heqianqiann
heqianqiann

Shiro 基本使用总结

1.简介

Apache Shiro是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码学和会话管理。

认证、授权:

认证简单的说,就是登录的时候判断你的用户名和密码是否完全匹配,就是证明你是你。

授权,是在认证的基础之上,进行角色和权限的授予。权限决定了一个用户可以进行怎样的操作

角色、权限:

权限定义了一个用户是否可以执行某个操作。

角色就是一组权限的集合。

我们通常是把一组权限绑定到一种角色上,再把一个或者多个角色赋给一个用户,这样就实现了权限的控制。即权限通过角色定义到用户上。角色作为权限的集合,方便了我们对权限的管理。

2.实现简单的登录功能

  1. 添加shiro依赖
 <dependency>
    <groupId>org.apache.shirogroupId>
    <artifactId>shiro-coreartifactId>
    <version>1.3.2version>
dependency>
<dependency>
    <groupId>junitgroupId>
    <artifactId>junitartifactId>
    <version>${junit.version}version>
    <scope>testscope>
dependency>
  1. 配置文件shiro.ini
[users]
heqianqian = 12345666

3.编写测试代码

public class SimpleLoginTest {
    @Test
    public void test() throws Exception {
        ShiroUtils.login("classpath:shiro/shiro.ini", "heqianqian", "12345666");
    }
}
public class ShiroUtils {

    public static Subject getSubject(String path) {
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory(path);
        SecurityManager manager = factory.getInstance();
        SecurityUtils.setSecurityManager(manager);
        return SecurityUtils.getSubject();
    }

    public static Subject login(String path, String userName, String passWord) {
        Subject subject = getSubject(path);
        UsernamePasswordToken token = new UsernamePasswordToken(userName, passWord);
        try {
            subject.login(token);
            System.out.println("登录成功");
        } catch (UnknownAccountException e) {
            System.out.println("无效的用户名");
            e.printStackTrace();
        } catch (IncorrectCredentialsException e) {
            System.out.println("密码错误");
            e.printStackTrace();
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }

        //subject.logout();
        //System.out.println("退出成功");
        return subject;
    }
}
  • Subject 就是我们登录的主体,这里相当于一个桥梁,我们所有的操作其实都要通过 Subject 来帮助我们完成。
  • SecurityManager 类似于 spring MVC 中的 DispatcherServlet ,起到类似前端控制器的作用
  • Realm 是安全数据源,我们要把类似于用户名和密码的信息存放到 Realm 中,Shiro 就可以帮助我们完成认证和授权等一系列操作
    在这个例子中的 Realm 叫 IniRealm

3.使用JDBCRealm

前面例子的数据写的配置文件里,我们也可以从数据库读取数据

  1. 添加依赖
 <dependency>
    <groupId>org.apache.shirogroupId>
    <artifactId>shiro-coreartifactId>
    <version>1.3.2version>
dependency>
<dependency>
   <groupId>c3p0groupId>
   <artifactId>c3p0artifactId>
   <version>0.9.1.2version>
dependency>
<dependency>
    <groupId>mysqlgroupId>
    <artifactId>mysql-connector-javaartifactId>
    <version>5.1.39version>
dependency>
<dependency>
     <groupId>log4jgroupId>
      <artifactId>log4jartifactId>
      <version>1.2.17version>
dependency>
<dependency>
    <groupId>org.slf4jgroupId>
    <artifactId>slf4j-apiartifactId>
    <version>${slf4j.version}version>
dependency>
<dependency>
    <groupId>org.slf4jgroupId>
    <artifactId>slf4j-log4j12artifactId>
    <version>${slf4j.version}version>
dependency>
  1. 编写配置文件jdbcRealm.ini
[main]
# 表示实例化右边字符串表示的类,赋给左边字符串表示的变量。
##JdbcRealm默认使用users表
jdbcRealm = org.apache.shiro.realm.jdbc.JdbcRealm
dataSource = com.mchange.v2.c3p0.ComboPooledDataSource
dataSource.driverClass = com.mysql.jdbc.Driver
dataSource.user = root
dataSource.password = ****
# 表示对 dataSource 这个变量设置属性值 jdbcUrl ,这个属性值是一个字符串。
dataSource.jdbcUrl = jdbc:mysql://localhost:3306/ssm?useUnicode=true&characterEncoding=UTF-8
# 表示对 jdbcRealm 这个变量设置属性值 dataSource , 这个 dataSource 属性是上面实例化的一个对象,所以表示这个对象要使用前缀 `$`。
jdbcRealm.dataSource = $dataSource
securityManager.realms = $jdbcRealm
  1. 数据库建表
DROP DATABASE db_shiro;
# 创建数据库 db_shiro
CREATE DATABASE db_shiro DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;
# 使用数据库 db_shiro
USE db_shiro;

drop table if exists users;
create table users(
  id int(11) not null auto_increment comment '主键',
  username varchar(20) default null comment '用户名',
  password varchar(20) default null comment '密码',
  PRIMARY KEY (id)
)engine=innodb auto_increment=1 default charset=utf8 comment '用户表';

insert into users(username,password) values('hqq','123456');

注意:
这里建表的表名是users 因为JdbcRealm默认查找users表里的数据

JdbcRealm 源码

public class JdbcRealm extends AuthorizingRealm {
    protected static final String DEFAULT_AUTHENTICATION_QUERY = "select password from users where username = ?";
    protected static final String DEFAULT_SALTED_AUTHENTICATION_QUERY = "select password, password_salt from users where username = ?";
    protected static final String DEFAULT_USER_ROLES_QUERY = "select role_name from user_roles where username = ?";
    protected static final String DEFAULT_PERMISSIONS_QUERY = "select permission from roles_permissions where role_name = ?";
...
}

4.编写测试方法

public class JdbcRealmTest {

    private String userName = "heqianqian";

    private String passWord = "123";

    private Logger logger = Logger.getLogger(JdbcRealmTest.class);

    @Test
    public void test() throws Exception {
        ShiroUtils.login("classpath:shiro/jdbcRealm.ini", userName, passWord);
    }
}

4.自定义Realm

方式一:implements Realm

这种方式实现的 Realm 仅只能实现认证操作,并不能实现授权操作。

public class MapRealm implements Realm {

    private static Map users = new HashMap<>();

    static {
        users.put("heqianqian", "123");
        users.put("lucy", "456");
    }

    /**
     * 返回唯一的Realm名字
     */
    @Override
    public String getName() {
        System.out.println("设置Realm的名字");
        return "My MapRealm";
    }

    /**
     * 判断是否支持Token
     */
    @Override
    public boolean supports(AuthenticationToken authenticationToken) {
        System.out.println("Map Realm 中给出支持的 Token 的方法");
        // 表示仅支持 UsernamePasswordToken 类型的 Token
        return authenticationToken instanceof UsernamePasswordToken;
    }

    /**
     * 获取认证信息
     */
    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("Map Realm 中返回认证信息的方法");
        String userName = (String) authenticationToken.getPrincipal();
        String passWord = new String((char[])authenticationToken.getCredentials());
        if (!users.containsKey(userName)) {
            System.out.println("用户名错误!");
        } else if (!users.get(userName).equals(passWord)) {
            System.out.println("密码错误!");
        }
        return new SimpleAuthenticationInfo(userName, passWord, getName());
    }
}

编写配置文件mapRealm.ini

[main]
# 声明了我们自己定义的一个 Realm
myMapRealm = heqianqian.shiro.realm.MapRealm
# 将我们自己定义的 Realm 注入到 securityManager 的 realms 属性中去
securityManager.realms = $myMapRealm

测试

public class MapRealmTest {
    @Test
    public void test() throws Exception {
        ShiroUtils.login("classpath:shiro/mapRealm.ini","heqianqian","123");
    }
}

方式二:extends AuthorizingRealm(比较常用的一种方式,因为这样做既可以实现认证操作,也可以实现授权操作)

public class MyStaticRealm extends AuthorizingRealm {

    /**
     * 用于授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 暂时忽略,以后介绍
        return null;
    }

    /**
     * 用于认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("Static Realm 中认证的方法");
        String userName = authenticationToken.getPrincipal().toString();
        String password = new String((char[]) authenticationToken.getCredentials());
        if (!"heqianqian".equals(userName)) {
            throw new UnknownAccountException("无效的用户名");
        } else if (!"123".equals(password)) {
            throw new IncorrectCredentialsException("密码无效");
        }
        return new SimpleAuthenticationInfo("heqianqian", "123", getName());
    }
}

编写配置文件mystaticRealm.ini

[main]
myStaticRealm = heqianqian.shiro.realm.MyStaticRealm
securityManager.realms = $myStaticRealm

测试

 @Test
    public void testPermission() throws Exception {
        Subject subject = ShiroUtils.login("classpath:shiro/mystaticRealm.ini", "heqianqian", "123");
    }

知识点:配置认证策略

这时候,我们会有一个疑问,securityManager 的属性既然是 realms,说明可以设置若干个 Realm,它们认证的顺序是如何的呢。

那么对于若干个 Realm,Shiro 提供了一种配置方式,让我们来决定在多个 Reaml 同时声明的情况下,采用哪些 Realm 返回的认证信息的方式,这就是我们的认证策略。

认证策略主要有以下三种:

1、FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第一个 Realm 身份验证成功的认证信息,其他的忽略;

2、AtLeastOneSuccessfulStrategy: (这是默认使用的认证策略,即在不配置情况下 Shiro 所采用的认证策略)只要有一个 Realm 验证成功即可, 和 FirstSuccessfulStrategy 不同,返回所有 Realm 身份验证成功的认证信息;

3、AllSuccessfulStrategy:所有 Realm 验证成功才算成功,且返回所有 Realm 身份验证成功的认证信息,如果有一个失败就失败了。

配置示例

# 配置认证策略
allSuccessfulStrategy = org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy = $allSuccessfulStrategy

5. 基于字符串的角色和权限

编写配置文件

[users]
hqq = 123,role1,role2
lucy = 111,role1
[roles]
role1 = user:select
role2 = user:add,user:update,user:delete

测试角色和权限

public class RoleTest {

    @Test
    public void testHasRole() throws Exception {
        Subject subject = ShiroUtils.login("classpath:shiro/shiro-role.ini", "hqq", "123");
        assertEquals(true, subject.hasRole("role1"));
        assertEquals(true, subject.hasRole("role2"));
        assertEquals(true, subject.hasAllRoles(Arrays.asList("role1", "role2")));
        subject.logout();
    }

    @Test
    public void testCheckRole() throws Exception {
        Subject subject = ShiroUtils.login("classpath:shiro/shiro-role.ini", "hqq", "123");
        subject.checkRole("role1");
        subject.checkRole("role2");
        subject.checkRoles(Arrays.asList("role1", "role2"));
        assertEquals(true, subject.hasRole("role2"));

    }
}

public class PermissionTest {

    @Test
    public void testHasPermission() throws Exception {
        Subject subject = ShiroUtils.login("classpath:shiro/shiro-permission.ini", "hqq", "123");
        assertEquals(true, subject.isPermitted("user:select"));
        subject.isPermitted("user:select", "user:add", "user:delete", "user:update");
        assertEquals(true, subject.isPermittedAll("user:select", "user:select", "user:add", "user:delete", "user:update"));
        subject.logout();
    }

    @Test
    public void testCheckPermission() throws Exception {
        Subject subject = ShiroUtils.login("classpath:shiro/shiro-permission.ini", "hqq", "123");
        subject.checkPermission("user:select");
        subject.checkPermissions("user:select", "user:add", "user:delete", "user:update");
        subject.logout();
    }
}

6.自定义权限解析器和角色解析器

自定义权限解析规的步骤

步骤1:实现 Permission 接口

public class MyPermission implements Permission {

    private String resourceId;
    private String operator;
    private String instanceId;

    public MyPermission() {

    }

    public MyPermission(String permissionStr) {
        String[] strs = permissionStr.split("\\+");
        if (strs.length > 1) {
            this.resourceId = strs[1];
        }
        if (this.resourceId == null || "".equals(this.resourceId)) {
            this.resourceId = "*";
        }
        if (strs.length > 2) {
            this.operator = strs[2];
        }
        if (strs.length > 3) {
            this.instanceId = strs[3];
        }
        if (this.instanceId == null || "".equals(this.instanceId)) {
            this.instanceId = "*";
        }

        System.out.println("实例化 MyPermission 时 => " + this.toString());
    }

    /**
     * 【这是一个非常重要的方法】
     * 由程序员自己编写授权是否匹配的逻辑,
     * 我们这里的实现,是将 Realm 中给出的 Permission 和 ini 配置中指定的 PermissionResoler 中指定的 Permission 进行比对
     * 比对的规则完全由我们自己定义
     */
    @Override
    public boolean implies(Permission permission) {
        if (!(permission instanceof MyPermission)) {
            return false;
        }
        MyPermission mp = (MyPermission) permission;
        if (!"*".equals(mp.resourceId) && !this.resourceId.equals(mp.resourceId)) {
            return false;
        }
        if (!"*".equals(mp.operator) && !this.operator.equals(mp.operator)) {
            return false;
        }
        if (!"*".equals(mp.instanceId) && !this.instanceId.equals(mp.instanceId)) {
            return false;
        }
        return true;
    }

    @Override
    public String toString() {
        return "MyPermission{" +
                "resourceId='" + resourceId + '\'' +
                ", operator='" + operator + '\'' +
                ", instanceId='" + instanceId + '\'' +
                '}';
    }
}

步骤2:实现 PermissionResolver 接口

实现 PermissionResolver 接口的意义在于告诉 Shiro 根据字符串的表现形式(表现特征),采用什么样的 Permission 进行匹配。

public class MyPermissionResolver implements PermissionResolver {
    @Override
    public Permission resolvePermission(String s) {
    /*如果我们的权限字符串是以 “+” 号开头的话,就使用我们自定义的 MyPermission ,否则就使用默认的 WildcardPermission 解析这个字符串。*/
        if (s.startsWith("+")) {
            return new MyPermission(s);
        }
        return new WildcardPermission(s);
    }
}

说明:这段代码实现的一个效果是:如果我们的权限字符串是以 “+” 号开头的话,就使用我们自定义的 MyPermission ,否则就使用默认的 WildcardPermission 解析这个字符串。

步骤3:实现授权的逻辑

public class MyStaticRealm extends AuthorizingRealm {

    /**
     * 用于授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("Static Realm 中授权的方法");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRole("r1");
        info.addRole("r2");
        info.addRole("role1");
        info.addStringPermission("+user+");
        info.addObjectPermission(new MyPermission("+user+add+1"));
        return info;
    }

    /**
     * 用于认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("Static Realm 中认证的方法");
        String userName = authenticationToken.getPrincipal().toString();
        String password = new String((char[]) authenticationToken.getCredentials());
        if (!"heqianqian".equals(userName)) {
            throw new UnknownAccountException("无效的用户名");
        } else if (!"123".equals(password)) {
            throw new IncorrectCredentialsException("密码无效");
        }
        return new SimpleAuthenticationInfo("heqianqian", "123", getName());
    }
}

编写配置文件

#配置自定义权限解析器
permissionResolver = heqianqian.shiro.permission.MyPermissionResolver
authorizer.permissionResolver = permissionResolver
securityManager.authorizer = $authorizer

自定义角色匹配器

步骤1:实现 RolePermissionResolver 接口

public class MyRolePermissionResolver implements RolePermissionResolver {
    @Override
    public Collection resolvePermissionsInRole(String s) {
        System.out.println("MyRolePermissionResolver");
        if (s.contains("role1")) {
            return Arrays.asList((Permission) new MyPermission("+user+add+2"));
        }
        return null;
    }
}

步骤2:在 shiro.ini 中配置我们的 RolePermissionResolver

authorizer = org.apache.shiro.authz.ModularRealmAuthorizer

##配置RolePermissionResolver
rolePermissionResolver = heqianqian.shiro.role.MyRolePermissionResolver
authorizer.rolePermissionResolver = rolePermissionResolver

#配置自定义权限解析器
permissionResolver = heqianqian.shiro.permission.MyPermissionResolver
authorizer.permissionResolver = permissionResolver
securityManager.authorizer = $authorizer

步骤3:在自定义的 Realm 的授权方法中添加角色

public class MyStaticRealm extends AuthorizingRealm {

    /**
     * 用于授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("static Realm 中授权的方法");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRole("role1");
        return info;
    }

    /**
     * 用于认证
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 省略
    }
}

步骤 4 :判断用户是否具有授权方法中指定角色的权限

currentSubject.checkPermission("+user+add+1");

7. 加密

PasswordService service = new DefaultPasswordService();
String str1 = service.encryptPassword("123456");
String str2 = service.encryptPassword("123456");
System.out.println(str1);
System.out.println(str2);
// 盐值是存放在加密以后的密码中的
boolean boolean1 = service.passwordsMatch("123456",str1);
System.out.println(boolean1);
boolean boolean2 = service.passwordsMatch("123456",str2);
System.out.println(boolean2)

自定义 Realm 的认证实现部分:

public class MyPasswordRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 验证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // default
        String userName = (String) authenticationToken.getPrincipal();
        //String passWordFromDB = "$shiro1$SHA-256$500000$onR5YN4/BqH6toWLn9atsg==$g31FX9UERzy36yBlruzIZqGwCLf8V9P5p3hBrZQOAY0=";
        //md5+salt
        String passWordFromDB = "c39d11270c99cb00a13a6ac1e54effa2";
        String salt = "hqq";
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userName, passWordFromDB, getName());
        info.setCredentialsSalt(ByteSource.Util.bytes(salt.getBytes()));
        return info;
    }
}

配置文件

# 声明一个 Shiro 已经有的密码匹配的类
passwordMatcher=org.apache.shiro.authc.credential.PasswordMatcher
# 声明自定义的 Realm 类
;myPasswordRealm= heqianqian.shiro.realm.MyPasswordRealm
# 将 passwordMatcher 注入到自定义的 Realm 类中
myPasswordRealm.credentialsMatcher=$passwordMatcher
# 将自定义的 Realm 注入到 securityManager 中
securityManager.realms=$myPasswordRealm

加盐

String originPassword = "123456";
String salt = "hello";
String md5 = new Md5Hash(originPassword,salt).toString();
System.out.println(md5);
public class MyPasswordRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username  = authenticationToken.getPrincipal().toString();
        // String password = new String((char[]) authenticationToken.getCredentials());
        // 此时我们应该从数据库中根据 username 查询出对应的密码
        String passwordFromDB = "eeb9bad681184779aa6570e402d6ef6c";
        String salt = "hello";
        SimpleAuthenticationInfo info= new SimpleAuthenticationInfo(username,passwordFromDB,getName());
        // 设置加密算法的盐值,使用 ByteSource 这个工具类
        info.setCredentialsSalt(ByteSource.Util.bytes(salt.getBytes()));
        return info;
    }
}

配置文件

# 声明一个 Shiro 已经有的密码匹配的类
hashMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
hashMatcher.hashAlgorithmName=md5
hashMatcher.hashSalted=hello
# 声明自定义的 Realm 类
myPasswordRealm=com.liwei.realm.MyPasswordRealm
# 将 passwordMatcher 注入到自定义的 Realm 类中
myPasswordRealm.credentialsMatcher=$hashMatcher
# 将自定义的 Realm 注入到 securityManager 中
securityManager.realms=$myPasswordRealm

参考文章

http://blog.csdn.net/lw_power?viewmode=contents

你可能感兴趣的:(Shiro)

  • SpringSecurity初学总结 weixin_66442229 spring
    springSecurity安全框架基于Java的安全框架主要有:SpringSecurity和Shiro介绍基础概念安全框架是对用户访问权限的控制,保证应用的安全性。其主要的工作是用户认证和用户授权|鉴权主要应用于Spring的企业应用系统,提供声明式的安全访问控制解决方案。它提供了一组可以在Spring应用上下文中配置的Bean能很好的结合Spring的DI依赖注入和AOP面向切面编程功能应用
  • 关于项目中使用shiro进行安全管理的总结 一颗大青柠 JavaShirojavaspring
    关于项目中使用shiro进行安全管理的总结关于SpringBoot下使用shiro进行用户认证与权限管理对于安全框架有一定了解的开发者一定对于shiro这款安全框架有一定的了解,这里我们不再对该框架进行其设计与知识的介绍,仅对于我的个人项目中所使用到的进行一个总结,并放上代码。使用该框架的第一步,进行配置:packagecom.libvirtjava.demo.vm.util.config;imp
  • Apache Shiro安全框架(2)-用户认证 heyrian Javashiro
    身份认证在shiro中用户需要提供用户的principals(身份)和credentials(证明)来证明该用户属于当前系统用户。常见的认证方式即用户名/密码。在解释身份认证之前,我们先来看看shiro中的Subject和Realm,这是身份认证的两个关键的概念。Subjectsubject代表当前用户,内部主要维护当前用户信息。shiro中所有的subject都交给SecurityManager
  • 毕设/私活/bigold必备项目,一个挣钱的免费的全开源标准前后端分离后台管理权限系统【springboot+vue+redis+Spring Security】脚手架搭建:若依Ruo框架具体使用教程 南北极之间 前端开发springbootvuespringboot+vue免费后台管理系统毕业私活后台权限系统
    【建议收藏】毕设/私活/大佬必备,一个挣钱的标准开源前后端分离【springboot+vue+redis+SpringSecurity】脚手架一个免费的开源后台管理系统:若依框架(具体使用教程:具体怎样下载?怎样使用?怎样配置后台接口地址?超详细)简介RuoYi是一个JavaEE企业级快速开发平台,基于经典技术组合(SpringBoot、ApacheShiro、MyBatis、Thymeleaf、
  • 解锁Apache Shiro:新手友好的安全框架指南(一)——整体架构与身份认证_apache shiro的配置包括安全管理器(2) 2401_84281748 程序员apache安全架构
    ApacheShiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理,可用于保护任何应用程序——从命令行应用程序、移动应用程序到最大的web和企业应用程序。Shiro提供了应用程序安全API来执行以下方面:Authentication(认证):验证用户身份,即用户登录。Authorization(授权):访问控制Cryptography(密码学):保护或隐藏私密数
  • springmvc用配置类替换xml配置 码里法 其他javamvcspring
    ssm基础项目整合前言xml配置mybatis.xmlspingmvc.xmlweb.xml配置类jdbc配置类mybatis配置SpringConfig配置SpringMvcConfig配置shiro配置WebInit前言其实这中间用配置类,发现问题还挺多的,所以记录一下,尤其是针对shiro的配置。xml配置mybatis.xmlArchetypeCreatedWebApplicationdi
  • (shiro加密)2019-03-27 _麻辣香锅不要辣
    参考:spring-shiro的密码加密配置凭证匹配器@BeanpublicHashedCredentialsMatcherhashedCredentialsMatcher(){HashedCredentialsMatcherhashedCredentialsMatcher=newHashedCredentialsMatcher();hashedCredentialsMatcher.setHash
  • shiro 采用redis共享session,出现反序列化错误的排查过程 nightseventhunit redisjava数据库
    这是一个老系统改造的过程,该老系统采用的框架是#jfinal#shiroredis,采用outh2协议的方式,对多个子系统之间进行单点登录,以实现系统之间的session,由于速度方面的影响,现在要改造成多个系统之间共享session,并采用redis集群的方式。说明一下当前项目的整体运行环境,此项目的多个子系统都在同一个域名下,通过上下文不同来区分子系统。以下将记录整个改造过程,采用jfinal
  • springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题 DN金猿 springboot后端javashiro前后端分离
    近期项目需要前后端分离,由于前后端分离后原来的适用的shiro配置无法满足现有系统要求。同时在前后端项目分离的项目中存在的跨域问题,cookies不再使用,通过token方式实现用户登陆鉴权。下面记录在整个过程中涉及的几个大问题:1、跨域问题2、sessionId问题3、302鉴权问题1、springboot跨域问题解决packagenet.sinorock.aj.common.config;im
  • Shiro实现登录认证以及整合到Springboot3 LIPAH web安全springboot
    一、概念介绍ApacheShiro是一个强大灵活的开源安全框架,提供授权、会话管理以及密码加密等功能。与SpringSecurity对比劣势:SpringSecurity基于Spring开发,项目若使用Spring作为基础,配合SpringSecurity做权限更加方便,而Shiro需要和Spring进行整合开发SpringSecurity功能比Shiro更加丰富些,例如安全维护方面SpringS
  • springboot整合shiro安全框架 heromps Springboot安全apache
    shiro快速开始1.导入依赖org.apache.shiroshiro-core1.8.0org.slf4jjcl-over-slf4j1.7.21org.slf4jslf4j-log4j121.7.21log4jlog4j1.2.17org.apache.shiroshiro-core1.8.02.配置文件shiro.ini[users]#user'root'withpassword'secr
  • mac解决mysql 1055问题 nitricoxide
    首遇报错mac本地安装的mysql执行带groupby的语句时,出现了如下报错1055-Expression#1ofSELECTlistisnotinGROUPBYclauseandcontainsnonaggregatedcolumn'yyhd_shiro.ar.roleName'whichisnotfunctionallydependentoncolumnsinGROUPBYclause;th
  • Spring Boot + Mybatis + Shiro 后台权限管理系统 chuxia_vlog
    平台简介一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适的。于是利用空闲休息时间开始自己写了一套后台系统。如此有了若依。她可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。所有前端后台代码封装过后十分精简易上手,出错概率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。性别男,若依是给还没有出生女儿取的名字(寓意:你若不离不弃,我必生死相依)若
  • 00后会自动化就想拿20K?不,你还差点远呢··· v_648374 自动化运维
    等你搭建好公司的自动化生态,你还是不满足,我为什么不把这些东西可视化管理呢?做个平台?管理用例,管理任务,管理测试报告?我还可以把公司的一些部署任务也集成过来?想法很好!此时的你已经不仅仅是一名优秀的自动化工程师了,已经迈向了测试开发的道路!开始学习,了解了测试框架httprunner,开发框架django/flask/springboot,懂得了接口开发的流程,了解了mybatis,shiro,
  • Spring Security与Apache Shiro:Java安全框架的比较 Lill_bin javajavaspringapache分布式安全后端开发语言
    引言在Java企业级应用开发中,安全性是一个不可忽视的重要方面。随着Web应用的复杂性日益增加,选择合适的安全框架对于保护应用免受未授权访问和其他安全威胁至关重要。SpringSecurity和ApacheShiro是两个广泛使用的Java安全框架,它们提供了认证(Authentication)和授权(Authorization)的功能。本文将对这两个框架进行比较,探讨它们的设计理念、核心特性以及
  • 【Apache】漏洞 B1ackMa9ic apache网络安全web安全网络攻击模型
    文章目录Apache漏洞1.ApacheHTTPD多后缀解析漏洞2.ApacheSSI远程命令执行漏洞3.ApacheHTTP路径穿越漏洞4.ApacheHTTPSSRF漏洞5.Apachelog4j26.ApacheshiroApache漏洞1.ApacheHTTPD多后缀解析漏洞主要利用方式:文件类型欺骗:构造example.php.jpg的文件(只要一个文件含有.php后缀的文件即将被识别成
  • 请简单介绍一下Shiro框架是什么?Shiro在Java安全领域的主要作用是什么?Shiro主要提供了哪些安全功能? AaronWang94 shirojavajava安全开发语言
    请简单介绍一下Shiro框架是什么?Shiro框架是一个强大且灵活的开源安全框架,为Java应用程序提供了全面的安全解决方案。它主要用于身份验证、授权、加密和会话管理等功能,可以轻松地集成到任何JavaWeb应用程序中,并提供了易于理解和使用的API,使开发人员能够快速实现安全特性。Shiro的核心组件包括Subject、SecurityManager和Realms。Subject代表了当前与应用
  • shiro 整合 spring 实战及源码详解 老马啸西风 java
    序言前面我们学习了如下内容:5分钟入门shiro安全框架实战笔记shiro整合spring实战及源码详解相信大家对于shiro已经有了最基本的认识,这一节我们一起来学习写如何将shiro与spring进行整合。spring整合maven依赖org.apache.shiroshiro-spring1.7.0org.springframeworkspring-context4.3.13.RELEASE
  • shrio跳转操作 + ajax 月1.2.3 springbootajax
    使用shiro框架的时候,在session过期之后实现跳转到登录界面,ajax操作不会直接跳转而是返回一个登录页面的html,并且不会进入controller逻辑,需要找到对应的方法进行重写,对ajax进行处理(FormAuthenticationFilter中的redirectToLogin方法重写)。
  • XMall 开源商城 SQL注入漏洞复现(CVE-2024-24112) OidBoy_G 漏洞复现web安全安全sql
    0x01产品简介XMall开源电商商城是开发者Exrick的一款基于SOA架构的分布式电商购物商城前后端分离前台商城:Vue全家桶后台管理:Dubbo/SSM/Elasticsearch/Redis/MySQL/ActiveMQ/Shiro/Zookeeper等。0x02漏洞概述XMall开源商城/item/list、/item/listSearch、/sys/log、/order/list、/m
  • shiro入门实战笔记(1)--理论篇 y-yg Shiroshiro入门javaapache权限控制
    从这篇文章开始,将学习Apacheshiro的相关内容。由于博主也是刚刚开始学习相关的基本内容,网上已经有系列文章讲解shiro,这里博主推荐一个:开涛的博客,《跟我学shiro》。博主也是跟着这个系列的文章学习shiro的相关内容。以下的文章,各位读者请权当是学习笔记,因此对于想了解更多内容的读者,请移步到上面的文章中,在参考资料里,博主也会附上链接。第一篇,我们参考官方文档,以及上面文章的翻译
  • Shiro-05-5 分钟入门 shiro 安全框架实战笔记 老马啸西风 web安全java安全架构开发语言哈希算法
    序言大家好,我是老马。前面我们学习了web安全之SpringSecurity入门教程这次我们来一起学习下另一款java安全框架shiro。什么是ApacheShiro?ApacheShiro是一个功能强大且易于使用的Java安全框架,它为开发人员提供了一种直观而全面的解决方案,用于身份验证,授权,加密和会话管理。实际上,它可以管理应用程序安全性的所有方面,同时尽可能避免干扰。它建立在可靠的界面驱动
  • 使用shiro进行登录密码安全验证 Asparrow Shiro安全框架学shiro安全springboot
    使用shiro进行登录密码安全验证使用框架版本SpringBoot1.5.3.RELEASEshiro-spring1.2.5shiro-ehcache1.2.5Shiro配置ShiroConfig中shiroFilter/***ShiroFilter*注意这里参数中的StudentService和IScoreDao只是一个例子,因为我们在这里可以用这样的方式获取到相关访问数据库的对象,*然后读取
  • JAVA后端主流开发框架 理查德.克莱德曼 JavaWebSpringBootjava后端开发语言
    项目介绍一款Java语言基于SpringBoot2.x、Layui、Thymeleaf、MybatisPlus、Shiro、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪、富文
  • shiro登陆时密码加盐哈希实现和简单原理 ignoHH javashirospringbootjavashiro密码学
    shiro登陆时密码加盐哈希实现版权声明:本文为博主原创文章,遵循CC4.0BY-SA版权协议,转载请附上原文出处链接和本声明。本文链接:https://blog.csdn.net/wy862740672/article/details/109818314实现废话不多说,开搞。此篇采用SHA-256哈希算法,采用其他算法只需要更改算法名字段。1.在shiro配置中添加对于HashedCredent
  • 详解Springboot整合Shiro加盐加散列实现登陆注册小案例 鱼小洲 技术杂谈shiromybatishashspringbootboot-shiro
    前言Springboot和Shiro的基本介绍我就不多说了,能看到这篇文章的相信也都会用。这篇文章主要是分享一下我在学习Shiro和Springboot的整合的小阶段。目前是复习,很感谢B站的up主——编程不良人的视频让我有了一个学习Shiro的基本方向。目前是实现了用户认证的功能。依赖整合的时候使用的是jsp,其实和thymeleaf一个道理,而且不涉及到作用域传值。我们需要导入的依赖有:mys
  • Shiro-09-Session Management 会话管理 老马啸西风 web安全哈希算法密码学算法java安全
    会话管理ApacheShiro在安全性框架世界中提供了一些独特的功能:适用于任何应用程序的完整的企业级Session解决方案,从最简单的命令行和智能手机应用程序到最大的群集企业Web应用程序。这对许多应用程序都有很大的影响-在Shiro之前,如果需要会话支持,则需要将应用程序部署在Web容器中或使用EJB状态会话Bean。Shiro的Session支持比这两种机制中的任何一种都更易于使用和管理,并
  • Shiro-10-Cryptography 编码加密 老马啸西风 web安全java安全架构开发语言哈希算法
    编码/加密在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600wcsdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。编码/解码Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作。Shiro内部的一些数据的存储/表示都使用了base64和16进制字符串。Stringstr="hello";String
  • Shiro学习(三)之MD5+随机盐salt+Hash散列认证 Solitude_dong Shiroshiro
    MD5:加密算法不可逆(只能根据明文生成密文;如果内容相同,不论执行多少次md5生成结果始终一致),通常和随机盐配合使用一般用来加密或签名签名:也称为校验和,就是用来判断两个内容是否一致eg:tomcat.ziptomcat.md5.fdfd…看是否下载完整,就可以点击tomcat.md5.看生成的签名和tomcat生成的是否一致两个文件是否一致?a.txt和bb.txt分别md5看签名是否一致破
  • [开发框架]-shiro-入门 Pacifica_ java数据库web安全shiro
    权限管理概述权限管理实现对用户访问系统的控制,以及按照安全规则或安全策略控制用户可以访问而且只能访问自己被授权的资源。也就是说,权限管理包括用户身份认证(登录)和授权(资源的访问权限)两部分shiro中的详细架构:shiro中的认证认证过程中的关键对象1.Subject,主体。访问系统的用户,主体可以是用户,程序等,进行认证的都称为主体2.Principal,身份信息,是主体进行身份认证的标识,标
  • scala的option和some 矮蛋蛋 编程scala
    原文地址: http://blog.sina.com.cn/s/blog_68af3f090100qkt8.html 对于学习 Scala 的 Java™ 开发人员来说,对象是一个比较自然、简单的入口点。在 本系列 前几期文章中,我介绍了 Scala 中一些面向对象的编程方法,这些方法实际上与 Java 编程的区别不是很大。我还向您展示了 Scala 如何重新应用传统的面向对象概念,找到其缺点
  • NullPointerException Cb123456 androidBaseAdapter
        java.lang.NullPointerException: Attempt to invoke virtual method 'int android.view.View.getImportantForAccessibility()' on a null object reference     出现以上异常.然后就在baidu上
  • PHP使用文件和目录 天子之骄 php文件和目录读取和写入php验证文件php锁定文件
    PHP使用文件和目录 1.使用include()包含文件 (1):使用include()从一个被包含文档返回一个值 (2):在控制结构中使用include()   include_once()函数需要一个包含文件的路径,此外,第一次调用它的情况和include()一样,如果在脚本执行中再次对同一个文件调用,那么这个文件不会再次包含。   在php.ini文件中设置
  • SQL SELECT DISTINCT 语句 何必如此 sql
    SELECT DISTINCT 语句用于返回唯一不同的值。 SQL SELECT DISTINCT 语句 在表中,一个列可能会包含多个重复值,有时您也许希望仅仅列出不同(distinct)的值。 DISTINCT 关键词用于返回唯一不同的值。 SQL SELECT DISTINCT 语法 SELECT DISTINCT column_name,column_name F
  • java冒泡排序 3213213333332132 java冒泡排序
    package com.algorithm; /** * @Description 冒泡 * @author FuJianyong * 2015-1-22上午09:58:39 */ public class MaoPao { public static void main(String[] args) { int[] mao = {17,50,26,18,9,10
  • struts2.18 +json,struts2-json-plugin-2.1.8.1.jar配置及问题! 7454103 DAOspringAjaxjsonqq
    struts2.18  出来有段时间了! (貌似是 稳定版)   闲时研究下下!  貌似 sruts2 搭配 json 做 ajax 很吃香!   实践了下下! 不当之处请绕过! 呵呵   网上一大堆 struts2+json  不过大多的json 插件 都是 jsonplugin.34.jar   strut
  • struts2 数据标签说明 darkranger jspbeanstrutsservletScheme
    数据标签主要用于提供各种数据访问相关的功能,包括显示一个Action里的属性,以及生成国际化输出等功能 数据标签主要包括: action :该标签用于在JSP页面中直接调用一个Action,通过指定executeResult参数,还可将该Action的处理结果包含到本页面来。 bean :该标签用于创建一个javabean实例。如果指定了id属性,则可以将创建的javabean实例放入Sta
  • 链表.简单的链表节点构建 aijuans 编程技巧
    /*编程环境WIN-TC*/ #include "stdio.h" #include "conio.h" #define NODE(name, key_word, help) \  Node name[1]={{NULL, NULL, NULL, key_word, help}} typedef struct node {  &nbs
  • tomcat下jndi的三种配置方式 avords tomcat
    jndi(Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API。命名服务将名称和对象联系起来,使得我们可以用名称 访问对象。目录服务是一种命名服务,在这种服务里,对象不但有名称,还有属性。          tomcat配置
  • 关于敏捷的一些想法 houxinyou 敏捷
    从网上看到这样一句话:“敏捷开发的最重要目标就是:满足用户多变的需求,说白了就是最大程度的让客户满意。” 感觉表达的不太清楚。 感觉容易被人误解的地方主要在“用户多变的需求”上。 第一种多变,实际上就是没有从根本上了解了用户的需求。用户的需求实际是稳定的,只是比较多,也比较混乱,用户一般只能了解自己的那一小部分,所以没有用户能清楚的表达出整体需求。而由于各种条件的,用户表达自己那一部分时也有
  • 富养还是穷养,决定孩子的一生 bijian1013 教育人生
    是什么决定孩子未来物质能否丰盛?为什么说寒门很难出贵子,三代才能出贵族?真的是父母必须有钱,才能大概率保证孩子未来富有吗?-----作者:@李雪爱与自由 事实并非由物质决定,而是由心灵决定。一朋友富有而且修养气质很好,兄弟姐妹也都如此。她的童年时代,物质上大家都很贫乏,但妈妈总是保持生活中的美感,时不时给孩子们带回一些美好小玩意,从来不对孩子传递生活艰辛、金钱来之不易、要懂得珍惜
  • oracle 日期时间格式转化 征客丶 oracle
    oracle 系统时间有 SYSDATE 与 SYSTIMESTAMP; SYSDATE:不支持毫秒,取的是系统时间; SYSTIMESTAMP:支持毫秒,日期,时间是给时区转换的,秒和毫秒是取的系统的。 日期转字符窜: 一、不取毫秒: TO_CHAR(SYSDATE, 'YYYY-MM-DD HH24:MI:SS') 简要说明, YYYY 年 MM   月
  • 【Scala六】分析Spark源代码总结的Scala语法四 bit1129 scala
    1. apply语法   FileShuffleBlockManager中定义的类ShuffleFileGroup,定义:   private class ShuffleFileGroup(val shuffleId: Int, val fileId: Int, val files: Array[File]) { ... def apply(bucketId
  • Erlang中有意思的bug bookjovi erlang
      代码中常有一些很搞笑的bug,如下面的一行代码被调用两次(Erlang beam) commit f667e4a47b07b07ed035073b94d699ff5fe0ba9b Author: Jovi Zhang <[email protected]> Date: Fri Dec 2 16:19:22 2011 +0100 erts:
  • 移位打印10进制数转16进制-2008-08-18 ljy325 java基础
    /** * Description 移位打印10进制的16进制形式 * Creation Date 15-08-2008 9:00 * @author 卢俊宇 * @version 1.0 * */ public class PrintHex { // 备选字符 static final char di
  • 读《研磨设计模式》-代码笔记-组合模式 bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ import java.util.ArrayList; import java.util.List; abstract class Component { public abstract void printStruct(Str
  • 利用cmd命令将.class文件打包成jar chenyu19891124 cmdjar
    cmd命令打jar是如下实现: 在运行里输入cmd,利用cmd命令进入到本地的工作盘符。(如我的是D盘下的文件有此路径 D:\workspace\prpall\WEB-INF\classes) 现在是想把D:\workspace\prpall\WEB-INF\classes路径下所有的文件打包成prpall.jar。然后继续如下操作: cd D: 回车 cd workspace/prpal
  • [原创]JWFD v0.96 工作流系统二次开发包 for Eclipse 简要说明 comsci eclipse设计模式算法工作swing
                           JWFD v0.96 工作流系统二次开发包 for Eclipse 简要说明     &nb
  • SecureCRT右键粘贴的设置 daizj secureCRT右键粘贴
    一般都习惯鼠标右键自动粘贴的功能,对于SecureCRT6.7.5 ,这个功能也已经是默认配置了。 老版本的SecureCRT其实也有这个功能,只是不是默认设置,很多人不知道罢了。 菜单: Options->Global Options ...->Terminal 右边有个Mouse的选项块。 Copy on Select Paste on Right/Middle
  • Linux 软链接和硬链接 dongwei_6688 linux
    1.Linux链接概念Linux链接分两种,一种被称为硬链接(Hard Link),另一种被称为符号链接(Symbolic Link)。默认情况下,ln命令产生硬链接。 【硬连接】硬连接指通过索引节点来进行连接。在Linux的文件系统中,保存在磁盘分区中的文件不管是什么类型都给它分配一个编号,称为索引节点号(Inode Index)。在Linux中,多个文件名指向同一索引节点是存在的。一般这种连
  • DIV底部自适应 dcj3sjt126com JavaScript
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml&q
  • Centos6.5使用yum安装mysql——快速上手必备 dcj3sjt126com mysql
    第1步、yum安装mysql [root@stonex ~]#  yum -y install mysql-server 安装结果: Installed:     mysql-server.x86_64 0:5.1.73-3.el6_5                   &nb
  • 如何调试JDK源码 frank1234 jdk
    相信各位小伙伴们跟我一样,想通过JDK源码来学习Java,比如collections包,java.util.concurrent包。 可惜的是sun提供的jdk并不能查看运行中的局部变量,需要重新编译一下rt.jar。 下面是编译jdk的具体步骤:         1.把C:\java\jdk1.6.0_26\sr
  • Maximal Rectangle hcx2013 max
    Given a 2D binary matrix filled with 0's and 1's, find the largest rectangle containing all ones and return its area.   public class Solution { public int maximalRectangle(char[][] matrix)
  • Spring MVC测试框架详解——服务端测试 jinnianshilongnian spring mvc test
    随着RESTful Web Service的流行,测试对外的Service是否满足期望也变的必要的。从Spring 3.2开始Spring了Spring Web测试框架,如果版本低于3.2,请使用spring-test-mvc项目(合并到spring3.2中了)。   Spring MVC测试框架提供了对服务器端和客户端(基于RestTemplate的客户端)提供了支持。 &nbs
  • Linux64位操作系统(CentOS6.6)上如何编译hadoop2.4.0 liyong0802 hadoop
    一、准备编译软件   1.在官网下载jdk1.7、maven3.2.1、ant1.9.4,解压设置好环境变量就可以用。     环境变量设置如下:   (1)执行vim /etc/profile (2)在文件尾部加入: export JAVA_HOME=/home/spark/jdk1.7 export MAVEN_HOME=/ho
  • StatusBar 字体白色 pangyulei status
    [[UIApplication sharedApplication] setStatusBarStyle:UIStatusBarStyleLightContent]; /*you'll also need to set UIViewControllerBasedStatusBarAppearance to NO in the plist file if you use this method
  • 如何分析Java虚拟机死锁 sesame javathreadoracle虚拟机jdbc
    英文资料: Thread Dump and Concurrency Locks   Thread dumps are very useful for diagnosing synchronization related problems such as deadlocks on object monitors. Ctrl-\ on Solaris/Linux or Ctrl-B
  • 位运算简介及实用技巧(一):基础篇 tw_wangzhengquan 位运算
    http://www.matrix67.com/blog/archives/263    去年年底写的关于位运算的日志是这个Blog里少数大受欢迎的文章之一,很多人都希望我能不断完善那篇文章。后来我看到了不少其它的资料,学习到了更多关于位运算的知识,有了重新整理位运算技巧的想法。从今天起我就开始写这一系列位运算讲解文章,与其说是原来那篇文章的follow-up,不如说是一个r
  • jsearch的索引文件结构 yangshangchuan 搜索引擎jsearch全文检索信息检索word分词
    jsearch是一个高性能的全文检索工具包,基于倒排索引,基于java8,类似于lucene,但更轻量级。   jsearch的索引文件结构定义如下:     1、一个词的索引由=分割的三部分组成:        第一部分是词        第二部分是这个词在多少
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他