2. 程式人生 > >shiro身份驗證授權入門

shiro身份驗證授權入門

阿新 發佈:2019-02-14

一、 介紹:

shiro是apache提供的強大而靈活的開源安全框架,它主要用來處理身份認證,授權,企業會話管理和加密。
shiro功能:使用者驗證、使用者執行訪問許可權控制、在任何環境下使用session API,如cs程式。可以使用多資料來源如同時使用oracle、mysql。單點登入(sso)支援。remember me服務。詳細介紹還請看官網的使用手冊:http://shiro.apache.org/reference.html

與spring security區別,個人覺得二者的主要區別是:
1、shiro靈活性強,易學易擴充套件。同時,不僅可以在web中使用,可以工作在任務環境內中。
2、acegi靈活性較差,比較難懂,同時與spring整合性好。
如果對許可權要求比較高的專案,個人建議使用shiro,主要原因是可以很容易按業務需求進行擴充套件。
附件是對與shiro整合的jar整合及原始碼。

二、shiro與spring整合

shiro預設的配置,主要是載入ini檔案進行初始化工作,具體配置,還請看官網的使用手冊(http://shiro.apache.org/web.html)init檔案不支援與spring的整合。此處主要是如何與spring及springmvc整合。

1、web.xml中配置shiro過濾器,

web.xml中的配置類使用了spring的過濾代理類來完成。

<filter>  
   <filter-name>shiroFilter</filter-name>  
    <filter-class>  
        org.springframework.web.filter
 
.DelegatingFilterProxy  
    </filter-class>         
</filter>  
<filter-mapping>  
    <filter-name>shiroFilter</filter-name>  
    <url-pattern>/*</url-pattern  
</filter-mapping>

2、在spring中的application.xml檔案中新增shiro配置:

<!--securityManager是shiro的核心,初始化時協調各個模組執行-->
 
  
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
   <!--單個realm使用realm,如果有多個realm,使用realms屬性代替-->   
   <property name="realm" ref="leopardRealm" />  
   <property name="cacheManager" ref="shiroEhcacheManager" />  
</bean>  
    <!--realm配置,realm是shiro的橋樑,它主要是用來判斷subject是否可以登入及許可權等-->  
    <bean id="leopardRealm" class="com.leopard.shiro.realm.LeopardRealm" />  
    <!--shiro過濾器配置,bean的id值須與web中的filter-name的值相同-->  
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
    <property name="securityManager" ref="securityManager" />  
         <!-- 沒有許可權或者失敗後跳轉的頁面 -->  
     <property name="loginUrl" value="/login/login.jsp" />   
     <property name="successUrl" value="/main/index.jsp" />  
     <property name="unauthorizedUrl" value="/login/unauthorized" />  
        <property name="filterChainDefinitions">  
            <value>  
                /login/logoutlogout=logout  
                /login/**=anon  
                /**=authc,rest  
            </value>  
        </property>  
    </bean>  
    <!-- 使用者授權/認證資訊Cache, 採用EhCache 快取 -->  
    <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">  
        <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>  
    </bean>

配置說明:
securityManager是shiro的核心,初始化時協調各個模組執行。
realm是shiro的橋樑,進行資料來源配置,shrio提供了常用的realm資料來源配置,如LDAP的JndiLdapRealm,JDBC的JdbcRealm,ini檔案的IniRealm,properties檔案的PropertiesRealm等,也可以插入自己的 Realm實現來代表自定義的資料來源。此處使用了自定義的leopardRealm進行配置,java程式碼如下:

public class LeopardRealm extends AuthorizingRealm {  
    /** 
     * 授權方法,在配有快取的情況下,只加載一次。 
     */  
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();  
                 //獲取使用者資訊的所有資料,如許可權角色等.  
                 //info.setStringPermissions(許可權集合);  
        //info.setRoles(角色集合);  
        return info;  
    }  
    /** 
     * 登陸認證 
     */  
    @Override  
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)  
               throws AuthenticationException {  
        UsernamePasswordToken usernamePasswordToke = (UsernamePasswordToken)token;  
        String username = usernamePasswordToke.getUsername();  
        return new SimpleAuthenticationInfo(new ShiroUser("admin", "admin"), "admin",  
                        ByteSource.Util.bytes("admin"), getName());  

    }  
}

shiroFilter:shiro的許可權過濾器配置,可自定義過濾器並關聯至filterChainDefinitions中。shiro過濾器說明:
shiro過濾器對應的類:
過濾器名稱 對應的java類
anon org.apache.shiro.web.filter.authc.AnonymousFilter
authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
logout org.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreation org.apache.shiro.web.filter.session.NoSessionCreationFilter
perms org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port org.apache.shiro.web.filter.authz.PortFilter
rest org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl org.apache.shiro.web.filter.authz.SslFilter
user org.apache.shiro.web.filter.authc.UserFilter

anon:例子/admins/**=anon 沒有引數,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要認證(登入)才能使用,沒有引數。
authcBasic:例如/admins/user/**=authcBasic沒有引數表示httpBasic認證。
roles:例子/admins/user/=roles[admin],引數可以寫多個,多個時必須加上引號,並且引數之間用逗號分割,當有多個引數時,例如admins/user/=roles[“admin,guest”],每個引數通過才算通過,相當於hasAllRoles()方法。
perms:例子/admins/user/=perms[user:add:],引數可以寫多個,多個時必須加上引號,並且引數之間用逗號分割,例如/admins/user/=perms[“user:add:,user:modify:*”],當有多個引數時必須每個引數都通過才通過,想當於isPermitedAll()方法。
rest:例子/admins/user/=rest[user],根據請求的方法,相當於/admins/user/=perms[user:method] ,其中method為post,get,delete等。
port:例子/admins/user/**=port[8081],當請求的url的埠不是8081是跳轉到schemal://serverName:8081?queryString,其中schmal是協議http或https等,serverName是你訪問的host,8081是url配置裡port的埠,queryString是你訪問的url裡的?後面的引數。
ssl:例子/admins/user/**=ssl沒有引數,表示安全的url請求,協議為https
user:例如/admins/user/**=user沒有引數表示必須存在使用者,當登入操作時不做檢查

注:這些過濾器中anon,authcBasic,auchc,user是認證過濾器,perms,roles,ssl,rest,port是授權過濾器
至此配置工作已完成。

3、簡單登入操作:

login.jsp程式碼

<%@ page language="java" pageEncoding="UTF-8"%>  
<html>  
<body>  
    <form  action="${pageContext.request.contextPath}/login" method="post">  
        使用者名稱:<input id="username" name="username" />  
                密碼:<input id="password" type="password" name="password" />  
            記住我:<input type="checkbox" name="rememberMe" />  
                <input type="submit" name="submit" value="submit"/>  
    </form>  
</body>  
</html>

springMVC控制層程式碼:

import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  
import org.apache.shiro.SecurityUtils;  
import org.apache.shiro.authc.AuthenticationException;  
import org.apache.shiro.authc.IncorrectCredentialsException;  
import org.apache.shiro.authc.UnknownAccountException;  
import org.apache.shiro.authc.UsernamePasswordToken;  
import org.apache.shiro.subject.Subject;  
import org.springframework.stereotype.Controller;  
import org.springframework.web.bind.annotation.RequestMapping;  
import org.springframework.web.servlet.ModelAndView;  
@Controller("loginAction")  
@RequestMapping("/login")  
public class LoginAction  {  
    @RequestMapping("")  
       //登入  
    public ModelAndView execute(HttpServletRequest request,  
            HttpServletResponse response,String username,String password) {  
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);  
        //記錄該令牌  
        token.setRememberMe(false);  
        //subject許可權物件  
        Subject subject = SecurityUtils.getSubject();  
        try {  
            subject.login(token);  
        } catch (UnknownAccountException ex) {//使用者名稱沒有找到  
            ex.printStackTrace();  
        } catch (IncorrectCredentialsException ex) {//使用者名稱密碼不匹配  
            ex.printStackTrace();  
        }catch (AuthenticationException e) {//其他的登入錯誤  
            e.printStackTrace();  
        }  

        //驗證是否成功登入的方法  
        if (subject.isAuthenticated()) {  
            return new ModelAndView("/main/index.jsp");  
        }  
        return new ModelAndView("/login/login.jsp");  
    }  

        //退出  
    @RequestMapping("/logout")  
    public void logout() {  
        Subject subject = SecurityUtils.getSubject();  
        subject.logout();  
    }  
}

最後啟動服務登入,實驗證明,失敗返回登入頁,成功進入主頁。

相關推薦

shiro身份驗證授權入門

一、 介紹: shiro是apache提供的強大而靈活的開源安全框架,它主要用來處理身份認證,授權,企業會話管理和加密。 shiro功能:使用者驗證、使用者執行訪問許可權控制、在任何環境下使用session API,如cs程式。可以使用多資料來源如同時使用o

shiro身份驗證

hello nds 郵箱 使用 自己 ger logout 如果 art 身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份ID一些標識信息來表明他就是他本人,如提供身份證,用戶名/密碼來證明。 在shiro中,用戶需要提供principals (身份)和cre

SpringSecurity身份驗證基礎入門

logo submit world! authorize group author port glob oba pom.xml添加依賴 1 <dependency> 2 <groupId>org.springframew

Shiro連載-----2.Shiro身份驗證

身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份ID一些標識資訊來表明他就是他本人,如提供身份證,使用者名稱/密碼來證明。 在shiro中,使用者需要提供principals (身份)和credentials(證明)給shiro,從而應用能驗證使用者身份:

Shiro:學習筆記(1)——身份驗證

wan param import println cal 類型 classname zhang ets Shiro——學習筆記(1) 1.核心概念 1.Shiro不會自己去維護用戶、維護權限;這些需要我們自己去設計/提供;然後通過相應的接口註入給Shiro。2.應用代碼直接

Java企業微信開發_09_身份驗證之移動端網頁授權(有完整項目源碼)

.com post請求 ati errcode http nbsp code repl button 註: 源碼已上傳github: https://github.com/shirayner/WeiXin_QiYe_Demo 一、本節要點 1.1 授權回調域(可信

調用WebService時加入身份驗證,以拒絕未授權的訪問

trre size 登錄 p s 服務配置 ext details current return 眾所周知,WebService是為企業需求提供的在線應用服務,其他公司或應用軟件能夠通過Internet來訪問並使用這項在線服務。但在有些時候的某些應用服務不希望被未授權訪問

Shiro學習之身份驗證

druid 進行 out 總結 文件 sele path iss .get 身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份ID一些標識信息來表明他就是他本人,如提供身份證,用戶名/密碼來證明。 在shiro中,用戶需要提供principals (身份)和cr

Shiro安全框架簡介以及身份驗證

退出 ica 報錯 資源 帳戶 rac localhost file 手機號 一、Shiro簡介 官網 http://shiro.apache.org/download.html Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼學和會話

(二)Python調用Zabbix api之從入門到放棄——登錄並獲取身份驗證令牌

請求 urllib 登錄 login gin json AD 用戶 cati 訪問zabbix api的URL是: http://x.x.x.x/zabbix/api_jsonrpc.php x.x.x.x可能是你的IP或者域名訪問流程概覽:1、首先登錄2、認證

mongo的身份驗證授權

配置 登陸 同名 以及 意思 margin info 它的 只讀 問題來源剛裝好的mongo,準備登陸進去測一把的,結果就給我報這個錯,鄙人是新手,還不太清楚這個,現學一下~Mongo的身份驗證在上一篇安裝mongo的博客中(https://www.cnblogs.com/

ASP.NET Core 2.0身份驗證授權系統揭祕

ASP.NET Core中存在一個元件,它構成了一個魔法遮蔽,可以保護您網站的部分(或全部)免受未經授權的訪問。像許多人一樣,我從旅程開始就使用過這個元件,但從未理解過。它被一個巫師召喚出來,在我的網站和世界之間提供了一個神奇的屏障。當然,這不是它真正起作用的方式,但如果沒有正確的知識,它也可能。

Shiro 筆記 身份驗證

https://www.w3cschool.cn/shiro/xgj31if4.html shiro筆記。 package com.dudu.course1; import org.apache.shiro.SecurityUtils; import org.apache.shiro.au

etcd入門系列三:身份驗證訪問控制

etcd入門系列 一. etcd在docker中的安裝與使用 二. etcd 開啟 https 1. 簡介 etcd 預設是沒有開啟訪問控制的,如果我們開啟外網訪問的話就需要考慮訪問控制的問題,etcd 提供了兩種訪問控制的方式: 基於身份驗證的訪問控制 基於證

shiro二之授權驗證

原文地址:https://blog.csdn.net/sharetop/article/details/50195609 繼續上回,昨天我們發現,一旦我們完成Spring的必要配置之後,Shiro在認證方面的程式碼量是非常少的。今天我們來看看關於授權(Authorization),Shiro又是

shiro基於表單的攔截器身份驗證、基於 Basic 的攔截器身份驗證,普通身份驗證的區別

目錄 普通身份驗證與基於表單的攔截器、基於basic的攔截器身份驗證的區別? 普通身份驗證的一個缺點就是,永遠返回到同一個成功頁面(比如首頁),在實際專案中比如支付時如果沒有登入將跳轉到登入頁面,登入成功後再跳回到支付頁面;對於這種功能大家可以在登入時把

使用kubectl訪問Kubernetes叢集時的身份驗證授權

當我們使用kubeadm成功引導啟動(init)一個Kubernetes叢集的控制平面後,kubeadm會在init的輸出結果中給予我們下面這樣的“指示”: `... ... Your Kubernetes master has initialized suc

Spring系列學習之Spring Security OAuth身份驗證授權

英文原文:https://spring.io/projects/spring-security-oauth 目錄 概述 特性 快速開始 學習 文件 概述 Spring Security OAuth使用標準的Spring和Spring Security程式設計模型和

Spring系列學習之Spring Security身份驗證授權

英文原文:https://spring.io/projects/spring-security 目錄 概述 特性 快速開始 學習 文件 指南 概述 Spring Security是一個功能強大且可高度自定義的身份驗證和訪問控制框架。 它是保護基於Spring的

Spring系列學習之Spring Security SAML身份驗證授權

英文原文:http://projects.spring.io/spring-security-saml/ 目錄 Spring Security SAML 特性 快速開始 版本 資源 Spring Security SAML Spring Security Exte