authc       org.apache.shiro.web.filter.authc.FormAuthenticationFilter  
    authcBasic  org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter  
    perms       org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter  
    port        org.apache.shiro.web.filter.authz.PortFilter  
    rest        org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter  
    roles       org.apache.shiro.web.filter.authz.RolesAuthorizationFilter  
    ssl         org.apache.shiro.web.filter.authz.SslFilter  
    user        org.apache.shiro.web.filter.authc.UserFilter  
    =================================================================================================  
    anon: 例子/admins/**=anon 没有参数,表示可以匿名使用。  
    authc: 例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数  
    roles: 例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,  
                    并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],  
                    每个参数通过才算通过,相当于hasAllRoles()方法。  
    perms: 例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,  
                    例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,  
                    想当于isPermitedAll()方法。  
    rest:  例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,  
                   其中method为post,get,delete等。  
    port:  例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,  
                   其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。  
    authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证  
    ssl:  例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https  
    user: 例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查  
    注:anon,authcBasic,auchc,user是认证过滤器,  
    perms,roles,ssl,rest,port是授权过滤器  
    =================================================================================================  
    -->

3.shiro 注释;

http://www.cnblogs.com/lvlv/p/5104758.html

shiro.xml

<?xml version="1.0" encoding="utf-8"?>
<beans  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
        xmlns="http://www.springframework.org/schema/beans" 
        xmlns:p="http://www.springframework.org/schema/p"
        xmlns:aop="http://www.springframework.org/schema/aop" 
        xmlns:cache="http://www.springframework.org/schema/cache"
        xsi:schemaLocation="http://www.springframework.org/schema/beans 
                            http://www.springframework.org/schema/beans/spring-beans-4.1.xsd 
                            http://www.springframework.org/schema/cache 
                            http://www.springframework.org/schema/cache/spring-cache-4.1.xsd
                            http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.1.xsd " >
                            
<!-- shrio的filter,在这里可以配置,登陆相关的页面,及对那些URL进行权限拦截权限认证 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- shiro的核心安全接口 -->
        <property name="securityManager" ref="securityManager" />
<!-- 要求登录时的链接 -->
        <!-- <property name="loginUrl" value="/login.jsp" /> -->
<!-- 登陆成功后要跳转的连接 -->
        <property name="successUrl" value="/text/index" />
<!-- 未授权时要跳转的连接 -->
        <property name="unauthorizedUrl" value="/403" />
        <property name="filters">
            <map> <!-- 重写authc 接口拦截做登录验证 -->
                <!-- <entry key="authc">
                    <bean class="com.general.common.shiro.PlatformAuthenticationFilter"></bean>
                </entry> -->
            </map>
        </property>  
<!-- shiro连接约束配置 -->
        <property name="filterChainDefinitions">
            <value>
                /test/login=anon
                /test/login1=anon
                /test/loginAuth=anon
                /login=anon  
	            /test/userLogin = anon
	            /test/shiro1 = authc
                /test/redis=anon
                 /**/view/**=anon
                 /index.jsp=anon
                /**/js/**=anon
                /**/image/**=anon
                /**/css/**=anon
                /test/shiroSession=anon
                /test/shirogetSession=anon
                /test/rememberMe=user                
	            /**/* = authc 
            </value>
        </property>
    </bean>
    <!-- redis缓存 -->  
    <bean id="redisCacheManager" class="com.general.common.shiro.RedisCacheManager">
      <property name="redisUtil" ref="redisUtil" /> 
    </bean> 
     <bean id="redisCache" class="com.general.common.shiro.RedisCache">  
        <constructor-arg ref="redisUtil"></constructor-arg>  
    </bean>  
    <!--自定义Realm 继承自AuthorizingRealm-->
    <bean id="myShiroRealm" class="com.general.common.shiro.MyShiroRealm"></bean>
    <!-- shiro对ehcache的缓存管理直接使用spring的缓存工厂 -->
    <!-- <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManager" ref="ehCacheManagerFactory" />
          
    </bean> -->
    <!-- SessionDAO用shiro提供的默认实现 -->
	<bean id="sessionDAO" class="com.general.common.shiro.RedisSessionDAO"> 
	       <!-- <property name="activeSessionsCacheName" value="shiro-activeSessionCache"/> -->
	        <property name="redisUtil" ref="redisUtil" /> 
	        <!-- <property name="cacheManager" ref="shiroEhcacheManager" /> -->
	</bean>
	<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
	  <property name="sessionDAO" ref="sessionDAO"/>
	</bean>

   <!-- 配置权限管理器 -->  
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="myShiroRealm" />
        <property name="sessionManager" ref="sessionManager"/>
        <!-- <property name="cacheManager" ref="shiroEhcacheManager" /> -->
        <!-- redis缓存 -->  
        <property name="cacheManager" ref="redisCacheManager" />
        <property name="rememberMeManager" ref="rememberMeManager"/> 
    </bean>
    
	<!-- Shiro生命周期处理器--> 
	<bean id="lifecycleBeanPostProcessor"
		class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"  
      depends-on="lifecycleBeanPostProcessor" >
      <property name="proxyTargetClass" value="true" /> 
    </bean> 
    
    <!-- 开启shiro注解支持,必须在dispatcheServlet-servlet中配置,在扫描类时加入注解-->
	<!-- 开启aop,对类代理 --> 
    <!-- <aop:config proxy-target-class="true"></aop:config> -->
    <!-- <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean> -->
	<!-- shiro-RememberMe配置 -->
	<!-- 会话Cookie模板 -->  
	<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">  
	    <constructor-arg value="sid"/>  
	    <property name="httpOnly" value="true"/>  
	    <property name="maxAge" value="-1"/>  
	</bean>  
	<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">  
	    <constructor-arg value="rememberMe"/>  
	    <property name="httpOnly" value="true"/>  
	    <property name="maxAge" value="2592000"/><!-- 30天 -->  
	</bean>
	    <!-- rememberMe管理器 -->  
	   <!--  rememberMe管理器,cipherKey是加密rememberMe Cookie的密钥;默认AES算法; -->
    <bean id="rememberMeManager"   
       class="org.apache.shiro.web.mgt.CookieRememberMeManager"> 
       <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('5aaC5qKm5oqA5pyvAAAAAA==')}"/> 
        <!-- <property name="cipherKey" value="  
       #{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}"/> -->  
         <property name="cookie" ref="rememberMeCookie"/>  
    </bean>
    <!-- 4AvVhmFLUs0KTA3Kprsdag== -->    
</beans>

参考:开涛---《跟我学Shiro》

http://jinnianshilongnian.iteye.com/blog/2018398

权限,用户数据库设计

http://www.cnblogs.com/lonely-buffoon/p/5580935.html

转载于:https://my.oschina.net/maoguangdong/blog/868230

商业银行应用安全架构设计实践
银行信息系统架构详解
09-23 585
安全设计则是从系统级的角度依据监管要求和风险要求在数据流模型中识别公共安全需求,或者将“安全武器库”中的武器正确地应用到内部子系统之间,或者根据提炼公共能力的架构原则构建新的“武器”并择机纳入“安全武器库”中进行统一管理、运营,从而完善安全架构。实施安全架构设计的负责人应同时具备安全和架构两方面的知识和经验,由于业务知识比安全知识更为繁杂,因此我们倾向于对每个业务团队中的系统设计人员进行安全培训,帮助其掌握安全架构设计知识:一是应熟悉常用的攻击方法与危害、规范要求、安全模型、安全技术、安全机制,加密算法;
Java安全编码规范:写出更安全的代码
AI开发架构师
06-06 939
在数字化时代,Java作为企业级应用的“顶梁柱”,其安全性直接关系到用户数据、企业资产甚至国家安全。但你知道吗?2023年OWASP(开放Web应用安全项目)报告显示,78%的Java应用漏洞源于“不安全的编码习惯”——比如未验证用户输入导致SQL注入,用明文存储密码导致数据泄露,异常信息暴露敏感数据等。本文覆盖Java开发中最易引发安全问题的6大场景(输入输出、数据存储、会话管理、依赖安全等),给出可落地的编码规范,适合从初级到中级的Java开发者学习。
Shiro框架项目总结
a3060858469的博客
06-24 361
&lt;bean id="myShiroRealm" class="com.shiro.test.mvc.filter.MyShiroRealm"/&gt; &lt;bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"/&gt; &lt;bean id=&qu
Shiro安全框架------功能模块介绍
豢龙先生
04-12 550
Shiro安全框架功能模块介绍简介Shiro的基本功能点使用Shiro完成工作Shiro内部结构 简介 Apache Shiro是Java的一个安全框架Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。 Shiro的基本功能点 使用Shiro完成工作 Subjec...
shiro安全框架扩展教程--基本行级数据安全控制
dawuafang
10-12 223
大家都知道shiro方法级,请求级保障是不错的,但是对于对于具体的行级数据安全控制是比较无力的,但是我们总是需要用一些手段来保证数据级的安全,举个比较简单的说明, 有合法登录A和B用户,A用户通过方法findById=A可以加载出自己的信息并修改密码,这个时候用户B可以通过findById=A也可以加载出A的信息,这样简单的入侵方式比较简单, 只要使用编辑器改动下表单的提交值即可,如果严谨是...
金融】什么是SHIBOR?
小雅的世界
07-12 1406
<br />SHIBOR<br /><br />  2007年1月4日,SHIBOR开始正式运行。全称是"上海银行间同业拆借利率"(Shanghai Interbank Offered Rate,SHIBOR),被称为中国的LIBOR(London Interbank Offered Rate,伦敦同业拆借利率),是中国人民银行希望培养的基准利率体系。 <br />  Shibor是由信用等级较高的银行组成报价团自主报出的人民币同业拆出利率计算确定的算术平均利率,是单利、无担保、批发性利率。目前,对社会公布
【Java】Shiro权限框架在项目中的应用
weixin_43358075的博客
08-22 652
同样,忙于校招,忙于提升自己,忙于项目。直接把项目中的代码拿来分享给大家。 一、配置ShiroFilter <context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath:spring/spring-*.x...
shiro(java安全框架
qq_34209816的博客
07-04 145
    以下都是综合之前的人加上自己的一些小总结    Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro 主要分为来个部分就是认证和授权,在个人感觉来看就是查询数据库做相应的判断而已,Shiro只是一个框架而已,其中的内容...
安全面试经验总结与分享
lza20001103的博客
09-03 920
安全面试经验总结与分享
关于 Web 安全:4. 中间件 & 框架风险点分析
Triste__chengxi的博客
05-24 1727
服务风险点类型危害利用难度WebLogicXMLDecoder / T3 / 文件上传中等JBossJMX 控制台无认证 / 反序列化直接部署 shell.war低等JenkinsScript Console / 插件 RCE / API 命令执行RCE + 文件写入中等。
23年的安全面试经验总结与分享
zkaqlaoniao的博客
12-11 1294
1、简历过关 【PDF】【简历一定要写好,多练练技术,参加src,补天活动,众测啥的,多复现cve和审计【哪怕通过审计获得过一两个分都是你的加分项】会python,java,加分项,会用python写exp和poc是优选】2、自我介绍【1-3分钟不等,详细介绍自己职场经历,工作公司,工作内容等】3、技术问答【少错】4、项目经验自述【工作中负责或者主持,参加了什么项目,什么类型,具体职务和定位,遇到的困难,如何解决的,学到了哪些东西,有了哪些收获】
stock-pool:股票池项目,springboot+mysql+mybatis+shiro+腾讯云+redis
05-18
总结起来,stock-pool项目是一个综合运用了多种技术的金融信息系统,通过SpringBoot的微服务架构、MySQL的数据存储、MyBatis的数据操作、Shiro安全管理、腾讯云的云服务支持以及Redis的高速缓存,实现了高效、安全...
后端视角下 Tomcat 的安全防护体系建设
架构师的AI之路,分享AI应用开发架构的学习与实践。
05-14 564
本文旨在为后端开发者和系统管理员提供Tomcat服务器的全面安全防护指南。内容涵盖从基础配置到高级防护策略的完整知识体系,适用于生产环境中的Tomcat安全部署。文章首先介绍Tomcat安全基础,然后深入安全架构和防护策略,接着提供实战配置和代码示例,最后讨论高级安全话题和未来趋势。SSL/TLS:安全套接层/传输层安全协议,用于加密网络通信CSRF:跨站请求伪造,一种Web应用安全威胁XSS:跨站脚本攻击,通过注入恶意脚本实施的攻击CVE:公共漏洞和暴露,安全漏洞的标准标识符云原生安全
Spring Security 助力后端系统安全升级
架构师的AI之路,分享AI应用开发架构的学习与实践。
04-14 838
零信任架构的深度集成量子安全算法的迁移准备AI驱动的异常检测系统面向Serverless架构的安全模型。
【大学生电子设计】:备战2015全国大学生电子设计竞赛-信号源类赛题分析.pdf
08-11
【大学生电子设计】:备战2015全国大学生电子设计竞赛-信号源类赛题分析.pdf
湘潭大学人工智能专业2024级大一C语言期末考试题库项目-包含58个从头歌平台抓取并排版的C语言编程题目及解答-涵盖基础语法-数组操作-条件判断-循环结构-函数调用-指针应用等核心.zip
最新发布
08-11
2025电赛预测湘潭大学人工智能专业2024级大一C语言期末考试题库项目_包含58个从头歌平台抓取并排版的C语言编程题目及解答_涵盖基础语法_数组操作_条件判断_循环结构_函数调用_指针应用等核心.zip
基于STM32的步进电机S型曲线与SpTA算法高效控制及其实现 T梯形算法 经典版
08-11
基于STM32平台的步进电机S型曲线和SpTA加减速控制算法。首先阐述了S型曲线控制算法的特点及其在STM32平台上的实现方法,包括设置启动频率、加速时间和最高速度等参数,以减少电机启动和停止时的冲击。接着讨论了T梯形算法与S型曲线的结合,通过精确的时间控制提高运动精度。然后重点讲解了SpTA算法,强调其自适应性强、不依赖PWM定时器个数,能够根据实际运行状态动态调整。文中提到一种高效的非DMA数据传输方式,提升了CPU效率并解决了外部中断时无法获取已输出PWM波形个数的问题。最后介绍了SpTA算法在多路电机控制方面的优势。 适合人群:从事嵌入式系统开发、自动化控制领域的工程师和技术人员,尤其是对步进电机控制有研究兴趣的人群。 使用场景及目标:适用于需要高精度和平滑控制的步进电机应用场合,如工业机器人、数控机床等领域。目标是帮助开发者掌握STM32平台下步进电机的先进控制算法,优化系统的实时性能和多电机协同控制能力。 其他说明:文章提供了详细的理论背景和技术细节,有助于读者深入理解并应用于实际项目中。
一个面向Android开发者的全面知识体系整理项目-包含Android基础-Framework解析-系统启动流程-四大组件原理-Handler-Binder-AMS-WMS等核心机.zip
08-11
python一个面向Android开发者的全面知识体系整理项目_包含Android基础_Framework解析_系统启动流程_四大组件原理_Handler_Binder_AMS_WMS等核心机.zip
日前日内两阶段调度综合能源分析:基于Matlab与Yalmip的优化结果对比及应用
08-11
日前日内两阶段调度在综合能源管理中的应用,特别是利用Matlab和Yalmip工具箱进行优化建模的方法。文章分析了三种不同调度场景(日前不考虑需求响应调度、日前考虑需求响应调度、日前日内两阶段调度),并比较了各自的优化结果。重点讨论了机组成本和弃风惩罚两个关键指标,展示了两阶段调度在提高电力供应稳定性和降低运营成本方面的优势。 适合人群:从事能源管理和电力系统调度的研究人员和技术人员,尤其是对优化算法和Matlab编程有一定基础的人群。 使用场景及目标:①理解和掌握日前日内两阶段调度的基本概念及其应用场景;②学习如何使用Matlab和Yalmip工具箱进行优化建模;③评估不同调度策略对机组成本和弃风惩罚的影响。 其他说明:本文不仅提供了详细的理论解释,还有具体的编程实例和优化结果对比,有助于读者深入理解调度优化的实际操作和效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值