2. 程式人生 > >shiro框架java使用

shiro框架java使用

阿新 發佈:2018-11-26

大綱

Shiro簡介及架構圖講解

ini配置檔案講解

Shiro搭建及簡單認證實現

加密及憑證匹配器

Spring整合Shiro完成登入功能.

 

知識點詳解

一、Shiro簡介

1.Shiro一個Java許可權框架.

1.1在專案中把涉及到許可權的業務提出來用shiro完成.

2.Shiro架構圖

2.1 Subject 主體.對應一個使用者,使用者所有的資訊都存放在Subject中.無論什麼程式語言只要有Subject都可以使用Shiro框架.

2.2 Cryptography: Shiro密碼管理功能.

2.2.1 密碼加密,加鹽,迭代等等.

2.3 Security Manager: 許可權管理器.Shiro核心內容.所有Shiro功能都封裝到Security Manager

2.4 Authenticator: 認證器. 例如登入註冊等功能就屬性認證功能.

2.5 Authorizer:授權器. 例如:判斷使用者是否具有某個角色,判斷使用者是否有某個許可權,判斷使用者可以訪問的選單.

2.6 Session Manager : Session管理器.使用Shiro後,shiro會禁用HttpSession,使用Shiiro自己的Session管理器.

2.7 Cache Manager : 快取管理. 支援Cookie的快取(remember me),支援Redis的快取.

2.8 Realm: 域.作用是當Shiro希望訪問資料庫時,通過Realm元件完成的.

 

二、Shiro.ini檔案

1.ini (InitializationFile) 初始檔案.Window系統副檔名.

2.Shiro 使用時可以連線資料庫,也可以不連線資料庫.

2.1 如果不連線資料庫,可以在shiro.ini中配置靜態資料.

3. Shiro.ini檔案組成部分

3.1[main] :定義全域性變數

3.1.1 內建securityManager物件.

3.1.2 操作內建物件時,在[main]裡面寫東西\

[main]

securityManager.屬性=值

 

myobj=com.bjsxt.lei

securityManager.物件屬性=$myobj

3.2[users] :定義使用者名稱和密碼

[users]

# 定義使用者名稱為zhangsan 密碼為zs

zhangsan=zs

# 定義使用者名稱lisi密碼為lisi同時具有role1和role2兩個角色

lisi=lisi,role1,role2

3.3[roles]: 定義角色

[roles]

role1=許可權名1,許可權名2

role2=許可權3,許可權4

3.4[urls] : 定義哪些內建urls生效.在web應用時使用.

[urls]

url地址=內建filter或自定義filter

# 訪問時出現/login的url必須去認證.支援authc對應的Filter

/login=authc

# 任意的url都不需要進行認證等功能.

/** = anon

# 所有的內容都必須保證使用者已經登入.

/**=user

# url abc 訪問時必須保證使用者具有role1和role2角色.

/abc=roles[“role1,role2”]

三、Shiro 環境搭建實現認證

認證流程

 

實現步驟

2.1 在pom.xml中匯入jar

   <dependencies>

      <dependency>

         <groupId>org.apache.shiro</groupId>

         <artifactId>shiro-core</artifactId>

         <version>1.3.2</version>

      </dependency>

      <!-- <dependency>

         <groupId>commons-logging</groupId>

         <artifactId>commons-logging</artifactId>

         <version>1.2</version>

      </dependency> -->

   </dependencies>

2.2 在src /java/resources下新建shiro.ini檔案

[users]

zhangsan=zs

2.3 編寫程式碼,實現認證

      // SecurityManager JDK也有這個類,在java.lang包

      Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

      SecurityManager sm = factory.getInstance();

      // 只要執行緒不變,Subject不變

      SecurityUtils.setSecurityManager(sm);

      Subject subject = SecurityUtils.getSubject();

      // Subject subject = (new Subject.Builder()).buildSubject();

      // 客戶端傳遞過來的使用者名稱和密碼

      UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "zs");

      try {

         subject.login(token);

         System.out.println("登入成功");

      } catch (UnknownAccountException e) {

         System.out.println("賬戶不存在");

      } catch (IncorrectCredentialsException e) {

         System.out.println("密碼錯誤");

      }

四、實現授權

1.流程圖

2.常用api

2.1 subject.hasRole(“”); 判斷是否有角色

2.2 subject.hashRoles(List);分別判斷使用者是否具有List中每個內容

2.3 subject.hasAllRoles(Collection);返回boolean,要求引數中所有角色使用者都需要具有.

2.4 subject.isPermitted(“”);判斷是否具有許可權.

五、自定義Realm

1. Principal:身份

1.1 使用者名稱可以是身份

1.2 郵箱可以是身份.

1.3 手機可以是身份.

1.4 使用者物件也可以是身份.

2.Credentials:憑證.

2.1 密碼可以是憑證

2.2 證書也是可以是憑證.

3. SecurityManager介面只有一個普通javaDefaultSecurityManager

4. 實現步驟:

4.1 新建類繼承AuthorizingRealm

4.2 doGetAuthenticationInfo實現認證過程.

4.3 程式碼

public class MyRealm extends AuthorizingRealm{

 

   //執行授權方法

   @Override

   protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

      // TODO Auto-generated method stub

      return null;

   }

   //執行認證

   //當subject.login()時自動呼叫該方法

   @Override

   protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

      Object obj = token.getPrincipal();

      System.out.println("principal:"+obj);

      Object obj2 = token.getCredentials();

      new String((char[])obj2);

      System.out.println("credentials:"+new String((char[])obj2));

     

      //如果方法返回值為null,shiro認為使用者名稱不存在.

      //如果返回值不是null,判斷AuthenticationInfo中憑證和subject.login時憑證是否匹配

      //第一個引數: 第一個引數寫什麼以後登入這個使用者的身份就是什麼.

      //第二個引數是從資料庫中取出的憑證資訊,判斷這個資訊和subject.login()第二個引數是否匹配.

      //第三個引數:都是使用者主鍵值.

      SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(obj, "zs", "myrealm");

      return info;

   }

 

}

4.4 shiro.ini中配置自定義Realm

[main]

myrealm=com.bjsxt.realm.MyRealm

 

securityManager.realms=$myrealm

4.5 執行subject.login()呼叫doGetAuthenticationInfo

六. 憑證匹配器

1. 保證資料庫中密碼是加密的密碼

2.在shiro.ini中配置憑證匹配器

[main]

myrealm=com.bjsxt.realm.MyRealm

# 定義憑證匹配器類

credentialsMatcher =org.apache.shiro.authc.credential.HashedCredentialsMatcher

# 設定加密演算法

credentialsMatcher.hashAlgorithmName=md5

# 迭代次數

credentialsMatcher.hashIterations=2

# 引用憑證匹配器

myrealm.credentialsMatcher=$credentialsMatcher

 

securityManager.realms=$myrealm

3.在自定義realm中

3.1 第三個引數:加鹽值. 型別是ByteSource型別,bytes()跟字串型別,不能使用Long

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(token.getPrincipal(),rs.getObject("password"),

               ByteSource.Util.bytes(rs.getObject("id").toString())   ,"key:"+rs.getObject("id"));

七、自定義Realm中-doGetAuthorizationInfo()

   1.該方法被執行情況

  1. java中hasRole() , isPermitted();
  2. 使用註解

   @RequiresRoles("role1")

   @RequiresPermissions("")

    2.在jsp中標籤

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

 

   <shiro:hasRole name="role1">

      abc

   </shiro:hasRole>

   <shiro:hasPermission name="quanxian">

      jqk

   </shiro:hasPermission>

 

相關推薦

shiro框架java使用

大綱 Shiro簡介及架構圖講解 ini配置檔案講解 Shiro搭建及簡單認證實現 加密及憑證匹配器 Spring整合Shiro完成登入功能.   知識點詳解 一、Shiro簡介 1.Shiro一個Java許可權框架. 1.1在專案中把涉及到許可權的

shirojava安全框架

以下都是綜合之前的人加上自己的一些小總結 Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼學和會話管理。使用Shiro的易於理解的API,您可以快速、輕鬆地獲得任何應用程式,從最小的移動應用程式到最大的網路和企業應用程式。 Sh

shirojava安全框架

shiro是幹什麼的: Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼學和會話管理。 為什麼要學shiro?優勢在哪? 既然shiro將安全認證相關的功能抽取出來組成一個框架,使用shiro就可以非常快速的完成認證、授權等功能的開發

Apache ShiroJava 認證授權框架 SSO 單點等了解決方案

package shiro; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.*; import org.apache.shiro.config.IniSecurityManagerFactory; import or

erp12---shiro框架使用

.org print tid 令牌 rim 整合 one 初始化 session管理 一、知識點:1、認證:用戶身份識別,常被稱為用戶登錄,判斷用戶是否登錄,如果未登錄則攔截其請求;授權:訪問控制,當用戶登錄之後,判斷其身份是否有權限訪問相應的資源,如果沒有權限則攔截2、認

第10篇-JAVA 集合框架-JAVA 泛型

java集合框架 java泛型 第10篇-JAVA 集合框架-JAVA 泛型每篇一句 :所有的不甘,都是因為還心存夢想初學心得: 不是每件事都註定會成功,但是每件事都值得一試(筆者:JEEP/711)[JAVA筆記 | 時間:2017-04-15| JAVA 集合框架/JAVA 泛型 ]1.JAVA

shiro框架--權限管理

erp att equal context generate servle req ssi chain 一.maven坐標 1 <!-- 權限控制 框架 --> 2 <dependency> 3 <gr

web項目整合Shiro框架

dtd con ron package ini 認證 utf ide -type 1、修改pom.xml文件   <dependency> <groupId>org.apache.shiro</groupId>

Ehcache緩存框架Shiro 框架 出現出現驗證錯誤 && Tomcat 緩存清除的問題

輸入 後臺 一起 logs 並且 我想 。。 ehcache 清除 當一個項目使用久了以後就會出現各種問題,下面是我遇到的一個權限驗證錯誤的問題 我的項目是 Ehcache 結合 Shiro 一起使用的,項目用用久了出現 Token驗證錯誤,Co

shiro框架的四中權限控制方式

ont -type cnblogs cocos cglib ram rms zed dai https://www.cnblogs.com/cocosili/p/7103025.html 一.在自定義的realm中進行權限控制   在applicationContext.x

java 後臺框架 支持APP接口調用 APP後臺 手機後臺框架java springmvc myb

圖片裁剪 穩定 line 爬取圖片 均可 druid 富文本編輯 文本框 純java A代碼編輯器,在線模版編輯,仿開發工具編輯器,pdf在線預覽,文件轉換編碼B 集成代碼生成器 [正反雙向](單表、主表、明細表、樹形表,快速開發利器)+快速表單構建器freemaker模版

主流 SSM 框架Java 後臺 springmvc mybatis 有代碼生成器

javaA代碼編輯器,在線模版編輯,仿開發工具編輯器,pdf在線預覽,文件轉換編碼B 集成代碼生成器 [正反雙向](單表、主表、明細表、樹形表,快速開發利器)+快速表單構建器freemaker模版技術 ,0個代碼不用寫,生成完整的一個模塊,帶頁面、建表sql腳本,處理類,service等完整模塊C 集成阿裏巴

簡單易用的Apache shiro框架,以及復雜完整的springboot security安全框架

port primary 框架 testin java ron none AS 實現 Shiro是一個強大的簡單的易用的Java安全框架。 實現認證、授權、加密、會話管理 primary concerns:Authentication、Authorization、Crypt

使用shiro框架,註銷問題的解決

subject @service ret 使用 efi resp @override 代碼 con 在使用shiro框架的時候,有時候會因為登錄問題找不到註銷的controller。所以會報404的錯誤,下面是解決辦法: 1.首先寫一個類SystemLogoutFilter

設定session失效時間(不使用框架)----使用shiro設定session失效時間(使用shiro框架)

Java設定session失效的時間(不使用框架) 在一般系統登入後,都會設定一個當前session失效的時間,以確保在使用者長時間不與伺服器互動,自動退出登入,銷燬session 具體設定的方法有三種: 1.在web容器中設定(以tomcat為例) 在tomcat-7.0\c

shiro框架基礎

1.shiro簡介 Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。 官網:shiro.apache.org shiro作用:驗證使用者、對使用者執行訪問控制、可以使用多個數據庫、單點登入功能(SSO)   shiro框架

shiro框架入門

pan sub bubuko alt 簡介 man spa info font 一、shiro框架簡介 Apache Shiro是Java的一個安全框架。其內部架構如下: 下面來介紹下裏面的幾個重要類: Subject:主體,應用代碼直接交互的對象就是Subject。代表

shiro框架學習筆記

最近學習了 許可權框架shiro的知識,做一下 學習的筆記 使用ini 這是shiro 最簡單的用法,首先建立一個demo.ini檔案,裡面寫入如下的內容 [users] xiezihao=123456,admin [roles] admin = user.inse

Shiro框架在CORS跨域訪問中遇到的問題及解決

背景 最近做一個前後端分離的專案時,使用shiro做許可權管理時遇到跨域問題,這裡做一下記錄。   原因 後端通過Shiro配置URL過濾, shiroFilterFactoryBean.setLoginUrl("/unauth"); 預設對於沒有授權的訪問

shiro框架簡介

這裡是修真院後端小課堂,每篇分享文從 【背景介紹】【知識剖析】【常見問題】【解決方案】【編碼實戰】【擴充套件思考】【更多討論】【參考文獻】 八個方面深度解析後端知識/技能,本篇分享的是: 【shiro框架簡介】 【修真院java小課堂】shiro框架簡介 大家好,我是IT修真