shiro学习

shiro学习第一步

➷初来乍到    shiro是Java的一个安全框架,如果在实际工作中我们并不太需要特别复杂的东西,那么我们可以选用shiro,而不用springSecurity;Shiro可以非常容易的开发出实用的应用,可以帮助我们完成认证、授权、加密、回话管理、与Web集成,缓存等;基本功能点如下:Authentication:身份认证/登录,验证用户是不是拥有相应的身份;Authorization:授权,即
YSC1123·2016-04-22 11:00

Shiro学习(24)在线会话管理

有时候需要显示当前在线人数、当前在线用户,有时候可能需要强制某个用户下线等;此时就需要获取相应的在线用户并进行一些操作。本章基于《第十六章综合实例》代码构建。会话控制器Java代码@RequiresPermissions("session:*")@Controller@RequestMapping("/sessions")publicclassSessionController{@Autowire
AlexLongjiu·2016-04-08 14:22

Shiro学习(24)在线会话管理

有时候需要显示当前在线人数、当前在线用户,有时候可能需要强制某个用户下线等;此时就需要获取相应的在线用户并进行一些操作。本章基于《第十六章综合实例》代码构建。会话控制器Java代码@RequiresPermissions("session:*") @Controller @RequestMapping("/sessions") publicclassSessionController{ @Auto
qq_32347977·2016-04-08 14:00

Shiro学习(23)多项目集中权限管理

在做一些企业内部项目时或一些互联网后台时;可能会涉及到集中权限管理,统一进行多项目的权限管理;另外也需要统一的会话管理,即实现单点身份认证和授权控制。学习本章之前,请务必先学习《第十章会话管理》和《第十六章综合实例》,本章代码都是基于这两章的代码基础上完成的。本章示例是同域名的场景下完成的,如果跨域请参考《第十五章单点登录》和《第十七章OAuth2集成》了解使用CAS或OAuth2实现跨域的身份验
qq_32347977·2016-04-08 13:00

Shiro学习(22)集成验证码

在做用户登录功能时,很多时候都需要验证码支持,验证码的目的是为了防止机器人模拟真实用户登录而恶意访问,如暴力破解用户密码/恶意评论等。目前也有一些验证码比较简单,通过一些OCR工具就可以解析出来;另外还有一些验证码比较复杂(一般通过如扭曲、加线条/噪点等干扰)防止OCR工具识别;但是在中国就是人多,机器干不了的可以交给人来完成,所以在中国就有很多打码平台,人工识别验证码;因此即使比较复杂的如填字、
qq_32347977·2016-04-08 11:00

Shiro学习(21)授予身份及切换身份

在一些场景中,比如某个领导因为一些原因不能进行登录网站进行一些操作,他想把他网站上的工作委托给他的秘书,但是他不想把帐号/密码告诉他秘书,只是想把工作委托给他;此时和我们可以使用Shiro的RunAs功能,即允许一个用户假装为另一个用户(如果他们允许)的身份进行访问。本章代码基于《第十六章综合实例》,请先了解相关数据模型及基本流程后再学习本章。表及数据SQL请运行shiro-example-cha
qq_32347977·2016-04-08 11:00

Shiro学习(一)——OAuth2集成

OAuth角色 资源拥有者(resourceowner):能授权访问受保护资源的一个实体,可以是一个人,那我们称之为最终用户;如新浪微博用户zhangsan; 资源服务器(resourceserver):存储受保护资源,客户端通过accesstoken请求资源,资源服务器响应受保护资源给客户端;存储着用户zhangsan的微博等信息。 授权服务器(authorizationserver):成功验证
sjzfhyykp·2016-04-08 11:00

Shiro学习(20)无状态Web应用集成

在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-basedMessageAuthenticationCode):基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消息摘要
qq_32347977·2016-04-08 11:00

Shiro学习(19)动态URL权限限制

用过SpringSecurity的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制。本章代码基于《第十六章综合
qq_32347977·2016-04-08 10:00

Shiro学习(18)并发人数限制

在某些项目中可能会遇到如每个账户同时只能有一个人登录或几个人同时登录,如果同时有多人登录:要么不让后者登录;要么踢出前者登录(强制退出)。比如springsecurity就直接提供了相应的功能;Shiro的话没有提供默认实现,不过可以很容易的在Shiro中加入这个功能。示例代码基于《第十六章综合实例》完成,通过ShiroFilter机制扩展KickoutSessionControlFilter完成
qq_32347977·2016-04-08 10:00

Shiro学习(17)OAuth2集成

目前很多开放平台如新浪微博开放平台都在使用提供开放API接口供开发者使用,随之带来了第三方应用要到开放平台进行授权的问题,OAuth就是干这个的,OAuth2是OAuth协议的下一个版本,相比OAuth1,OAuth2整个授权流程更简单安全了,但不兼容OAuth1,具体可以到OAuth2官网http://oauth.net/2/查看,OAuth2协议规范可以参考http://tools.ietf.
qq_32347977·2016-04-08 10:00

Shiro学习(16)综合实例

简单的实体关系图简单数据字典用户(sys_user)组织机构(sys_organization)资源(sys_resource)角色(sys_role)资源:表示菜单元素、页面按钮元素等;菜单元素用来显示界面菜单的,页面按钮是每个页面可进行的操作,如新增、修改、删除按钮;使用type来区分元素类型(如menu表示菜单,button代表按钮),priority是元素的排序,如菜单显示顺序;permi
qq_32347977·2016-04-08 09:00

Shiro学习(15)单点登录

Shiro1.2开始提供了JasigCAS单点登录的支持,单点登录主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。此处我们使用JasigCASv4.0.0-RC3版本:https://github.com/Jasig/cas/tree/v4.0.0-RC3JasigCAS单点登录系统分为服务器端和客户端,服务器端提供单点登录,多个客
qq_32347977·2016-04-07 13:00

Shiro学习(14)SSL

对于SSL的支持,Shiro只是判断当前url是否需要SSL登录,如果需要自动重定向到https进行访问。首先生成数字证书,生成证书到D:\localhost.keystore使用JDK的keytool命令,生成证书(包含证书/公钥/私钥)到D:\localhost.keystore:keytool-genkey-keystore“D:\localhost.keystore”-aliaslocal
qq_32347977·2016-04-07 13:00

Shiro学习(13)RememberMe

Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下:1、首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来;2、关闭浏览器再重新打开;会发现浏览器还是记住你的;3、访问一般的网页服务器端还是知道你是谁,
qq_32347977·2016-04-07 13:00

Shiro学习(12)与Spring集成

Shiro的组件都是JavaBean/POJO式的组件,所以非常容易使用Spring进行组件管理,可以非常方便的从ini配置迁移到Spring进行管理,且支持JavaSE应用及Web应用的集成。在示例之前,需要导入shiro-spring及spring-context依赖,具体请参考pom.xml。spring-beans.xml配置文件提供了基础组件如DataSource、DAO、Service
qq_32347977·2016-04-07 12:00

Shiro学习(11)缓存机制

Shiro提供了类似于Spring的Cache抽象,即Shiro本身不实现Cache,但是对Cache进行了又抽象,方便更换不同的底层Cache实现。对于Cache的一些概念可以参考我的《SpringCache抽象详解》:http://jinnianshilongnian.iteye.com/blog/2001040。Shiro提供的Cache接口:Java代码publicinterfaceCac
qq_32347977·2016-04-07 11:00

Shiro学习(10)Session管理

Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro的会话管理可以直接替换如Web容器的会话管理。会话所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别
AlexLongjiu·2016-04-07 11:51

Shiro学习(10)Session管理

Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro的会话管理可以直接替换如Web容器的会话管理。会话所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别
qq_32347977·2016-04-07 11:00

Shiro学习(9)JSP标签

**Shiro提供了JSTL标签用于在JSP/GSP页面进行权限控制,如根据登录用户显示相应的页面按钮。导入标签库Java代码标签库定义在shiro-web.jar包下的META-INF/shiro.tld中定义。guest标签Java代码 欢迎游客访问,登录 用户没有身份验证时显示相应信息,即游客访问信息。user标签Java代码 欢迎[]登录,退出 用户已经身份验证/记住我登录后显示相应的信息
qq_32347977·2016-04-07 11:00

Shiro学习(8)拦截器机制

8.1拦截器介绍Shiro使用了与Servlet一样的Filter接口进行扩展;所以如果对Filter不熟悉可以参考《Servlet3.1规范》http://www.iteye.com/blogs/subjects/Servlet-3-1了解Filter的工作原理。首先下图是Shiro拦截器的基础类图:1、NameableFilterNameableFilter给Filter起个名字,如果没有设置
qq_32347977·2016-04-07 10:00

Shiro学习(7)与Web整合

Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。7.1准备环境1、创建webapp应用此处我们使用了jetty-maven-plugin和t
qq_32347977·2016-04-07 10:00

Shiro学习(6)Realm整合

6.1Realm【2.5Realm】及【3.5Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。1、定义实体及关系即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即所谓的显示角色;其实权限应该对应到资源(如菜单、URL、页面按钮、Java方法等)中,即
qq_32347977·2016-04-06 17:00

Shiro学习(5)编码、加密

在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600wcsdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。5.1编码/解码Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作。Shiro内部的一些数据的存储/表示都使用了base64和16进制字符串。Java代码Stringstr="hello"; S
qq_32347977·2016-04-06 17:00

Shiro学习(4)INI配置

之前章节我们已经接触过一些INI配置规则了,如果大家使用过如Spring之类的IoC/DI容器的话,Shiro提供的INI配置也是非常类似的,即可以理解为是一个IoC/DI容器,但是区别在于它从一个根对象securityManager开始。4.1根对象SecurityManager从之前的Shiro架构图可以看出,Shiro是从根对象SecurityManager进行身份验证和授权的;也就是所有操
qq_32347977·2016-04-06 16:00

Shiro学习(3)授权

授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。主体主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。资源在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、
qq_32347977·2016-04-06 16:00

Shiro学习(2)身份验证

身份验证:即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。在shiro中,用户需要提供principals(身份)和credentials(证明)给shiro,从而应用能验证用户身份:principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个P
qq_32347977·2016-04-06 11:00

Shiro学习(1)简介

1.1简介ApacheShiro是Java的一个安全框架。目前,使用ApacheShiro的人越来越多,因为它相当简单,对比SpringSecurity,可能没有SpringSecurity做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。本教程只介绍基本的Shiro使用,不会过多分析源码
qq_32347977·2016-04-06 11:00

Spring文档学习--异常处理(Handling exceptions)以Shiro为例

通过前几篇Shiro学习已经可以开发基本的权限系统了,然而在Shiro的示例中并没有对因为权限访问而抛出的异常进行处理。本篇通过SpringMVC提供的异常处理机制来解决Shiro抛出的异常。
frankcheng5143·2016-03-14 22:00

Shiro学习--与SpringMVC整合(数据库,Shiro注解和Shiro标签)

关于Shiro的环境搭建和核心概念参考http://blog.csdn.net/frankcheng5143/article/details/50815495http://blog.csdn.net/frankcheng5143/article/details/50818198通过Shiro官方给的Tutorial我们知道Shiro的操作都是基于Subject的,而Subject来自Securit
GW_Cheng·2016-03-09 18:09

Shiro学习--与SpringMVC整合(数据库,Shiro注解和Shiro标签)

关于Shiro的环境搭建和核心概念参考http://blog.csdn.net/frankcheng5143/article/details/50815495http://blog.csdn.net/frankcheng5143/article/details/50818198通过Shiro官方给的Tutorial我们知道Shiro的操作都是基于Subject的,而Subject来自Securit
frankcheng5143·2016-03-09 18:00

Shiro学习--Apache Shiro Architecture(Shiro架构)

ApacheShiroArchitecture参考http://shiro.apache.org/architecture.html本文有点翻译的意思,是为了梳理Shiro的知识而做的Shiro学习
frankcheng5143·2016-03-07 13:00

Shiro学习--Apache Shiro Tutorial 环境搭建

1Shiro介绍ApacheShiro介绍参考http://shiro.apache.org/introduction.htmlShiro包括Authentication:Sometimesreferredtoas‘login’,thisistheactofprovingauseriswhotheysaytheyare.Authorization:Theprocessofaccesscontrol
frankcheng5143·2016-03-06 22:00

shiro学习06-用户以及登录-ThreadState类

这个接口用于将线程执行中的对象绑定到线程上或者在某些时候将不需要的对象从线程上解绑定。bind方法:将对象绑定到对象上方便以后的调用。Resotore方法:在线程结束之后如果是抛了异常之后,线程必须回复成原来的样子,这样可以保证线程在重复使用的时候的干净调用,放置出错。这个方法比最好用try finally的方式调用。书写格式例子ThreadStatestate=// try{ state.b
suichangkele·2016-02-26 08:04

shiro学习05-用户以及登录-threadContext类

我们知道直接调用SecurityUtils.getSubject这个方法可以返回当前的用户,他是怎么做到的呢,这个原理和spring的声明式事物或者是hibernate的open-session-in-view的实现是一个道理,都是讲某些资源在访问的一开始就创建,然后使用threadLocal(也就是线程局部变量)模式将目标资源绑定到当前线程上,当再次调用上时,直接从threadLocal上调用以
suichangkele·2016-02-26 08:03

shiro学习04-用户以及登录-subjectDao类

前面说完了subject的创建过程,创建完成之后会保留起来,保subject的操作就需要subejctDao来实现。既然每一次访问都会创建一个新的subject,那么为什么还需要dao来存储呢?其实Subjectdao做的事情很少,没有存储subject,只是将当前subject的校验信息(isAuthenticated)和principalCollection放入到session中。(我没有想到
suichangkele·2016-02-26 08:03

shiro学习03-用户以及登录-subjectFactory类

前一节的subjectContext最终将传入subjectFactory用于构建一个subject。subjectFactory很简单,就是将通过subjectcontext传递过来的值产生一个subject,默认使用的subjectContext是DefaultSubjectFactory,它将返回一个DelegatingSubject实例。
suichangkele·2016-02-26 08:03

shiro学习02-用户以及登录-SubjectContext

上一节说的是subject,这次说一下如何构成subejct——使用subjectContext类。这个类就是一个map,然后将构建subject的所有属性都组织到一起,然后传递给一个subjectFactory,用于构成一个subject。他的里面也含有subject,并且每一次在创建新的subject的时候都会去尝试调用getSubject方法以获得原来的subject,但是我在setSubj
suichangkele·2016-02-26 08:02

shiro学习26-shiro提供的filter-AuthorizationFilter类

这个抽象类也是继承自AccessControlFilter。他是用于处理登陆后的权限检查 他有一个属性unauthorizedUrl,表示如果没有对应的权限的话应该调到哪个页面。,这个可以不用配置,但是如果不配置的话默认为空,就会返回一个浏览器默认的401的页面。看他的子类:·HostFilter·PermissionAuthorizationFilter·PortFilter·RolesAuth
suichangkele·2016-02-21 13:10

shiro学习29-实现rememberMe功能-RememberMeManager

这个接口是用来实现rememberme的功能的。他的实现类为AbstractRememberMeManager,是一个抽象类,最终的继承类为cookieRememberMeManager,即将信息发送到cookie中。先看一下defaultWebSecurityManager的构造方法: publicDefaultWebSecurityManager(){ super(); ((Default
suichangkele·2016-02-21 13:10

shiro学习27-shiro提供的filter-RoleAuthorizationFilter

这个是根据角色来判断某个操作能否进行,在配置ShiroFilterFactoryBean的时候每个filter后面的[role1,role2]被当做是角色来处理。 @SuppressWarnings({"unchecked"}) publicbooleanisAccessAllowed(ServletRequestrequest,ServletResponseresponse,Objectmap
suichangkele·2016-02-21 13:10

shiro学习25-shiro提供的filter-PassThruAuthenticationFilter

PassThruAuthenticationFilter这个类是一个最终的实现类,他实现了onAccessDenied方法,实现很简单protectedbooleanonAccessDenied(ServletRequestrequest,ServletResponseresponse)throwsException{ if(isLoginRequest(request,response)){
suichangkele·2016-02-21 13:10

shiro学习22-shiro提供的filter-AccessControlFilter

这个类的javadoc中说明了这个类才是限制应用中的资源能否被访问的filter,我们先看的onPreHandle方法:publicbooleanonPreHandle(ServletRequestrequest,ServletResponseresponse,ObjectmappedValue)throwsException{ returnisAccessAllowed(request,res
suichangkele·2016-02-21 13:09

shiro学习24-shiro提供的filter-AuthenticationFilter

AuthenticationFilter是个抽象类,需要当前用户必须登录。我们看一下他的isAccessAllowed方法:protectedbooleanisAccessAllowed(ServletRequestrequest,ServletResponseresponse,ObjectmappedValue){ Subjectsubject=getSubject(request,respo
suichangkele·2016-02-21 13:09

shiro学习23-shiro提供的filter-UserFilter类

这个类的javadoc的解释说:这个filter是的判断条件是当前用户必须登录或者是通过之前的登录时的rememberme可以获得principalCollection,也就是必须知道用户是谁才可以。否则返回false,即不能通过这个filter。源码如下: protectedbooleanisAccessAllowed(ServletRequestrequest,ServletResponser
suichangkele·2016-02-21 13:09

shiro学习19-shiro提供的filter-logoutFilter

这个类很简单,用于在退出登录时将以前登录的用户注销掉,并且重定向到配置的页面,默认的是”/”,可以改变redirectUrl这个属性,使其跳转到我们指定的页面。 看看他的preHandle方法@Override protectedbooleanpreHandle(ServletRequestrequest,ServletResponseresponse)throwsException{ Sub
suichangkele·2016-02-21 13:08

shiro学习20-shiro提供的filter-PathMatchingFilter类

这个类也是AdviceFilter的实现类,我们先看看他的preHandle方法protectedbooleanpreHandle(ServletRequestrequest,ServletResponseresponse)throwsException{ if(this.appliedPaths==null||this.appliedPaths.isEmpty()){ if(log.isTr
suichangkele·2016-02-21 13:08

shiro学习21-shiro提供的filter-AnonymousFilter

不知道你们怎么想的,反正我刚上来是没看出这个类有什么用,匿名的filter也就是不用添加拦截的路径的filter还用写吗,不把这个路径配置在shiroFilterFactoryBean中不就完了吗,而且他的onPreHandle里面直接返回的true,没有任何的判断操作,直到我看了他的javadoc才明白了作者的用意——实现更广范围中的过滤。Javadoc中的意思是这样的:假设我们有这样的需求,所
suichangkele·2016-02-21 13:08

shiro学习18-shiro提供的filter类-AdviceFilter

这个类和之前的AbstractShiroFilter是平级的,都是OnecPerRequestFilter的子类,我们从他的名字Advice中就能联想到他的用意——AOP,在spring中有很多的advice,也就是通知,比如前置通知,后置通知,最终通知等,这个类允许通过很多方法实现filter中的aop的特点,比如preHandle(前置通知),postHandle(后置通知,但是在抛异常的情况
suichangkele·2016-02-21 13:07

shiro学习21-shiro提供的filter-AnonymousFilter

不知道你们怎么想的,反正我刚上来是没看出这个类有什么用,匿名的filter也就是不用添加拦截的路径的filter还用写吗,不把这个路径配置在shiroFilterFactoryBean中不就完了吗,而且他的onPreHandle里面直接返回的true,没有任何的判断操作,直到我看了他的javadoc才明白了作者的用意——实现更广范围中的过滤。Javadoc中的意思是这样的:假设我们有这样的需求,所
iteye_14612·2016-02-20 15:30
上一页 1 2 3 4 5 6 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他