2. 程式人生 > >Shiro的簡單使用

Shiro的簡單使用

阿新 發佈:2019-01-02

一、shiro認證

1、請求認證
Subject subject = SecurityUtils.getSubject();// 根據執行環境返回subject
subject.login(token);// 這裡的token一般指的是 UsernamePasswordToken,引數有
                     // String username, String password, boolean rememberMe, String host ,有多種建構函式
2、通過SecurityManager執行認證
public void login(AuthenticationToken token) throws
 
 AuthenticationException {
    this.clearRunAsIdentitiesInternal();
    Subject subject = this.securityManager.login(this, token);// 呼叫securityManager
    String host = null;
    PrincipalCollection principals;
    if (subject instanceof DelegatingSubject) {
        DelegatingSubject delegating = (DelegatingSubject)subject;
        principals = delegating.principals;
        host = delegating.host;
    } else
 
 {
        principals = subject.getPrincipals();
    }// 無論怎麼樣principals = subject.getPrincipals();既使用者名稱

    if (principals != null && !principals.isEmpty()) {
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken)token).getHost();
        }

        if
 
 (host != null) {
            this.host = host;
        }

        Session session = subject.getSession(false);
        if (session != null) {
            this.session = this.decorate(session);
        } else {
            this.session = null;
        }

    } else {
        String msg = "Principals returned from securityManager.login( token ) returned a null or empty value.  This value must be non null and populated with one or more elements.";
        throw new IllegalStateException(msg);
    }
}
3、SecurityManager通過ModularRealmAuthenticator再通過realm進行認證

在自定義的Realm中完成認證

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    //獲取使用者的輸入的賬號.
    String username = (String) token.getPrincipal();
    User user = userService.selectByUsername(username);
    String password = user.getPassword();
    if (user == null) throw new UnknownAccountException();
    if (0 == user.getEnable()) {
        throw new LockedAccountException(); // 帳號鎖定
    }

    //通過這個進行認證,並返回
    SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, password, null, getName());

    Session session = SecurityUtils.getSubject().getSession();// 當驗證都通過後,把使用者資訊放在session裡
    session.setAttribute("userSession", user);
    session.setAttribute("userSessionId", user.getId());
    return simpleAuthenticationInfo;
}
4、認證的配置

這些配置在shiro的配置檔案中完成

    @Bean
    public MyShiroRealm myShiroRealm() {
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());// 憑證驗證器
        return myShiroRealm;
    }

    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {// 憑證驗證器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

        hashedCredentialsMatcher.setHashAlgorithmName("md5");//雜湊演算法:這裡使用MD5演算法;
        hashedCredentialsMatcher.setHashIterations(1);//雜湊的次數,比如雜湊兩次,相當於 md5(md5(""));

        return hashedCredentialsMatcher;
    }

二、shiro授權

1、ModularRealmAuthenticator通過realm進行認證

在自定義的Realm中完成授權,將使用者的許可權查出,配置到info中去。

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

    String username = (String) principalCollection.getPrimaryPrincipal();
    User user = userService.selectByUsername(username);

    Map<String, Object> map = new HashMap();
    map.put("userid", user.getId());

    List<Resources> resourcesList = resourcesService.loadUserResources(map);

    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();  // 許可權資訊物件info
    for (Resources resources : resourcesList) {
        info.addStringPermission(resources.getResurl()); // 在這裡存放查出的使用者的所有的角色(role)及許可權(permission)
    }
    return info;
}
2、授權的配置,通過filterChainDefinitionMap在Shiro的攔截器中配置

這些配置在shiro的配置檔案中完成

   @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setSuccessUrl("/usersPage");// 登入成功跳轉的頁
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");// 未授權介面;

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap();
        filterChainDefinitionMap.put("/logout", "logout");// 配置登出地址,不需要專門去寫控制器
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/img/**", "anon");
        filterChainDefinitionMap.put("/font-awesome/**", "anon");// 首先放過一般的靜態資源

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); // 配置所有需要攔截的地址
        return shiroFilterFactoryBean;
    }
2.1配置規則
// 將需要配置的地址放入map中,規則如下:
/**
anon:例子/admins/**=anon 沒有引數,表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要認證(登入)才能使用,沒有引數

roles(角色):例子/admins/user/**=roles[admin],引數可以寫多個,多個時必須加上引號,
並且引數之間用逗號分割,當有多個引數時,例如admins/user/**=roles["admin,guest"],
每個引數通過才算通過,相當於hasAllRoles()方法。

perms(許可權):例子/admins/user/**=perms[user:add:*],引數可以寫多個,多個時必須加上引號,
並且引數之間用逗號分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],
當有多個引數時必須每個引數都通過才通過,想當於isPermitedAll()方法。

rest:例子/admins/user/**=rest[user],根據請求的方法,相當於/admins/user/**=perms[user:method] ,
其中method為post,get,delete等。

port:例子/admins/user/**=port[8081],當請求的url的埠不是8081是跳轉到
schemal://serverName:8081?queryString,其中schmal是協議http或https等,
serverName是你訪問的host,8081是url配置裡port的埠,queryString是你訪問的url裡的?後面的引數。

authcBasic:例如/admins/user/**=authcBasic沒有引數表示httpBasic認證

ssl:例子/admins/user/**=ssl沒有引數,表示安全的url請求,協議為https

user:例如/admins/user/**=user沒有引數表示必須存在使用者,當登入操作時不做檢查
*/
// 詳情參考shiro.web.filter原始碼

三、shiro結合thymeleaf實現細粒度許可權控制

在shiro的配置檔案中加入

@Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

html中加入xmlns

<html lang="zh_CN" xmlns:th="http://www.thymeleaf.org"
      xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">

maven依賴

<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>1.2.1</version> 
</dependency>

相關推薦

shiro簡單學習的簡單總結

安全 多個 應該 資源 封裝 jdbc alt 技術 進入 權限和我有很大淵源。 培訓時候的最後一個項目是OA,權限那塊卻不知如何入手,最後以不是我寫的那個模塊應付面試。 最開始的是使用session裝載用戶登錄信息,使用簡單權限攔截器做到權限控制,利用資源文件的文件夾,利

spring boot整合shiro 簡單許可權控制

package me.config; import javax.annotation.Resource; import me.domain.entity.CmsUser; import me.service.UserService; import me.utils.MD5Util

shiro簡單入門介紹

shiro是apache的一個java安全框架 可以完成認證,授權,加密,會話管理,基於web繼承,快取等 功能簡介:    從外部來看:   shiro架構  Subject:主體,代表了當前“使用者”,這個使用者不一定是一個具體的人,與當前應用

1 Shiro簡單使用

程式碼git地址 https://github.com/3748/Shiro.git 1.1 依賴引入 <dependency> <groupId>org.apache.shiro</groupId> <artifactId&g

shiro簡單配置

注:這裡只介紹spring配置模式。 因為官方例子雖然中有更加簡潔的ini配置形式,但是使用ini配置無法與spring整合。而且兩種配置方法一樣,只是格式不一樣。 涉及的jar包 Jar包名稱 版本 核心包shiro-core 1.2.0 Web相

shiro 簡單登入demo

1.shiro 是java強大的安全認證框架 shiro框架的核心功能:認證,授權,會話管理,加密 shiro框架認證流程   Application Code:應用程式程式碼,由開發人員負責開發的 Subject:框架提供的介面,代表當前使用者物

shiro簡單理解

1.shiro所能做的事情驗證使用者來核實他們的身份 對使用者執行訪問控制,如:判斷使用者是否被分配了一個確定的安全形色判斷使用者是否被允許做某事 在任何環境下使用 Session API,即使沒有 Web 或 EJB 容器。 在身份驗證,訪問控制期間或在會話的生命週期,對

Apache Shiro簡單介紹

Apache Shiro是Java的一個安全框架。目前,使用Apache Shiro的人越來越多,因為它相當簡單,對比Spring Security,可能沒有Spring Security做的功能強大,但是在實際工作時可能並不需要那麼複雜的東西,所以使用小而簡單的Shiro

shiro 簡單使用

專案目錄結構:                      public class HelloWorld { public static void main(String[] args) { //讀取配置檔案,初始化SecurityManager工廠 Factor

簡單兩步快速實現shiro的配置和使用,包含登錄驗證、角色驗證、權限驗證以及shiro登錄註銷流程(基於spring的方式,使用maven構建)

protect login uid sim isa 當前 sub efi inf 前言: shiro因為其簡單、可靠、實現方便而成為現在最常用的安全框架,那麽這篇文章除了會用簡潔明了的方式講一下基於spring的shiro詳細配置和登錄註銷功能使用之外,也會根據慣例在文章最

Apache shiro簡單介紹與使用(與spring整合使用)

簡單介紹 ace .cn album spring 整合 amp 介紹 pri http://pic.cnhubei.com/space.php?uid=1774&do=album&id=1343605http://pic.cnhubei.com/space

簡單易用的Apache shiro框架,以及復雜完整的springboot security安全框架

port primary 框架 testin java ron none AS 實現 Shiro是一個強大的簡單的易用的Java安全框架。 實現認證、授權、加密、會話管理 primary concerns:Authentication、Authorization、Crypt

spring boot 與 shiro簡單整合使用

scheduler div turn map 用戶 ttr algorithm pen enc shrio官網:https://shiro.apache.org/ Apache Shiro是一個功能強大且易於使用的Java安全框架,可執行身份驗證,授權,加密和會話管理。借助

跟我學Shiro實踐-簡單的認證授權

pass 哪些 .com jin 怎麽 don AR ejb from 本文是基於張開濤老師的跟我學Shiro系列的個人實踐。幾個月前過了一遍張開濤的跟我學Shiro系列,因為沒有實踐,基本上又全部還給開濤老師了。趁著假期,這次準備將開濤老師的講解實踐一遍。當然本人的實踐不

SpringBoot2.x集成Apache Shiro並完成簡單的Case開發

token hash bat () 創建數據庫表 mbo form .get turn SpringBoot集成Apache Shiro環境快速搭建 在上文 Apache Shiro權限框架理論介紹 中,我們介紹了Apache Shiro的基礎理論知識。本文我們將在 Spr

idea中Shiro配置檔案實現簡單的賬號密碼驗證

1,首先匯入pom檔案jar包 <dependencies> <!-- 新增shiro支援,shiro的核心類庫 --> <dependency> <groupId>org.apache.shiro</groupId>

SSM+Shiro寫的一個簡單的登入驗證

專案結構 web.XML配置 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="

簡介Shiro安全框架簡單流程

shiro安全框架流程: 1.Apache Shiro (更輕量, 使用更簡單, 並不完全依賴 spring,可以獨立使用 ),Spring Security (使用複雜, 依賴 Spring) 2.體系結構分為6大類: Authentication 認證 ---- 使用者登入,

Spring整合Shiro簡單實用

匯入依賴 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-context</artifact

springboot整合shiro簡單實現

springboot整合shiro的簡單實現 注意: 1.shiro需要自行在doGetAuthenticationInfo方法中進行賬號密碼的校驗 2.ip+埠形式訪問頁面會被shiro攔截,如果沒有登入會被重定向到login頁面,如果登入會被重定向到index