2. 程式人生 > >【Apache-Shiro】shiro配置詳解

【Apache-Shiro】shiro配置詳解

阿新 發佈:2019-02-05

Apache-Shiro旨在簡化身份驗證和授權,為企業應用提供安全解決方案。

1.配置web.xml

<filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param
 
-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

2.配置shiro.xml

<!-- 安全認證過濾器 -->
 

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/user/login"/>
    <property name="successUrl" value="/company/index"/>
    <property name="filters"
 
>
        <map>
            <entry key="user" value-ref="userFilter"/>
            <entry key="authc" value-ref="formAuthenticationFilter"/>
        </map>
    </property>
    <property name="filterChainDefinitions">
        <ref bean="shiroFilterChainDefinitions"/>
    </property>
</bean>
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

<bean name="shiroFilterChainDefinitions" class="java.lang.String">
        <constructor-arg>
            <value>
                /static/** = anon
                /user/login = authc
                /user/logout = logout
                /user/** = anon
                /** = user
            </value>
        </constructor-arg>
    </bean>
<!-- 配置安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="systemAuthorizingRealm"/>
    <property name="sessionManager" ref="sessionManager"/>
    <property name="cacheManager" ref="shiroCacheManager"/>
</bean>

<bean id="sessionManager" class="com.test.common.security.shiro.session.SessionManager">
    <property name="sessionDAO" ref="sessionDAO"/>

    <!-- 會話超時時間,單位:毫秒  300-->
    <property name="globalSessionTimeout" value="1800000"/>

    <!-- 定時清理失效會話, 清理使用者直接關閉瀏覽器造成的孤立會話   -->
    <property name="sessionValidationInterval" value="120000"/>
    <property name="sessionValidationSchedulerEnabled" value="true"/>

    <property name="sessionIdCookie" ref="sessionIdCookie"/>
    <property name="sessionIdCookieEnabled" value="true"/>
</bean>
<bean id="sessionDAO" class="com.test.common.security.shiro.session.CacheSessionDAO">
    <property name="sessionIdGenerator" ref="idGen"/>
    <property name="activeSessionsCacheName" value="activeSessionsCache"/>
    <property name="cacheManager" ref="shiroCacheManager"/>
</bean>
<bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManager" ref="cacheManager"/>
</bean>

和spring-security一樣,DelegatingFilterProxy是一個代理過濾器,目標過濾器是shiroFilter。而shiroFilter在配置項中是一個ShiroFilterFactoryBean工廠。其實在建立例項的時候ShiroFilterFactoryBean會建立一個SpringShiroFilter類,所以最終代理的是SpringShiroFilter.如下所示:

public Object getObject() throws Exception {
    if (instance == null) {
        instance = createInstance();
    }
    return instance;
}
protected AbstractShiroFilter createInstance() throws Exception {
    log.debug("Creating Shiro Filter instance.");
    SecurityManager securityManager = getSecurityManager();
    if (securityManager == null) {
        String msg = "SecurityManager property must be set.";
        throw new BeanInitializationException(msg);
    }

    if (!(securityManager instanceof WebSecurityManager)) {
        String msg = "The security manager does not implement the WebSecurityManager interface.";
        throw new BeanInitializationException(msg);
    }

    FilterChainManager manager = createFilterChainManager();

    //Expose the constructed FilterChainManager by first wrapping it in a
    // FilterChainResolver implementation. The AbstractShiroFilter implementations
    // do not know about FilterChainManagers - only resolvers:
    PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
    chainResolver.setFilterChainManager(manager);

    //Now create a concrete ShiroFilter instance and apply the acquired SecurityManager and built
    //FilterChainResolver.  It doesn't matter that the instance is an anonymous inner class
    //here - we're just using it because it is a concrete AbstractShiroFilter instance that accepts
    //injection of the SecurityManager and FilterChainResolver:
    return new SpringShiroFilter((WebSecurityManager) securityManager, chainResolver);
}

系統預設的Subject其實是DelegatingSubject類,其中的login方法是委託給securityManager來執行。

public void login(AuthenticationToken token) throws AuthenticationException {
        clearRunAsIdentitiesInternal();
        Subject subject = securityManager.login(this, token);

        PrincipalCollection principals;

        String host = null;

        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                    "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
            this.host = host;
        }
        Session session = subject.getSession(false);
        if (session != null) {
            this.session = decorate(session);
        } else {
            this.session = null;
        }
    }

securityManager執行的時候委託給authenticator來執行authenticate,而authenticator是ModularRealmAuthenticator類。跟蹤原始碼如下:

protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        if (!realm.supports(token)) {
            String msg = "Realm [" + realm + "] does not support authentication token [" +
                    token + "].  Please ensure that the appropriate Realm implementation is " +
                    "configured correctly or that the realm accepts AuthenticationTokens of this type.";
            throw new UnsupportedTokenException(msg);
        }
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        if (info == null) {
            String msg = "Realm [" + realm + "] was unable to find account data for the " +
                    "submitted AuthenticationToken [" + token + "].";
            throw new UnknownAccountException(msg);
        }
        return info;
    }

而realm就是我們定義的自定義資料來源systemAuthorizingRealm。上述就是shiro認證過程。而shiro攔截請求後如何執行過濾器鏈的。
shiro攔截到request請求後,首先會去獲取FilterChain。

protected FilterChain getExecutionChain(ServletRequest request, ServletResponse response, FilterChain origChain) {
        FilterChain chain = origChain;

        FilterChainResolver resolver = getFilterChainResolver();
        if (resolver == null) {
            log.debug("No FilterChainResolver configured.  Returning original FilterChain.");
            return origChain;
        }

        FilterChain resolved = resolver.getChain(request, response, origChain);
        if (resolved != null) {
            log.trace("Resolved a configured FilterChain for the current request.");
            chain = resolved;
        } else {
            log.trace("No FilterChain configured for the current request.  Using the default.");
        }

        return chain;
    }

以上的resolver其實是PathMatchingFilterChainResolver例項,

public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {
        FilterChainManager filterChainManager = getFilterChainManager();
        if (!filterChainManager.hasChains()) {
            return null;
        }

        String requestURI = getPathWithinApplication(request);

        //the 'chain names' in this implementation are actually path patterns defined by the user.  We just use them
        //as the chain name for the FilterChainManager's requirements
        for (String pathPattern : filterChainManager.getChainNames()) {

            // If the path does match, then pass on to the subclass implementation for specific checks:
            if (pathMatches(pathPattern, requestURI)) {
                if (log.isTraceEnabled()) {
                    log.trace("Matched path pattern [" + pathPattern + "] for requestURI [" + requestURI + "].  " +
                            "Utilizing corresponding filter chain...");
                }
                return filterChainManager.proxy(originalChain, pathPattern);
            }
        }

        return null;
    }

上面程式碼就是將request請求路徑和filterChainDefinitions做比較。匹配上了之後會返回過濾器,然後執行該過濾器。

相關推薦

Java日誌log4j配置

#設定日誌的級別,以及日誌所使用的appender log4j.rootLogger=all, console, file ### 控制檯 ### log4j.appender.console=org.apache.log4j.ConsoleAppender log4j.appender.cons

wrapperweapper 配置消化

       將一個簡單的程度如HelloWorld 的應用包裝秤Wrapper 服務並不複雜,甚至可以認為非常簡單。但是實際專案應用過程中我們的程式一般較龐大,執行環境也較複雜。     &nb

YARN and MapReduce的記憶體優化配置

在Hadoop2.x中, YARN負責管理MapReduce中的資源(記憶體, CPU等)並且將其打包成Container。使之專注於其擅長的資料處理任務, 將無需考慮資源排程. 如下圖所示    YARN會管理叢集中所有機器的可用計算資源. 基於這些資源YARN會排程應用

Apache日誌輪詢配置

Apache日誌輪詢介紹 Apache日誌輪詢配置 Apache虛擬主機日誌輪詢 Apache日誌輪詢配置詳解1、apache日誌輪詢作用隨著服務器的不斷運行,日誌文件會越來越大,如果不小心把日誌文件放到了/var之類位置,日誌文件可能寫滿分區,從而導致服務器被迫停止運行。這種事情確實曾經發生過。

深度學習Tensorflow函式

  目錄 tf.truncated_normal tf.random_normal tf.nn.conv2d tf.nn.max_pool tf.reshape tf.nn.softmax tf.reduce_sum tf.reduce_max,tf.r

C/C++sizeof 關鍵字

The sizeof keyword gives the amount of storage, in bytes, associated with a variable or a type (including aggregate types). This

SpringBoot系列SpringBoot註解

一、註解(annotations)列表  @SpringBootApplication:包含了@ComponentScan、@Configuration和@EnableAutoConfiguration註解。其中@ComponentScan讓Spring Boot掃描到Con

機器學習XgBoost 原理 數學推導

XgBoost   (Xtreme Gradient Boosting 極限 梯度 增強) 1.基本描述:             假設Xg-模型有 t 顆決策樹數,t棵樹有序串聯構成整個模型,各決策樹的葉子節點數為 k1,k2,...,kt,             

機器學習AdaBoost 原理 數學推導

AdaBoost 自適應 增強             Boosting系列代表演算法,對同一訓練集訓練出不同的(弱)分類器,然後集合這些弱分類器構成一個更優效能的(強)分類器             

目標檢測FastRCNN演算法

摘自沈曉璐 有待補充自己的理解. 繼2014的RCNN之後,推出了FastRCNN ,構思精巧,流程更為緊湊,大幅提升了目標檢測的速度。 同樣使用最大規模的網路,FastRCNN 和RCNN相比,訓練時間從84小時減少為9.5小時,測試時間從47秒,減少為

菜鳥RESTful 架構

RESTful 架構詳解 分類 程式設計技術 1. 什麼是REST REST全稱是Representational State Transfer,中文意思是表述(編者注:通常譯為表徵)性狀態轉移。 它首次出現在2000年Roy Fielding的博士論文中,Roy F

深度學習Inception層

本文參考Torch的dpnn包中Inception層的原始碼,講解該模組引數含義以及網路結構。 核心思想 Inception模組的起點是類似下圖的結構:通道從M變換到N,把多個不同尺寸的卷積結果串接(concat)起來。 由於M,N往往很大,這種結

資料結構AVL樹

1.什麼是AVL樹 AVL樹又稱平衡二叉搜尋樹,它能保證二叉樹高度相對平衡,儘量降低二叉樹的高度,提高搜尋效率。單純的二叉搜尋樹在最壞的情況下插入查詢刪除等操作時間複雜度會是O(N), 例如: 所以,AVL樹就能避免這種情況,使得增刪查改的時間複雜度為O(lgN). (p

網路程式設計滑動視窗 (TCP流量控制)

滑動視窗 (TCP流量控制) 介紹UDP時我們描述了這樣的問題:如果傳送端傳送的速度較快,接收端接收到資料後處理的速度較慢,而接收緩衝區的大小是固定的,就會丟失資料。TCP協議通過“滑動視窗(Slid

目標檢測RCNN演算法

Girshick, Ross, et al. “Rich feature hierarchies for accurate object detection and semantic segmentation.” Proceedings of the IE

Android測試Uiautomator——API

簡單的例子   以一個簡單的例子開始吧。我們完成一個 " 開啟QQ,進入QQ空間,然後退出 " 的case。   程式碼如下: package QQ;   import java.io.IOException;   impor

PL/SQL儲存過程

什麼是儲存過程 儲存過程是一種命名的PL/SQL程式塊,既可以沒有引數也可以有若干個輸入,輸出引數,但是它通常沒有返回值。儲存過程被儲存在資料庫中,可以被SQL語句直接呼叫,只能通過EXECUT命令或者在PL/SQL程式塊內部被呼叫。由於儲存過程是已經編譯好的程式碼,因此被呼叫或者引用時,執行效

076:Django資料庫F表示式

F表示式詳解: F表示式 是用來優化 ORM 操作資料庫的。比如我們要將公司所有員工的薪水都增加1000元,如果按照正常的流程,應該是先從資料庫中提取所有的員工工資到Python記憶體中,然後使用Python程式碼在員工工資的基礎之上增加1000元,最後再儲存到資料庫中。這裡面涉及的流程就是,首先從資料庫中

077:Django資料庫Q表示式

Q表示式詳解: 如果想要實現所有價格高於100元,並且評分達到9.0以上評分的圖書。那麼可以通過以下程式碼來實現: books = Book.objects.filter(price__gte=100,rating__gte=9) 以上這個案例是一個並集查詢,可以簡單的通過傳遞多個條件進去來實

079:Django資料庫QuerySet API-filter、exclude、annotate

QuerySet API詳解-filter、exclude、annotate: 在使用 QuerySet 進行查詢操作的時候,可以提供多種操作。比如過濾完後還要根據某個欄位進行排序,那麼這一系列的操作我們可以通過一個非常流暢的 鏈式呼叫 的方式進行。比如要從文章表中獲取標題為 123 ,並且提取後