Apache Shrio安全框架实现原理及实例详解
一、Shiro整体概述
1.简介
Apache Shiro是Java的一个安全框架,功能强大,使用简单,Shiro为开发人员提供了一个直观而全面的认证(登录),授权(判断是否含有权限),加密(密码加密)及会话管理(Shiro内置Session)的解决方案.
2.Shiro组件
3.Shiro架构
3.1 外部架构(以应用程序角度)
3.2 内部架构
4. Shiro的过滤器
| 过滤器简称 | 对应的java类 |
| anon | org.apache.shiro.web.filter.authc.AnonymousFilter |
| authc | org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
| authcBasic | org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter |
| perms | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
| port | org.apache.shiro.web.filter.authz.PortFilter |
| rest | org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter |
| roles | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
| ssl | org.apache.shiro.web.filter.authz.SslFilter |
| user | org.apache.shiro.web.filter.authc.UserFilter |
| logout | org.apache.shiro.web.filter.authc.LogoutFilter |
挑几个重要的说明一下:
anon:匿名过滤器,不登录也可以访问的资源使用,比如首页,一些静态资源等
authc:认证过滤器,登录成功后才能访问的资源使用
perms:授权过滤器,必须具备某种权限才能访问
roles:角色过滤器,必须具备某种角色才能访问
注意:这么多过滤器,使用起来肯定不方便,Shiro框架也考虑到了这一点,所以有一个过滤器,一个顶十个,即DelegatingFilterProxy.
5. Shiro与Spring整合
5.1 pom.xml
<!--shiro和spring整合-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.3.2</version>
</dependency>
5.2 web.xml
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
5.3applicationContext-shiro.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:aop="http://www.springframework.org/schema/aop"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:jdbc="http://www.springframework.org/schema/jdbc" xmlns:tx="http://www.springframework.org/schema/tx"
xmlns:task="http://www.springframework.org/schema/task"
xsi:schemaLocation="
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd
http://www.springframework.org/schema/jdbc http://www.springframework.org/schema/jdbc/spring-jdbc.xsd
http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx.xsd">
<!--安全管理器,需要注入realm域,如果有缓存配置,还需要注入缓存管理器-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!--引用自定义的realm -->
<property name="realm" ref="authRealm"/>
<!--引入缓存管理器-->
<property name="cacheManager" ref="cacheManager"/>
</bean>
<!-- 自定义Realm域的编写 -->
<bean id="authRealm" class="com.itheima.web.shiro.AuthRealm">
<!-- 注入自定义的密码比较器 -->
<property name="credentialsMatcher" ref="customerCredentialsMatcher"></property>
</bean>
<!-- 自定义的密码比较器 -->
<bean id="customerCredentialsMatcher" class="com.itheima.web.shiro.CustomCredentialsMatcher"></bean>
<!--缓存配置-->
<!--内置(windows)缓存配置:MemoryConstrainedCacheManager-->
<bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>
<!-- filter-name这个名字的值来自于web.xml中filter的名字 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<!--登录页面 -->
<property name="loginUrl" value="/login.jsp"></property>
<!-- 登录失败后 -->
<property name="unauthorizedUrl" value="/unauthorized.jsp"></property>
<property name="filterChainDefinitions">
<!-- /**代表下面的多级目录也过滤 -->
<value>
/system/module/list.do = perms["模块管理"]<!--路径和模块名称一定要和数据库表中存储的数据一致-->
/index.jsp* = anon<!--anon 不登录也可以访问的资源-->
/login.jsp* = anon
/login* = anon
/logout* = anon
/css/** = anon
/img/** = anon
/plugins/** = anon
/make/** = anon
/** = authc
</value>
</property>
</bean>
<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 生成代理,通过代理进行控制 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor">
<property name="proxyTargetClass" value="true"/>
</bean>
<!-- 安全管理器 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
<!--支持Shiro注解配置-->
<aop:aspectj-autoproxy proxy-target-class="true"/>
</beans>
5.4 如果想看具体的实现代码(含sql脚本),可以点击页面右上角Fork me on github,到我的github仓库中拉取
仓库地址: https://github.com/AdilCao/Shiro.git
代码部分只需要关注三个类:
1.LoginController(登录,在这里获取Subject主体,调用subject.login()方法后直接调用认证方法)
2.AuthRealm(认证和授权在这个类中定义,认证成功后调用密码比较器进行比较;授权即查找登录用户所具有的权限模块集合)
3.CustomCredentialsMatcher(密码比较器,将浏览器输入明文密码加密后,与数据库中的安全密码进行比较)
注意:整个过程中如果登录不成功,就会抛出异常
时间:2020-04-04
TP5框架实现一次选择多张图片并预览的方法示例
本文实例讲述了TP5框架实现一次选择多张图片并预览的方法.分享给大家供大家参考,具体如下: 点击选择图片(可选多张),确定后将选择的图片显示在页面上,已经选择的图片也可以删除,点击提交将图片提交给后台. 1.效果图 2.code 用input标签并选择type=file,记得带上multiple,不然就只能单选图片了 如果不想通过 ajax 提交,一定要加上文件传输协议 ( enctype="multipart/form-data" ) view <!DOCTYPE html&g
yii框架结合charjs统计上一年与当前年数据的方法示例
本文实例讲述了yii框架结合charjs统计上一年与当前年数据的方法.分享给大家供大家参考,具体如下: 理论上是1年有12个月,但实际上却是去年12个月已经过了,是完整的12个月,今年的12个月还没过,不完整,所以需要补齐 public static function getYearOrderCharData() { // 获取当前年 $months = range(1, 12); $currentYear = date('Y'); $lastYear = date('Y', strtotime
thinkphp5 框架结合plupload实现图片批量上传功能示例
本文实例讲述了thinkphp5 框架结合plupload实现图片批量上传功能.分享给大家供大家参考,具体如下: 在extend目录下新增目录uploader,并新建类Uploads <?php namespace uploader; class Uploads { public static function upfile($file, $path = 'images', $add_domain = false) { $res = ['errno' => 1, 'errmsg' =>
JAVA集合框架Map特性及实例解析
一 Map特性: 1 Map提供一种映射关系,其中的元素是以键值对(key-value)的形式存储的,能够实现根据key快速查找value: 2 Map中键值对以Entry类型的对象实例形式存在: 3 键,即key不可重复,但是value值可以: 4 每个键最多只能映射一个值: 5 Map接口提供了分别返回key值集合.value值集合以及Entry(键值对)集合的方法: 6 Map支持泛型,形式如:Map<K,V> 二 HashMap类: 1 HashMap是Map的一个重要实现类,也是最常
TP5框架实现上传多张图片的方法分析
本文实例讲述了TP5框架实现上传多张图片的方法.分享给大家供大家参考,具体如下: 1.效果图(每点击一次'添加选项',就会有一个新的 file 框来添加新的图片) 2.view <!--不要忘了引入jquery文件--> <!-- post传值方式和文件传输协议一定要加上 --> <input type="file" name="image[]"> <input type="button" id=&quo
Spring-boot结合Shrio实现JWT的方法
本文介绍了Spring-boot结合Shrio实现JWT的方法,分享给大家,具体如下: 关于验证大致分为两个方面: 用户登录时的验证: 用户登录后每次访问时的权限认证 主要解决方法:使用自定义的Shiro Filter 项目搭建: 这是一个spring-boot 的web项目,不了解spring-boot的项目搭建,请google. pom.mx引入相关jar包 <!-- shiro 权限管理 --> <dependency> <groupId>org.apache.s
yii框架结合charjs实现统计30天数据的方法
本文实例讲述了yii框架结合charjs实现统计30天数据的方法.分享给大家供大家参考,具体如下: 理论上30天数据应该都有,但实际上却不一定是,所以需要补全 public static function getDayOrderCharData($days = 30) { $nowDay = date('Y-m-d', strtotime('-1day')); // 当前前一天 $lastDay = date("Y-m-d", strtotime('-'.$days.'day'));
Yii框架数据模型的验证规则rules()被执行的方法
实现用户注册表单验证实现方法很简单的. 在模型里边设置一个方法,定义具体表单验证规则 我们rules()方法对表单数据进行验证时候,rules()方法怎么在YII框架中运行呢? 查看各个validator 前台也可进行验证 以上所述是小编给大家介绍的Yii框架数据模型的验证规则rules()被执行的方法,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的.在此也非常感谢大家对我们网站的支持!
Yii框架获取当前controlle和action对应id的方法
本文实例讲述了Yii框架获取当前controlle和action对应id的方法.分享给大家供大家参考.具体方法如下: 在Yiii框架开发中,你可能会要获取当前controlle或action的id,其实很简单,一句代码就实现了,以下是分别在controlle(控制器)和View(视图)中获取当前id的代码. 在控制器里: 复制代码 代码如下: $name = $this->getId(); // controller $name = $action->id; // action 在视图里:
Yii框架结合sphinx,Ajax实现搜索分页功能示例
本文实例讲述了Yii框架结合sphinx,Ajax实现搜索分页功能的方法.分享给大家供大家参考,具体如下: 效果图: 控制器: <?php namespace backend/controllers; use Yii; use yii/web/Controller; use yii/data/Pagination; use SphinxClient; use yii/db/Query; use yii/widgets/LinkPager; use backend/models/Goods; cl
深入解析PHP的Yii框架中的缓存功能
数据缓存是指将一些 PHP 变量存储到缓存中,使用时再从缓存中取回.它也是更高级缓存特性的基础,例如查询缓存和内容缓存. 如下代码是一个典型的数据缓存使用模式.其中 $cache 指向缓存组件: // 尝试从缓存中取回 $data $data = $cache->get($key); if ($data === false) { // $data 在缓存中没有找到,则重新计算它的值 // 将 $data 存放到缓存供下次使用 $cache->set($key, $data); } // 这儿
Yii框架防止sql注入,xss攻击与csrf攻击的方法
本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法.分享给大家供大家参考,具体如下: PHP中常用到的方法有: /* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip_tags($str); $str=stripslashes($str); $str=addslashes($str); $str=rawurldecode($str); $str=quotemeta($str)
Yii框架创建cronjob定时任务的方法分析
本文实例讲述了Yii框架创建cronjob定时任务的方法.分享给大家供大家参考,具体如下: 1. 添加环境配置 protected/config/console.php <?php require_once('env.php'); // This is the configuration for yiic console application. // Any writable CConsoleApplication properties can be configured here. retu
Yii框架中sphinx索引配置方法解析
本文实例讲述了Yii框架中sphinx索引配置方法.分享给大家供大家参考,具体如下: 请先将var/test/documents.sql导入数据库,并配置好以下的MySQL用户密码数据库 #源定义 source mysql { type = mysql sql_host = localhost sql_user = root sql_pass = root sql_db = yii2 sql_port = 3306 sql_query_pre = SET NAMES utf8 sql_query
yii框架redis结合php实现秒杀效果(实例代码)
废话不多说了,直接给大家贴代码了,具体代码如下所示: <?php namespace backend/controllers; use Yii; use yii/web/Controller; /** * */ class GoodsController extends Controller { public $enableCsrfValidation=false; public function actionInfo() { $data=yii::$app->db->createCom
PHP基于PDO调用sqlserver存储过程通用方法【基于Yii框架】
本文实例讲述了PHP基于PDO调用sqlserver存储过程的方法.分享给大家供大家参考,具体如下: 由于业务这边存储过程一直在sqlserver上面,所以要用php去调用它,然而我们本地的是windows,而线上又是linux,一开始使用Yii框架的一些机制去调用发现在本地一直都是好的然而到线上就不行了,找了很多方案,最后找到了pdo这种方案,而本地使用的驱动是sqlsrv线上是dblib所以需要注意下链接pdo时的驱动形式,在取结果集的时候注意windows和linux好像有所不同,在我加上
JavaScript中全选、全不选、反选、无刷新删除、批量删除、即点即改入库(在yii框架中操作)的代码分享
效果展示: 代码实现: 控制器 <?php namespace app/controllers; use Yii; use yii/filters/AccessControl; use yii/web/Controller; use yii/filters/VerbFilter; use app/models/LoginForm; use app/models/ContactForm; //use yii/db/ActiveRecord; use yii/data/Pagination; use
正文到此结束
- 本文标签: 配置 Google Document REST client ACE bean AOP 索引 java tab map 管理 解析 list schema 删除 Action IO session spring 认证 js sql NSA HTML value sphinx http Property 图片 HashMap rmi 协议 https 安全 CSS App key Ajax ECS JavaScript 深入解析 模型 目录 tag ssl git 网站 redis CTO XML Java类 ask Security 数据缓存 validator logo 加密 root ip cat 数据 时间 XSS攻击 开发 统计 Authorization cache id mysql 缓存 PHP pom 数据库 UI 代码 实例 解决方法 src Job plugin 希望 linux Proxy web db jquery GitHub DOM 分页 lib 数据模型 ORM Java集合 JDBC apache windows tar
- 版权声明: 本文为互联网转载文章,出处已在文章中说明(部分除外)。如果侵权,请联系本站长删除,谢谢。
- 本文海报: 生成海报一 生成海报二
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
