springboot(十四):springboot整合shiro-登入認證和許可權管理
這篇文章我們來學習如何使用Spring Boot整合Apache Shiro。安全應該是網際網路公司的一道生命線,幾乎任何的公司都會涉及到這方面的需求。在Java領域一般有Spring Security、Apache Shiro等安全框架,但是由於Spring Security過於龐大和複雜,大多數公司會選擇Apache Shiro來使用,這篇文章會先介紹一下Apache Shiro,在結合Spring Boot給出使用案例。
Apache Shiro
What is Apache Shiro?
Apache Shiro是一個功能強大、靈活的,開源的安全框架。它可以乾淨利落地處理身份驗證、授權、企業會話管理和加密。
Apache Shiro的首要目標是易於使用和理解。安全通常很複雜,甚至讓人感到很痛苦,但是Shiro卻不是這樣子的。一個好的安全框架應該遮蔽複雜性,向外暴露簡單、直觀的API,來簡化開發人員實現應用程式安全所花費的時間和精力。
Shiro能做什麼呢?
- 驗證使用者身份
- 使用者訪問許可權控制,比如:1、判斷使用者是否分配了一定的安全形色。2、判斷使用者是否被授予完成某個操作的許可權
- 在非 web 或 EJB 容器的環境下可以任意使用Session API
- 可以響應認證、訪問控制,或者 Session 生命週期中發生的事件
- 可將一個或以上使用者安全資料來源資料組合成一個複合的使用者 "view"(檢視)
- 支援單點登入(SSO)功能
-
支援提供“Remember Me”服務,獲取使用者關聯資訊而無需登入
…
等等——都整合到一個有凝聚力的易於使用的API。
Shiro 致力在所有應用環境下實現上述功能,小到命令列應用程式,大到企業應用中,而且不需要藉助第三方框架、容器、應用伺服器等。當然 Shiro 的目的是儘量的融入到這樣的應用環境中去,但也可以在它們之外的任何環境下開箱即用。
Apache Shiro Features 特性
Apache Shiro是一個全面的、蘊含豐富功能的安全框架。下圖為描述Shiro功能的框架圖:
Authentication(認證), Authorization(授權), Session Management(會話管理), Cryptography(加密)被 Shiro 框架的開發團隊稱之為應用安全的四大基石。那麼就讓我們來看看它們吧:
- Authentication(認證):使用者身份識別,通常被稱為使用者“登入”
- Authorization(授權):訪問控制。比如某個使用者是否具有某個操作的使用許可權。
- Session Management(會話管理):特定於使用者的會話管理,甚至在非web 或 EJB 應用程式。
- Cryptography(加密):在對資料來源使用加密演算法加密的同時,保證易於使用。
還有其他的功能來支援和加強這些不同應用環境下安全領域的關注點。特別是對以下的功能支援:
- Web支援:Shiro 提供的 web 支援 api ,可以很輕鬆的保護 web 應用程式的安全。
- 快取:快取是 Apache Shiro 保證安全操作快速、高效的重要手段。
- 併發:Apache Shiro 支援多執行緒應用程式的併發特性。
- 測試:支援單元測試和整合測試,確保程式碼和預想的一樣安全。
- "Run As":這個功能允許使用者假設另一個使用者的身份(在許可的前提下)。
- "Remember Me":跨 session 記錄使用者的身份,只有在強制需要時才需要登入。
注意: Shiro不會去維護使用者、維護許可權,這些需要我們自己去設計/提供,然後通過相應的介面注入給Shiro
High-Level Overview 高階概述
在概念層,Shiro 架構包含三個主要的理念:Subject,SecurityManager和 Realm。下面的圖展示了這些元件如何相互作用,我們將在下面依次對其進行描述。
- Subject:當前使用者,Subject 可以是一個人,但也可以是第三方服務、守護程序帳戶、時鐘守護任務或者其它--當前和軟體互動的任何事件。
- SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架構的核心,配合內部安全元件共同組成安全傘。
- Realms:用於進行許可權資訊的驗證,我們自己實現。Realm 本質上是一個特定的安全 DAO:它封裝與資料來源連線的細節,得到Shiro 所需的相關的資料。在配置 Shiro 的時候,你必須指定至少一個Realm 來實現認證(authentication)和/或授權(authorization)。
我們需要實現Realms的Authentication 和 Authorization。其中 Authentication 是用來驗證使用者身份,Authorization 是授權訪問控制,用於對使用者進行的操作授權,證明該使用者是否允許進行當前操作,如訪問某個連結,某個資原始檔等。
快速上手
基礎資訊
pom包依賴
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>net.sourceforge.nekohtml</groupId>
<artifactId>nekohtml</artifactId>
<version>1.9.22</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<scope>runtime</scope>
</dependency>
</dependencies>重點是 shiro-spring包
配置檔案
spring:
datasource:
url: jdbc:mysql://localhost:3306/test
username: root
password: root
driver-class-name: com.mysql.jdbc.Driver
jpa:
database: mysql
show-sql: true
hibernate:
ddl-auto: update
naming:
strategy: org.hibernate.cfg.DefaultComponentSafeNamingStrategy
properties:
hibernate:
dialect: org.hibernate.dialect.MySQL5Dialect
thymeleaf:
cache: false
mode: LEGACYHTML5thymeleaf的配置是為了去掉html的校驗
頁面
我們新建了六個頁面用來測試:
- index.html :首頁
- login.html :登入頁
- userInfo.html : 使用者資訊頁面
- userInfoAdd.html :新增使用者頁面
- userInfoDel.html :刪除使用者頁面
- 403.html : 沒有許可權的頁面
除過登入頁面其它都很簡單,大概如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>index</h1>
</body>
</html>RBAC
RBAC 是基於角色的訪問控制(Role-Based Access Control )在 RBAC 中,許可權與角色相關聯,使用者通過成為適當角色的成員而得到這些角色的許可權。這就極大地簡化了許可權的管理。這樣管理都是層級相互依賴的,許可權賦予給角色,而把角色又賦予使用者,這樣的許可權設計很清楚,管理起來很方便。
採用jpa技術來自動生成基礎表格,對應的entity如下:
使用者資訊
@Entity
public class UserInfo implements Serializable {
@Id
@GeneratedValue
private Integer uid;
@Column(unique =true)
private String username;//帳號
private String name;//名稱(暱稱或者真實姓名,不同系統不同定義)
private String password; //密碼;
private String salt;//加密密碼的鹽
private byte state;//使用者狀態,0:建立未認證(比如沒有啟用,沒有輸入驗證碼等等)--等待驗證的使用者 , 1:正常狀態,2:使用者被鎖定.
@ManyToMany(fetch= FetchType.EAGER)//立即從資料庫中進行載入資料;
@JoinTable(name = "SysUserRole", joinColumns = { @JoinColumn(name = "uid") }, inverseJoinColumns ={@JoinColumn(name = "roleId") })
private List<SysRole> roleList;// 一個使用者具有多個角色
// 省略 get set 方法
}角色資訊
@Entity
public class SysRole {
@Id@GeneratedValue
private Integer id; // 編號
private String role;
相關推薦
springboot(十四):springboot整合shiro-登入認證和許可權管理
這篇文章我們來學習如何使用Spring Boot整合Apache Shiro。安全應該是網際網路公司的一道生命線,幾乎任何的公司都會涉及到這方面的需求。在Java領域一般有Spring Security、Apache Shiro等安全框架,但是由於Spring Sec
spring-boot(八) springboot整合shiro-登入認證和許可權管理
Apache Shiro
What is Apache Shiro?
Apache Shiro是一個功能強大、靈活的,開源的安全框架。它可以乾淨利落地處理身份驗證、授權、企業會話管理和加密。
Apache Shiro的首要目標是易於使用和理解。安全通常很複雜,甚至讓人感到很痛苦,但是Shiro卻不是
springboot整合shiro-登入認證和許可權管理
這篇文章我們來學習如何使用Spring Boot整合Apache Shiro。安全應該是網際網路公司的一道生命線,幾乎任何的公司都會涉及到這方面的需求。在Java領域一般有Spring Security、Apache Shiro等安全框架,但是由於Spring Securit
SpringBoot(十四):springboot整合shiro-登錄認證和權限管理
sets man throws 將不 匹配 跳轉 ida 管理員 領域 原文出處: 純潔的微笑 這篇文章我們來學習如何使用Spring Boot集成Apache Shiro。安全應該是互聯網公司的一道生命線,幾乎任何的公司都會涉及到這方面的需求。在Java領域一般有Spri
SpringBoot整合Shiro登入認證和授權(附demo)
SpringBoot整合Shiro登入認證和授權
廢話不多說,直接上程式碼: 程式碼有點多,想直接拿demo的直接拉到底
ps:demo忘了在哪拿的了,在他的基礎上改了一些
步驟一:pom.xml匯入依賴jar包
<dependencies
Spring Cloud之路:(七)SpringBoot+Shiro實現登入認證和許可權管理
一、Shiro介紹
1、Shiro是什麼?
Shiro是Apache下的一個開源專案,我們稱之為Apache Shiro。它是一個很易用與Java專案的的安全框架,提供了認證、授權、加密、會話管理,與 Spring Security 一樣都是做一個許可權的安全框架,但是與Spri
shiro實現APP、web統一登入認證和許可權管理
轉自:http://www.cnblogs.com/sunshine-2015/p/5515429.html
先說下背景,專案包含一個管理系統(web)和入口網站(web),還有一個手機APP(包括Android和IOS),三個系統共用一個後端,在後端使用shiro進行
SpringBoot(十四):CommandLineRunner-初始化資源
版權宣告
本文作者:低調小熊貓 本文連結:https://aodeng.cc/archives/springbootshi-si
版權宣告:本文采用知識共享署名 4.0 國際許可協議進行許可。轉載請註明出處!
參考:純潔的微笑:Spring Boot 如何解決
SpringBoot+shiro整合學習之登入認證和許可權控制
學習任務目標
使用者必須要登陸之後才能訪問定義連結,否則跳轉到登入頁面。
對連結進行許可權控制,只有噹噹前登入使用者有這個連結訪問許可權才可以訪問,否則跳轉到指定頁面。
輸入錯誤密碼使用者名稱或則使用者被設定為靜止登入,返回相應json串資訊
匯
SpringBoot學習筆記(六):SpringBoot實現Shiro登入控制和許可權控制
登入模組:在登入時必須呼叫 授權模組:不是一登入就調動,而是當角色許可權控制時才會呼叫
登入控制
環境搭建在上一篇。
資料庫表
表名:role 欄位:id rolename 表名:user 欄位:id username sex roleid 在程式碼中簡歷資料庫表對應的實
springboot(十五):springboot+jpa+thymeleaf增刪改查示例
pen 其中 底層原理 protect roo back styles ttr 喜歡 這篇文章介紹如何使用jpa和thymeleaf做一個增刪改查的示例。
先和大家聊聊我為什麽喜歡寫這種腳手架的項目,在我學習一門新技術的時候,總是想快速的搭建起一個demo來試試它的效果,越
springboot(十二):springboot如何測試打包部署
都是 添加 -- 堆內存 req lib 支持 參數 nohup 開發階段
單元測試
在開發階段的時候最重要的是單元測試了,springboot對單元測試的支持已經很完善了。
1、在pom包中添加spring-boot-starter-test包引用
<depend
SpringBoot系列四:SpringBoot開發(改變環境屬性、讀取資源文件、Bean 配置、模版渲染、profile 配置)
pat row 開發 ima set his 改變 端口配置 import 1、概念
SpringBoot 開發深入
2、具體內容
在之前已經基本上了解了整個 SpringBoot 運行機制,但是也需要清楚的認識到以下的問題,在實際的項目開發之中,尤其是 Java
Spring Security原始碼分析十四:Spring Social 社交登入的繫結與解綁
社交登入又稱作社會化登入(Social Login),是指網站的使用者可以使用騰訊QQ、人人網、開心網、新浪微博、搜狐微博、騰訊微博、淘寶、豆瓣、MSN、Google等社會化媒體賬號登入該網站。
前言
在之前的Spring Social系列中,我
Spring Boot 2.X(十八):整合 Spring Security-登入認證和許可權控制
前言
在企業專案開發中,對系統的安全和許可權控制往往是必需的,常見的安全框架有 Spring Security、Apache Shiro 等。本文主要簡單介紹一下 Spring Security,再通過 Spring Boot 整合開一個簡單的示例。
Spring Security
什麼是 Spring Se
文獻綜述十四:基於Oracle11g的超市進銷存管理系統設計與實現
一、基本資訊 標題:基於Oracle11g的超市進銷存管理系統設計與實現 時間:2016 出版源:技術創新 檔案分類:對資料庫的研究 二、研究背景 為超市設計開發的超市管理系統,採用的是 VC+ Oracle模 式的電子管理平臺,研究基於C/S模式的電子資訊管理的實現。 三、具體內容
算法系列之十四:狼、羊、菜和農夫過河問題
題目描述:農夫需要把狼、羊、菜和自己運到河對岸去,只有農夫能夠划船,而且船比較小,除農夫之外每次只能運一種東西,還有一個棘手問題,就是如果沒有農夫看著,羊會偷吃菜,狼會吃羊。請考慮一種方法,讓農夫能夠安全地安排這些東西和他自己過河。 這個題目考察人的快速邏輯運算
Linux學習總結(三十四)lamp之用戶認證和域名跳轉
lamp 用戶認證 域名跳轉 訪問日誌 用戶認證
為了某些網站的安全需要,特意授權特定用戶訪問,因此產生了網站訪問的用戶認證機制。我們可以針對某個站點進行認證,也可以指定某個目錄,或者是一個文件。編輯虛擬主機配置文件:vim /usr/local/apache2.4/conf/extra/ht
spring boot 整合shiro(使用者授權和許可權控制)
(1) pom.xml中新增Shiro依賴
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
Spring Boot 整合 Shiro實現認證及授權管理
Spring Boot Shiro
本示例要內容
基於RBAC,授權、認證
加密、解密
統一異常處理
redis session支援
介紹
Apache Shiro 是一個功能強大且易於使用的Java安全框架,可執行身份驗證,授權,加密和會話管理。藉助Shiro易於理解的API,您可以快速輕鬆地保護任何應