shiro的使用心得

最新推荐文章于 2022-10-05 14:54:50 发布
最新推荐文章于 2022-10-05 14:54:50 发布
阅读量334 收藏
点赞数
分类专栏: Java基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45680007/article/details/105728019
版权
本文详细介绍了Apache Shiro的使用,包括在项目中的配置步骤、拦截功能实现、登录功能的处理以及数据库中密码的加密解密。重点讨论了如何设置权限规则,确保只有具备特定权限的用户才能访问特定资源,并展示了全局Session的运用,允许在登录成功后通过Session获取用户信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

shiro的使用:
基本的配置:
一:pom.xml引入依赖

<!-- 整合shiro 安全框架 -->
  <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
  </dependency>

二:web.xml文件中:

<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

三:spring-mvc.xml中:

  <aop:config proxy-target-class="true"></aop:config>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

四:shiro.xml中:

	其中  <bean id="shiroUserRealm" class="cn.common.controller.myRealm">是需要自己定义的,路径为定义的myRealm的路径

这里需要填写的value为服务器提供的controller接口

	<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
	xmlns:aop="http://www.springframework.org/schema/aop"
	xmlns:tx="http://www.springframework.org/schema/tx" 
	xmlns:util="http://www.springframework.org/schema/util"
	xmlns:context="http://www.springframework.org/schema/context"
	xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx.xsd
       http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd
       http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd
       http://www.springframework.org/schema/context 
       http://www.springframework.org/schema/context/spring-context.xsd">
	 <!-- shiro工厂bean配置 -->
     <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
         <!-- shiro的核心安全接口 -->
         <property name="securityManager" ref="securityManager"/>
         <!-- 要求登录时的连接,即如果没有登陆需要跳转的连接-->
         <property name="loginUrl" value="/loginUI.do"></property>
         <!-- 登录成功后要跳转的连接(此处已经在登录中处理了) -->
         <!-- <property name="successUrl" value="/index.jsp"></property> -->
         <!-- 访问未对其授权的资源时,要跳转的连接 -->
         <property name="unauthorizedUrl" value="/loginUI.do"></property>
         <!-- shiro连接约束配置 -->
         <property name="filterChainDefinitions">
             <value>
             <!-- 对静态资源设置允许匿名访问 -->
             /images/** = anon
             /js/** = anon
             /css/** = anon
             /static/** = anon
             /bootstrap/** = anon
             /jquery/** = anon
             <!-- 可匿名访问路径,例如:验证码、登录连接、退出连接等 -->
             /loginUserNamePassword.do = anon
             <!--权限路径的设置,roles[]为string,表示需要的权限。 -->
             /student/** = roles[1]
             /fath/**= roles[2]
             /teacher/** = roles[3]
             <!--用户退出登录的接口,后端不需要实现该接口,logout拦截到/api/logout的url后,就自动清除登录状态回到首页了-->
             <!--因为在web.xml中设置的url-parttern是/api/*,随意只有api开头的url才会被拦截-->
             /api/logout = logout
             <!-- 其他访问路径-->
             /** = authc
             </value>
         </property>
     </bean>
     <!-- 配置shiro安全管理器 -->
     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
         <property name="realm" ref="shiroUserRealm"></property>
     </bean>
     <!-- 自定义Realm -->
    <bean id="shiroUserRealm" class="cn.common.controller.myRealm">
    	<!-- 配置凭证算法匹配器 -->
    	<property name="credentialsMatcher">
    		<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    			<property name="hashAlgorithmName" value="MD5"/>
                <property name="hashIterations" value="2"/>
    		</bean>
    	</property>
    </bean>
	<!--Shiro生命周期处理器-->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
	
</beans>

功能一:

拦截功能
即访问任意资源都需要进行拦截,如果没有登陆则转到登陆界面
在shiro.xml中设置:
其中 /loginUserNamePassword.do = anon表示页面/映射可以在没有权限下访问,因为如果所有资源都被拦截,那么用户提交的login(username,password)也会被拦截,所以需要loginUserNamePassword.do进行放行从而进行登陆

<property name="loginUrl" value="/loginUI.do"></property>
<property name="filterChainDefinitions">
	             <value>
	                 <!-- 可匿名访问路径,例如:验证码、登录连接、退出连接等 -->
	                 /loginUserNamePassword.do = anon
	                 <!-- 其他访问路径,也就是没有权限的访问其他路径,都会拦截-->
	                 /** = authc
	             </value>
	         </property>

功能二:

登陆功能:
首先分析数据库层面,需要有username,password
并且shiro默认你存入在数据库中的password是加密处理后的,所以从数据库中的提取的数据需要进行解密

<property name="credentialsMatcher">
	    		<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
	    			<property name="hashAlgorithmName" value="MD5"/>
	                <property name="hashIterations" value="2"/>
	    		</bean>
	    	</property>

加密算法配置在shiro.xml文件的shiroUserRealm内
表示使用MD5进行2加密
所以对存入数据库中的数据,需要进行加密后存储,方法如下:即将密码进行加密存入数据库

String password = "123456";//要加密的字符串
public static String salt = "wjw";//盐
Integer hashIterations = 2;//散列次数
Md5Hash md5 = new Md5Hash(password, salt, hashIterations);
student.setUsername("123456");
student.setPassword(md5.toString());
student.setAuthority("1");
studentService.insertStudent(student);

数据库层面完成后,具体加密解密和验证比对功能由Realm完成。
需要注意一点,用户输入的username, password。username相当于唯一凭证, 默认是unique

是需要自己定义的,路径为定义的myRealm的路径。
此为我们的登陆器,必须 extends AuthorizingRealm
有doGetAuthorizationInfo和doGetAuthenticationInfo需要我们重写
方法重写,但是在程序中不需要我们显示调用

一:doGetAuthenticationInfo
doGetAuthenticationInfo(AuthenticationToken token) :token包含我们的username和password。这个方法目的是进行验证

return new SimpleAuthenticationInfo(family.getUsername(), family.getPassword(), ByteSource.Util.bytes(InitDatabase.salt), getName());

SimpleAuthenticationInfo会传入username,password,salt进行判断账号对应的密码是否正确。

二:doGetAuthorizationInfo
此方法目的是权限管理,即获得这个username的权限
doGetAuthorizationInfo(PrincipalCollection principals):
principals就是我们传入的username=(String)principals.getPrimaryPrincipal()
此方法的目的是进行权限传递,返回权限Set< String>
return new SimpleAuthorizationInfo(studentService.getAuthorityByName((String) principals.getPrimaryPrincipal()));

完整代码如下:

public class myRealm extends AuthorizingRealm {
    @Autowired
    FamilyService familyService;
    @Autowired
    StudentService studentService;
    @Autowired
    TeacherService teacherService;
    static  int authority;
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            return null;
        }
        authority=IndexController.authority;
        System.out.println("我的权限是"+authority);
        System.out.println("得到的值是"+(String)principals.getPrimaryPrincipal());
        System.out.println("数据库中的权限是"+studentService.getAuthorityByName((String) principals.getPrimaryPrincipal()));

        //将用户角色信息传入SimpleAuthorizationInfo
        if(authority==1)return new SimpleAuthorizationInfo(studentService.getAuthorityByName((String) principals.getPrimaryPrincipal()));
        if(authority==2)return new SimpleAuthorizationInfo(familyService.getAuthorityByName((String) principals.getPrimaryPrincipal()));
        if(authority==3)return new SimpleAuthorizationInfo(teacherService.getAuthorityByName((String) principals.getPrimaryPrincipal()));
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        authority=IndexController.authority;
        if (token == null) {
            return null;
        }
        if(authority==1){
            Student student= studentService.getStudentByName((String) token.getPrincipal());
            if(student==null)return null;
            SecurityUtils.getSubject().getSession()
                    .setAttribute("currentUser",student);
            return new SimpleAuthenticationInfo(
                    student.getUsername(), student.getPassword(), ByteSource.Util.bytes(InitDatabase.salt), getName());
        }
        if(authority==2){
            Family family= familyService.getFamilyByName((String) token.getPrincipal());
            if(family==null)return null;
            SecurityUtils.getSubject().getSession()
                    .setAttribute("currentUser",family);
            return new SimpleAuthenticationInfo(
                    family.getUsername(), family.getPassword(), ByteSource.Util.bytes(InitDatabase.salt), getName());
        }
        if(authority==3){
            Teacher teacher= teacherService.getTeacherByName((String) token.getPrincipal());
            if(teacher==null)return null;
            SecurityUtils.getSubject().getSession()
                    .setAttribute("currentUser",teacher);
            return new SimpleAuthenticationInfo(
                    teacher.getUsername(), teacher.getPassword(), ByteSource.Util.bytes(InitDatabase.salt), getName());
        }

        return null;

    }
}

三:流程展示

我们将数据从 /loginUserNamePassword.do 登陆后,需要进行登陆即可。
其中subject.login(token)会调用doGetAuthenticationInfo方法

public void login(String username, String password) {
		Subject subject = SecurityUtils.getSubject();
		if(subject.isAuthenticated())throw new ServiceException("未授权用户");
		UsernamePasswordToken token =
				new UsernamePasswordToken(username, password);
		try{//登录认证 - 调用userRealm
			System.out.println("开始登陆");
			subject.login(token);
		}catch (IncorrectCredentialsException ice) {
			throw new ServiceException("密码错误!");
		} catch(AuthenticationException ae){
			ae.printStackTrace();
			throw new ServiceException("认证失败");
		}
	}

全局Session

当登陆正确后,可以利用将值封装在session中,之后前端页面直接调用${currentUser.username}就可以获得属性

SecurityUtils.getSubject().getSession().setAttribute("currentUser",teacher);

权限管理

1:首先,数据库中需要存储每一个user的不同权限
2:再次需要在shiro.xml进行权限设置,里面的意思就是如果访问/student/**的任意映射都需要拥有权限"1",否则会跳转到value="/loginUI.do"

 <!-- 访问未对其授权的资源时,要跳转的连接 -->
<property name="unauthorizedUrl" value="/loginUI.do"></property>
<property name="filterChainDefinitions">
	             <value>
                 <!--权限路径的设置,roles[]为string,表示需要的权限。 -->
                 /student/** = roles[1]
                 /fath/**= roles[2]
                 /teacher/** = roles[3]
	         </property>

3:在实际访问过程中,当我们点击/student/user.do时,会执行Realm的doGetAuthorizationInfo方法,判断是否有权限

shiro学习心得
05-20
### Shiro 学习心得与应用实践 #### 一、Shiro 认证与权限管理基础 Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证(Authentication)、授权(Authorization)、加密(Cryptography)以及会话管理...
shiro框架学习心得
06-27
在实际使用中,以下是一些关键知识点: 1. **Web 应用集成**:Shiro 可以很方便地与Spring MVC 集成,通过Filter配置实现安全拦截。 2. **Remember Me** 功能:Shiro 提供了一键登录(Remember Me)的功能,可以在...
shiro框架的学习总结
青树寒鸦的博客
04-16 655
shiro使用,配置和理解
shiro常用配置
weixin_40655902的博客
12-28 306
快速开始 maven依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.3</version&g...
shiro介绍和使用
qq_28208093的博客
05-15 349
一、shiro 内部结构 1、shiro 包含的组件 shiro主要包括认证器(Authenticator),授权器(Authrizer),session会话管理(SessionManager),加密处理(Cryptography),记住我(remember me),对权限的缓存(CacheManager) 2、shiro 各组件介绍 Subject:主体,可以理解为 与应用交互的用户 subject 里包含用户的所有信息 如 用户信息,用户角色,用户权限,是否登录等等; Securit...
Shiro框架的配置和简单使用
qq_36983822的博客
01-02 387
1.配置shiro框架 1.1 导入shiro需要依赖的jar包 我是使用maven项目直接加载的。 在pom.xml文件中加入如下依赖: &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artif...
安全认证框架-Apache_Shiro研究心得
03-06
### 安全认证框架-Apache Shiro研究心得 #### Apache Shiro简介 Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常容易地开发出足够安全的应用——无论它们是部署...
Apache_Shiro参考手册中文版
08-12
教程以一个非常简单的命令行应用程序为例,它将运行并迅速退出,让开发者感受Shiro的API。这个示例可以适用于任何应用程序,无论其如何构建及部署。 要开始使用Shiro,首先需要确保Java环境至少为Java 1.5版本,...
SpringBoot整合Shiro
爱笑的boy的博客
10-05 1698
SpringBoot整合Shiro
SSH框架+shiro整合的maven项目pom文件--pom.xml
04-01
该pom文件整合了spring,struts2,hibernate5框架和shiro权限框架所需的jar包,完美无冲突
pom中shiro依赖需要添加的
wtfsb的博客
03-20 2069
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency>
maven中的groupId和artifactId到底指的是什么
成长是一辈子的事
09-21 755
---------------原文------------------- 转载自百度知道一位网友的回答 地址:https://zhidao.baidu.com/question/1639120287056394340.html   具体回答如下: groupid和artifactId被统称为“坐标”是为了保证项目唯一性而提出的,如果你要把你项目弄到maven本地仓库去,你想要找到你的项目就...
maven中的groupId和artifactId的作用
xqhys的博客
01-31 3191
groupid和artifactId被统称为“坐标”是为了保证项目唯一性而提出的,如果你要把你项目弄到maven本地仓库去,你想要找到你的项目就必须根据这两个id去查找。   groupId一般分为多个段,这里我只说两段,第一段为域,第二段为公司名称。域又分为org、com、cn等等许多,其中org为非营利组织,com为商业组织。举个apache公司的tomcat项目例子:这个项目的groupI
SpringBoot2.0集成Shiro (史上最最最最最全最详细!!!!!!!)
weixin_45423451的博客
11-21 4824
** 项目版本: ** springboot2.x shiro:1.3.2 Maven配置: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> ...
shiro入门
leungjy
02-03 157
一、 介绍: shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apa...
6.Spring Boot中使用Shiro
相互学习 共同进步
06-29 696
使用注解配置Shiro 1.导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupI
springboot 整合 shiro
g123321dad的博客
06-03 4606
踩的坑太多了,最大的还是包的引用,shiro给springboot专门有一个包,但是不好用,当全部自动化生成的时候,有些东西会奇奇怪怪的,所以还是自己用shiro-spring 进行一遍配置比较好,而且使用下面的这个包,可以使用thymeleaf-shiro,方便权限管理代码的写法。 <!--<dependency>--> &lt...
shiro+微信登录整合
weixin_44823155的博客
07-15 6273
(1)加密工具的抽取 import org.apache.shiro.crypto.hash.SimpleHash; public class MD5Util { //加密方式 public static final String ALGORITHMNAME = "MD5"; //盐值 public static final String SALT ="sourc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值