longwentao1999
longwentao1999

Shiro权限控制(一):Spring整合Shiro

一、目标:
1.介绍如何在SpringMVC中整合Shiro权限框架
2.介绍如何使用Shrio进行身份验证,如常见的登录
3.介绍如何控制哪些服务登录后才能访问,哪些服务不需要登录就可以访问

二、前言
本文是在前两篇博文《Spring+Spring MVC+Mybatis+Maven搭建多模块项目(一)》,《Spring+Spring MVC+Mybatis+Maven搭建多模块项目(二)》的基础上整合Shiro框架,如果想了解Spring+SpringMVC+Mytatis是如何整合的,请查看前面的文章。

在项目中,我们经常会用到权限验证,在项目初期,架构师已经提前把权限框架整合到工程中,开发人员只需要按一定的规则进行开发即可,并不需要过多关心权限是怎么实现的,那Shiro到底是怎么实现权限控制的呢?

三、Shiro简单介绍
Shiro是Apache 旗下的一个简单易用的权限框架,可以轻松的完成 认证、授权、加密、会话管理、与 Web 集成、缓存等,这里只进行简单的介绍,详细的介绍请查阅官方文档,先来看下Shiro如何工作的
Shiro权限控制(一):Spring整合Shiro_第1张图片
可以看到:应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外 API 核心就是 Subject;其每个 API 的含义:

Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager

SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;它是 Shiro 的核心,它负责与他组件进行交互,可以把它看成 DispatcherServlet 前端控制器

Realm:域,Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源

记住一点,Shiro 不会去维护用户、权限;需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。

四、Shiro与Spring集成
1.在pom.xml文件中引入对Shiro的依赖

    
	
        org.apache.shiro
        shiro-core
        1.2.2
    

    
        org.apache.shiro
        shiro-web
        1.2.2
    

    
        org.apache.shiro
        shiro-ehcache
        1.2.2
    

    
        org.apache.shiro
        shiro-quartz
        1.2.2
    

    
        org.apache.shiro
        shiro-spring
        1.2.2

2.在config目录下创建Shiro配置文件spring-shiro-web.xml,内容如下




    
    
    	
    
    
    
    
    	
    	
    	
    
    
     
    
    
    
    
    
    
    
    	
    	
    	
    		
    			
    		
    	
    	
    		
    			/index.jsp = anon
                /unauthorized.jsp = anon
                /user/checkLogin = anon
                /user/queryUserInfo = authc
                /user/logout = anon
                /pubApi/** = anon

说明:
1.首先声明SecurityManager,用于管理所有的 Subject,在SecurityManager中需要引用Realm,也就是权限数据的来源,通过自定义的Realm告诉SecurityManager有哪些数据权限需要管理

2.自定义Realm,注入UserService,通过UserService获得用户信息,如用户名及密码,另外还自定义了凭证(密码)匹配规则credentialsMatcher

3.自定义登录验证过滤器loginCheckPermissionFilter,登录校验的核心过滤器,哪些服务需要登录才能访问,就通过此过滤器控制

4.声明Shiro的WEB过滤器,必须引入securityManager,否则启动报错,WEB过滤器主要用于URL的访问控制,控制哪些URL需要权限控制,哪些不需要权限控制,如
/user/logout = anon:表示不需要权限控制
/user/queryUserInfo = authc:表示需要登录后才能访问
/pubApi/** = anon:表示URL路径中存在pubApi关键字的,都不需要权限控制

5.配置文件中用到的userShiroRealm,credentialsMatcher及loginCheckPermissionFilter在下面会给出代码的实现

3.修改web.xml文件,将Shiro集成到工程中

3.1将上面增加的spring-shiro-web.xml文件引入到web.xml文件中


	
		contextConfigLocation
		
			classpath:config/applicationContext.xml,
			classpath:config/spring-shiro-web.xml

3.2 在web.xml中配置shiroFilter过滤器,注意过滤器名称shiroFilter一定要和spring-shiro-web.xml中声明的shiroFilter保存一致

    
	
	  shiroFilter
	  
	      org.springframework.web.filter.DelegatingFilterProxy
	   
	  
	    targetFilterLifecycle
	    true
	  
	
	
	  shiroFilter
	  /*

4.自定义Realm
在上面的配置中,我们注入了自定义的Realm UserShiroRealm,此Realm需要继承AuthorizingRealm,并实现doGetAuthorizationInfo权限验证方法和doGetAuthenticationInfo身份验证方法,,代码实现如下

package com.bug.realm;

import java.util.HashSet;
import java.util.Set;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.bug.excption.BugException;
import com.bug.model.user.UserVO;
import com.bug.service.user.IUserService;
/**
 * 自定义Realm
 * @author longwentao
 *
 */
public class UserShiroRealm extends AuthorizingRealm{
	
	private IUserService userService;
	
	public void setUserService(IUserService userService) {
		this.userService = userService;
	}

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String username = (String)principals.getPrimaryPrincipal();
		if(username == null) {
			throw new BugException("未登录");
		}
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		Set roles = new HashSet();
		Set stringPermissions = new HashSet();
		roles.add("USER");
		stringPermissions.add("USER:DELETE");//角色:权限
		
		info.setRoles(roles);//角色可以通过数据库查询得到
		info.setStringPermissions(stringPermissions);//权限可以通过数据库查询得到
		
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken autToken) throws AuthenticationException {

		UsernamePasswordToken userPwdToken = (UsernamePasswordToken) autToken;
		String userName = userPwdToken.getUsername();

		UserVO user = userService.selectUserByUserName(userName);
		if (null == user) {
			throw new BugException("未知账号");
		}
		
		SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUserName(),
				user.getPassword().toCharArray(), getName());

		return authenticationInfo;
	}
}

说明:
1.Shiro进行身份验证时,会调用到doGetAuthenticationInfo方法,在方法内部,我们通过UsernamePasswordToken 获得用户传过来的用户名,再通过userService.selectUserByUserName方法从数据库中查询用户信息,如果用户为空,说账号不存在,否则将查询出来的用户名及密码,封装到SimpleAuthenticationInfo 对象中,并返回,用于接下来的密码验证

2.Shiro角色权限验证,会调用doGetAuthorizationInfo方法,通过SimpleAuthorizationInfo.setRoles()方法设置用户角色,通过SimpleAuthorizationInfo.setStringPermissions()设置用户权限,这里暂时给个空集合,在项目中,用户的角色权限需要从数据库中查询

5.自定义凭证(密码)匹配器
此过滤器主要用于凭证(密码)匹配,即校验用户输入的密码和从数据库中查询的密码是否相同,相同则返回true,否则返回false,此匹配器继承了SimpleCredentialsMatcher,并重写doCredentialsMatch方法,代码如下

package com.bug.credentials;

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import org.apache.shiro.util.SimpleByteSource;

/**
 * 自定义凭证(密码)匹配器
 * @author longwentao
 *
 */
public class BugCredentialsMatcher extends SimpleCredentialsMatcher {

	@Override
	public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
		// 对前台传入的明文数据加密,根据自定义加密规则加密
		Object tokencredential = new SimpleByteSource((char[]) token.getCredentials());
		// 从数据库获取的加密数据
		Object accunt = new SimpleByteSource((char[]) info.getCredentials());
		// 返回对比结果
		return equals(accunt, tokencredential);
	}
}

6.自定义登录验证过滤器
此过滤器主要用于校验用户访问某个URL时,是否已经提前登录过,如果登录过,则允许访问,否则拒绝访问;此过滤器继承了AuthorizationFilter,并重写了isAccessAllowed方法和onAccessDenied方法,代码如下

package com.bug.filter;

import java.io.IOException;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * 自定义登录验证过滤器
 * @author longwentao
 *
 */
public class LoginCheckPermissionFilter extends AuthorizationFilter {
	private final static Logger logger = LoggerFactory.getLogger(LoginCheckPermissionFilter.class);

	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object arg2) throws Exception {
		HttpServletRequest req = (HttpServletRequest) request;
		String url = req.getRequestURI();
		try {
			Subject subject = SecurityUtils.getSubject();

			return subject.isPermitted(url);
		} catch (Exception e) {
			logger.error("Check perssion error", e);
		}
		return false;
	}

	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
		Subject subject = getSubject(request, response);
		if (subject.getPrincipal() == null) {
			saveRequestAndRedirectToLogin(request, response);
		} else {
			return true;
		}
		return false;
	}
}

说明:
在onAccessDenied方法中,如果用户身份为空,说明未登录,则跳转到登录页面,如果未指定跳转的路径,Shiro给了默认值的跳转页面 /login.jsp
Shiro权限控制(一):Spring整合Shiro_第2张图片
到此,所有的配置及自定义的过滤器都已经实现完成,Shiro已经集成到项目中,接下来进行用例验证

五.验证准备工作

一个login.jsp页面及一个UserController.java,在Controller中提供3个服务,权限如下

  1. 一个登录页面login.jsp --不需要权限控制
  2. 登录校验服务 /user/checkLogin --不需要权限控制,即/user/checkLogin = anon
  3. 退出服务/user/logout --不需要权限控制,即/user/logout = anon
  4. 查询用户信息服务/user/queryUserInfo --需要登录后才可访问,即/user/queryUserInfo = authc

这里有个疑惑,退出服务为什么不要权限控制呢,如果A用户已经登录,那B用户知道退出的服务地址,直接请求退出服务,岂不是将A用户强制退出了?不着急,看下面的验证就知道会不会有影响了

login.jsp页面代码如下:


    用户名:

    密码:

UserController.java代码如下:

package com.bug.controller.user;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;

import com.bug.excption.BugException;
import com.bug.model.common.ResponseVO;
import com.bug.model.user.UserVO;
import com.bug.service.user.IUserService;

@Controller
@RequestMapping("/user")
public class UserController {
	private final static Logger logger = LoggerFactory.getLogger(UserController.class);

	@Autowired
	private IUserService userService;
	
	@RequestMapping(value = "/checkLogin", method = RequestMethod.POST, consumes = "application/x-www-form-urlencoded")
	@ResponseBody
	public ResponseVO checkLogin(@RequestParam("userName") String userName,
			@RequestParam("password") String password) {
		ResponseVO response = new ResponseVO();
		try {
			UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
			
			Subject subject = SecurityUtils.getSubject();

			subject.login(token);
		}catch (Exception e) {
			logger.error("Login Error:",e);
			response.setStatus(ResponseVO.failCode);
			Throwable ex = e.getCause();
			if(ex instanceof BugException) {
				if(ex.getMessage() != null) {
					response.setMessage(ex.getMessage());
				}
			}else if(e instanceof IncorrectCredentialsException) {
				response.setMessage("密码错误");
			}else {
				response.setMessage("登录失败");
			}
		}

		return response;
	}
	@RequestMapping(value = "/logout", method = RequestMethod.GET)
	public ResponseVO logout(){
		ResponseVO response = new ResponseVO();
		Subject subject = SecurityUtils.getSubject();
		if(subject.isAuthenticated()) {
			subject.logout();
		}
		return response;
	}
	
	@RequestMapping(value="/queryUserInfo",method = RequestMethod.GET)
	@ResponseBody
	public ResponseVO queryUserInfo() {
		ResponseVO response = new ResponseVO();
		try {
			UserVO user = userService.selectUserById("1");
			response.setData(user);
		} catch (Exception e) {
			logger.error("queryUserInfo error:",e);
			response.setStatus(ResponseVO.failCode);
		}

		return response;
	}

}

六、验证场景:

1.输入错误密码,看Shiro如何进行凭证校验
访问localhost:8080/bug.web/login.jsp,输入用户名及错误密码,点击登录
Shiro权限控制(一):Spring整合Shiro_第3张图片

开始访问到UserController中的checkLogin,在checkLogin中使用Shiro提供的Subject.login方法进行登录
Shiro权限控制(一):Spring整合Shiro_第4张图片
接下来会访问到UserShiroRealm.doGetAuthenticationInfo方法,在方法中使用传进来的username通过UserService查询用户信息
Shiro权限控制(一):Spring整合Shiro_第5张图片
用户名验证通过后,从源码中可以看出接下来进行密码验证,在AuthenticatingRealm.getAuthenticationInfo方法中
Shiro权限控制(一):Spring整合Shiro_第6张图片
在assertCredentialsMatch方法中,获得的CredentialsMatcher就是我们自定义的BugCredentialsMatcher
Shiro权限控制(一):Spring整合Shiro_第7张图片
继续往下执行,就到了我们的自定义凭证(密码)匹配器BugCredentialsMatcher
Shiro权限控制(一):Spring整合Shiro_第8张图片
继续向下执行,就会抛IncorrectCredentialsException异常,说明密码错误
Shiro权限控制(一):Spring整合Shiro_第9张图片
异常抛出后,在异常处理中捕获,并将提示信息返回给用户,整个登录校验过程就完成了
Shiro权限控制(一):Spring整合Shiro_第10张图片
Shiro权限控制(一):Spring整合Shiro_第11张图片
2.未登录时,访问queryUserInfo 服务,看能否访问
直接访问http://localhost:8080/bug.web/user/queryUserInfo,Shiro发现用户未登录,已经自动重定向到登录页面
Shiro权限控制(一):Spring整合Shiro_第12张图片
Shiro权限控制(一):Spring整合Shiro_第13张图片
3.登录后,访问queryUserInfo 服务,看能否访问
登录后直接访问http://localhost:8080/bug.web/user/queryUserInfo,发现调用链是这样的:LoginCheckPermissionFilter.isAccessAllowed–>UserShiroRealm.doGetAuthorizationInfo–>LoginCheckPermissionFilter.onAccessDenied,在onAccessDenied方法中返回true,说明已经登录,用户可以访问
Shiro权限控制(一):Spring整合Shiro_第14张图片
Shiro权限控制(一):Spring整合Shiro_第15张图片
4.A用户已经登录,B用户未登录直接请求退出服务,校验A用户是否有影响
A用户登录后,B用户直接访问http://localhost:8080/bug.web/user/logout服务,发现subject.isAuthenticated()为false,并不会用户subject.logout();,因此A用户已经登录,B用户未登录直接请求退出服务,A用户没有影响
Shiro权限控制(一):Spring整合Shiro_第16张图片

到此为止,Spring集成Shiro权限框架基本已经完成,当然,这只是最基本的访问控制,更复杂的权限控制需要整合角色一起设计,即什么角色拥有查询权限,什么角色拥有增删改权限,这些到下一篇博文中再介绍!!!

你可能感兴趣的:(Shiro)

  • (shiro加密)2019-03-27 _麻辣香锅不要辣
    参考:spring-shiro的密码加密配置凭证匹配器@BeanpublicHashedCredentialsMatcherhashedCredentialsMatcher(){HashedCredentialsMatcherhashedCredentialsMatcher=newHashedCredentialsMatcher();hashedCredentialsMatcher.setHash
  • shiro 采用redis共享session,出现反序列化错误的排查过程 nightseventhunit redisjava数据库
    这是一个老系统改造的过程,该老系统采用的框架是#jfinal#shiroredis,采用outh2协议的方式,对多个子系统之间进行单点登录,以实现系统之间的session,由于速度方面的影响,现在要改造成多个系统之间共享session,并采用redis集群的方式。说明一下当前项目的整体运行环境,此项目的多个子系统都在同一个域名下,通过上下文不同来区分子系统。以下将记录整个改造过程,采用jfinal
  • springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题 DN金猿 springboot后端javashiro前后端分离
    近期项目需要前后端分离,由于前后端分离后原来的适用的shiro配置无法满足现有系统要求。同时在前后端项目分离的项目中存在的跨域问题,cookies不再使用,通过token方式实现用户登陆鉴权。下面记录在整个过程中涉及的几个大问题:1、跨域问题2、sessionId问题3、302鉴权问题1、springboot跨域问题解决packagenet.sinorock.aj.common.config;im
  • Shiro实现登录认证以及整合到Springboot3 LIPAH web安全springboot
    一、概念介绍ApacheShiro是一个强大灵活的开源安全框架,提供授权、会话管理以及密码加密等功能。与SpringSecurity对比劣势:SpringSecurity基于Spring开发,项目若使用Spring作为基础,配合SpringSecurity做权限更加方便,而Shiro需要和Spring进行整合开发SpringSecurity功能比Shiro更加丰富些,例如安全维护方面SpringS
  • springboot整合shiro安全框架 heromps Springboot安全apache
    shiro快速开始1.导入依赖org.apache.shiroshiro-core1.8.0org.slf4jjcl-over-slf4j1.7.21org.slf4jslf4j-log4j121.7.21log4jlog4j1.2.17org.apache.shiroshiro-core1.8.02.配置文件shiro.ini[users]#user'root'withpassword'secr
  • mac解决mysql 1055问题 nitricoxide
    首遇报错mac本地安装的mysql执行带groupby的语句时,出现了如下报错1055-Expression#1ofSELECTlistisnotinGROUPBYclauseandcontainsnonaggregatedcolumn'yyhd_shiro.ar.roleName'whichisnotfunctionallydependentoncolumnsinGROUPBYclause;th
  • Spring Boot + Mybatis + Shiro 后台权限管理系统 chuxia_vlog
    平台简介一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适的。于是利用空闲休息时间开始自己写了一套后台系统。如此有了若依。她可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。所有前端后台代码封装过后十分精简易上手,出错概率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。性别男,若依是给还没有出生女儿取的名字(寓意:你若不离不弃,我必生死相依)若
  • 00后会自动化就想拿20K?不,你还差点远呢··· v_648374 自动化运维
    等你搭建好公司的自动化生态,你还是不满足,我为什么不把这些东西可视化管理呢?做个平台?管理用例,管理任务,管理测试报告?我还可以把公司的一些部署任务也集成过来?想法很好!此时的你已经不仅仅是一名优秀的自动化工程师了,已经迈向了测试开发的道路!开始学习,了解了测试框架httprunner,开发框架django/flask/springboot,懂得了接口开发的流程,了解了mybatis,shiro,
  • Spring Security与Apache Shiro:Java安全框架的比较 Lill_bin javajavaspringapache分布式安全后端开发语言
    引言在Java企业级应用开发中,安全性是一个不可忽视的重要方面。随着Web应用的复杂性日益增加,选择合适的安全框架对于保护应用免受未授权访问和其他安全威胁至关重要。SpringSecurity和ApacheShiro是两个广泛使用的Java安全框架,它们提供了认证(Authentication)和授权(Authorization)的功能。本文将对这两个框架进行比较,探讨它们的设计理念、核心特性以及
  • 【Apache】漏洞 B1ackMa9ic apache网络安全web安全网络攻击模型
    文章目录Apache漏洞1.ApacheHTTPD多后缀解析漏洞2.ApacheSSI远程命令执行漏洞3.ApacheHTTP路径穿越漏洞4.ApacheHTTPSSRF漏洞5.Apachelog4j26.ApacheshiroApache漏洞1.ApacheHTTPD多后缀解析漏洞主要利用方式:文件类型欺骗:构造example.php.jpg的文件(只要一个文件含有.php后缀的文件即将被识别成
  • 请简单介绍一下Shiro框架是什么?Shiro在Java安全领域的主要作用是什么?Shiro主要提供了哪些安全功能? AaronWang94 shirojavajava安全开发语言
    请简单介绍一下Shiro框架是什么?Shiro框架是一个强大且灵活的开源安全框架,为Java应用程序提供了全面的安全解决方案。它主要用于身份验证、授权、加密和会话管理等功能,可以轻松地集成到任何JavaWeb应用程序中,并提供了易于理解和使用的API,使开发人员能够快速实现安全特性。Shiro的核心组件包括Subject、SecurityManager和Realms。Subject代表了当前与应用
  • shiro 整合 spring 实战及源码详解 老马啸西风 java
    序言前面我们学习了如下内容:5分钟入门shiro安全框架实战笔记shiro整合spring实战及源码详解相信大家对于shiro已经有了最基本的认识,这一节我们一起来学习写如何将shiro与spring进行整合。spring整合maven依赖org.apache.shiroshiro-spring1.7.0org.springframeworkspring-context4.3.13.RELEASE
  • shrio跳转操作 + ajax 月1.2.3 springbootajax
    使用shiro框架的时候,在session过期之后实现跳转到登录界面,ajax操作不会直接跳转而是返回一个登录页面的html,并且不会进入controller逻辑,需要找到对应的方法进行重写,对ajax进行处理(FormAuthenticationFilter中的redirectToLogin方法重写)。
  • XMall 开源商城 SQL注入漏洞复现(CVE-2024-24112) OidBoy_G 漏洞复现web安全安全sql
    0x01产品简介XMall开源电商商城是开发者Exrick的一款基于SOA架构的分布式电商购物商城前后端分离前台商城:Vue全家桶后台管理:Dubbo/SSM/Elasticsearch/Redis/MySQL/ActiveMQ/Shiro/Zookeeper等。0x02漏洞概述XMall开源商城/item/list、/item/listSearch、/sys/log、/order/list、/m
  • shiro入门实战笔记(1)--理论篇 y-yg Shiroshiro入门javaapache权限控制
    从这篇文章开始,将学习Apacheshiro的相关内容。由于博主也是刚刚开始学习相关的基本内容,网上已经有系列文章讲解shiro,这里博主推荐一个:开涛的博客,《跟我学shiro》。博主也是跟着这个系列的文章学习shiro的相关内容。以下的文章,各位读者请权当是学习笔记,因此对于想了解更多内容的读者,请移步到上面的文章中,在参考资料里,博主也会附上链接。第一篇,我们参考官方文档,以及上面文章的翻译
  • Shiro-05-5 分钟入门 shiro 安全框架实战笔记 老马啸西风 web安全java安全架构开发语言哈希算法
    序言大家好,我是老马。前面我们学习了web安全之SpringSecurity入门教程这次我们来一起学习下另一款java安全框架shiro。什么是ApacheShiro?ApacheShiro是一个功能强大且易于使用的Java安全框架,它为开发人员提供了一种直观而全面的解决方案,用于身份验证,授权,加密和会话管理。实际上,它可以管理应用程序安全性的所有方面,同时尽可能避免干扰。它建立在可靠的界面驱动
  • 使用shiro进行登录密码安全验证 Asparrow Shiro安全框架学shiro安全springboot
    使用shiro进行登录密码安全验证使用框架版本SpringBoot1.5.3.RELEASEshiro-spring1.2.5shiro-ehcache1.2.5Shiro配置ShiroConfig中shiroFilter/***ShiroFilter*注意这里参数中的StudentService和IScoreDao只是一个例子,因为我们在这里可以用这样的方式获取到相关访问数据库的对象,*然后读取
  • JAVA后端主流开发框架 理查德.克莱德曼 JavaWebSpringBootjava后端开发语言
    项目介绍一款Java语言基于SpringBoot2.x、Layui、Thymeleaf、MybatisPlus、Shiro、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪、富文
  • shiro登陆时密码加盐哈希实现和简单原理 ignoHH javashirospringbootjavashiro密码学
    shiro登陆时密码加盐哈希实现版权声明:本文为博主原创文章,遵循CC4.0BY-SA版权协议,转载请附上原文出处链接和本声明。本文链接:https://blog.csdn.net/wy862740672/article/details/109818314实现废话不多说,开搞。此篇采用SHA-256哈希算法,采用其他算法只需要更改算法名字段。1.在shiro配置中添加对于HashedCredent
  • 详解Springboot整合Shiro加盐加散列实现登陆注册小案例 鱼小洲 技术杂谈shiromybatishashspringbootboot-shiro
    前言Springboot和Shiro的基本介绍我就不多说了,能看到这篇文章的相信也都会用。这篇文章主要是分享一下我在学习Shiro和Springboot的整合的小阶段。目前是复习,很感谢B站的up主——编程不良人的视频让我有了一个学习Shiro的基本方向。目前是实现了用户认证的功能。依赖整合的时候使用的是jsp,其实和thymeleaf一个道理,而且不涉及到作用域传值。我们需要导入的依赖有:mys
  • Shiro-09-Session Management 会话管理 老马啸西风 web安全哈希算法密码学算法java安全
    会话管理ApacheShiro在安全性框架世界中提供了一些独特的功能:适用于任何应用程序的完整的企业级Session解决方案,从最简单的命令行和智能手机应用程序到最大的群集企业Web应用程序。这对许多应用程序都有很大的影响-在Shiro之前,如果需要会话支持,则需要将应用程序部署在Web容器中或使用EJB状态会话Bean。Shiro的Session支持比这两种机制中的任何一种都更易于使用和管理,并
  • Shiro-10-Cryptography 编码加密 老马啸西风 web安全java安全架构开发语言哈希算法
    编码/加密在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600wcsdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。编码/解码Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作。Shiro内部的一些数据的存储/表示都使用了base64和16进制字符串。Stringstr="hello";String
  • Shiro学习(三)之MD5+随机盐salt+Hash散列认证 Solitude_dong Shiroshiro
    MD5:加密算法不可逆(只能根据明文生成密文;如果内容相同,不论执行多少次md5生成结果始终一致),通常和随机盐配合使用一般用来加密或签名签名:也称为校验和,就是用来判断两个内容是否一致eg:tomcat.ziptomcat.md5.fdfd…看是否下载完整,就可以点击tomcat.md5.看生成的签名和tomcat生成的是否一致两个文件是否一致?a.txt和bb.txt分别md5看签名是否一致破
  • [开发框架]-shiro-入门 Pacifica_ java数据库web安全shiro
    权限管理概述权限管理实现对用户访问系统的控制,以及按照安全规则或安全策略控制用户可以访问而且只能访问自己被授权的资源。也就是说,权限管理包括用户身份认证(登录)和授权(资源的访问权限)两部分shiro中的详细架构:shiro中的认证认证过程中的关键对象1.Subject,主体。访问系统的用户,主体可以是用户,程序等,进行认证的都称为主体2.Principal,身份信息,是主体进行身份认证的标识,标
  • Shiro-05-shiro 基础知识补充密码学+哈希散列 老马啸西风 安全web哈希算法密码学算法
    密码学密码术是隐藏或混淆数据的过程,因此窥探眼睛无法理解它。Shiro的加密目标是简化JDK的加密支持并使之可用。需要特别注意的是,密码通常不是特定于主题的,因此ShiroAPI的其中一个领域不是特定于主题的。即使未使用“主题”,您也可以在任何地方使用Shiro的加密支持。Shiro真正侧重于其加密支持的两个领域是加密哈希(又名消息摘要)和加密密码领域。让我们更详细地看看这两个。散列如果您使用了J
  • 基于spring boot的RBAC超详细实现 leaveslovess ❤️Java❤️java
    基于springboot+mybatis+jwt+shiro+redis+postgresql的RBAC实现码云源码地址:https://gitee.com/loveleaveslove/rbac-demo.git。一、搭建数据库1、用户表--auto-generateddefinitioncreatetablet_user( id   bigint   notnull    constraint
  • 从无到有学shiro。二:shiro小例子 SoSlIDIS
    1.概念了解使用shiro主要了解几个概念1.身份验证:即在应用中谁能证明他就是他本人。2.principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。3.credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。2.环境准备1.本文使用maven构建,环境依赖如下junitjunit4.9commons-loggingcommons-loggi
  • Shiro-11-web 介绍 老马啸西风 web安全前端hivehadoop安全架构哈希算法开发语言
    配置将Shiro集成到任何web应用程序的最简单方法是在web.xml中配置一个ServletContextListener和过滤器,该Servlet了解如何读取Shiro的INI配置。INI配置格式本身的大部分是在配置页面的INI部分中定义的,但是我们将在这里介绍一些额外的特定于web的部分。使用Spring?SpringFramework用户不会执行这个设置。如果您使用Spring,那么您将希
  • Jboot系列:代码生成工具generator的使用 简单代码2012
    Jboot是一款基于JFinal的开源框架,在JFinal的基础上,增加了微服务概念,号称“SpringCloud之外的另一个选择,已经使用在用户量过亿的商业产品上,有超过1000家公司在使用Jboot做极速开发”,整合了包括RPC、MQ、序列化、限流、shiro、代码生成器等流行组件,今天就来看看其中的代码生成工具。Jboot实际上根据微服务架构扩展了JFinal的generator为BaseM
  • Shiro-04-shiro 详细架构 老马啸西风 安全web架构java开发语言
    详细架构下图显示了Shiro的核心架构概念,并简要概述了每个架构:下面我们对除了核心组件的部分做一下简单的介绍:Authentication(身份验证)身份验证是验证用户身份的过程。也就是说,当用户通过应用程序进行身份验证时,他们在证明自己实际上就是他们所说的身份。有时也称为“登录”。这通常是一个三步过程。收集用户的识别信息(称为主体)和支持身份证明的凭据(称为凭据)。将主体和凭据提交到系统。如果
  • 枚举的构造函数中抛出异常会怎样 bylijinnan javaenum单例
    首先从使用enum实现单例说起。 为什么要用enum来实现单例? 这篇文章( http://javarevisited.blogspot.sg/2012/07/why-enum-singleton-are-better-in-java.html)阐述了三个理由: 1.enum单例简单、容易,只需几行代码: public enum Singleton { INSTANCE;
  • CMake 教程 aigo C++
    转自:http://xiang.lf.blog.163.com/blog/static/127733322201481114456136/   CMake是一个跨平台的程序构建工具,比如起自己编写Makefile方便很多。 介绍:http://baike.baidu.com/view/1126160.htm 本文件不介绍CMake的基本语法,下面是篇不错的入门教程: http:
  • cvc-complex-type.2.3: Element 'beans' cannot have character Cb123456 springWebgis
      cvc-complex-type.2.3: Element 'beans' cannot have character     Line 33 in XML document from ServletContext resource [/WEB-INF/backend-servlet.xml] is i
  • jquery实例:随页面滚动条滚动而自动加载内容 120153216 jquery
    <script language="javascript"> $(function (){ var i = 4;$(window).bind("scroll", function (event){ //滚动条到网页头部的 高度,兼容ie,ff,chrome var top = document.documentElement.s
  • 将数据库中的数据转换成dbs文件 何必如此 sqldbs
    旗正规则引擎通过数据库配置器(DataBuilder)来管理数据库,无论是Oracle,还是其他主流的数据都支持,操作方式是一样的。旗正规则引擎的数据库配置器是用于编辑数据库结构信息以及管理数据库表数据,并且可以执行SQL 语句,主要功能如下。 1)数据库生成表结构信息:         主要生成数据库配置文件(.conf文
  • 在IBATIS中配置SQL语句的IN方式 357029540 ibatis
    在使用IBATIS进行SQL语句配置查询时,我们一定会遇到通过IN查询的地方,在使用IN查询时我们可以有两种方式进行配置参数:String和List。具体使用方式如下: 1.String:定义一个String的参数userIds,把这个参数传入IBATIS的sql配置文件,sql语句就可以这样写: <select id="getForms" param
  • Spring3 MVC 笔记(一) 7454103 springmvcbeanRESTJSF
             自从 MVC 这个概念提出来之后 struts1.X  struts2.X   jsf 。。。。。 这个view 层的技术一个接一个! 都用过!不敢说哪个绝对的强悍! 要看业务,和整体的设计!      最近公司要求开发个新系统!
  • Timer与Spring Quartz 定时执行程序 darkranger springbean工作quartz
    有时候需要定时触发某一项任务。其实在jdk1.3,java sdk就通过java.util.Timer提供相应的功能。一个简单的例子说明如何使用,很简单: 1、第一步,我们需要建立一项任务,我们的任务需要继承java.util.TimerTask package com.test; import java.text.SimpleDateFormat; import java.util.Date;
  • 大端小端转换,le32_to_cpu 和cpu_to_le32 aijuans C语言相关
    大端小端转换,le32_to_cpu 和cpu_to_le32  字节序 http://oss.org.cn/kernel-book/ldd3/ch11s04.html         小心不要假设字节序. PC 存储多字节值是低字节为先(小端为先, 因此是小端), 一些高级的平台以另一种方式(大端)
  • Nginx负载均衡配置实例详解 avords
    [导读] 负载均衡是我们大流量网站要做的一个东西,下面我来给大家介绍在Nginx服务器上进行负载均衡配置方法,希望对有需要的同学有所帮助哦。负载均衡先来简单了解一下什么是负载均衡,单从字面上的意思来理解就可以解 负载均衡是我们大流量网站要做的一个东西,下面我来给大家介绍在Nginx服务器上进行负载均衡配置方法,希望对有需要的同学有所帮助哦。 负载均衡 先来简单了解一下什么是负载均衡
  • 乱说的 houxinyou 框架敏捷开发软件测试
    从很久以前,大家就研究框架,开发方法,软件工程,好多!反正我是搞不明白! 这两天看好多人研究敏捷模型,瀑布模型!也没太搞明白. 不过感觉和程序开发语言差不多, 瀑布就是顺序,敏捷就是循环. 瀑布就是需求、分析、设计、编码、测试一步一步走下来。而敏捷就是按摸块或者说迭代做个循环,第个循环中也一样是需求、分析、设计、编码、测试一步一步走下来。 也可以把软件开发理
  • 欣赏的价值——一个小故事 bijian1013 有效辅导欣赏欣赏的价值
      第一次参加家长会,幼儿园的老师说:"您的儿子有多动症,在板凳上连三分钟都坐不了,你最好带他去医院看一看。"  回家的路上,儿子问她老师都说了些什么,她鼻子一酸,差点流下泪来。因为全班30位小朋友,惟有他表现最差;惟有对他,老师表现出不屑,然而她还在告诉她的儿子:"老师表扬你了,说宝宝原来在板凳上坐不了一分钟,现在能坐三分钟。其他妈妈都非常羡慕妈妈,因为全班只有宝宝
  • 包冲突问题的解决方法 bingyingao eclipsemavenexclusions包冲突
    包冲突是开发过程中很常见的问题: 其表现有: 1.明明在eclipse中能够索引到某个类,运行时却报出找不到类。 2.明明在eclipse中能够索引到某个类的方法,运行时却报出找不到方法。 3.类及方法都有,以正确编译成了.class文件,在本机跑的好好的,发到测试或者正式环境就 抛如下异常: java.lang.NoClassDefFoundError: Could not in
  • 【Spark七十五】Spark Streaming整合Flume-NG三之接入log4j bit1129 Stream
    先来一段废话: 实际工作中,业务系统的日志基本上是使用Log4j写入到日志文件中的,问题的关键之处在于业务日志的格式混乱,这给对日志文件中的日志进行统计分析带来了极大的困难,或者说,基本上无法进行分析,每个人写日志的习惯不同,导致日志行的格式五花八门,最后只能通过grep来查找特定的关键词缩小范围,但是在集群环境下,每个机器去grep一遍,分析一遍,这个效率如何可想之二,大好光阴都浪费在这上面了
  • sudoku solver in Haskell bookjovi sudokuhaskell
    这几天没太多的事做,想着用函数式语言来写点实用的程序,像fib和prime之类的就不想提了(就一行代码的事),写什么程序呢?在网上闲逛时发现sudoku游戏,sudoku十几年前就知道了,学生生涯时也想过用C/Java来实现个智能求解,但到最后往往没写成,主要是用C/Java写的话会很麻烦。   现在写程序,本人总是有一种思维惯性,总是想把程序写的更紧凑,更精致,代码行数最少,所以现
  • java apache ftpClient bro_feng java
    最近使用apache的ftpclient插件实现ftp下载,遇见几个问题,做如下总结。 1. 上传阻塞,一连串的上传,其中一个就阻塞了,或是用storeFile上传时返回false。查了点资料,说是FTP有主动模式和被动模式。将传出模式修改为被动模式ftp.enterLocalPassiveMode();然后就好了。 看了网上相关介绍,对主动模式和被动模式区别还是比较的模糊,不太了解被动模
  • 读《研磨设计模式》-代码笔记-工厂方法模式 bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ package design.pattern; /* * 工厂方法模式:使一个类的实例化延迟到子类 * 某次,我在工作不知不觉中就用到了工厂方法模式(称为模板方法模式更恰当。2012-10-29): * 有很多不同的产品,它
  • 面试记录语 chenyu19891124 招聘
    或许真的在一个平台上成长成什么样,都必须靠自己去努力。有了好的平台让自己展示,就该好好努力。今天是自己单独一次去面试别人,感觉有点小紧张,说话有点打结。在面试完后写面试情况表,下笔真的好难,尤其是要对面试人的情况说明真的好难。 今天面试的是自己同事的同事,现在的这个同事要离职了,介绍了我现在这位同事以前的同事来面试。今天这位求职者面试的是配置管理,期初看了简历觉得应该很适合做配置管理,但是今天面
  • Fire Workflow 1.0正式版终于发布了 comsci 工作workflowGoogle
    Fire Workflow 是国内另外一款开源工作流,作者是著名的非也同志,哈哈.... 官方网站是 http://www.fireflow.org 经过大家努力,Fire Workflow 1.0正式版终于发布了 正式版主要变化: 1、增加IWorkItem.jumpToEx(...)方法,取消了当前环节和目标环节必须在同一条执行线的限制,使得自由流更加自由 2、增加IT
  • Python向脚本传参 daizj python脚本传参
    如果想对python脚本传参数,python中对应的argc, argv(c语言的命令行参数)是什么呢? 需要模块:sys 参数个数:len(sys.argv) 脚本名:    sys.argv[0] 参数1:     sys.argv[1] 参数2:     sys.argv[
  • 管理用户分组的命令gpasswd dongwei_6688 passwd
    NAME: gpasswd - administer the /etc/group file SYNOPSIS: gpasswd group gpasswd -a user group gpasswd -d user group gpasswd -R group gpasswd -r group gpasswd [-A user,...] [-M user,...] g
  • 郝斌老师数据结构课程笔记 dcj3sjt126com 数据结构与算法
    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • yii2 cgridview加上选择框进行操作 dcj3sjt126com GridView
    页面代码 <?=Html::beginForm(['controller/bulk'],'post');?> <?=Html::dropDownList('action','',[''=>'Mark selected as: ','c'=>'Confirmed','nc'=>'No Confirmed'],['class'=>'dropdown',])
  • linux mysql fypop linux
    enquiry mysql version in centos linux yum list installed | grep mysql yum -y remove mysql-libs.x86_64 enquiry mysql version in yum repositoryyum list | grep mysql oryum -y list mysql* install mysq
  • Scramble String hcx2013 String
    Given a string s1, we may represent it as a binary tree by partitioning it to two non-empty substrings recursively. Below is one possible representation of s1 = "great":
  • 跟我学Shiro目录贴 jinnianshilongnian 跟我学shiro
    历经三个月左右时间,《跟我学Shiro》系列教程已经完结,暂时没有需要补充的内容,因此生成PDF版供大家下载。最近项目比较紧,没有时间解答一些疑问,暂时无法回复一些问题,很抱歉,不过可以加群(334194438/348194195)一起讨论问题。     ----广告-----------------------------------------------------
  • nginx日志切割并使用flume-ng收集日志 liyonghui160com
         nginx的日志文件没有rotate功能。如果你不处理,日志文件将变得越来越大,还好我们可以写一个nginx日志切割脚本来自动切割日志文件。第一步就是重命名日志文件,不用担心重命名后nginx找不到日志文件而丢失日志。在你未重新打开原名字的日志文件前,nginx还是会向你重命名的文件写日志,linux是靠文件描述符而不是文件名定位文件。第二步向nginx主
  • Oracle死锁解决方法 pda158 oracle
     select p.spid,c.object_name,b.session_id,b.oracle_username,b.os_user_name from v$process p,v$session a, v$locked_object b,all_objects c where p.addr=a.paddr and a.process=b.process and c.object_id=b.
  • java之List排序 shiguanghui list排序
       在Java Collection Framework中定义的List实现有Vector,ArrayList和LinkedList。这些集合提供了对对象组的索引访问。他们提供了元素的添加与删除支持。然而,它们并没有内置的元素排序支持。   你能够使用java.util.Collections类中的sort()方法对List元素进行排序。你既可以给方法传递
  • servlet单例多线程 utopialxw 单例多线程servlet
    转自http://www.cnblogs.com/yjhrem/articles/3160864.html 和   http://blog.chinaunix.net/uid-7374279-id-3687149.html Servlet 单例多线程 Servlet如何处理多个请求访问?Servlet容器默认是采用单实例多线程的方式处理多个请求的:1.当web服务器启动的
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他