web開發安全框架中的Apache Shiro的應用
web開發安全框架中的Apache Shiro的應用
前階段就hadoop的分享了一些內容,希望對新手入門的朋友有點幫助吧!對於hadoop新手入門的,還是比較推薦大快搜索的DKHadoop發行版,三節點標準版還是值得擁有的(三節點的標準版是可以免費下載的,與付費版的目前功能一樣,只是節點數量不同,對於新手而言三節點的夠用了)。正在學習hadoop可以下載一下研究學習之用,也可以留言向我索要!
今天準備分享一下Apache Shiro 在web開發中的應用。shiro安全框架是目前為止作為登入註冊最常用的框架,因為它十分的強大簡單,提供了認證、授權、加密和會話管理等功能 。
shiro能做什麼?
認證:驗證使用者的身份
授權:對使用者執行訪問控制:判斷使用者是否被允許做某事
會話管理:在任何環境下使用 Session API,即使沒有 Web 或EJB 容器。
加密:以更簡潔易用的方式使用加密功能,保護或隱藏資料防止被偷窺
Realms:聚集一個或多個使用者安全資料的資料來源
單點登入(SSO)功能。
為沒有關聯到登入的使用者啟用 "Remember Me“ 服務
Shiro 的四大核心部分
Authentication(身份驗證):簡稱為“登入”,即證明使用者是誰。
Authorization(授權):訪問控制的過程,即決定是否有許可權去訪問受保護的資源。
Session Management(會話管理):管理使用者特定的會話,即使在非 Web 或 EJB 應用程式。
Cryptography(加密):通過使用加密演算法保持資料安全
shiro的三個核心元件:
Subject :正與系統進行互動的人,或某一個第三方服務。所有 Subject 例項都被繫結到(且這是必須的)一個SecurityManager 上。
SecurityManager:Shiro 架構的心臟,用來協調內部各安全元件,管理內部元件例項,並通過它來提供安全管理的各種服務。當 Shiro 與一個 Subject 進行互動時,實質上是幕後的 SecurityManager 處理所有繁重的 Subject 安全操作。
Realms :本質上是一個特定安全的 DAO。當配置 Shiro 時,必須指定至少一個 Realm 用來進行身份驗證和/或授權。Shiro 提供了多種可用的 Realms 來獲取安全相關的資料。如關係資料庫(JDBC),INI 及屬性檔案等。可以定義自己 Realm 實現來代表自定義的資料來源。
shiro整合SSM框架:
1.加入 jar 包
2.配置 web.xml 檔案
在web.xml中加入以下程式碼—shiro過濾器。
shiroFilter
org.springframework.web.filter.DelegatingFilterProxy
targetFilterLifecycle
true
shiroFilter
/*
3.在 Spring 的配置檔案中配置 Shiro
Springmvc配置檔案中:
Spring配置檔案中匯入shiro配置檔案:
<import resource="classpath:applicationContext-shiro.xml"/>新建applicationContext-shiro.xml![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20181108191653493.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NodXl1bjAwOA==,size_16,color_FFFFFF,t_70)![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20181108191712566.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NodXl1bjAwOA==,size_16,color_FFFFFF,t_70)
在這裡插入圖片描述
到這一步,配置檔案都基本準備好了,接下來要寫Realm方法了,新建shiro包,在包下新建MyRealm.java檔案繼承AuthorizingRealm
以上配置已經完成,接下來通過action進行驗證
//登入認證
@RequestMapping("/shiro-login")
public String login(@RequestParam(“username”) String username,
@RequestParam(“password”) String password){
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try {
//執行認證操作.
subject.login(token);
}catch (AuthenticationException ae) {
System.out.println("登陸失敗: " + ae.getMessage());
return “/index”;
}
return “/shiro-success”;
}
//提示:記得在註冊中密碼存入資料庫前也記得加密哦,提供一個utils方法
//進行shiro加密,返回加密後的結果
public static String md5(String pass){
String saltSource = “blog”;
String hashAlgorithmName = “MD5”;
Object salt = new Md5Hash(saltSource);
int hashIterations = 1024;
Object result = new SimpleHash(hashAlgorithmName, pass, salt, hashIterations);
String password = result.toString();
return password;
}
shiro登入驗證到這裡完了,shiro主要是進行登陸認證,許可權以及選單模組的設定。