1获取当前Subject调用SecurityUtilsgetSubject();
2测试当前用户是否已经被认证,即是否已经登录,调用Subject的isAurhenticated();
3若没有认证,则把用户名和密码封装成UsernamePasswordToken对象
对于B/S应用程序来说,一般用户名和密码是在前台表单中获得的:
1创建一个表单页面
2把请求提交到SpringMVC的Controller
3获取用户名和密码
4执行登录:调用Subjectlogin(AuthenticationToken) 方法
5自定义Realm方法,从数据库中获取对应的记录,返回给Shiro
自定义Realm的实现:
1继承orgapacheshirorealmAuthenticatingRealm类
2实现doGetAuthenticationInfo(AuthenticationToken)方法
这个就在在人员表了添加一个身份的字段 user_rank ,用这个来控制。用户登录到时候就会用登录信息,把这个 user_rank 字段带出来,在页面或者链接时候加上判断,哈这是简单的,看下官方的。
shiro安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证、授权、加密和会话管理等功能 。
shiro能做什么?
认证:验证用户的身份
授权:对用户执行访问控制:判断用户是否被允许做某事
会话管理:在任何环境下使用 Session API,即使没有 Web 或EJB 容器。
加密:以更简洁易用的方式使用加密功能,保护或隐藏数据防止被偷窥
Realms:聚集一个或多个用户安全数据的数据源
单点登录(SSO)功能。
为没有关联到登录的用户启用 "Remember Me“ 服务
Shiro 的四大核心部分
Authentication(身份验证):简称为“登录”,即证明用户是谁。
Authorization(授权):访问控制的过程,即决定是否有权限去访问受保护的资源。
Session Management(会话管理):管理用户特定的会话,即使在非 Web 或 EJB 应用程序。
Cryptography(加密):通过使用加密算法保持数据安全
shiro的三个核心组件:
Subject :正与系统进行交互的人,或某一个第三方服务。所有 Subject 实例都被绑定到(且这是必须的)一个SecurityManager 上。
SecurityManager:Shiro 架构的心脏,用来协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务。当 Shiro 与一个 Subject 进行交互时,实质上是幕后的 SecurityManager 处理所有繁重的 Subject 安全 *** 作。
Realms :本质上是一个特定安全的 DAO。当配置 Shiro 时,必须指定至少一个 Realm 用来进行身份验证和/或授权。Shiro 提供了多种可用的 Realms 来获取安全相关的数据。如关系数据库(JDBC),INI 及属性文件等。可以定义自己 Realm 实现来代表自定义的数据源。
shiro整合SSM框架:
1加入 jar 包:以下jar包自行百度下载
2配置 webxml 文件
在webxml中加入以下代码—shiro过滤器。
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>orgspringframeworkwebfilterDelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/</url-pattern>
</filter-mapping>
3在 Spring 的配置文件中配置 Shiro
Springmvc配置文件中:<bean class="orgspringframeworkaopframeworkautoproxyDefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor"/>
<bean class="orgapacheshirospringsecurityinterceptorAuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
Spring配置文件中导入shiro配置文件:
<!-- 包含shiro的配置文件 -->
<import resource="classpath:applicationContext-shiroxml"/>
新建applicationContext-shiroxml
<xml version="10" encoding="UTF-8"><beans xmlns=">
导入ehcache-shiroxml配置文件:
<!--
~ Licensed to the Apache Software Foundation (ASF) under one
~ or more contributor license agreements See the NOTICE file
~ distributed with this work for additional information
~ regarding copyright ownership The ASF licenses this file
~ to you under the Apache License, Version 20 (the
~ "License"); you may not use this file except in compliance
~ with the License You may obtain a copy of the License at
~
~ >
准备好了,接下来要写Realm方法了,新建shiro包,在包下新建MyRealmjava文件继承AuthorizingRealm
package shiro;import orgapacheshiroauthcAuthenticationException;import orgapacheshiroauthcAuthenticationInfo;import orgapacheshiroauthcAuthenticationToken;import orgapacheshiroauthcSimpleAuthenticationInfo;import orgapacheshiroauthccredentialHashedCredentialsMatcher;import orgapacheshiroauthzAuthorizationInfo;import orgapacheshiroauthzSimpleAuthorizationInfo;import orgapacheshirocryptohashMd5Hash;import orgapacheshirocryptohashSimpleHash;import orgapacheshirorealmAuthorizingRealm;import orgapacheshirosubjectPrincipalCollection;import orgapacheshiroutilByteSource;import orgspringframeworkbeansfactoryannotationAutowired;import beanuser;import daouserdao;public class MyRealm extends AuthorizingRealm {
@Autowired private userdao userdao;
String pass; /
授权:
/
@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
Object principal = principalCollectiongetPrimaryPrincipal();//获取登录的用户名
if("admin"equals(principal)){ //两个if根据判断赋予登录用户权限
infoaddRole("admin");
} if("user"equals(principal)){
infoaddRole("list");
}
infoaddRole("user");
return info;
} /
用户验证
/
@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//1 token 中获取登录的 username! 注意不需要获取password
Object principal = tokengetPrincipal();
//2 利用 username 查询数据库得到用户的信息
user user=userdaofindbyname((String) principal); if(user!=null){
pass=usergetPass();
}
String credentials = pass; //3设置盐值 ,(加密的调料,让加密出来的东西更具安全性,一般是通过数据库查询出来的。 简单的说,就是把密码根据特定的东西而进行动态加密,如果别人不知道你的盐值,就解不出你的密码)
String source = "abcdefg";
ByteSource credentialsSalt = new Md5Hash(source);
//当前 Realm 的name
String realmName = getName(); //返回值实例化
SimpleAuthenticationInfo info =
new SimpleAuthenticationInfo(principal, credentials,
credentialsSalt, realmName);
return info;
} //init-method 配置
public void setCredentialMatcher(){
HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
credentialsMatchersetHashAlgorithmName("MD5");//MD5算法加密
credentialsMatchersetHashIterations(1024);//1024次循环加密
setCredentialsMatcher(credentialsMatcher);
}
//用来测试的算出密码password盐值加密后的结果,下面方法用于新增用户添加到数据库 *** 作的,我这里就直接用main获得,直接数据库添加了,省时间
public static void main(String[] args) {
String saltSource = "abcdef";
String hashAlgorithmName = "MD5";
String credentials = "passwor";
Object salt = new Md5Hash(saltSource); int hashIterations = 1024;
Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
Systemoutprintln(result);
}
}
好了,接下来我们写一个简单的action来通过shiro登录验证。
//登录认证
@RequestMapping("/shiro-login") public String login(@RequestParam("username") String username,
@RequestParam("password") String password){
Subject subject = SecurityUtilsgetSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try { //执行认证 *** 作 subjectlogin(token);
}catch (AuthenticationException ae) {
Systemoutprintln("登陆失败: " + aegetMessage()); return "/index";
}
return "/shiro-success";
}
//温馨提示:记得在注册中密码存入数据库前也记得加密哦,提供一个utils方法//进行shiro加密,返回加密后的结果public static String md5(String pass){
String saltSource = "blog";
String hashAlgorithmName = "MD5";
Object salt = new Md5Hash(saltSource);int hashIterations = 1024;
Object result = new SimpleHash(hashAlgorithmName, pass, salt, hashIterations);
String password = resulttoString();return password;
}
好了,shiro登录验证到这里完了
NoboNoShiro20121080pBluRayx264DTS-HDWinG种子下载地址:
thunder://QUFodHRwOi8vYWlrYW5keS5vcmcvTm9iby5Oby5TaGlyby4yMDEyLjEwODBwLkJsdVJheS54MjY0LkRUUy1IRFdpbkcubWt2P2ZpZD15SGw2R25YS2o3Um90dXlPbUdJc1p2cDVlYzRBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBJm1pZD02NjYmdGhyZXNob2xkPTE1MCZ0aWQ9RTUxREQ3QkMwMUE5MjgyQkE3N0VDMUMzQkVCM0NCRjcmc3JjaWQ9MTIwJnZlcm5vPTFaWg==
祝您观影愉快~
/ 编码转换,确保写数据库的时候不会出现乱码 / public class CodingConvert { public CodingConvert() { // } public String toGb(String uniStr){ String gbStr = ""; if(uniStr == null){ uniStr = ""; } try{ byte[] tempByte = uniStr
源码项目地址
Realm在验证用户身份的时候,要进行密码匹配。最简单的情况就是明文直接匹配,然后就是加密匹配,这里的匹配工作则就是交给CredentialsMatcher来完成的。我们在这里继承这个接口,自定义一个密码匹配器,缓存入键值对用户名以及匹配次数,若通过密码匹配,则删除该键值对,若不匹配则匹配次数自增。超过给定的次数限制则抛出错误。这里缓存用的是ehcache。
maven依赖
ehcache配置
注入CredentialsMatcher
realm添加认证器
ehcache-shiroxml加入
ShiroConfigjava中注入相关对象
shiro过滤链中加入并发登录人数过滤器
访问任意链接均需要认证通过以及限制并发登录次数
在spring boot的项目中整合Shiro和redis的时候遇到类型转换问题,comtroybootjavasystempoUserPo cannot be cast to comtroybootjavasystempoUserPo,初步查到的原因是 devtools类加载器不同导致的 。
在你的realm文件中,修改第一个参数为用户名;
那么在类型强转的时候,也需要改成相应的类型(String);
优雅一点
PropertyUtilscopyProperties(to,from);
如果你没有看懂我写的什么,或者你不需要热部署,可以在pomxml文件中把spring-boot-devtools依赖注释了;
mybatis的mapper文件也会遇到这个问题,修改配置文件也可以,文章开头的链接里面有讲解。
以上就是关于shiro中没有subject.login()方法,却自动走realm中的认证方法,为什么全部的内容,包括:shiro中没有subject.login()方法,却自动走realm中的认证方法,为什么、ssm框架访问控制应该怎么做、能发下Nobo.No.Shiro.2012.1080p.BluRay.x264.DTS-HDWinG的种子或下载链接么等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)