大数据WEB阶段 shiro安全控制框架
2024-05-03 15:12:50
shiro安全框架
零、目录
- 问题引申
- shiro介绍
- shiro工作流程
- 使用shiro 进行登录操作
- 使用shiro进行权限管理
一、 问题引申
- 需要实现的功能: 用户没有登录的情况下 , 处理登录界面其他页面都不能访问
- 权限控制: 根据用户的权限列表内的权限 , 控制页面中各项功能的显示
- 解决方案: shiro安全框架
二、 shiro安全框架介绍
- Authentication:登录证明 , 当用户登录系统时需要使用这个模块 , 此时shiro框架内部会自己做登录校验 , 如果登录通过则证明用户名密码正确
- Authorization: 权限认证: 当用户没有登录时 , 不能随意发出请求 , 当不同的用户登录时会通过用户的权限列表控制页面功能的显示或隐藏。
- SessionManagement: session管理器 , 处理session问题
- Cryptography: 加密模块 , 包含了加密算法和加密工具类MD5Hash
- 类似产品: Spring Security 是Spring的子产品 , 但是由于配置过于繁琐所以不被广泛使用
三、工作流程
- Application: 应用程序代码
- Subject: Subject是shiro框架对外暴露的唯一接口 , 如果用户需要登录验证 , 需要创建Subject对象才能通过shiro安全中心进行各种操作 ,
- shiro SecurityManager: shiro安全管理器 , 处理登录或权限控制等问题等内部逻辑
- Realm: 代表进行登录或权限控制的原材料 , 登录时需要给shiro提供正确的用户信息和登录的用户名和密码 。
- 执行流程:
- 程序员创建subject , 提交登录的请求发送到shiro安全管理器
- 此时shiro安全管理器并不知道正确的信息是什么 , 需要通过realm得到正确的登录信息
四、使用shiro进行登录操作
导入需要依赖的jar包
<!-- Apache Shiro 权限架构 --> <dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-all</artifactId><version>1.2.3</version> </dependency>创建shiro的配置文件 一共5个bean
<?xml version="1.0" encoding="UTF-8"?><beansxmlns="http://www.springframework.org/schema/beans"xmlns:tx="http://www.springframework.org/schema/tx"xmlns:aop="http://www.springframework.org/schema/aop"xmlns:context="http://www.springframework.org/schema/context"xmlns:util="http://www.springframework.org/schema/util"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:p="http://www.springframework.org/schema/p"xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsdhttp://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.2.xsdhttp://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-3.2.xsdhttp://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.2.xsdhttp://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.2.xsd"><!--1. 安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><!-- 注入原材料 --><property name="realm" ref="authRealm"></property></bean><!-- 2. 创建原材料 com.tj.ht.shiro.AuthRleam类--><!-- 3. 引入原材料 --><bean id="authRealm" class="com.tj.ht.shiro.AuthRealm"><!-- 注入加密匹配器 --><property name="credentialsMatcher" ref="authMatcher"></property></bean> <!-- 4. 创建加密匹配器 com.tj.ht.shiro.AuthMatcher类--><!-- 5. 引入加密匹配器 --><bean id="authMatcher" class="com.tj.ht.shiro.AuthMatcher"></bean><!-- 6. 权限认证 的观察器 --><bean id="advisor" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"><!-- 注入安全管理器 --><property name="securityManager" ref="securityManager"></property></bean><!-- 7. shiro过滤工厂 --><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" ><!-- 输入安全管理器 --><property name="securityManager" ref="securityManager"></property><!-- 配置登陆地址 如果没有登陆则跳转发出登陆请求 , 跳转到登陆界面 默认是放行的--><property name="loginUrl" value="/tologin.action"></property><!-- 配置拦截 和 放行地址 --><property name="filterChainDefinitions"><value><!-- anon 放行 --><!-- authc 拦截 -->/login.action=anon <!-- 对登陆放行 --><!-- /* 代表 所有请求 --><!-- /**代表所有请求及静态资源文件 -->/staticfile/**=anon <!-- 对静态资源放行 -->/sysadmin/user/tocreate=anon<!-- 对添加用户放行 测试用 -->/sysadmin/user/save=anon<!-- 对添加用户放行 测试用-->/**=authc<!-- 除了上面放行的资源 , 其余全部拦截 --></value></property></bean></beans>在web.xml文件中配置过滤器
<!-- 配置安全框架过滤器 --><filter><filter-name>shiroFilter</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class><init-param><!-- 吧过滤器的生命周期交给web容器进行管理 --><param-name>targetFilterLifecycle</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>shiroFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>执行流程
- 在loginController中拦截login请求 , 并创建subject
- 调用subject的login方法 , 让安全管理器进行登录校验
- 安全管理器回去找AuthRealm获取登录的原材料信息 , 在AuthRealm类中通过用户名获取正确的用户信息和密码交由安全管理器进行校验
安全管理器进行登录检验时需要先把用户输入的明文密码加密后再与数据库中加密后的面比对 ,这是会去找自定义的AuthCredentialMatcher
1. 拦截登录请求 @RequestMapping("login.action") public String login(Model model , String username , String password ) {//获取subject对象Subject subject = SecurityUtils.getSubject();//创建用户名密码令牌UsernamePasswordToken token = new UsernamePasswordToken(username , password);try{//安全框架进行登陆subject.login(token);//得到登录成功的信息User u = (User) subject.getPrincipal();model.addAttribute("_CURRENT_USER", u);//把用户信息存进session中}catch(AuthenticationException e) {e.printStackTrace();//登录失败model.addAttribute("errorInfo", "用户名或密码错误!");return "sysadmin/login/login";}//登录成功return "redirect:/home"; } 2. AuthRealm类 public class AuthRealm extends SimpleAccountRealm{@Autowiredprivate UserService userService;//登录证明@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//需要给安全中i性能提供的登陆校验的信息 1. 用户正确信息 2. 提交的信息//得到正确信息//用户输入的信息UsernamePasswordToken myToken = (UsernamePasswordToken) token;//通过提交的用户名查询用户正确信息User user = userService.findOneByUsername(myToken.getUsername());//创建用于登陆的原材料信息//参数 1. 正确信息 2. 需要验证的正确信息 3. 原材料的类的名称AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());return info;}//权限认证@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// TODO Auto-generated method stubreturn super.doGetAuthorizationInfo(principals);}} 3. AuthMatcher类 public class AuthMatcher extends SimpleCredentialsMatcher{//需要在此位置对原材料中的密码进行加密操作@Overridepublic boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {//得到明文密码 加密后设置回去UsernamePasswordToken myToken = (UsernamePasswordToken) token;Md5Hash md5Hash = new Md5Hash(String.valueOf(myToken.getPassword()) , myToken.getUsername(), 3);//设置回去myToken.setPassword(md5Hash.toString().toCharArray());return super.doCredentialsMatch(myToken, info);}} 4. 登出操作 @RequestMapping("logout") public String logout(Model model,HttpSession session) {session.removeAttribute("_CURRENT_USER");//通知shiro框架 退出登录Subject subject = SecurityUtils.getSubject();//判断是否是登录状态 , 如果是则退出if(subject.isAuthenticated()) {subject.logout();}return "sysadmin/login/login"; }
五、通过shiro实现权限管理
- 在原材料中提供当前用户所拥有的权限列表
- 页面显示的时候通过shiro标签进行权限判断 , 如果有权限才允许在页面中显示相应的功能
代码
1. 正原材料类中添加权限认证代码 public class AuthRealm extends SimpleAccountRealm{@Autowiredprivate UserService userService;//登录证明@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//需要给安全中i性能提供的登陆校验的信息 1. 用户正确信息 2. 提交的信息//得到正确信息//用户输入的信息UsernamePasswordToken myToken = (UsernamePasswordToken) token;//通过提交的用户名查询用户正确信息User user = userService.findOneByUsername(myToken.getUsername());//创建用于登陆的原材料信息//参数 1. 正确信息 2. 需要验证的正确信息 3. 原材料的类的名称AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());return info;}//权限认证@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {User user = (User) principals.getPrimaryPrincipal();List<String> ps = userService.findAllModulesByUserId(user.getUserId());SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();info.addRoles(ps);return info;}} 2. 在页面中引入标签 <%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %> 3. 对页面中的模块请求进行控制 <shiro:hasPermission name="货运管理"> //name要与原材料中list中的权限一致<span id="topmenu" onclick="toModule('cargo');">货运管理</span><span id="tm_separator"></span> </shiro:hasPermission> <shiro:hasPermission name="基础信息"> <span id="topmenu" onclick="toModule('baseinfo');">基础信息</span><span id="tm_separator"></span></shiro:hasPermission><shiro:hasPermission name="系统管理"> <span id="topmenu" onclick="toModule('sysadmin');">系统管理</span></shiro:hasPermission>
大数据WEB阶段 shiro安全控制框架相关推荐
- 大数据WEB阶段 TransientDateAccessResourceException
大数据WEB阶段 TransientDateAccessResourceException 一 . 分析 如果数据库保存的字段有时间 , 但是没有给该字段赋值时 ,则该字段默认是0000-00-00 ...
- 大数据WEB阶段(九)Servlet+Request
Servlet与Request 一.概述 Servlet 是sun公司提供的一门用于开发动态web资源的技术 按照这套规范写出来的servlet可以放置在web应用中在servlet容器中运行 . 开 ...
- 大数据WEB阶段 (六)MySql详解(一)
MySql(二) 一.概述 什么是数据库 数据库(Database)是按照数据结构来组织.存储和管理数据的仓库,简而言之就是存储数据的仓库. 数据库的分类 层次式数据库.网络式数据库.关系型数据库 数 ...
- 大数据WEB阶段 Maven与SSM框架整合
Maven整合SSM框架 零. 目录 Maven整合SSM 常见的问题 以及一些优化 一. Maven整合SSM 创建webapp工程 修改jdk和编译器 配置pom.xml文件 并在pom.xml文 ...
- 大数据WEB阶段Spring框架(四)Spring-MVC
Spring-MVC 零.目录 Spring-MVC介绍 Spring-MVC入门案例 使用注解形式简化Cotroller 配置资源解析器 三种方式获取页面传递过来得参数 获取参数时的乱码问题 日期获 ...
- 大数据WEB阶段Spring框架(三)声明式事务处理
Spring整合JDBC-声明式的事务处理 一.Spring整合JDBC步骤 导入jar包 编写数据库配置文件 也可以将数据库配置信息单独配置后引入Spring容器中 代码中使用 二.Spring框架 ...
- 大数据WEB阶段Spring框架 AOP面向切面编程(二)
Spring AOP面向切面编程(二) 一.切入点的execution表达式 execution的表达形式: execution(修饰符? 返回值类型 所在包类? 方法名(参数列表) 异常?) ?表示 ...
- 大数据WEB阶段Spring框架(一)IOC控制反转、DI注入依赖
Spring-IOC.DI 零.Spring简介 Spring官网:http://projects.spring.io/spring-framework Jar包的下载地址:http://repo.s ...
- 大数据WEB阶段Spring框架 AOP面向切面编程(一)
Spring - AOP面向切面编程(一) 一.代理模式概述 代理的特点:(目标对象即被代理者) 实现和目标对象相同的接口 具备和目标对象的方法 代理者不仅要做目标对象的方法 , 还要做一些额外的操作 ...
最新文章
- JSP中文乱码问题解决方案
- 比赛结果预测_决策树_随机森林(通用 数据挖掘入门与实践-实验5)
- 一个15岁少年写的汇编代码
- python装饰器简单理解_python装饰器的简单理解
- realme Pad通过认证:搭载7100mAh大容量电池
- 漫画:如何给女朋友解释什么是系统可用性?| 技术头条
- Phoenix Contact 多款工业产品被曝多个高危漏洞
- Python教学视频(三)数据类型及类型间的转换
- 软件测试基础知识整理
- 青岛海洋超级计算机,青岛海洋科学与技术试点国家实验室
- jpg怎么合成一份_如何将多张图片合成一个文件
- 中软酒店管理系统CSHIS操作手册_数据结构_数据字典
- IT人也有情感------------孔雀东南飞
- 编码,隐匿在计算机软硬件背后的语言读书笔记(作者序)
- 进入微信企业项目授权回跳之后退出项目需要点击两次(手机的返回主键,回退键)才能正常退出的问题解决
- 数据的导出Excel表
- spring boot 引用 shiro 认证AD域
- OfficeMalScanner(宏病毒分析)软件分享,绝对免费!
- ACMCODER-股神
- 亲测无限坐席在线客服系统源码+新UI版
热门文章
- Java中的四种引用方式的区别
- 15.RDD 创建内幕解析
- 用vim看代码的常用指令
- 在路上(on the road)
- Oracle表无法expdp,{Oracle数据库}EXPDP报错ORA-39171、ORA-01691解决方法
- mysql 分组查出来横向展示_Mysql探索(一):B+Tree索引
- Java黑皮书课后题第8章:*8.15(几何:在一条直线上吗)编程练习题6.39给出了一个方法,用于测试三个点是否在一条直线上。编写下面的方法,检测points数组中所有的点是否都在同一条直线上
- POJ 2312 Battle City 优先队列+BFS
- mongoose 验证
- Eclipse 常用快捷键-java