wezzdo
wezzdo

apache shiro与spring整合、动态 filterChainDefinitions、以及认证、授 权

apache shiro 是一个安全认证框架,和spring security 相比,在于他使用了比较简洁易懂的
认证和授权方式。其提供的native-session(即把用户认证后的授权信息保存在其自身提供
Session 中)机制,这样就可以和HttpSession、EJB Session Bean 的基于容器的Session
脱耦,到和客户端应用、Flex 应用、远程方法调用等都可以使用它来配置权限认证。在
exit-web-framework 里的vcs-admin 例子用到该框架,具体使用说明可以参考官方帮助文档。
在这里主要讲解如何与spring 结合、动态创建filterchaindefinitions、以及认证、授权、和
缓存处理。
apache shiro 结合spring
Shiro 拥有对Spring Web 应用程序的一流支持。在Web 应用程序中,所有Shiro 可访问
的万恶不请求必须通过一个主要的Shiro 过滤器。该过滤器本身是极为强大的,允许临时
的自定义过滤器链基于任何URL 路径表达式执行。在 Shiro 1.0 之前,你不得不在Spring
web 应用程序中使用一个混合的方式,来定义Shiro 过滤器及所有它在web.xml 中的配置
属性,但在Spring XML 中定义SecurityManager。这有些令人沮丧,由于你不能把你的配
置固定在一个地方,以及利用更为先进的Spring 功能的配置能力,如
PropertyPlaceholderConfigurer 或抽象bean 来固定通用配置。现在在Shiro 1.0 及以后版
本中,所有Shiro 配置都是在Spring XML 中完成的,用来提供更为强健的Spring 配置机
制。以下是如何在基于Spring web 应用程序中配置Shiro: web.xml: 

<context-param> 
<param-name>contextConfigLocationparam-name> 
<param-value> 
classpath*:/applicationContext-shiro.xml 
param-value> 
context-param> 


 
<filter> 
 
<filter-name>shiroSecurityFilterfilter-name> 
<filter-class>org.springframework.web.filter.DelegatingFilterProxyfilter-class> 
<init-param> 
<param-name>targetFilterLifecycleparam-name> 
<param-value>trueparam-value> 

init-param> 
filter> 
<filter-mapping> 
<filter-name>shiroSecurityFilterfilter-name> 
<url-pattern>/*url-pattern> 
filter-mapping>

applicationContext-shiro.xml 文件中,定义web 支持的SecurityManager 和
“shiroSecurityFilter”bean 将会被web.xml 引用。

<bean id="shiroSecurityFilter" 
class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 
 
<property name="securityManager" ref="securityManager" /> 
 
<property name="loginUrl" value="/login.jsp" /> 
 
<property name="successUrl" value="/index.jsp" /> 
 
<property name="unauthorizedUrl" value="/unauthorized.jsp" /> 
 
<propery name="filterChainDefinitions"> 
<value> 
/login = authc 
/logout = logout 
/resource/** = anon 
value> 
property> 
bean> 
<bean id="securityManager" 
class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
bean> 
<bean id="lifecycleBeanPostProcessor" 
class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

启用Shiro 注解
在独立应用程序和Web 应用程序中,你可能想为安全检查使用Shiro 的注释(例如,
@RequiresRoles,@RequiresPermissions 等等)。这需要Shiro 的Spring AOP 集成来
扫描合适的注解类以及执行必要的安全逻辑。以下是如何使用这些注解的。只需添加这两个
bean 定义到applicationContext-shiro.xml 中: 

class="org.springframwork.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" 
depends-on="lifecycleBeanPostProcessor"/> 
class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdv 
isor"> 
<property name="securityManager" ref="securityManager"/>

动态创建filterchaindefinitions
有时,在某些系统想通过读取数据库来定义
org.apache.shiro.spring.web.ShiroFilterFactoryBean 的filterChainDefinitions。这样能够通
过操作界面或者维护后台来管理系统的链接。
在 shrio 与spring 集成好了以后,调试源码的高人可能已经注意到。项目启动时,shrio 通
过自己的org.apache.shiro.spring.web.ShiroFilterFactoryBean 类的
filterChainDefinitions(授权规则定义)属性转换为一个filterChainDefinitionMap,转换完成后
交给ShiroFilterFactoryBean 保管。ShiroFilterFactoryBean 根据授权(AuthorizationInfo
类)后的信息去判断哪些链接能访问哪些链接不能访问。filterChainDefinitionMap 里面的键
就是链接URL,值就是存在什么条件才能访问该链接,如perms、roles。
filterChainDefinitionMap 是一个Map,shiro 扩展出一个Map 的子类Ini.Section
现在有一张表的描述实体类,以及数据访问: 

@Entity 
@Table(name="TB_RESOURCE") 
public class Resource implements Serializable { 
//主键id 
@Id 
private String id; 
//action url 
private String value; 
//shiro permission; 
private String permission; 
//------------------Getter/Setter---------------------// 
} 
@Repository 
public class ResourceDao extends BasicHibernateDao<Resource, String> { 
}

通过该类可以知道permission 字段和value 就是filterChainDefinitionMap 的键/值,用spring
FactoryBean 接口的实现getObject()返回Section 给filterChainDefinitionMap 即可

public class ChainDefinitionSectionMetaSource implements FactoryBean{ 
@Autowired 
private ResourceDao resourceDao; 
private String filterChainDefinitions; 
/** 
* 默认premission 字符串 
*/ 
public static final String PREMISSION_STRING="perms[\"{0}\"]"; 
public Section getObject() throws BeansException { 
//获取所有Resource 
List list = resourceDao.getAll(); 
Ini ini = new Ini(); 
//加载默认的url 
ini.load(filterChainDefinitions); 
Ini.Section section = ini.getSection(Ini.DEFAULT_SECTION_NAME); 
//循环Resource 的url,逐个添加到section 中。section 就是filterChainDefinitionMap, 
//里面的键就是链接URL,值就是存在什么条件才能访问该链接 
for (Iterator it = list.iterator(); it.hasNext();) { 
Resource resource = it.next(); 
//如果不为空值添加到section 中 
if(StringUtils.isNotEmpty(resource.getValue()) && 
StringUtils.isNotEmpty(resource.getPermission())) { 
section.put(resource.getValue(), 
MessageFormat.format(PREMISSION_STRING,resource.getPermission())); 
} 
} 
return section; 
} 
/** 
* 通过filterChainDefinitions 对默认的url 过滤定义 

* 
* @param filterChainDefinitions 默认的url 过滤定义 
*/ 
public void setFilterChainDefinitions(String filterChainDefinitions) { 
this.filterChainDefinitions = filterChainDefinitions; 
} 
public Class getObjectType() { 
return this.getClass(); 
} 
public boolean isSingleton() { 
return false; 
} 
} 
定义好了chainDefinitionSectionMetaSource 后修改applicationContext-shiro.xml 文件
"chainDefinitionSectionMetaSource" 
class="org.exitsoft.showcase.vcsadmin.service.account.ChainDefinitionSectionMetaSou 
rce"> 
"filterChainDefinitions"> 
 
/login = authc 
/logout = logout 
/resource/** = anon 
 
 
 
"shiroSecurityFilter" 
class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 
"securityManager" ref="securityManager" /> 
"loginUrl" value="/login.jsp" /> 
"successUrl" value="/index.jsp" /> 
"unauthorizedUrl" value="/unauthorized.jsp" /> 

 
"filterChainDefinitionMap" ref="chainDefinitionSectionMetaSource" 
/> 
 
"securityManager" 
class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
 
"lifecycleBeanPostProcessor" 
class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

shiro数据库认证、授权
在 shiro 认证和授权主要是两个类,就是org.apache.shiro.authc.AuthenticationInfo 和
org.apache.shiro.authz.AuthorizationInfo。该两个类的处理在
org.apache.shiro.realm.AuthorizingRealm 中已经给出了两个抽象方法。就是:
/** 

* Retrieves the AuthorizationInfo for the given principals from the underlying data 
store. When returning 
* an instance from this method, you might want to consider using an instance of 
* {@link org.apache.shiro.authz.SimpleAuthorizationInfo SimpleAuthorizationInfo}, as 
it is suitable in most cases. 
* 
* @param principals the primary identifying principals of the AuthorizationInfo that 
should be retrieved. 
* @return the AuthorizationInfo associated with this principals. 
* @see org.apache.shiro.authz.SimpleAuthorizationInfo 
*/ 
protected abstract AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection 
principals); 
/** 
* Retrieves authentication data from an implementation-specific datasource (RDBMS, 
LDAP, etc) for the given 
* authentication token. 
* 
 
* For most datasources, this means just 'pulling' authentication data for an associated 
subject/user and nothing 
* more and letting Shiro do the rest. But in some systems, this method could actually 
perform EIS specific 
* log-in logic in addition to just retrieving data - it is up to the Realm implementation. 
* 
 
* A {@code null} return value means that no account could be associated with the specified 
token. 

* 
* @param token the authentication token containing the user's principal and credentials. 
* @return an {@link AuthenticationInfo} object containing account data resulting from 
the 
* authentication ONLY if the lookup is successful (i.e. account exists and is 
valid, etc.) 
* @throws AuthenticationException if there is an error acquiring data or performing 
* realm-specific authentication logic for the specified 
token 
*/ 
protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken 
token) throws AuthenticationException;

doGetAuthenticationInfo(AuthenticationToken token)(认证/登录方法)会返回一个
AuthenticationInfo,就是认证信息。是一个对执行及对用户的身份验证(登录)尝试负责的
方法。当一个用户尝试登录时,该逻辑被认证器执行。认证器知道如何与一个或多个Realm
协调来存储相关的用户/帐户信息。从这些Realm 中获得的数据被用来验证用户的身份来保
证用户确实是他们所说的他们是谁。
doGetAuthorizationInfo(PrincipalCollection principals)是负责在应用程序中决定用户的访
问控制的方法。它是一种最终判定用户是否被允许做某件事的机制。与
doGetAuthenticationInfo(AuthenticationToken token)相似,
doGetAuthorizationInfo(PrincipalCollection principals) 也知道如何协调多个后台数据源来
访问角色恶化权限信息和准确地决定用户是否被允许执行给定的动作。
简单的一个用户和一个资源实体:
@Entity
@Table(name=”TB_RESOURCE”)
public class Resource implements Serializable {
//主键id
@Id
private String id;
//action url
private String value;
//shiro permission;
private String permission;
//——————Getter/Setter———————//
}
@Entity
@Table(name=”TB_USER”)

@SuppressWarnings(“serial”)
public class User implements Serializable {
//主键id
@Id
private String id;
//登录名称
private String username;
//登录密码
private String password;
//拥有能访问的资源/链接()
private List resourcesList = new ArrayList();
//————-Getter/Setter————-//
}
@Repository
public class UserDao extends BasicHibernateDao

@Autowired 
private UserDao userDao; 
/** 
* 
* 当用户进行访问链接时的授权方法 
* 
*/ 
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection 
principals) { 
if (principals == null) { 
throw new AuthorizationException("Principal 对象不能为空"); 
} 

User user = (User) principals.fromRealm(getName()).iterator().next(); 
//获取用户响应的permission 
List<String> permissions = 
CollectionUtils.extractToList(user.getResourcesList(), "permission",true); 
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 
info.addStringPermissions(permissions); 
return info; 
} 
/** 
* 用户登录的认证方法 
* 
*/ 
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) 
throws AuthenticationException { 
UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token; 
String username = usernamePasswordToken.getUsername(); 
if (username == null) { 
throw new AccountException("用户名不能为空"); 
} 
User user = userDao.getUserByUsername(username); 
if (user == null) { 
throw new UnknownAccountException("用户不存在"); 
} 
return new SimpleAuthenticationInfo(user,user.getPassword(),getName()); 
} 
} 
定义好了ShiroDataBaseRealm 后修改applicationContext-shiro.xml 文件
<bean id="chainDefinitionSectionMetaSource" 
class="org.exitsoft.showcase.vcsadmin.service.account.ChainDefinitionSectionMetaSou 
rce"> 
<property name="filterChainDefinitions"> 

<value> 
/login = authc 
/logout = logout 
/resource/** = anon 
value> 
property> 
bean> 
<bean id="shiroSecurityFilter" 
class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 
<property name="securityManager" ref="securityManager" /> 
<property name="loginUrl" value="/login.jsp" /> 
<property name="successUrl" value="/index.jsp" /> 
<property name="unauthorizedUrl" value="/unauthorized.jsp" /> 
 
<property name="filterChainDefinitionMap" ref="chainDefinitionSectionMetaSource" 
/> 
bean> 
<bean id="shiroDataBaseRealm" 
class="org.exitsoft.showcase.vcsadmin.service.account.ShiroDataBaseRealm"> 
 
<property name="credentialsMatcher"> 
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"> 
<property name="hashAlgorithmName" value="MD5" /> 
bean> 
property> 
bean> 
<bean id="securityManager" 
class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
<property name="realm" ref="shiroDataBaseRealm" /> 
bean> 
<bean id="lifecycleBeanPostProcessor" 
class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

shiro EHcache 与 Spring EHcache 集成
shiro CacheManager 创建并管理其他Shiro 组件使用的Cache 实例生命周期。因为Shiro
能够访问许多后台数据源,如:身份验证,授权和会话管理,缓存在框架中一直是一流的架
构功能,用来在同时使用这些数据源时提高性能。任何现代开源和/或企业的缓存产品能够
被插入到Shiro 来提供一个快速及高效的用户体验。

自从spring 3.1 问世后推出了缓存功能后,提供了对已有的 Spring 应用增加缓存的支持,
这个特性对应用本身来说是透明的,通过缓存抽象层,使得对已有代码的影响降低到最小。
该缓存机制针对于 Java 的方法,通过给定的一些参数来检查方法是否已经执行,Spring 将
对执行结果进行缓存,而无需再次执行方法。
可通过下列配置来启用缓存的支持: 

"http://www.springframework.org/schema/beans" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xmlns:cache="http://www.springframework.org/schema/cache" 
xsi:schemaLocation="http://www.springframework.org/schema/beans 
http://www.springframework.org/schema/beans/spring-beans.xsd 
http://www.springframework.org/schema/cache 
http://www.springframework.org/schema/cache/spring-cache.xsd"> 
 
"ehCacheManager" /> 
 
@Cacheable 和**@CacheEvict**来对缓存进行操作
@Cacheable:负责将方法的返回值加入到缓存中
@CacheEvict:负责清除缓存
/**声明了一个名为 persons 的缓存区域,当调用该方法时,Spring 会检查缓存中是否存在 personId 
对应的值。*/ 
@Cacheable("persons") 
public Person profile(Long personId) { ... } 
/**指定多个缓存区域。Spring 会一个个的检查,一旦某个区域存在指定值时则返回*/ 
@Cacheable({"persons", "profiles"}) 
public Person profile(Long personId) { ... } 
 

 
 
/**清空所有缓存*/ 
@CacheEvict(value="persons",allEntries=true) 
public Person profile(Long personId, Long groundId) { ... } 
/**或者根据条件决定是否缓存*/ 
@CacheEvict(value="persons", condition="personId > 50")

public Person profile(Long personId) { … }
在shiro 里面会有授权缓存。可以通过AuthorizingRealm 类中指定缓存名称。就是
authorizationCacheName 属性。当shiro 为用户授权一次之后将会把所有授权信息都放进
缓存中。现在有个需求。当在更新用户或者删除资源和更新资源的时候,要刷新一下shiro
的授权缓存,给shiro 重新授权一次。因为当更新用户或者资源时,很有可能已经把用户本
身已有的资源去掉。不给用户访问。所以。借助spring 的缓存工厂和shiro 的缓存能够很好
的实现这个需求。
将 applicationContext-shiro.xml 文件添加缓存

<bean id="chainDefinitionSectionMetaSource" 
class="org.exitsoft.showcase.vcsadmin.service.account.ChainDefinitionSectionMetaSou 
rce"> 
<property name="filterChainDefinitions" > 
<value> 
/login = authc 
/logout = logout 
/resource/** = anon 
value> 
property> 
bean> 
<bean id="shiroSecurityFilter" 
class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 
<property name="securityManager" ref="securityManager" /> 
<property name="loginUrl" value="/login.jsp" /> 
<property name="successUrl" value="/index.jsp" /> 
<property name="unauthorizedUrl" value="/unauthorized.jsp" /> 
 
<property name="filterChainDefinitionMap" ref="chainDefinitionSectionMetaSource" 
/> 
bean> 
<bean id="shiroDataBaseRealm" 
class="org.exitsoft.showcase.vcsadmin.service.account.ShiroDataBaseRealm"> 
 
<property name="credentialsMatcher"> 
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"> 
<property name="hashAlgorithmName" value="MD5" /> 
bean> 
property> 
<property name="authorizationCacheName" value="shiroAuthorizationCache" /> 

bean> 
<bean id="securityManager" 
class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
<property name="realm" ref="shiroDataBaseRealm" /> 
<property name="cacheManager" ref="cacheManager" /> 
bean> 
<bean id="lifecycleBeanPostProcessor" 
class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> 
 
<bean id="ehCacheManagerFactory" 
class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean"> 
<property name="configLocation" value="classpath:ehcache.xml" /> 
<property name="shared" value="false" /> 
bean> 
 
<bean id="ehCacheManager" 
class="org.springframework.cache.ehcache.EhCacheCacheManager"> 
<property name="cacheManager" ref="ehCacheManagerFactory">property> 
bean> 
 
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> 
<property name="cacheManager" ref="ehCacheManagerFactory" /> 
bean> 
ehcache.xml 
 
<ehcache> 
 
<diskStore path="java.io.tmpdir"/> 

<cache name="shiroAuthorizationCache" maxElementsInMemory="300" eternal="false" 
timeToLiveSeconds="600" overflowToDisk="false"/> 
ehcache> 
public class UserDao extends BasicHibernateDao<User, String> { 
public User getUserByUsername(String username) { 
return findUniqueByProperty("username", username); 
} 
@CacheEvict(value="shiroAuthorizationCache",allEntries=true) 
public void saveUser(User entity) { 
save(entity); 
} 
} 
@Repository 
public class ResourceDao extends BasicHibernateDao<Resource, String> { 
@CacheEvict(value="shiroAuthorizationCache",allEntries=true) 
public void saveResource(Resource entity) { 
save(entity); 
} 
@CacheEvict(value="shiroAuthorizationCache",allEntries=true) 
public void deleteResource(Resource entity) { 
delete(entity); 
} 
}

当userDao 或者reaourceDao 调用了相应带有缓存注解的方法,都会将AuthorizingRealm
类中的缓存去掉。那么就意味着 shiro 在用户访问链接时要重新授权一次。
整个apache shiro 的使用,vcs admin 项目和vcs admin jpa 中都会有例子。可以参考
showcase/vcs_admin 或者showcase/vcs_admin_jpa 项目中的例子去理解。。

你可能感兴趣的:(shiro)

  • SpringSecurity初学总结 weixin_66442229 spring
    springSecurity安全框架基于Java的安全框架主要有:SpringSecurity和Shiro介绍基础概念安全框架是对用户访问权限的控制,保证应用的安全性。其主要的工作是用户认证和用户授权|鉴权主要应用于Spring的企业应用系统,提供声明式的安全访问控制解决方案。它提供了一组可以在Spring应用上下文中配置的Bean能很好的结合Spring的DI依赖注入和AOP面向切面编程功能应用
  • 关于项目中使用shiro进行安全管理的总结 一颗大青柠 JavaShirojavaspring
    关于项目中使用shiro进行安全管理的总结关于SpringBoot下使用shiro进行用户认证与权限管理对于安全框架有一定了解的开发者一定对于shiro这款安全框架有一定的了解,这里我们不再对该框架进行其设计与知识的介绍,仅对于我的个人项目中所使用到的进行一个总结,并放上代码。使用该框架的第一步,进行配置:packagecom.libvirtjava.demo.vm.util.config;imp
  • Apache Shiro安全框架(2)-用户认证 heyrian Javashiro
    身份认证在shiro中用户需要提供用户的principals(身份)和credentials(证明)来证明该用户属于当前系统用户。常见的认证方式即用户名/密码。在解释身份认证之前,我们先来看看shiro中的Subject和Realm,这是身份认证的两个关键的概念。Subjectsubject代表当前用户,内部主要维护当前用户信息。shiro中所有的subject都交给SecurityManager
  • 毕设/私活/bigold必备项目,一个挣钱的免费的全开源标准前后端分离后台管理权限系统【springboot+vue+redis+Spring Security】脚手架搭建:若依Ruo框架具体使用教程 南北极之间 前端开发springbootvuespringboot+vue免费后台管理系统毕业私活后台权限系统
    【建议收藏】毕设/私活/大佬必备,一个挣钱的标准开源前后端分离【springboot+vue+redis+SpringSecurity】脚手架一个免费的开源后台管理系统:若依框架(具体使用教程:具体怎样下载?怎样使用?怎样配置后台接口地址?超详细)简介RuoYi是一个JavaEE企业级快速开发平台,基于经典技术组合(SpringBoot、ApacheShiro、MyBatis、Thymeleaf、
  • 解锁Apache Shiro:新手友好的安全框架指南(一)——整体架构与身份认证_apache shiro的配置包括安全管理器(2) 2401_84281748 程序员apache安全架构
    ApacheShiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理,可用于保护任何应用程序——从命令行应用程序、移动应用程序到最大的web和企业应用程序。Shiro提供了应用程序安全API来执行以下方面:Authentication(认证):验证用户身份,即用户登录。Authorization(授权):访问控制Cryptography(密码学):保护或隐藏私密数
  • springmvc用配置类替换xml配置 码里法 其他javamvcspring
    ssm基础项目整合前言xml配置mybatis.xmlspingmvc.xmlweb.xml配置类jdbc配置类mybatis配置SpringConfig配置SpringMvcConfig配置shiro配置WebInit前言其实这中间用配置类,发现问题还挺多的,所以记录一下,尤其是针对shiro的配置。xml配置mybatis.xmlArchetypeCreatedWebApplicationdi
  • (shiro加密)2019-03-27 _麻辣香锅不要辣
    参考:spring-shiro的密码加密配置凭证匹配器@BeanpublicHashedCredentialsMatcherhashedCredentialsMatcher(){HashedCredentialsMatcherhashedCredentialsMatcher=newHashedCredentialsMatcher();hashedCredentialsMatcher.setHash
  • shiro 采用redis共享session,出现反序列化错误的排查过程 nightseventhunit redisjava数据库
    这是一个老系统改造的过程,该老系统采用的框架是#jfinal#shiroredis,采用outh2协议的方式,对多个子系统之间进行单点登录,以实现系统之间的session,由于速度方面的影响,现在要改造成多个系统之间共享session,并采用redis集群的方式。说明一下当前项目的整体运行环境,此项目的多个子系统都在同一个域名下,通过上下文不同来区分子系统。以下将记录整个改造过程,采用jfinal
  • springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题 DN金猿 springboot后端javashiro前后端分离
    近期项目需要前后端分离,由于前后端分离后原来的适用的shiro配置无法满足现有系统要求。同时在前后端项目分离的项目中存在的跨域问题,cookies不再使用,通过token方式实现用户登陆鉴权。下面记录在整个过程中涉及的几个大问题:1、跨域问题2、sessionId问题3、302鉴权问题1、springboot跨域问题解决packagenet.sinorock.aj.common.config;im
  • Shiro实现登录认证以及整合到Springboot3 LIPAH web安全springboot
    一、概念介绍ApacheShiro是一个强大灵活的开源安全框架,提供授权、会话管理以及密码加密等功能。与SpringSecurity对比劣势:SpringSecurity基于Spring开发,项目若使用Spring作为基础,配合SpringSecurity做权限更加方便,而Shiro需要和Spring进行整合开发SpringSecurity功能比Shiro更加丰富些,例如安全维护方面SpringS
  • springboot整合shiro安全框架 heromps Springboot安全apache
    shiro快速开始1.导入依赖org.apache.shiroshiro-core1.8.0org.slf4jjcl-over-slf4j1.7.21org.slf4jslf4j-log4j121.7.21log4jlog4j1.2.17org.apache.shiroshiro-core1.8.02.配置文件shiro.ini[users]#user'root'withpassword'secr
  • mac解决mysql 1055问题 nitricoxide
    首遇报错mac本地安装的mysql执行带groupby的语句时,出现了如下报错1055-Expression#1ofSELECTlistisnotinGROUPBYclauseandcontainsnonaggregatedcolumn'yyhd_shiro.ar.roleName'whichisnotfunctionallydependentoncolumnsinGROUPBYclause;th
  • Spring Boot + Mybatis + Shiro 后台权限管理系统 chuxia_vlog
    平台简介一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适的。于是利用空闲休息时间开始自己写了一套后台系统。如此有了若依。她可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。所有前端后台代码封装过后十分精简易上手,出错概率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。性别男,若依是给还没有出生女儿取的名字(寓意:你若不离不弃,我必生死相依)若
  • 00后会自动化就想拿20K?不,你还差点远呢··· v_648374 自动化运维
    等你搭建好公司的自动化生态,你还是不满足,我为什么不把这些东西可视化管理呢?做个平台?管理用例,管理任务,管理测试报告?我还可以把公司的一些部署任务也集成过来?想法很好!此时的你已经不仅仅是一名优秀的自动化工程师了,已经迈向了测试开发的道路!开始学习,了解了测试框架httprunner,开发框架django/flask/springboot,懂得了接口开发的流程,了解了mybatis,shiro,
  • Spring Security与Apache Shiro:Java安全框架的比较 Lill_bin javajavaspringapache分布式安全后端开发语言
    引言在Java企业级应用开发中,安全性是一个不可忽视的重要方面。随着Web应用的复杂性日益增加,选择合适的安全框架对于保护应用免受未授权访问和其他安全威胁至关重要。SpringSecurity和ApacheShiro是两个广泛使用的Java安全框架,它们提供了认证(Authentication)和授权(Authorization)的功能。本文将对这两个框架进行比较,探讨它们的设计理念、核心特性以及
  • 【Apache】漏洞 B1ackMa9ic apache网络安全web安全网络攻击模型
    文章目录Apache漏洞1.ApacheHTTPD多后缀解析漏洞2.ApacheSSI远程命令执行漏洞3.ApacheHTTP路径穿越漏洞4.ApacheHTTPSSRF漏洞5.Apachelog4j26.ApacheshiroApache漏洞1.ApacheHTTPD多后缀解析漏洞主要利用方式:文件类型欺骗:构造example.php.jpg的文件(只要一个文件含有.php后缀的文件即将被识别成
  • 请简单介绍一下Shiro框架是什么?Shiro在Java安全领域的主要作用是什么?Shiro主要提供了哪些安全功能? AaronWang94 shirojavajava安全开发语言
    请简单介绍一下Shiro框架是什么?Shiro框架是一个强大且灵活的开源安全框架,为Java应用程序提供了全面的安全解决方案。它主要用于身份验证、授权、加密和会话管理等功能,可以轻松地集成到任何JavaWeb应用程序中,并提供了易于理解和使用的API,使开发人员能够快速实现安全特性。Shiro的核心组件包括Subject、SecurityManager和Realms。Subject代表了当前与应用
  • shiro 整合 spring 实战及源码详解 老马啸西风 java
    序言前面我们学习了如下内容:5分钟入门shiro安全框架实战笔记shiro整合spring实战及源码详解相信大家对于shiro已经有了最基本的认识,这一节我们一起来学习写如何将shiro与spring进行整合。spring整合maven依赖org.apache.shiroshiro-spring1.7.0org.springframeworkspring-context4.3.13.RELEASE
  • shrio跳转操作 + ajax 月1.2.3 springbootajax
    使用shiro框架的时候,在session过期之后实现跳转到登录界面,ajax操作不会直接跳转而是返回一个登录页面的html,并且不会进入controller逻辑,需要找到对应的方法进行重写,对ajax进行处理(FormAuthenticationFilter中的redirectToLogin方法重写)。
  • XMall 开源商城 SQL注入漏洞复现(CVE-2024-24112) OidBoy_G 漏洞复现web安全安全sql
    0x01产品简介XMall开源电商商城是开发者Exrick的一款基于SOA架构的分布式电商购物商城前后端分离前台商城:Vue全家桶后台管理:Dubbo/SSM/Elasticsearch/Redis/MySQL/ActiveMQ/Shiro/Zookeeper等。0x02漏洞概述XMall开源商城/item/list、/item/listSearch、/sys/log、/order/list、/m
  • shiro入门实战笔记(1)--理论篇 y-yg Shiroshiro入门javaapache权限控制
    从这篇文章开始,将学习Apacheshiro的相关内容。由于博主也是刚刚开始学习相关的基本内容,网上已经有系列文章讲解shiro,这里博主推荐一个:开涛的博客,《跟我学shiro》。博主也是跟着这个系列的文章学习shiro的相关内容。以下的文章,各位读者请权当是学习笔记,因此对于想了解更多内容的读者,请移步到上面的文章中,在参考资料里,博主也会附上链接。第一篇,我们参考官方文档,以及上面文章的翻译
  • Shiro-05-5 分钟入门 shiro 安全框架实战笔记 老马啸西风 web安全java安全架构开发语言哈希算法
    序言大家好,我是老马。前面我们学习了web安全之SpringSecurity入门教程这次我们来一起学习下另一款java安全框架shiro。什么是ApacheShiro?ApacheShiro是一个功能强大且易于使用的Java安全框架,它为开发人员提供了一种直观而全面的解决方案,用于身份验证,授权,加密和会话管理。实际上,它可以管理应用程序安全性的所有方面,同时尽可能避免干扰。它建立在可靠的界面驱动
  • 使用shiro进行登录密码安全验证 Asparrow Shiro安全框架学shiro安全springboot
    使用shiro进行登录密码安全验证使用框架版本SpringBoot1.5.3.RELEASEshiro-spring1.2.5shiro-ehcache1.2.5Shiro配置ShiroConfig中shiroFilter/***ShiroFilter*注意这里参数中的StudentService和IScoreDao只是一个例子,因为我们在这里可以用这样的方式获取到相关访问数据库的对象,*然后读取
  • JAVA后端主流开发框架 理查德.克莱德曼 JavaWebSpringBootjava后端开发语言
    项目介绍一款Java语言基于SpringBoot2.x、Layui、Thymeleaf、MybatisPlus、Shiro、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪、富文
  • shiro登陆时密码加盐哈希实现和简单原理 ignoHH javashirospringbootjavashiro密码学
    shiro登陆时密码加盐哈希实现版权声明:本文为博主原创文章,遵循CC4.0BY-SA版权协议,转载请附上原文出处链接和本声明。本文链接:https://blog.csdn.net/wy862740672/article/details/109818314实现废话不多说,开搞。此篇采用SHA-256哈希算法,采用其他算法只需要更改算法名字段。1.在shiro配置中添加对于HashedCredent
  • 详解Springboot整合Shiro加盐加散列实现登陆注册小案例 鱼小洲 技术杂谈shiromybatishashspringbootboot-shiro
    前言Springboot和Shiro的基本介绍我就不多说了,能看到这篇文章的相信也都会用。这篇文章主要是分享一下我在学习Shiro和Springboot的整合的小阶段。目前是复习,很感谢B站的up主——编程不良人的视频让我有了一个学习Shiro的基本方向。目前是实现了用户认证的功能。依赖整合的时候使用的是jsp,其实和thymeleaf一个道理,而且不涉及到作用域传值。我们需要导入的依赖有:mys
  • Shiro-09-Session Management 会话管理 老马啸西风 web安全哈希算法密码学算法java安全
    会话管理ApacheShiro在安全性框架世界中提供了一些独特的功能:适用于任何应用程序的完整的企业级Session解决方案,从最简单的命令行和智能手机应用程序到最大的群集企业Web应用程序。这对许多应用程序都有很大的影响-在Shiro之前,如果需要会话支持,则需要将应用程序部署在Web容器中或使用EJB状态会话Bean。Shiro的Session支持比这两种机制中的任何一种都更易于使用和管理,并
  • Shiro-10-Cryptography 编码加密 老马啸西风 web安全java安全架构开发语言哈希算法
    编码/加密在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600wcsdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。编码/解码Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作。Shiro内部的一些数据的存储/表示都使用了base64和16进制字符串。Stringstr="hello";String
  • Shiro学习(三)之MD5+随机盐salt+Hash散列认证 Solitude_dong Shiroshiro
    MD5:加密算法不可逆(只能根据明文生成密文;如果内容相同,不论执行多少次md5生成结果始终一致),通常和随机盐配合使用一般用来加密或签名签名:也称为校验和,就是用来判断两个内容是否一致eg:tomcat.ziptomcat.md5.fdfd…看是否下载完整,就可以点击tomcat.md5.看生成的签名和tomcat生成的是否一致两个文件是否一致?a.txt和bb.txt分别md5看签名是否一致破
  • [开发框架]-shiro-入门 Pacifica_ java数据库web安全shiro
    权限管理概述权限管理实现对用户访问系统的控制,以及按照安全规则或安全策略控制用户可以访问而且只能访问自己被授权的资源。也就是说,权限管理包括用户身份认证(登录)和授权(资源的访问权限)两部分shiro中的详细架构:shiro中的认证认证过程中的关键对象1.Subject,主体。访问系统的用户,主体可以是用户,程序等,进行认证的都称为主体2.Principal,身份信息,是主体进行身份认证的标识,标
  • web前段跨域nginx代理配置 刘正强 nginxcmsWeb
    nginx代理配置可参考server部分 server {         listen       80;         server_name  localhost;
  • spring学习笔记 caoyong spring
    一、概述     a>、核心技术 : IOC与AOP b>、开发为什么需要面向接口而不是实现     接口降低一个组件与整个系统的藕合程度,当该组件不满足系统需求时,可以很容易的将该组件从系统中替换掉,而不会对整个系统产生大的影响 c>、面向接口编口编程的难点在于如何对接口进行初始化,(使用工厂设计模式)
  • Eclipse打开workspace提示工作空间不可用 0624chenhong eclipse
    做项目的时候,难免会用到整个团队的代码,或者上一任同事创建的workspace, 1.电脑切换账号后,Eclipse打开时,会提示Eclipse对应的目录锁定,无法访问,根据提示,找到对应目录,G:\eclipse\configuration\org.eclipse.osgi\.manager,其中文件.fileTableLock提示被锁定。 解决办法,删掉.fileTableLock文件,重
  • Javascript 面向对面写法的必要性? 一炮送你回车库 JavaScript
    现在Javascript面向对象的方式来写页面很流行,什么纯javascript的mvc框架都出来了:ember 这是javascript层的mvc框架哦,不是j2ee的mvc框架   我想说的是,javascript本来就不是一门面向对象的语言,用它写出来的面向对象的程序,本身就有些别扭,很多人提到js的面向对象首先提的是:复用性。那么我请问你写的js里有多少是可以复用的,用fu
  • js array对象的迭代方法 换个号韩国红果果 array
    1.forEach 该方法接受一个函数作为参数, 对数组中的每个元素 使用该函数  return 语句失效 function square(num) { print(num, num * num); } var nums = [1,2,3,4,5,6,7,8,9,10]; nums.forEach(square); 2.every 该方法接受一个返回值为布尔类型
  • 对Hibernate缓存机制的理解 归来朝歌 session一级缓存对象持久化
    在hibernate中session一级缓存机制中,有这么一种情况: 问题描述:我需要new一个对象,对它的几个字段赋值,但是有一些属性并没有进行赋值,然后调用 session.save()方法,在提交事务后,会出现这样的情况: 1:在数据库中有默认属性的字段的值为空 2:既然是持久化对象,为什么在最后对象拿不到默认属性的值? 通过调试后解决方案如下: 对于问题一,如你在数据库里设置了
  • WebService调用错误合集 darkranger webservice
     Java.Lang.NoClassDefFoundError: Org/Apache/Commons/Discovery/Tools/DiscoverSingleton 调用接口出错, 一个简单的WebService import org.apache.axis.client.Call;import org.apache.axis.client.Service; 首先必不可
  • JSP和Servlet的中文乱码处理 aijuans Java Web
    JSP和Servlet的中文乱码处理 前几天学习了JSP和Servlet中有关中文乱码的一些问题,写成了博客,今天进行更新一下。应该是可以解决日常的乱码问题了。现在作以下总结希望对需要的人有所帮助。我也是刚学,所以有不足之处希望谅解。 一、表单提交时出现乱码: 在进行表单提交的时候,经常提交一些中文,自然就避免不了出现中文乱码的情况,对于表单来说有两种提交方式:get和post提交方式。所以
  • 面试经典六问 atongyeye 工作面试
    题记:因为我不善沟通,所以在面试中经常碰壁,看了网上太多面试宝典,基本上不太靠谱。只好自己总结,并试着根据最近工作情况完成个人答案。以备不时之需。 以下是人事了解应聘者情况的最典型的六个问题: 1 简单自我介绍 关于这个问题,主要为了弄清两件事,一是了解应聘者的背景,二是应聘者将这些背景信息组织成合适语言的能力。 我的回答:(针对技术面试回答,如果是人事面试,可以就掌
  • contentResolver.query()参数详解 百合不是茶 androidquery()详解
    收藏csdn的博客,介绍的比较详细,新手值得一看 1.获取联系人姓名 一个简单的例子,这个函数获取设备上所有的联系人ID和联系人NAME。 [java]  view plain copy   public void fetchAllContacts() {      
  • ora-00054:resource busy and acquire with nowait specified解决方法 bijian1013 oracle数据库killnowait
            当某个数据库用户在数据库中插入、更新、删除一个表的数据,或者增加一个表的主键时或者表的索引时,常常会出现ora-00054:resource busy and acquire with nowait specified这样的错误。主要是因为有事务正在执行(或者事务已经被锁),所有导致执行不成功。 1.下面的语句
  • web 开发乱码 征客丶 springWeb
    以下前端都是 utf-8 字符集编码 一、后台接收 1.1、 get 请求乱码 get 请求中,请求参数在请求头中; 乱码解决方法: a、通过在web 服务器中配置编码格式:tomcat 中,在 Connector 中添加URIEncoding="UTF-8"; 1.2、post 请求乱码 post 请求中,请求参数分两部份, 1.2.1、url?参数,
  • 【Spark十六】: Spark SQL第二部分数据源和注册表的几种方式 bit1129 spark
    Spark SQL数据源和表的Schema case class apply schema parquet json JSON数据源 准备源数据 {"name":"Jack", "age": 12, "addr":{"city":"beijing&
  • JVM学习之:调优总结 -Xms -Xmx -Xmn -Xss BlueSkator -Xss-Xmn-Xms-Xmx
      堆大小设置JVM 中最大堆大小有三方面限制:相关操作系统的数据模型(32-bt还是64-bit)限制;系统的可用虚拟内存限制;系统的可用物理内存限制。32位系统下,一般限制在1.5G~2G;64为操作系统对内存无限制。我在Windows Server 2003 系统,3.5G物理内存,JDK5.0下测试,最大可设置为1478m。典型设置: java -Xmx355
  • jqGrid 各种参数 详解(转帖) BreakingBad jqGrid
      jqGrid 各种参数 详解 分类:  源代码分享  个人随笔请勿参考  解决开发问题 2012-05-09 20:29   84282人阅读   评论(22)   收藏   举报 jquery 服务器 parameters function ajax string  
  • 读《研磨设计模式》-代码笔记-代理模式-Proxy bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ import java.lang.reflect.InvocationHandler; import java.lang.reflect.Method; import java.lang.reflect.Proxy; /* * 下面
  • 应用升级iOS8中遇到的一些问题 chenhbc ios8升级iOS8
    1、很奇怪的问题,登录界面,有一个判断,如果不存在某个值,则跳转到设置界面,ios8之前的系统都可以正常跳转,iOS8中代码已经执行到下一个界面了,但界面并没有跳转过去,而且这个值如果设置过的话,也是可以正常跳转过去的,这个问题纠结了两天多,之前的判断我是在 -(void)viewWillAppear:(BOOL)animated  中写的,最终的解决办法是把判断写在 -(void
  • 工作流与自组织的关系? comsci 设计模式工作
      目前的工作流系统中的节点及其相互之间的连接是事先根据管理的实际需要而绘制好的,这种固定的模式在实际的运用中会受到很多限制,特别是节点之间的依存关系是固定的,节点的处理不考虑到流程整体的运行情况,细节和整体间的关系是脱节的,那么我们提出一个新的观点,一个流程是否可以通过节点的自组织运动来自动生成呢?这种流程有什么实际意义呢?   这里有篇论文,摘要是:“针对网格中的服务
  • Oracle11.2新特性之INSERT提示IGNORE_ROW_ON_DUPKEY_INDEX daizj oracle
    insert提示IGNORE_ROW_ON_DUPKEY_INDEX 转自:http://space.itpub.net/18922393/viewspace-752123 在 insert into tablea ...select * from tableb中,如果存在唯一约束,会导致整个insert操作失败。使用IGNORE_ROW_ON_DUPKEY_INDEX提示,会忽略唯一
  • 二叉树:堆 dieslrae 二叉树
        这里说的堆其实是一个完全二叉树,每个节点都不小于自己的子节点,不要跟jvm的堆搞混了.由于是完全二叉树,可以用数组来构建.用数组构建树的规则很简单:     一个节点的父节点下标为: (当前下标 - 1)/2     一个节点的左节点下标为: 当前下标 * 2 + 1   &
  • C语言学习八结构体 dcj3sjt126com c
    为什么需要结构体,看代码 # include <stdio.h> struct Student //定义一个学生类型,里面有age, score, sex, 然后可以定义这个类型的变量 { int age; float score; char sex; } int main(void) { struct Student st = {80, 66.6,
  • centos安装golang dcj3sjt126com centos
    #在国内镜像下载二进制包 wget -c  http://www.golangtc.com/static/go/go1.4.1.linux-amd64.tar.gz tar -C /usr/local -xzf go1.4.1.linux-amd64.tar.gz   #把golang的bin目录加入全局环境变量 cat >>/etc/profile<
  • 10.性能优化-监控-MySQL慢查询 frank1234 性能优化MySQL慢查询
    1.记录慢查询配置 show variables where variable_name like 'slow%' ; --查看默认日志路径 查询结果:--不用的机器可能不同 slow_query_log_file=/var/lib/mysql/centos-slow.log 修改mysqld配置文件:/usr /my.cnf[一般在/etc/my.cnf,本机在/user/my.cn
  • Java父类取得子类类名 happyqing javathis父类子类类名
      在继承关系中,不管父类还是子类,这些类里面的this都代表了最终new出来的那个类的实例对象,所以在父类中你可以用this获取到子类的信息!   package com.urthinker.module.test; import org.junit.Test; abstract class BaseDao<T> { public void
  • Spring3.2新注解@ControllerAdvice jinnianshilongnian @Controller
    @ControllerAdvice,是spring3.2提供的新注解,从名字上可以看出大体意思是控制器增强。让我们先看看@ControllerAdvice的实现:   @Target(ElementType.TYPE) @Retention(RetentionPolicy.RUNTIME) @Documented @Component public @interface Co
  • Java spring mvc多数据源配置 liuxihope spring
    转自:http://www.itpub.net/thread-1906608-1-1.html 1、首先配置两个数据库 <bean id="dataSourceA" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close&quo
  • 第12章 Ajax(下) onestopweb Ajax
    index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/
  • BW / Universe Mappings blueoxygen BO
      BW Element OLAP Universe Element Cube  Dimension Class Charateristic A class with dimension and detail objects (Detail objects for key and desription) Hi
  • Java开发熟手该当心的11个错误 tomcat_oracle java多线程工作单元测试
    #1、不在属性文件或XML文件中外化配置属性。比如,没有把批处理使用的线程数设置成可在属性文件中配置。你的批处理程序无论在DEV环境中,还是UAT(用户验收 测试)环境中,都可以顺畅无阻地运行,但是一旦部署在PROD 上,把它作为多线程程序处理更大的数据集时,就会抛出IOException,原因可能是JDBC驱动版本不同,也可能是#2中讨论的问题。如果线程数目 可以在属性文件中配置,那么使它成为
  • 推行国产操作系统的优劣 yananay windowslinux国产操作系统
    最近刮起了一股风,就是去“国外货”。从应用程序开始,到基础的系统,数据库,现在已经刮到操作系统了。原因就是“棱镜计划”,使我们终于认识到了国外货的危害,开始重视起了信息安全。操作系统是计算机的灵魂。既然是灵魂,为了信息安全,那我们就自然要使用和推行国货。可是,一味地推行,是否就一定正确呢? 先说说信息安全。其实从很早以来大家就在讨论信息安全。很多年以前,就据传某世界级的网络设备制造商生产的交
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他