Apache Shrio安全框架实现原理及实例详解

一、Shiro整体概述

1.简介

Apache Shiro是Java的一个安全框架,功能强大,使用简单,Shiro为开发人员提供了一个直观而全面的认证(登录),授权(判断是否含有权限),加密(密码加密)及会话管理(Shiro内置Session)的解决方案.

2.Shiro组件

3.Shiro架构

3.1 外部架构(以应用程序角度)

3.2 内部架构

4. Shiro的过滤器

过滤器简称 对应的java
anon org.apache.shiro.web.filter.authc.AnonymousFilter
authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port org.apache.shiro.web.filter.authz.PortFilter
rest org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl org.apache.shiro.web.filter.authz.SslFilter
user org.apache.shiro.web.filter.authc.UserFilter
logout org.apache.shiro.web.filter.authc.LogoutFilter

挑几个重要的说明一下:

anon:匿名过滤器,不登录也可以访问的资源使用,比如首页,一些静态资源等

authc:认证过滤器,登录成功后才能访问的资源使用

perms:授权过滤器,必须具备某种权限才能访问

roles:角色过滤器,必须具备某种角色才能访问

注意:这么多过滤器,使用起来肯定不方便,Shiro框架也考虑到了这一点,所以有一个过滤器,一个顶十个,即DelegatingFilterProxy.

5. Shiro与Spring整合

5.1 pom.xml

<!--shiro和spring整合-->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring</artifactId>
      <version>1.3.2</version>
    </dependency>

5.2 web.xml

<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

5.3applicationContext-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:aop="http://www.springframework.org/schema/aop"
    xmlns:context="http://www.springframework.org/schema/context"
    xmlns:jdbc="http://www.springframework.org/schema/jdbc" xmlns:tx="http://www.springframework.org/schema/tx"
    xmlns:task="http://www.springframework.org/schema/task"
    xsi:schemaLocation="
    http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd
    http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd
    http://www.springframework.org/schema/jdbc http://www.springframework.org/schema/jdbc/spring-jdbc.xsd
    http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx.xsd">
  <!--安全管理器,需要注入realm域,如果有缓存配置,还需要注入缓存管理器-->
  <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!--引用自定义的realm -->
    <property name="realm" ref="authRealm"/>
    <!--引入缓存管理器-->
    <property name="cacheManager" ref="cacheManager"/>
  </bean>

  <!-- 自定义Realm域的编写 -->
  <bean id="authRealm" class="com.itheima.web.shiro.AuthRealm">
    <!-- 注入自定义的密码比较器 -->
    <property name="credentialsMatcher" ref="customerCredentialsMatcher"></property>
  </bean>

  <!-- 自定义的密码比较器 -->
  <bean id="customerCredentialsMatcher" class="com.itheima.web.shiro.CustomCredentialsMatcher"></bean>

  <!--缓存配置-->
  <!--内置(windows)缓存配置:MemoryConstrainedCacheManager-->
  <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>

  <!-- filter-name这个名字的值来自于web.xml中filter的名字 -->
  <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <!--登录页面 -->
    <property name="loginUrl" value="/login.jsp"></property>
    <!-- 登录失败后 -->
    <property name="unauthorizedUrl" value="/unauthorized.jsp"></property>

    <property name="filterChainDefinitions">
      <!-- /**代表下面的多级目录也过滤 -->
      <value>
        /system/module/list.do = perms["模块管理"]<!--路径和模块名称一定要和数据库表中存储的数据一致-->
        /index.jsp* = anon<!--anon 不登录也可以访问的资源-->
        /login.jsp* = anon
        /login* = anon
        /logout* = anon
        /css/** = anon
        /img/** = anon
        /plugins/** = anon
        /make/** = anon
        /** = authc
      </value>
    </property>
  </bean>

  <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
  <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

  <!-- 生成代理,通过代理进行控制 -->
  <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
     depends-on="lifecycleBeanPostProcessor">
    <property name="proxyTargetClass" value="true"/>
  </bean>

  <!-- 安全管理器 -->
  <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
  </bean>

  <!--支持Shiro注解配置-->
  <aop:aspectj-autoproxy proxy-target-class="true"/>

</beans>

5.4 如果想看具体的实现代码(含sql脚本),可以点击页面右上角Fork me on github,到我的github仓库中拉取

仓库地址: https://github.com/AdilCao/Shiro.git

代码部分只需要关注三个类:

1.LoginController(登录,在这里获取Subject主体,调用subject.login()方法后直接调用认证方法)

2.AuthRealm(认证和授权在这个类中定义,认证成功后调用密码比较器进行比较;授权即查找登录用户所具有的权限模块集合)

3.CustomCredentialsMatcher(密码比较器,将浏览器输入明文密码加密后,与数据库中的安全密码进行比较)

注意:整个过程中如果登录不成功,就会抛出异常

时间:2020-04-04

TP5框架实现一次选择多张图片并预览的方法示例

本文实例讲述了TP5框架实现一次选择多张图片并预览的方法.分享给大家供大家参考,具体如下: 点击选择图片(可选多张),确定后将选择的图片显示在页面上,已经选择的图片也可以删除,点击提交将图片提交给后台. 1.效果图 2.code 用input标签并选择type=file,记得带上multiple,不然就只能单选图片了 如果不想通过 ajax 提交,一定要加上文件传输协议 ( enctype="multipart/form-data" ) view <!DOCTYPE html&g

yii框架结合charjs统计上一年与当前年数据的方法示例

本文实例讲述了yii框架结合charjs统计上一年与当前年数据的方法.分享给大家供大家参考,具体如下: 理论上是1年有12个月,但实际上却是去年12个月已经过了,是完整的12个月,今年的12个月还没过,不完整,所以需要补齐 public static function getYearOrderCharData() { // 获取当前年 $months = range(1, 12); $currentYear = date(‘Y’); $lastYear = date(‘Y’, strtotime

thinkphp5 框架结合plupload实现图片批量上传功能示例

本文实例讲述了thinkphp5 框架结合plupload实现图片批量上传功能.分享给大家供大家参考,具体如下: 在extend目录下新增目录uploader,并新建类Uploads <?php namespace uploader; class Uploads { public static function upfile($file, $path = ‘images’, $add_domain = false) { $res = [‘errno’ => 1, ‘errmsg’ =>

JAVA集合框架Map特性及实例解析

一 Map特性: 1 Map提供一种映射关系,其中的元素是以键值对(key-value)的形式存储的,能够实现根据key快速查找value: 2 Map中键值对以Entry类型的对象实例形式存在: 3 键,即key不可重复,但是value值可以: 4 每个键最多只能映射一个值: 5 Map接口提供了分别返回key值集合.value值集合以及Entry(键值对)集合的方法: 6 Map支持泛型,形式如:Map<K,V> 二 HashMap类: 1 HashMap是Map的一个重要实现类,也是最常

TP5框架实现上传多张图片的方法分析

本文实例讲述了TP5框架实现上传多张图片的方法.分享给大家供大家参考,具体如下: 1.效果图(每点击一次’添加选项’,就会有一个新的 file 框来添加新的图片) 2.view <!–不要忘了引入jquery文件–> <!– post传值方式和文件传输协议一定要加上 –> <input type="file" name="image[]"> <input type="button" id=&quo

Spring-boot结合Shrio实现JWT的方法

本文介绍了Spring-boot结合Shrio实现JWT的方法,分享给大家,具体如下: 关于验证大致分为两个方面: 用户登录时的验证: 用户登录后每次访问时的权限认证 主要解决方法:使用自定义的Shiro Filter 项目搭建: 这是一个spring-boot 的web项目,不了解spring-boot的项目搭建,请google. pom.mx引入相关jar包 <!– shiro 权限管理 –> <dependency> <groupId>org.apache.s

yii框架结合charjs实现统计30天数据的方法

本文实例讲述了yii框架结合charjs实现统计30天数据的方法.分享给大家供大家参考,具体如下: 理论上30天数据应该都有,但实际上却不一定是,所以需要补全 public static function getDayOrderCharData($days = 30) { $nowDay = date(‘Y-m-d’, strtotime(‘-1day’)); // 当前前一天 $lastDay = date("Y-m-d", strtotime(‘-‘.$days.’day’));

Yii框架数据模型的验证规则rules()被执行的方法

Apache Shrio安全框架实现原理及实例详解

实现用户注册表单验证实现方法很简单的. 在模型里边设置一个方法,定义具体表单验证规则 我们rules()方法对表单数据进行验证时候,rules()方法怎么在YII框架中运行呢? 查看各个validator 前台也可进行验证 以上所述是小编给大家介绍的Yii框架数据模型的验证规则rules()被执行的方法,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的.在此也非常感谢大家对我们网站的支持!

Yii框架获取当前controlle和action对应id的方法

本文实例讲述了Yii框架获取当前controlle和action对应id的方法.分享给大家供大家参考.具体方法如下: 在Yiii框架开发中,你可能会要获取当前controlle或action的id,其实很简单,一句代码就实现了,以下是分别在controlle(控制器)和View(视图)中获取当前id的代码. 在控制器里: 复制代码 代码如下: $name = $this->getId();  // controller $name = $action->id;  // action 在视图里:

Yii框架结合sphinx,Ajax实现搜索分页功能示例

Apache Shrio安全框架实现原理及实例详解

本文实例讲述了Yii框架结合sphinx,Ajax实现搜索分页功能的方法.分享给大家供大家参考,具体如下: 效果图: 控制器: <?php namespace backend/controllers; use Yii; use yii/web/Controller; use yii/data/Pagination; use SphinxClient; use yii/db/Query; use yii/widgets/LinkPager; use backend/models/Goods; cl

深入解析PHP的Yii框架中的缓存功能

数据缓存是指将一些 PHP 变量存储到缓存中,使用时再从缓存中取回.它也是更高级缓存特性的基础,例如查询缓存和内容缓存. 如下代码是一个典型的数据缓存使用模式.其中 $cache 指向缓存组件: // 尝试从缓存中取回 $data $data = $cache->get($key); if ($data === false) { // $data 在缓存中没有找到,则重新计算它的值 // 将 $data 存放到缓存供下次使用 $cache->set($key, $data); } // 这儿

Yii框架防止sql注入,xss攻击与csrf攻击的方法

本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法.分享给大家供大家参考,具体如下: PHP中常用到的方法有: /* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip_tags($str); $str=stripslashes($str); $str=addslashes($str); $str=rawurldecode($str); $str=quotemeta($str)

Yii框架创建cronjob定时任务的方法分析

本文实例讲述了Yii框架创建cronjob定时任务的方法.分享给大家供大家参考,具体如下: 1. 添加环境配置 protected/config/console.php <?php require_once(‘env.php’); // This is the configuration for yiic console application. // Any writable CConsoleApplication properties can be configured here. retu

Yii框架中sphinx索引配置方法解析

本文实例讲述了Yii框架中sphinx索引配置方法.分享给大家供大家参考,具体如下: 请先将var/test/documents.sql导入数据库,并配置好以下的MySQL用户密码数据库 #源定义 source mysql { type = mysql sql_host = localhost sql_user = root sql_pass = root sql_db = yii2 sql_port = 3306 sql_query_pre = SET NAMES utf8 sql_query

yii框架redis结合php实现秒杀效果(实例代码)

废话不多说了,直接给大家贴代码了,具体代码如下所示: <?php namespace backend/controllers; use Yii; use yii/web/Controller; /** * */ class GoodsController extends Controller { public $enableCsrfValidation=false; public function actionInfo() { $data=yii::$app->db->createCom

PHP基于PDO调用sqlserver存储过程通用方法【基于Yii框架】

本文实例讲述了PHP基于PDO调用sqlserver存储过程的方法.分享给大家供大家参考,具体如下: 由于业务这边存储过程一直在sqlserver上面,所以要用php去调用它,然而我们本地的是windows,而线上又是linux,一开始使用Yii框架的一些机制去调用发现在本地一直都是好的然而到线上就不行了,找了很多方案,最后找到了pdo这种方案,而本地使用的驱动是sqlsrv线上是dblib所以需要注意下链接pdo时的驱动形式,在取结果集的时候注意windows和linux好像有所不同,在我加上

JavaScript中全选、全不选、反选、无刷新删除、批量删除、即点即改入库(在yii框架中操作)的代码分享

Apache Shrio安全框架实现原理及实例详解

效果展示: 代码实现: 控制器 <?php namespace app/controllers; use Yii; use yii/filters/AccessControl; use yii/web/Controller; use yii/filters/VerbFilter; use app/models/LoginForm; use app/models/ContactForm; //use yii/db/ActiveRecord; use yii/data/Pagination; use

原文 

https://www.zhangshengrong.com/p/LKa40qwZaQ/

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » Apache Shrio安全框架实现原理及实例详解

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址