Apache shiro的简单介绍与使用教程(与spring整合使用)

apache shiro框架简介

  Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。现在,使用Apache Shiro的人越来越多,因为它相当简单,相比比Spring Security,Shiro可能没有Spring Security那么多强大的功能,但是在实际工作时可能并不需要那么复杂的东西,所以使用简单的Shiro就足够了。

  以下是你可以用 Apache Shiro所做的事情:

  Shiro的4大核心部分——身份验证,授权,会话管理和加密

    Authentication:身份验证,简称“登录”。

    Authorization:授权,给用户分配角色或者权限资源

    Session Management:用户session管理器,可以让CS程序也使用session来控制权限

    Cryptography:把JDK中复杂的密码加密方式进行封装。

  除了以上功能,shiro还提供很多扩展

  Web Support:主要针对web应用提供一些常用功能。

  Caching:缓存可以使应用程序运行更有效率。

  Concurrency:多线程相关功能。

  Testing:帮助我们进行测试相关功能

  Run As:一个允许用户假设为另一个用户身份(如果允许)的功能,有时候在管理脚本很有用。

  Remember Me:记住用户身份,提供类似购物车功能。

  shiro框架认证流程

  Application Code:应用程序代码,由开发人员负责开发的

  Subject:框架提供的接口,是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。

  SecurityManager:框架提供的接口,是 Shiro的核心,代表安全管理器对象。初始化时协调各个模块运行。然而,一旦 SecurityManager协调完毕,SecurityManager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作。

  Realm:可以开发人员编写,框架也提供一些。Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如LDAP数据源的JndiLdapRealm,JDBC数据源的JdbcRealm,ini文件数据源的IniRealm,properties文件数据源的PropertiesRealm,等等。我们也可以插入自己的 Realm实现来代表自定义的数据源。 像其他组件一样,Realms也是由SecurityManager控制。

  更详细的图

  下面就开始shiro与SSM工程的整合使用

  下载地址:http://shiro.apache.org/download.html

  下载下来这两个个文件,一个jar包,一个源码文件

  首先,第一步,将jar包导入到工程中

  然后,第二步,在web.xml中配置spring框架提供的用于整合shiro框架的过滤器(一定要放到springmvc或struts框架过滤器的前面,为了保险起见,放到最上面就好了)

<!--配置过滤器,用于整合Shiro-->
<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

  第三步,在spring配置文件中配置bean,id为shiroFilter

<!-- 配置shiro框架的过滤器工厂bean -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/index.jsp"/>
  <property name="successUrl" value=""/>
  <property name="unauthorizedUrl" value="/noPrivilegeUI.jsp"/>
  <!-- 指定URL级别拦截策略 -->
  <property name="filterChainDefinitions">
    <value>
      /script/** = anon
      /style/** = anon
      /index.jsp* = anon
      /noPrivilegeUI.jsp* = anon
      /user/login = anon
       /role/findAllRoleList = perms["角色管理"]
      /** = authc
    </value>
  </property>
</bean>  

  securityManager:这个属性是必须的。

  loginUrl :没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。

  successUrl :登录成功默认跳转页面,可以不配置,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。

  unauthorizedUrl :没有权限默认跳转的页面。

  anon: 例子/admins/** = anon 没有参数,表示可以匿名使用(需要认证(登录))。

  authc : 例如/admins/user/** = authc 表示需要认证(登录)才能使用,没有参数

  roles:例子/admins/user/** = roles[admin], 参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/** = roles["admin,guest"], 每个参数通过才算通过,相当于hasAllRoles()方法。

  perms:例子/admins/user/** = perms[user:add:*], 参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/** = perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于  isPermitedAll()方法。

  Rest:例子/admins/user/** = rest[user];根据请求的方法,相当于/admins/user/** = perms[user:method] ;其中method为post,get,delete等。

  port:例子/admins/user/** = port[8081]; 当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString

是你访问的url里的?后面的参数。

  authcBasic:例如/admins/user/** = authcBasic; 没有参数表示httpBasic认证

  ssl:例子/admins/user/** = ssl;没有参数,表示安全的url请求,协议为https

  user:例如/admins/user/** = user; 没有参数表示必须存在用户,当登入操作时不做检查

  注:anon,authcBasic,auchc,user是认证过滤器,

    perms,roles,ssl,rest,port是授权过滤器

  第四步:配置安全管理器

<!-- 配置安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"/>

  第五步:写一个login方法,使用shiro提供的方式进行认证操作

  这是我之前的login方法,以这种方法,shiro是不知道登录验证通过了的,一直不通过,所以我们要以shiro提供的认证操作方式进行登录操作

/**
 * 登录
 */
@RequestMapping("/login")
public String login(User user, HttpServletRequest request, Model model){
  HttpSession session = request.getSession();
  User newUser = userService.login(user);
  if(newUser != null){
    session.setAttribute("loginUser",newUser);
    return "home/home";
  }
  model.addAttribute("errorMessage","用户名或者密码不正确!");
  return "forward:/index.jsp";
}

  修改后的login方法

/**
 * 使用Shiro框架提供的方式进行认证登录
 */
@RequestMapping("/login")
public String login(User user, HttpServletRequest request, Model model){
  HttpSession session = request.getSession();
  //使用Shiro框架提供的方式进行认证
  Subject subject = SecurityUtils.getSubject(); //获得当前登录用户对象,现在状态为 “未认证”
  //用户名密码令牌
  AuthenticationToken token = new UsernamePasswordToken(user.getLoginName(), MD5Utils.md5(user.getPassword()));
  try{
    subject.login(token); //执行你自定义的Realm
    User user1 = (User) subject.getPrincipal();
    session.setAttribute("loginUser",user1);
    return "home/home";
  }catch(UnknownAccountException e){
    e.printStackTrace();
    model.addAttribute("errorMessage","此用户名不存在!");
  }catch(IncorrectCredentialsException e){
    e.printStackTrace();
    model.addAttribute("errorMessage","密码不正确!");
  }catch(Exception e){
    e.printStackTrace();
  }
  return "forward:/index.jsp";
}

  第六步:自定义realm,并注入给安全管理器 

  创建一个UserRealm类,继承AuthorizingRealm这个类 

public class UserRealm extends AuthorizingRealm{
  @Autowired
  private UserDao userDao;
   //认证方法
  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    System.out.println("realm中的认证方法执行了。。。。");
    UsernamePasswordToken myToken = (UsernamePasswordToken) token;
    String loginName = myToken.getUsername();
    //根据用户名查询数据库中的用户,这个方法是自己写的
    User user = userDao.findUserByLoginName(loginName);
    if(user == null){
      //用户名不存在
      return null;
    }
    //如果能查询到,再由框架比对数据库中查询到的密码和页面提交的密码是否一致
    AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
    return info;
  }
   //授权方法
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    return null;
  }
}

  将自定义realm注入给安全管理器

<!-- 配置安全管理器 -->
  <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!-- 注入realm -->
    <property name="realm" ref="userRealm"/>
  </bean>
  <!-- 注册自定义realm -->
  <bean id="userRealm" class="com.demo.privilege.service.realm.UserRealm"/>

  到这里程序就可以正常运行了,登录后进入首页

  但是点击角色管理,会进入没有权限的页面

  这是因为我在spring配置文件中配置了   /role/findAllRoleList = perms["角色管理"],而我还没有给当前用户授权,所以当前用户没有权限访问此路径

  所以要给该用户授权,在UserRealm类中,编写授权方法

//授权方法
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    User user = (User) principals.getPrimaryPrincipal();
    for (Role role : user.getRoles()){
      for (Privilege privilege : role.getPrivileges()){
        info.addStringPermission(privilege.getName());
      }
    }
    return info;
  }

  这样,就可以正常访问了,这个授权方法是在访问/role/findAllRoleList这个路径时,shiro框架自动调用的

  我们之前进行权限控制是在spring配置文件中配置了   /role/findAllRoleList = perms["角色管理"] ,现在介绍另一种方式,也是我比较喜欢的方式, 使用注解方式进行权限控制

   使用shiro的方法注解方式权限控制

  第一步:在springmvc配置文件中开启shiro注解支持(注意:springmvc框架,放到springmvc配置文件中,struts放到spring配置文件中)

<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
  <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
  <!-- 开启shiro框架注解支持 -->
  <!-- 自动代理 -->
  <bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
    <!-- value必须设置为true使用cglib方式为对象创建代理对象,
      默认为false,设为false,就是使用JDK方式为对象创建代理对象,程序会出错 -->
    <property name="proxyTargetClass" value="true"/>
  </bean>
  <!-- 配置shiro框架提供的切面类,用于创建代理对象 -->
  <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

  第二步:在Controller的方法上使用shiro注解------ @RequiresPermissions("") 执行这个方法必须有相应的权限

 /**
   * 查询岗位列表
   */
  @RequiresPermissions("角色列表") //执行这个方法必须有角色列表这个权限
  @RequestMapping("/findAllRoleList")
  public String findAllRoleList(Model model){
    List<Role> roleList = roleService.findAllRoleList();
    model.addAttribute("roleList",roleList);
    return "role/list";
  }

  @RequiresAuthentication

    验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。

  @ RequiresUser

    验证用户是否被记忆,user有两种含义:

    一种是成功登录的(subject.isAuthenticated() 结果为true);

    另外一种是被记忆的( subject.isRemembered()结果为true)。

  @ RequiresGuest

    验证是否是一个guest的请求,与@ RequiresUser完全相反。

   换言之,RequiresUser  == ! RequiresGuest 。

      此时subject.getPrincipal() 结果为null.

  @ RequiresRoles

    例如:

@RequiresRoles("aRoleName");
            void someMethod();

    如果subject中有aRoleName角色才可以访问方法someMethod。如果没有这个权限则会抛出异常AuthorizationException。

  @RequiresPermissions

    例如:

@RequiresPermissions( {"file:read", "write:aFile.txt"} )
            void someMethod();

    要求subject中必须同时含有file:read和write:aFile.txt的权限才能执行方法someMethod()。否则抛出异常AuthorizationException。

  注解方式的权限控制就完成了,但这种方式没有权限时不会自动跳转到没有权限的页面,而是直接把异常抛到页面了,所以我们要配置一个全局的异常处理

  第三步:在springmvc配置文件中,进行如下配置,配置全局异常捕获,当shiro框架抛出权限不足异常时,跳转到权限不足提示页面

<!-- 全局异常处理 -->
  <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
    <property name="exceptionMappings">
      <props>
        <prop key="org.apache.shiro.authz.UnauthorizedException">redirect:/noPrivilegeUI.jsp</prop>
      </props>
    </property>
  </bean> 

  使用shiro提供的页面标签方式权限控制

  最后,说一说shiro提供的页面标签  

  第一步:在jsp页面中引入shiro的标签库

<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>

  第二步:使用shiro的标签控制页面元素展示

  这样,一个shiro入门程序就完成了。

总结

以上所述是小编给大家介绍的Apache shiro的简单介绍与使用教程(与spring整合使用),希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我们网站的支持!

(0)

相关推荐

  • Apache Shiro 使用手册(二) Shiro 认证

    一.Shiro认证过程 1.收集实体/凭据信息 复制代码 代码如下: //Example using most common scenario of username/password pair:UsernamePasswordToken token = new UsernamePasswordToken(username, password);//"Remember Me" built-in:token.setRememberMe(true); UsernamePasswordTok

  • Apache Shiro 使用手册(五) Shiro 配置说明

    Apache Shiro的配置主要分为四部分: 对象和属性的定义与配置URL的过滤器配置静态用户配置静态角色配置其中,由于用户.角色一般由后台进行操作的动态数据,因此Shiro配置一般仅包含前两项的配置. Apache Shiro的大多数组件是基于POJO的,因此我们可以使用POJO兼容的任何配置机制进行配置,例如:Java代码.Sping XML.YAML.JSON.ini文件等等.下面,以Spring XML的配置方式为例,并且对其中的一些配置参数进行一些简单说明. Shiro对象的配置:

  • 让Apache Shiro保护你的应用

    在尝试保护你的应用时,你是否有过挫败感?是否觉得现有的Java安全解决方案难以使用,只会让你更糊涂?本文介绍的Apache Shiro,是一个不同寻常的Java安全框架,为保护应用提供了简单而强大的方法.本文还解释了Apache Shiro的项目目标.架构理念以及如何使用Shiro为应用安全保驾护航. 什么是Apache Shiro?Apache Shiro(发音为"shee-roh",日语"堡垒(Castle)"的意思)是一个强大易用的Java安全框架,提供了认证

  • Apache Shiro 使用手册(三) Shiro授权

    如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等. 一.授权的三要素 授权有着三个核心元素:权限.角色和用户. 权限 权限是Apache Shiro安全机制最核心的元素.它在应用程序中明确声明了被允许的行为和表现.一个格式良好好的权限声明可以清晰表达出用户对该资源拥有的权限. 大多数的资源会支持典型的CRUD操作(create,read,update,delete),但是任何操作建立在特定的资源上才是有意义的.因此,权限声明的根本思想就是建立在资源

  • Apache Shiro 使用手册(四) Realm 实现

    在认证.授权内部实现机制中都有提到,最终处理都将交给Real进行处理.因为在Shiro中,最终是通过Realm来获取应用程序中的用户.角色及权限信息的.通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息.可以说,Realm是专用于安全框架的DAO. 一.认证实现 正如前文所提到的,Shiro的认证过程最终会交由Realm执行,这时会调用Realm的getAuthenticationInfo(token)方法. 该方法主要执行以下操作: 1.检查提交的进行认证的令牌信息

  • Apache Shiro 使用手册(一) Shiro架构介绍

    一.什么是ShiroApache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能:认证 - 用户身份识别,常被称为用户"登录":授权 - 访问控制:密码加密 - 保护或隐藏数据防止被偷窥:会话管理 - 每用户相关的时间敏感的状态.对于任何一个应用程序,Shiro都可以提供全面的安全管理服务.并且相对于其他安全框架,Shiro要简单的多. 二.Shiro的架构介绍首先,来了解一下Shiro的三个核心组件:Subject, SecurityManager

  • Apache shiro的简单介绍与使用教程(与spring整合使用)

    apache shiro框架简介 Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密.现在,使用Apache Shiro的人越来越多,因为它相当简单,相比比Spring Security,Shiro可能没有Spring Security那么多强大的功能,但是在实际工作时可能并不需要那么复杂的东西,所以使用简单的Shiro就足够了. 以下是你可以用 Apache Shiro所做的事情: Shiro的4大核心部分--身份验证,授权,会话管理

  • Spring Security 和Apache Shiro你需要具备哪些条件

    前言 web应用达到生产需要就必须有安全控制.java web领域经常提及的两大开源框架主要有两种选择 Spring Security和Apache Shiro .所以学习这两种框架也是java开发者提高水平的必经之路.从今天开始连续一段时间内,研究一下Spring Security. Spring Security 和Apache Shiro 相对于Apache Shiro,Spring Security提供了更多的诸如LDAP.OAuth2.0.ACL.Kerberos.SAML.SSO.O

  • protobuf简单介绍和ubuntu 16.04环境下安装教程

    protobuf简单介绍 protobuf是谷歌的开源序列化协议框架,结构类似于XML,JSON这种,显著的特点是二进制的,效率高,主要用于通信协议和数据存储等方面,算是一种结构化数据的表示方法. protobuf的优点 大家都在用,起码'装逼'的都在用[咱要跟上时代] 别人说性能好,二进制格式[大项目不用这个,感觉丢人] 跨平台支持各种语言,前后兼容好强大[毕竟人家谷歌在用了] protobuf的缺点 二进制格式,一般人看不了 缺乏自我描述 xml是自我描述的,但是protobuf格式不是的,

  • Apache Shiro 框架简介

    一.什么是Shiro  Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户"登录": 授权 - 访问控制: 密码加密 - 保护或隐藏数据防止被偷窥: 会话管理 - 每用户相关的时间敏感的状态. 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务.并且相对于其他安全框架,Shiro要简单的多. 二.Shiro的架构介绍  首先,来了解一下Shiro的三个核心组件:Subject, Se

  • 权限控制之粗粒度与细粒度概念及实现简单介绍

    本文简单介绍了权限控制之粗粒度与细粒度概念及实现,下面看看具体内容. 1.   什么是粗粒度和细粒度权限 粗粒度权限管理,对资源类型的权限管理.资源类型比如:菜单.url连接.用户添加页面.用户信息.类方法.页面中按钮.. 粗粒度权限管理比如:超级管理员可以访问户添加页面.用户信息等全部页面. 部门管理员可以访问用户信息页面包括 页面中所有按钮. 细粒度权限管理,对资源实例的权限管理.资源实例就资源类型的具体化,比如:用户id为001的修改连接,1110班的用户信息.行政部的员工. 细粒度权限管

  • Ubuntu中为Android简单介绍硬件抽象层(HAL)

    Android的硬件抽象层,简单来说,就是对Linux内核驱动程序的封装,向上提供接口,屏蔽低层的实现细节. 对硬件的支持分成了两层,一层放在用户空间(User Space),一层放在内核空间(Kernel Space),其中,硬件抽象层运行在用户空间,而Linux内核驱动程序运行在内核空间.为什么要这样安排呢?把硬件抽象层和内核驱动整合在一起放在内核空间不可行吗?从技术实现的角度来看,是可以的,然而从商业的角度来看,把对硬件的支持逻辑都放在内核空间,可能会损害厂家的利益.我们知道,Linux内

随机推荐