2. 程式人生 > >成長記錄貼之springboot+shiro(一)

成長記錄貼之springboot+shiro(一)

阿新 發佈:2018-11-10

剛開始學習springboot+shiro的安全登入

專案整合參考的http://412887952-qq-com.iteye.com/blog/2299777,是我目前所見寫的最詳細的一位大佬

把各種問題和經驗記錄下來,以備後面學習使用。

這些只是小弟初學shiro的一些粗淺的理解,有錯誤和不完整的地方希望大佬指正

因為專案用到了thymeleaf模板管理前臺頁面,但是在引用layui的時候一直引用不到,最終解決方法如下

在application.properties中增加標紅的配置

spring.thymeleaf.cache=false

spring.thymeleaf.prefix=classpath:/templates/
spring.thymeleaf.suffix=.html
spring.thymeleaf.mode=LEGACYHTML5
spring.thymeleaf.encoding=utf-8
spring.thymeleaf.content-type=text/html

spring.mvc.static-path-pattern=/static/**

重新梳理一下shiro各種配置

 1.登入/註冊時密碼驗證:

    1.1 解密演算法配置:在ShiroConfig中配置,這裡的雜湊演算法和雜湊次數要和註冊時對應

@Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

        hashedCredentialsMatcher.setHashAlgorithmName("md5");//雜湊演算法:這裡使用MD5演算法;
        hashedCredentialsMatcher.setHashIterations(1024);//雜湊的次數,比如雜湊兩次,相當於 md5(md5(""));

        return hashedCredentialsMatcher;
    }

 1.2在自己定義的ShiroRealm類,doGetAuthenticationInfo方法返回SimpleAuthenticationInfo物件,

       shiro會幫我們用SimpleAuthenticationInfo物件進行登入驗證

 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                userInfo, //使用者
                userInfo.getPassword(), //密碼


                //鹽值
                //如果註冊時加鹽加密了,這裡需要將鹽值傳入
                //shiro根據鹽值進行密碼解密,然後與頁面輸入的密碼匹配
                //getCredentialsSalt獲取username+salt,我註冊時將username+salt作為真正的鹽值
                //如果註冊時只用salt的話,這裡就直接獲取userinfo的salt就行
                ByteSource.Util.bytes(userInfo.getCredentialsSalt()),

                getName()  //realm name
        );

 

1.3.shiro註冊,這裡的密碼加密配置和1.1中的配置對應即可

@RequestMapping("/register") 
public String register(UserInfo user) {
       String username=user.getUsername();
       String password1=user.getPassword();

        //這裡是獲取加密時的鹽值,我這裡將使用者名稱作為鹽值,最好使用隨機數
        ByteSource salt = ByteSource.Util.bytes(username);

        //使用username+salt作為真正的鹽值,也可以只用salt;1024是加密次數,暫時不知道具體細節,與解密配置對應就行
        String password = new SimpleHash("MD5", password1,username+salt,1024).toString();
        

        //這裡只將salt放入資料庫中,解密時獲取username+salt
        user.setSalt(salt.toString());

        user.setPassword(password);

        byte by=1;
        user.setState(by);
        dao.save(user);
       return "login";
    }

2.許可權管理

2.1在ShiroConfig中注入許可權管理的Bean

@Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

2.2然後在shiroRealm中獲取使用者許可權交給shiro進行控制

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        UserInfo userInfo  = (UserInfo)principals.getPrimaryPrincipal();
        for(SysRole role:userInfo.getRoleList()){
            authorizationInfo.addRole(role.getRole());
            for(SysPermission p:role.getPermissions()){
                authorizationInfo.addStringPermission(p.getPermission());
            }
        }
        return authorizationInfo;
    }

具體流程大致是,根據使用者與角色對照表獲取角色-->根據角色與資源對照表獲取資源-->交給shiro判斷使用者是否有許可權訪問該資源

表結構如下

使用者表

使用者與角色對照表

 

角色表

角色與資源對照表

資源表

 

接上大佬寫的教程,基本就可以正常進行安全登入和許可權的控制了

這些只是小弟初學shiro的一些粗淺的理解,有錯誤和不完整的地方希望大佬指正

相關推薦

成長記錄springboot+shiro

剛開始學習springboot+shiro的安全登入 專案整合參考的http://412887952-qq-com.iteye.com/blog/2299777,是我目前所見寫的最詳細的一位大佬 把各種問題和經驗記錄下來,以備後面學習使用。 這些只是小弟初學shiro的一些粗淺的理解,有

成長記錄springboot+shiro {完成一個完整的許可權控制,詳細步驟}

       近一個月比較忙,公司接了一個新專案,領導要求用shiro進行安全管理,而且全公司只有我一個java,從專案搭建到具體介面全是一個人再弄。不過剛好前段時間大概學習了一下shiro的使用,還算順利。       &n

複習SpringBoot應用——SpringBoot檔案上傳

檔案上傳可以說開發人員的基本技能 SpringBoot專案結構與ssm有很大區別,檔案上傳也有差異 頁面 <!DOCTYPE html> <html> <head> <title>檔案上傳示例</

SpringBoot 學習---- SpringBoot 核心 Spring Boot基本配置介紹

一、關閉某個自動配置 通過上一篇 @SpringBootApplication 下的 @EnableAutoConfiguration 可知,Spring Boot 會根據專案中的jar包依賴,自動做出配置,Spring Boot支援的部分自動配置如下圖(非常多):

部署Django部落格全記錄Nginx篇

Nginx的優點 注:具體原理沒搞清,先記著 Nginx更安全;Nginx能更好地處理靜態資源(通過一些http request header)。 Nginx也可以快取一些動態內容;Nginx可以更好地配合CDN。 Nginx可以進行多臺機器的負載均

SpringBoot整合shiro基礎配置

公司專案採用的spring-boot框架。在做使用者許可權功能的時候準備採用shiro許可權框架。前面也考慮過spring家族的spring security安全框架。但是經過網上查詢對比最終選擇了shiro。因為shiro含有基本的安全控制功能,並且配置更為簡

SpringBoot原始碼事物篇事物是在哪裡開啟的呢?

最近正在學習使用JPA,JPA是預設開啟事物管理的,在哪裡開啟的呢???突然覺得對spring處理事物的原理一竊不通,才有了這次的原始碼閱讀之行,有不正確的地方歡迎大家指正。 先簡略過一下springboot的執行原理 public void pr

springboot原始碼解析-管中窺豹系列總體結構

# 一、簡介 - Springboot原始碼解析是一件大工程,逐行逐句的去研究程式碼,會很枯燥,也不容易堅持下去。 - 我們不追求大而全,而是試著每次去研究一個小知識點,最終聚沙成塔,這就是我們的springboot原始碼管中窺豹系列。 ![ 簡介 ](https://zhangbin1989.gitee.

設計模式問題集錦

是把 後繼 ogr data- 跟著 沒有 解釋器 space 基本實現 設計模式的主要資料是《大話設計模式》。第一階段先看看各種模式的基本概念。實現每一個模式下的樣例。然後在進行理解性的學習和掌握,靈活掌握各種模式的長處,知道某種模式適合那種狀態。如今,樣

MVC系列博客排球計分需求分析

height repl 系列 ges 優勢 針對 .... 9.png ota 項目簡介: 這是MVC系列博客之排球計分程序,該程序可以是對教練或者裁判使用的,讓教練有權限對隊員進行查詢得分情況,讓教練對隊員的優勢劣勢進行了解,以便對隊伍進行調整。 讓裁判更

android深入設計模式托付模式

-h listen back != new 聚合 string static data- (一)托付模式簡單介紹 托付模式是主要的設計模式之中的一個。托付。即是讓還有一個對象幫你做事情。 更多的模式,如狀態模式、策略模式、訪問者模式本質上是在更特殊的場合採用了托

JavaSE 學習筆記Java概述

environ 電子 6.0 run javase 有一點 架構 spa form 一、Java的三種技術架構: JAVAEE:Java Platform Enterprise Edition,開發企業環境下的應用程序,主要針對web程序開發; JAVASE:Java P

Java集合初探

lin 數據改變 排序。 方法 規則 找不到 集合 回收 for循環 一、集合概述、區別 集合是一種容器,數組也是一種容器 在Java編程中,裝各種各樣的對象(引用類型)的叫做容器。 為什麽出現集合類? 面向對象語言對事物的體現都是以對象的形式,所以為了方便對多個對象的操作

Spring源碼分析IOC容器

util 感覺 不能 end bsp initial 博文 要掌握 sof   Spring作為當今風靡世界的Web領域的第一框架,作為一名Java開發程序員是一定要掌握的,除了需要掌握基本的使用之外,更需要掌握其實現原理,因為我們往往在開發的過程中,會出現各種各樣的異常問

Spring源碼閱讀Springs-beans容器的基本實現

beans 閱讀 gin com -i add wid ans lock 一、Spring-beans Spring源碼閱讀之Springs-beans(一)容器的基本實現

我的IT夢——web前端開發HTML,CSS

jpg 標記語言 方便 add body 前端 input cti 列表 HTML HTML全稱HyperText Markup Language(超文本標記語言) 標簽成對出現 <!DOCTYPE html> 文檔類型定義 < > 標

學就會ado.net

content pan http 使用 lang p s 獲取 mdk XML ado.net十一組用於和數據源進行交互的面向對象類庫。數據源能夠是數據庫也能夠是文本文件、excel表格或者XML文件。簡單來說。ado.net就是與不

Nginx基本介紹

動靜分離 quit 共享內存 oct bytes err 配置文件 默認頁 日誌格式 這是一篇介紹Nginx基本信息和配置文件詳情的文章,適合入門者,如果你想深入了解Nginx請繞道 什麽是Nginx?   Nginx是輕量級,高性能,跨平臺的web服務器 Nginx的特點

SIPP常用腳本register註冊

general sof pub -m part cse have lin ica SIPP,VOIP並發測試、性能測試的神器。 本文記錄一下常用的腳本文件。 一、reg.xml 此文件是sipp的執行的腳本流程。 <!-- --> <!-- You sh

CLR設計類型接口

定義 除法 文章 div 面向 display ron 意思 color 寫到這一節的時候,CLR設計類型就已經結束了,因為CLR要求的是有一定基礎的人看的,所以我們不是從基礎類型以及運算符開始的,文章從一開始就講的是深入面向對象編程,研究C#程序的