代码编织梦想

1.Shiro

什么是Shiro

官网

Shiro是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中

,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密登操作。

2.Shiro核心组件

在这里插入图片描述

用户、角色、权限

会给角色赋予权限,给用户赋予角色。

运行机制流程图

3.SpringBoot 集成Shiro

Maven

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.5.3</version>
</dependency>

Realm实现

继承AuthorizingRealm

import com.suiyaner.entity.User;
import com.suiyaner.service.UserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

public class UserRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //客户端传送过来的用户名密码
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
        //根据Token中的用户名在数据库中查找
        User user = userService.findUserByName(usernamePasswordToken.getUsername());
        if (user != null) {
            //验证密码
            return new SimpleAuthenticationInfo(user,user.getPassword(),getName());
        }
        return null;
    }
}

Config配置类配置

Qualifier 寻找方法类

import com.suiyaner.realm.UserRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {

    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(userRealm);
        return defaultWebSecurityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        //权限设置
        Map<String,String> map = new Hashtable<>();
        map.put("/main","authuc"); // 必须登录状态
        map.put("/manager","perms[manager]"); //必须拥有manager权限
        map.put("/administrator","roles[administrator]"); //必须是administrator角色
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map); //把map添加进shiroFilterFactoryBean
        //修改登录页面
        shiroFilterFactoryBean.setLoginUrl("/login");
        //设置未授权页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauth");
        return  shiroFilterFactoryBean;
    }

}

编写认证和授权规则:

认证过滤器

anon:无需认证。

authc:必须认证。

authcBasic:需要通过 HTTPBasic 认证。

user:不一定通过认证,只要曾经被 Shiro 记录即可,比如:记住我。

授权过滤器

perms:必须拥有某个权限才能访问。

role:必须拥有某个角色才能访问。

port:请求的端口必须是指定值才可以。

rest:请求必须基于 RESTful,POST、PUT、GET、DELETE。

ssl:必须是安全的 URL 请求,协议 HTTPS。

创建 3 个页面,main.html、manage.html、administrator.html

访问权限如下:

1、必须登录才能访问 main.html

2、当前用户必须拥有 manage 授权才能访问 manage.html

3、当前用户必须拥有 administrator 角色才能访问 administrator.html

Login实现

    @PostMapping("/login")
    public String login(String username, String password, Model model){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        try {
            subject.login(token);
            User user = (User) subject.getPrincipal();
            subject.getSession().setAttribute("user",user);
            return "index";
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            model.addAttribute("msg","用户名错误!");
            return "login";
        } catch (IncorrectCredentialsException e){
            model.addAttribute("msg","密码错误!");
            e.printStackTrace();
            return "login";
        }
    }
 
    @GetMapping("/unauth")
    @ResponseBody
    public String unauth(){
        return "未授权,无法访问!";
    }
 
    @GetMapping("/logout")
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "login";
    }

Shiro 整合 Thymeleaf

1、pom.xml 引入依赖

<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>

2、配置类添加 ShiroDialect

@Bean
public ShiroDialect shiroDialect(){
    return new ShiroDialect();
}

3、index.html

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <link rel="shortcut icon" href="#"/>
</head>
<body>
    <h1>index</h1>
    <div th:if="${session.account != null}">
        <span th:text="${session.account.username}+'欢迎回来!'"></span><a href="/logout">退出</a>
    </div>
    <a href="/main">main</a> <br/>
    <div shiro:hasPermission="manage">
        <a href="manage">manage</a> <br/>
    </div>
    <div shiro:hasRole="administrator">
        <a href="/administrator">administrator</a>
    </div>
</body>
</html>
div>
    <a href="/main">main</a> <br/>
    <div shiro:hasPermission="manage">
        <a href="manage">manage</a> <br/>
    </div>
    <div shiro:hasRole="administrator">
        <a href="/administrator">administrator</a>
    </div>
</body>
</html>

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: https://blog.csdn.net/qq_27305257/article/details/111070686

HTTP的请求连接过程-爱代码爱编程

不管是日常的web开发还是准备面试题的时候,http的请求过程都是必须要了解的一个知识点,这篇文章就来和大家一起学习了解一下HTTP通信机制的请求过程。 原理 众所周知,HTTP协议是建立在TCP网络连接协议基础之上的一种web通信协议,它有“四个基于”的特点: 请求与响应:客户端发送请求,服务器端响应数据 无状态的:协议对于事务处理没有记忆能力,

JSP介绍以及JSP基本语法-爱代码爱编程

Servlet开发的缺点 静态HTML与动态Java代码混合在一起,难以维护Servlet利用out.println()语句输出,开发效率低下Eclipse很难在开发过程中发现错误,调试困难JSP介绍 JSP全称为java Sever Pages, Java服务器页面JSP是J2EE的功能模块,由Web服务器执行(比如Tomcat)JSP的作用就是降低

[V&N2020 公开赛]HappyCTFd-爱代码爱编程

知识点 CVE-2020-7245 CTFd v2.0.0 – v2.2.2 account takeoverWP 进入环境稍微看一下,发现就是比赛常用的ctfd平台,感觉直接日平台不太现实,可能就是类似打CMS那样,直接去查已有的洞。去查一下,果然有:CVE-2020-7245漏洞分析 基本利用步骤如下: 注册一个账号,和想要修改的那个用户名同

小饶学编程之JAVA SE第二部分——Java Web 技术:16会话管理-爱代码爱编程

会话管理 一、Http协议二、会话三、会话跟踪技术3.1会话跟踪技术分类3.2查询字符串3.3表单隐藏域3.4 Session3.4.1session常用方法3.4.2session的销毁3.4.3 使用Session保存登录账号信息3.4.4Session总结3.5Cookie3.5.1啥是Cookie?3.5.2向客户端添加Cookie3.5.

表单、超链接的用法-爱代码爱编程

1、什么是表单有什么用? 发送请求,并且携带数据给服务器。 表单和超链接有什么共同的特征,就是都可以向服务器发送请求 只不过超链接是用户直接点击发送的请求,不能填写数据。 而用户点击表单提交的时候,不但可以发送请求,而且请求中还可以携带数据。 表单最主要的作用是:收集用户信息 表单对应的单词是:form 2、怎么定义一个表单对象 表单项1: 表单项2: 一

jsp的环境搭建以及创建jsp文件(idea)-爱代码爱编程

jsp——动态网页开发 什么是jspjsp优势安装配置tomat创建jsp文件(idea) 什么是jsp JSP全称Java Server Pages,是一种动态网页开发技术。它使用JSP标签在HTML网页中插入Java代码。标签通常以<%开头以%>结束。 JSP是一种Java servlet,主要用于实现Java web应用程

统一处理登陆用户信息-爱代码爱编程

在使用各种权限框架的时候,如:apache-shiro、spring-security等,可以分别使用对应的context获取principal信息;常见的操作是在一个抽象类或者单独的service统一处理。本篇文章,基于shiro框架,使用方法注解的方式,获取对应的登陆用户principal信息。 技术储备 HandlerMethodArgument

SpringBoot整合Shiro-爱代码爱编程

SpringBoot整合Shiro 了解认证授权了解shiro基础APIShiro QuickStart基础框架maven依赖controllerMobileControllerSalaryControllerbeanUserBeanconfigShiroConfig(shiro配置三板斧)MyRealm基础认证功能(登录认证)创建自己的Realm

shiro学习二:shiro的加密认证详解,加盐与不加盐两个版本。-爱代码爱编程

文章目录 前言一、shiro不加盐加密认证1. 逻辑流程2. 修改部分3. 自定义数据源:CustomRealmCh074. 编写:Ch07_testMatcher5. 测试二、shiro加盐加密认证1. 流程逻辑2. 修改部分3. 自定义数据源:CustomRealmCh084. 编写:Ch08_testSaltMatcher 前言 上一

Shiro安全框架(Shiro与SpringBoot整合开发)授权部分(一)编码-爱代码爱编程

对于shiro框架我们之前已经分别叙述了shiro在.ini文件中的认证,shiro代码中硬编码的认证实现,以及我们将shiro与springboot整合的认证实现,还有我们将shiro与springboot整合之后,连接数据库的认证实现,接下来我们继续为大家展开来研究一下shiro与springboot整合之后连接数据库的授权方面的实现,其实与之前shi