Apache Shiro权限管理框架
为什么80%的码农都做不了架构师?>>>
Apache Shiro 和Web项目集成
web.xml配置
<!-- Apache Shiro Filter--><filter><filter-name>shiroFilter</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class><init-param><param-name>targetFilterLifecycle</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>shiroFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
Spring.xml配置
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <!-- cas单点登录地址 http://casserve/?service=http://caseclien--><property name="loginUrl" value="/login"/><property name="successUrl" value="/index" /> <!-- 登录成功后跳转地址 --><property name="unauthorizedUrl" value="/403"/> <!-- 未认证回调地址 --><property name="filters"> <util:map> <entry key="authc" value-ref="formAuthenticationFilter"/> </util:map> </property> <property name="filterChainDefinitions"> <value> /static/** = anon/userfiles/** = anon${adminPath}/login = authc${adminPath}/logout = logout${adminPath}/** = roles[admin]/act/rest/service/editor/** = perms[read]/act/rest/service/model/** = perms[write]/act/rest/service/** = user/ReportServer/** = user</value> </property> </bean> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myShiroRealm"/> </bean> <bean id="myShiroRealm" class="xxx.packagename.MyShiroRealm"> <!-- businessManager 用来实现用户名密码的查询 <property name="businessManager" ref="businessManager"/> --> <property name="cacheManager" ref="shiroCacheManager"/> </bean> <bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> <property name="cacheManager" ref="cacheManager"/> </bean> <!-- 表单登录 --><bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"/><!-- 用户授权信息Cache --> <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" /> <!-- 保证实现了Shiro内部lifecycle函数的bean执行 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> <!-- AOP式方法级权限检查 --> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true" /> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager" /> </bean>
备注:
loginUrl ,loginUrl ,unauthorizedUrl三个属相的配置,在使用http://ip:port/工程名/index用需要配置为 /工程名/index
如果没有工程名,则直接配置为 /index
代码说明:
shiroFilter 中 loginUrl 为登录页面地址,successUrl为登录成功页面地址(如果首先访问受保护 URL 登录成功,则跳转到实际访问页面),unauthorizedUrl 认证未通过访问的页面(前面提到的“未经授权页面”)。
shiroFilter 中 filters 属性,formAuthenticationFilter 配置为基于表单认证的过滤器。
shiroFilter 中 filterChainDefinitions 属性,anon 表示匿名访问(不需要认证与授权),authc 表示需要认证,perms[SECURITY_ACCOUNT_VIEW] 表示用户需要提供值为“SECURITY_ACCOUNT_VIEW”Permission 信息。由此可见,连接地址配置为 authc 或 perms[XXX] 表示为受保护资源。
securityManager 中 realm 属性,配置为我们自己实现的 Realm。关于 Realm,参见前面“Shiro Realm”章节。
myShiroRealm 为我们自己需要实现的 Realm 类,为了减小数据库压力,添加了缓存机制。
shiroCacheManager 是 Shiro 对缓存框架 EhCache 的配置。
AuthorizationAttributeSourceAdvisor配置,可以使用注解标注方法需要使用的权限
需要将spring-shiro文件包含到spring-mvc文件中!!!!!
shiro中默认的过滤器
AuthorizingRealm自定义实现
public class MyShiroRealm extends AuthorizingRealm{ // 用于获取用户信息及用户权限信息的业务接口@Resourceprivate BusinessManager businessManager; /***获取授权信息,用户登陆成功后,添加权限**/protected AuthorizationInfo doGetAuthorizationInfo( PrincipalCollection principals) { // 获取用户名String username = (String) principals.fromRealm(getName()).iterator().next(); if( username != null ){ SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); // 查询用户授权信息Collection<String> pers=businessManager.queryPermissions(username); if( pers != null && !pers.isEmpty() ){ info.addStringPermissions(pers);} //查询用户角色Collection<String> roles=businessManager.queryRoles(username); if( roles!= null && !roles.isEmpty()){ info.addRoles(roles);} return info; } return null; } // 获取认证信息,登陆使用protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken authcToken ) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken) authcToken; // 通过表单接收的用户名String username = token.getUsername(); if( username != null && !"".equals(username) ){ LoginAccount account = businessManager.get( username ); if( account != null ){ return new SimpleAuthenticationInfo( account.getLoginName(),account.getPassword(),getName() ); } } return null; } /** * 清除所有用户授权信息缓存. */ public void clearCachedAuthorizationInfo(String principal) { SimplePrincipalCollection principals = new SimplePrincipalCollection(principal, getName()); clearCachedAuthorizationInfo(principals); } /** * 清除所有用户授权信息缓存. */ public void clearAllCachedAuthorizationInfo() { Cache<Object, AuthorizationInfo> cache = getAuthorizationCache(); if (cache != null) { for (Object key : cache.keys()) { cache.remove(key); } } } }
用户权限模型
在揭开 Shiro 面纱之前,我们需要认知用户权限模型。本文所提到用户权限模型,指的是用来表达用户信息及用户权限信息的数据模型。即能证明“你是谁?”、“你能访问多少受保护资源?”。为实现一个较为灵活的用户权限数据模型,通常把用户信息单独用一个实体表示,用户权限信息用两个实体表示。
用户信息用 LoginAccount 表示,最简单的用户信息可能只包含用户名 loginName 及密码 password 两个属性。实际应用中可能会包含用户是否被禁用,用户信息是否过期等信息。
用户权限信息用 Role 与 Permission 表示,Role 与 Permission 之间构成多对多关系。Permission 可以理解为对一个资源的操作,Role 可以简单理解为 Permission 的集合。
用户信息与 Role 之间构成多对多关系。表示同一个用户可以拥有多个 Role,一个 Role 可以被多个用户所拥有。
图 1. 用户权限模型
Apache权限数据模型
t_user用户表:
id ------username-------password
1 tom 00000
2 jack 00000
3 rose 00000
t_role
id + rolename
1 -- admin
2 -- manager
3 -- normal
t_permission权限表
id --- permissionname -- role_id
1 -- add ---- 2
2 -- del ---- 1
3 -- update ---- 2
4 -- query ---- 3
t_user_role
tom是admin和normal角色
user_id + role_id
1 1
1 3
2 2
2 3
3 3
登录接口调用
调用shrio方法
/** * 验证用户名和密码 * @param request * @return */ @RequestMapping("/login") public String login(HttpServletRequest request) { String result = "/login"; // 取得用户名 String username = request.getParameter("username"); //取得 密码,并用MD5加密 String password = CipherUtil.generatePassword(request.getParameter("password")); //String password = request.getParameter("password"); UsernamePasswordToken token = new UsernamePasswordToken(username, password); //设置session//SecurityUtils.getSubject().getSession().setAttribute("deployEnv", deployEnv); //如果用户已登录,先踢出//ShiroSecurityHelper.kickOutUser(username));Subject currentUser = SecurityUtils.getSubject(); try { if (!currentUser.isAuthenticated()){//使用shiro来验证 token.setRememberMe(true);//记住用户的登录状态currentUser.login(token);//验证角色和权限,登录成功会直接跳转到 successUrl地址 } System.out.println("result: " + result); result = "index";//验证成功 } catch(AuthorizationException ae){result = "/login";//验证失败 } catch (Exception e) { logger.error(e.getMessage()); result = "/login";//验证失败 } return result; }/** * 退出 * @return */ @RequestMapping(value = "/logout") @ResponseBody public String logout() {Subject currentUser = SecurityUtils.getSubject(); String result = "logout"; currentUser.logout(); return result; }
Shiro基本html tag标签
jsp页面
<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>
标签名称 |
标签条件(均是显示标签内容) |
<shiro:authenticated> |
登录之后 |
<shiro:notAuthenticated> |
不在登录状态时 |
<shiro:guest> |
用户在没有RememberMe时 |
<shiro:user> |
用户在RememberMe时 |
<shiro:hasAnyRoles name="abc,123" > |
在有abc或者123角色时 |
<shiro:hasRole name="abc"> |
拥有角色abc |
<shiro:lacksRole name="abc"> |
没有角色abc |
<shiro:hasPermission name="abc"> |
拥有权限资源abc |
<shiro:lacksPermission name="abc"> |
没有abc权限资源 |
<shiro:principal> |
显示用户身份名称 |
<shiro:principal property="username"/> 显示用户身份中的属性值
<shiro:hasRole name="admin">权限显示内容
</shiro:hasRole>
Shiro基本注解
@RequiresAuthentication
验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。
@RequiresUser
验证用户是否被记忆,user有两种含义:
一种是成功登录的(subject.isAuthenticated() 结果为true);
另外一种是被记忆的(subject.isRemembered()结果为true)。
@RequiresGuest
验证是否是一个guest的请求,与@RequiresUser完全相反。
换言之,RequiresUser == !RequiresGuest。
此时subject.getPrincipal() 结果为null.
@RequiresRoles
例如:@RequiresRoles("aRoleName");
void someMethod();
如果subject中有aRoleName角色才可以访问方法someMethod。如果没有这个权限则会抛出异常AuthorizationException。
@RequiresPermissions
例如: @RequiresPermissions({"read", "write"} )
void someMethod();
要求subject中必须同时含有read和write的权限才能执行方法someMethod()。否则抛出异常AuthorizationException。
结尾
相关文章
http://www.ibm.com/developerworks/cn/java/j-lo-shiro/
转载于:https://my.oschina.net/manmao/blog/669097
Apache Shiro权限管理框架相关推荐
- 3-1 Apache Shiro权限管理框架介绍
Apache Shiro 这是一个功能强大的 shiro相对于security 更简单 易懂的授权方式
- Java shiro权限管理框架视频教程
shiro权限管理框架视频教程 中级 共14课 权限系统在任何一个系统中都存在,随着分布式系统的大行其道,权限系统也趋向服务化,对于一个高级工程师来说,权限系统的设计是必不可少需要掌握的技术栈. 课程 ...
- Apache Shiro权限控制框架简介
Apache Shiro权限控制框架简介 要想实现权限控制,可以自己写代码实现,蓄力都的权限控制可以通过过滤器Filter实现,细粒度的权限控制是基于代理对象结合自定义的注解和反射技术来实现,反射技术 ...
- 视频教程-Apache Shiro权限框架实战+项目案例视频课程-Java
Apache Shiro权限框架实战+项目案例视频课程 拥有10余年项目实战经验. 2006-2011在nttdata从事对日软件开发类工作. 2011-2015在HP从事技术服务工作. 擅长于j2e ...
- 众至科技:漏洞通告 | 微软10月发布多个安全漏洞;Apache Shiro权限绕过漏洞;Apache Commons存在代码执行漏洞
微软发布10月多个安全漏洞 1.漏洞概述 2022年10月11日,微软发布了10月安全更新,此次更新修复了包括2个0 day漏洞在内的84个安全漏洞(不包括10月3日修复的12个Microsoft ...
- Shiro权限管理框架详解
1权限管理1.1什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权 ...
- Apache Shiro权限绕过漏洞 (CVE-2020-11989) 挖掘分析和复现
聚焦源代码安全,网罗国内外最新资讯! 1.1 状态 完成漏洞挖掘条件分析.漏洞复现. 1.2 简介 Apache Shiro作为Java框架,可被用于身份认证.授权等任务. 整合Apache Shi ...
- 一篇文章搞定Shiro权限管理框架
前言:前几天学习了SpringSecurity安全框架,这几天又接着学习shiro框架,这两者框架都是同一类产品,解决同一类问题,但是在官方推荐使用Shiro框架,因为它简单易学,所以这里有时间学习了 ...
- 【权限管理框架】一文看懂Shiro权限管理框架!
文章目录 1.JavaWeb中的权限控制 2.权限框架核心知识ACL和RBAC 2.1.ACL和RBAC简介 2.2主流权限框架介绍 3.Shiro架构和基本概念 3.1.Shiro的4大核心模块 3 ...
最新文章
- 在控制台程序中使用MFC类
- 我们计划招收300名电力人,免费学习CAD。
- 从小白到大神程序员必读15本经典电子书免费送第三季(先到先得)
- C#中采用自定义方式读取自定义配置文件
- android 调用系统短信接口开发,聚合数据Android SDK 短信api接口验证演示示例
- 最新快手面试题(含总结):设计模式+红黑树+Java锁+Redis等
- 【OpenCV入门指南】第四篇 图像的二值化
- arcgis绘制shp文件
- 云计算网络基础架构的实践和演进
- 怎么在线预览.doc,.docx,.ofd,.pdf,.wps,.cad文件以及Office文档的在线解析方式。
- 为什么要学习Linux?
- 在linux上运行python脚本(安装pytorch踩坑记录,pyinstaller使用方式,构建docker镜像)
- JMM——认识JMM
- routeros 3322电信联通脚本
- 【HDU 1846】 Brave Game DP爆破法
- 在html中页面打开次数计算,实现页面访问次数统计
- 【博弈论】HDU 2188
- SYU新人提高90题1(基础题)
- [奶奶看了都会]掘金自动签到-Java版本
- NMS和soft-NMS实现
热门文章
- mysql 多实例 独立配置文件_mysql 5.7 配置多实例 — 独立配置文件方式
- 惠普m154a状态页_惠普新品NS—1005w无线智能应用与驱动安装篇
- python从文件夹中提取指定文件_使用Python实现从各个子文件夹中复制指定文件的方法...
- lcy mysql爆破_Lcy’s Blog
- Node.js nrm
- python 嵌套异常
- java eclipse
- opencv-api findHomography
- Sphinx index.rst
- flask-alchemy-pagination