第一部分 Shiro简介及项目目录结构
最新官方示例下载:http://shiro.apache.org/
- Shiro是Apache从JSecret项目演变而来的,该框架实现了:用户登录、认证、授权和权限管理操作的完整控制流程。Shiro最早的名字是JSecurity,后来更名为Shiro并成为Apache的孵化项目。这次改名也同样影响了Grails Shiro Plugin。它最早在Shiro还未改名之前就已经存在了,后来因为Shiro的名字变更,也就一道跟着“改名换姓”。由于Grails Shiro Plugin中已经包含了Shiro相关的Jar,因此对于插件的使用者而言,不必专门下载Shiro。JSecurity是一个强大,灵活的java安全框架。用于简洁地处理身份验证,授权,企业多个系统会话管理,加密服务等。
- Shiro主要对用户的权限和Session进行特别的封装,并且支持跨平台的登录权限认证,EJB等项目中也可以实现Session的共享。
- Shiro主要使用对象
Subject 当前操作的程序的对象相当于用户User,对应操作视图
SecurityManager Shiro框架的心脏,确保框架正常运行。
Authenticator 执行身份验证(登录)尝试负责组件。
AuthenticationStrategy 协调Realm用户数据访问策略
Authorizer 负责应用程序中决定用户访问控制的组件。
SessionManager 如何创建及管理用户的session生命周期,提供良好的session体验。
SessionDAO 支持Session CRUD数据操作。
CacheManager 创建并管理Shiro组件执行的Cache实例的生命周期。
Cryptography Shiro企业安全组件的补充。
Realms 担当Shiro与应用程序安全数据的"桥梁"或"连接器"。
- 框架关系图如下所示:
- Shiro配置:{以Spring-Hibernate 项目为例}
Shiro.ini初始化文件,可以将用户登录的权限设置在这里
[users] users=user:*
[roles] roles=role:*等等,shiro.ini在实际项目中可以不要,它仅仅是一种数据访问配置的手段
ehcache.xml 文件配置对象缓存示例的个数等
log4j.properties 日志配置文件
hibernate.cfg.xml 配置实体隐射关系[Hibernate整合]
applicationContext.xml 配置Spring 数据源访问和对象注入
applicationContext-shiro.xml Shiro配置文件
Sprhib-servlet.xml servlet控制页面跳转路径的配置
配置文件目录如下:
- 创建规范的项目目录结构如下:
注:具体文件配置官方示例有。
第二部分 Shiro与Hibernate的使用配置
web.xml中的配置:
<!-- Shiro Filter is defined in the spring application context: -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
applicationContext-shiro.xml配置:实现认证和授权
<!-- shiro start -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile"value="classpath:ehcache.xml" />
</bean>
<bean id="credentialsMatcher"class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="SHA-256" />
</bean>
<bean id="iniRealm" class="com.boonya.shiro.security.CurrentIniRealm">
<constructor-arg type="java.lang.String" value="classpath:shiro.ini" />
<property name="credentialsMatcher" ref="credentialsMatcher" />
</bean>
<bean id="userRealm" class="com.boonya.shiro.security.UserRealm" />
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realms">
<list>
<ref bean="iniRealm" />
<ref bean="userRealm" />
</list>
</property>
<property name="cacheManager" ref="cacheManager" />
</bean>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/login" />
<property name="successUrl" value="/maps/main.html"></property>
<property name="unauthorizedUrl" value="/unauthorized"></property>
<property name="filters">
<util:map>
<entry key="anAlias">
<beanclass="org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter" />
</entry>
</util:map>
</property>
<property name="filterChainDefinitions">
<value><!-- 权限字符过滤 -->
/unauthorized=anon
/validate/code*=anon
/login/**=anon
/image/**=anon
/js/**=anon
/css/**=anon
/common/**=anon
/index.htm* = anon
/maps/**=authc
</value>
</property>
</bean>
<!-- shiro end -->
有关必要说明:
securityManager:这个属性是必须的。
loginUrl :没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。
successUrl :登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。
unauthorizedUrl :没有权限默认跳转的页面。
其权限过滤器及配置释义:
anon org.apache.shiro.web.filter.authc.AnonymousFilter
authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port org.apache.shiro.web.filter.authz.PortFilter
rest org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl org.apache.shiro.web.filter.authz.SslFilter
user org.apache.shiro.web.filter.authc.UserFilter
logout org.apache.shiro.web.filter.authc.LogoutFilter
anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString
是你访问的url里的?后面的参数。
authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
注:anon,authcBasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器
第三部分 Shiro代码分析
-
利用分层思想创建清晰的项目目录结构
---dao 数据访问层
---model 业务实体
---service 业务层
---security/realm 数据桥接,决定访问那个数据源
---web/controller 控制层/视图展现层
-
代码分析阶段
[略] dao和model是我们所熟悉的因此这里没有必要再讲述。
[述]
service 让接口决定业务实现
我们可以编写业务类的接口并作实现,不需要对外提供的方法不必在接口中定义。
好处:功能明确,结构清晰,使目有全牛,而不是盲目的开始编码。
一个接口对应一个实现。
Java代码:
接口:
public interface UserService {
User getCurrentUser();
void createUser(String username, String email, String password);
List<User> getAllUsers();
User getUser(Long userId);
void deleteUser(Long userId);
void updateUser(User user);
}
实现:
@Service("userService")
public class DefaultUserService implements UserService {
private UserDAO userDAO;
@Autowired
public void setUserDAO(UserDAO userDAO) {
this.userDAO = userDAO;
}
public User getCurrentUser() {
final Long currentUserId = (Long) SecurityUtils.getSubject().getPrincipal();
if( currentUserId != null ) {
return getUser(currentUserId);
} else {
return null;
}
}
.....................
}
security 衔接程序与数据源的中间组件realm
一般只提供登录验证的realm即可,当用户进入系统之后还是跟以前的实现模式一样,只是登录的时候必须做安全验证。如果不登录系统,就不能看到具有安全保护的数据页面展示,如果没有普通guest(来宾)访问页面,以致只能看到登录界面<都是通过配置过滤器来实现>。、
实现一个用户自定义的realm必须继承自AuthorizingRealm 。
Java代码:
@Component
public class SampleRealm extends AuthorizingRealm {
protected UserDAO userDAO = null;
@SuppressWarnings("deprecation")
public SampleRealm() {
setName("SampleRealm"); //This name must match the name in the User class's getPrincipals() method
setCredentialsMatcher(new Sha256CredentialsMatcher());
}
@Autowired
public void setUserDAO(UserDAO userDAO) {
this.userDAO = userDAO;
}
//用户登录认证
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
//认证前调用
UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
User user = userDAO.findUser(token.getUsername());
if( user != null ) {
//认证后返回认证信息
return new SimpleAuthenticationInfo(user.getId(), user.getPassword(), getName());
} else {
return null;
}
}
//获取认证后信息:用户的角色,享有的权限
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
Long userId = (Long) principals.fromRealm(getName()).iterator().next();
User user = userDAO.getUser(userId);
if( user != null ) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
for( Role role : user.getRoles() ) {
info.addRole(role.getName());
info.addStringPermissions( role.getPermissions() );
}
return info;
} else {
return null;
}
}
}
web/controller 决定页面跳转到那个页面或返回相应的页面数据
用户登入系统后决定用户去向,属于权限控制字符过滤的范围,是否用户有权限访问该URL路径。这里以签到为例:
1、创建绑定操作命令实体
public class SignupCommand {
private String username;
private String email;
private String password;
//getter setter 略
}
2、一般需要对操作的数据进行验证的可以创建一个验证器实现Validator接口
public class SignupValidator implements Validator {
//邮箱验证正则表达式
private static final String SIMPLE_EMAIL_REGEX = "[A-Z0-9._%+-]+@[A-Z0-9.-]+\\.[A-Z]{2,4}";
@SuppressWarnings("rawtypes")
public boolean supports(Class aClass) {
return SignupCommand.class.isAssignableFrom(aClass);
}
//执行验证
public void validate(Object o, Errors errors) {
SignupCommand command = (SignupCommand)o;
ValidationUtils.rejectIfEmptyOrWhitespace(errors, "username", "error.username.empty", "Please specify a username.");
ValidationUtils.rejectIfEmptyOrWhitespace(errors, "email", "error.email.empty", "Please specify an email address.");
if( StringUtils.hasText( command.getEmail() ) && !Pattern.matches( SIMPLE_EMAIL_REGEX, command.getEmail().toUpperCase() ) ) {
errors.rejectValue( "email", "error.email.invalid", "Please enter a valid email address." );
}
ValidationUtils.rejectIfEmptyOrWhitespace(errors, "password", "error.password.empty", "Please specify a password.");
}
}
3、编写控制器
@Controller
public class SignupController {
private SignupValidator signupValidator = new SignupValidator();
private UserService userService;
@Autowired
public void setUserService(UserService userService) {
this.userService = userService;
}
@RequestMapping(value="/signup",method= RequestMethod.GET)
public String showSignupForm(Model model, @ModelAttribute SignupCommand command) {
return "signup";
}
@RequestMapping(value="/signup",method= RequestMethod.POST)
public String showSignupForm(Model model, @ModelAttribute SignupCommand command, BindingResult errors) {
//数据验证是否合法
signupValidator.validate(command, errors);
if( errors.hasErrors() ) {
return showSignupForm(model, command);
}
// Create the user
userService.createUser( command.getUsername(), command.getEmail(), command.getPassword() );
// Login the newly created user
SecurityUtils.getSubject().login(new UsernamePasswordToken(command.getUsername(), command.getPassword()));
return "redirect:/s/home";
}
}
相关推荐
Apache Shiro,原名为JSecurity,是一个强大的Java安全框架,主要功能包括用户登录、认证、授权和权限管理。Shiro的架构设计使得它能够简洁高效地处理身份验证、授权、会话管理和加密服务。框架的核心组件包括: 1....
1、前端三部曲HTML5+CSS+JavaScript(ES6) css菜鸟教程: 2、关系型数据库Mysql+Oracle 3、Java基础、反射、高级 (反射) 4、JavaWeb/JSP+Servlet+Tomcat+XML 5、Jquery+AJAX+JSON Ajax菜鸟教程: Json菜鸟教程: ...
程序设计语言基础JAVAWEB_Java讲义精选[2025网盘版.备考复习]
内容概要:本文详细介绍了基于LabVIEW的测控系统,该系统集成了485标准Modbus通信协议,实现了对变频器的控制以及多种数据(如扭矩、转速、温度、电压、电流)的测量和处理。文中不仅提供了具体的代码示例,还分享了许多实际操作中的经验和技巧,如通信参数配置、CRC校验、数据解析、转速闭环控制等。此外,作者强调了系统架构设计的重要性,提出了生产者/消费者模式的应用,并讨论了如何通过面向对象编程提高代码的可维护性和扩展性。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是对LabVIEW有一定了解或希望深入学习LabVIEW编程的人群。 使用场景及目标:适用于各种工业自动化环境中,旨在帮助用户快速搭建高效稳定的测控系统,满足特定应用场景下的数据采集与控制需求。具体目标包括但不限于:实现高精度的变频器转速控制、确保可靠的数据传输、优化系统性能、提升用户体验等。 其他说明:文章中提到的所有代码均已打包提供,便于读者直接应用于自己的项目中。同时,作者鼓励读者根据实际情况进行二次开发,以适应不同的硬件平台和业务逻辑。
程序设计语言基础JAVAWEB_JavaWeb项目需要掌握技术[2025网盘版.备考复习]
程序设计语言基础JAVAWEB_Java输入输出[2025网盘版.备考复习]
项目资源包含:可运行源码+sql文件+文档; python3.8+Flask+mysql5.7+spider+vue 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 当人们打开系统的网址后,首先看到的就是首页界面。在这里,人们能够看到系统的导航条(旅游景点、周边住宿、周边美食、公告栏),通过导航条导航进入各功能展示页面进行操作。在个人中心页面可以对修改密码、我的收藏进行详细操作。 管理员进入主页面,主要功能包括对系统首页、用户、旅游景点、周边住宿、周边美食、美食分类、系统管理、个人资料等进行操作。
24河北省赛Linux网络建设与运维答案(1).zip
系统名称:基于JSP煤炭销售管理系统 技术栈:JSP技术、Mysql数据库、B/S结构 系统功能:管理员功能:个人信息管理、员工信息管理、煤炭信息管理、煤炭类别管理、煤炭销售统计、公告信息管理;销售员工功能:个人资料管理、煤炭入库数据管理、煤炭库存信息查看、煤炭销售数据信息管理、我的煤炭销售统计、公告信息查看 摘要:随着经济的发展以及人们对于能源的需求,煤炭的销售量也在日益提升,煤炭销售过程中存在大量的销售数据,包含了煤炭类型、煤炭价格、煤炭出入库管理、煤炭销售统计等内容,然而在现实煤炭销售过程中很多销售管理的内容都是通过手动记录的方式来实现,对于交易量比较小的应用场景这种手工管理模式还适用,但是对于大型和多销售人员的场景下,对于煤炭销售的管理存在很多风险。本文结合了当前煤炭销售管理中的常见问题,通过线上平台的开发设计,利用JSP技术以及Mysql数据库实现在线煤炭销售信息的管理,包含了煤炭销售管理过程中的煤炭信息管理、煤炭销售管理、煤炭入库管理、煤炭库存管理以及销售人员销量统计,销售员工和管理人员可以借助线上平台实现煤炭销售信息的优化管理,利用线上平台的便捷性帮助缓解和提升煤炭交易管理的效率,同时借助线上数据信息的查询和统计帮助优化煤炭进销存管理的数据信息准确性,从而对于煤炭整体销售过程实现有效的管控。
boss-daima.txt
使用stm32驱动多个测距传感器VL53L0X
系统名称:JSP实习支教中小学学校信息管理系统 技术栈:JSP语言、MySQL数据库、HTML、CSS、JavaScript 系统功能:管理员功能:个人中心、用户管理、支教老师信息管理、注册用户信息管理、校园新闻和学院介绍信息管理、支教老师教学科目及考核管理;注册用户功能:账户注册和登录、个人信息修改、学校简介和校内新闻查看、资料下载、优秀教师列表展示查看;支教老师用户功能:工作信息查看和维护、个人信息修改、考核信息查看和管理 摘要:进入二十一世纪以来,计算机技术蓬勃发展,人们的生活发生了许多变化。很多时候人们不需要亲力亲为的做一些事情,通过网络即可完成以往需要花费很多时间的操作,这可以提升人们的生活质量。计算机技术对人们生活的改变不仅仅包含衣食住行等方面,它在各种领域都对现代生活作出了贡献。在计算机技术快速发展之前,支教老师们进行学生管理及支教管理的一系列流程是非常麻烦的,支教的老师一方面需要完成自己的实习支教任务,另一方面要完成自己的教学目标,在偏远的地区进行支教的情况下,一般来说所有的教学任务及考核任务都是通过纸笔进行记录的,但这种记录方式首先效率很低,因为每位老师的精力是有限的,白天要进行授课,这些任务的记录及管理只能放在课余时间进行,但学生在开学前往往很多同学与老师打电话或者发信息都是非常集中的,所以提高信息的记录效率是很重要的,这样一方面可以保证学生的体验,另一方面可以避免因为浪费时间造成的效率低下。本系统使用JSP语言和MySQL数据库开发,为各位老师、学生提供了学校信息查询、优秀教师展示、校园简介查看等多种功能,让学生和老师们不需要再通过打电话和发消息就可以进行学校信息的查看,在极大地满足学生们进行了解学校的需求的同时,还在让每位支教的老师可以更好地管理自己的分配任务及考核目标等。
微软常用运行库合集 2025.04.22最新
kkpakw343y.html
内容概要:本文详细介绍了基于MATLAB的滑动窗口计算声发射b值和ib值的方法和技术实现。首先,文章展示了核心函数sliding_bvalue的设计,允许用户自定义窗口大小、步长、最小事件数以及计算模式(动态最值或全局最值)。接着,文章深入探讨了滑动窗口的具体实现逻辑,包括时间窗口处理、动态和全局模式下的最大震级计算、数据不足情况的处理等。此外,文章还提供了可视化的解决方案,如双坐标轴图表展示b值曲线和事件频次分布,以及处理窗口边缘数据不足的问题。最后,文章提到了ib值的计算模块,该模块采用能量对数替代震级进行计算,并给出了具体的使用示例。 适用人群:适用于从事地震预警、材料失效分析等领域,熟悉MATLAB编程的研究人员和工程师。 使用场景及目标:①用于地震预警系统中,实时监测地震活动性;②用于材料科学中,分析材料损伤演化状态;③帮助研究人员更好地理解和应用滑动窗口技术来处理动态数据流。 其他说明:文中提到的工具包经过优化,在处理百万级事件数据时表现出色,能够快速响应突增信号。对于不同的应用场景,可以通过调整窗口参数和计算模式来提高灵敏度或稳定性。
系统名称:基于web的期末考试考务管理系统 技术栈:未明确提及 系统功能:学生模块包括查看考试安排信息,学生缓考在线申请,教师查看,学生在线签订承诺书;教师模块包括查询监考表,考试违纪学生信息录入;管理员模块包括考试时间地点管理,调整排班信息,信息管理等,主要是增删改查。 摘要:基于web的期末考试考务管理系统是一个后台管理系统,界面为CB,内容页为P3。该系统主要分为学生模块、教师模块和管理员模块,分别满足不同用户的需求。
内容概要:本文详细介绍了基于信捷PLC和触摸屏的伺服自立袋灌装旋盖设备的自动化控制系统。首先阐述了项目的背景与需求,强调了设备需要实现高效、精准的灌装和旋盖操作,并确保自动化运行。其次,展示了电气图的设计,涵盖PLC输入输出连接、伺服驱动器与电机的连接、传感器接入及触摸屏与PLC通信线路等。然后,深入探讨了信捷PLC程序的具体实现,包括梯形图语言编写的灌装量控制程序片段及其代码分析。此外,讲解了触摸屏程序设计,特别是人机交互界面的功能,如参数设置和设备状态监控。最后,总结了整个系统的实现过程,强调了各个组件之间的紧密协作,确保设备稳定、高效的运行。 适合人群:从事自动化设备编程的技术人员,尤其是对PLC编程和触摸屏界面设计有一定基础的人群。 使用场景及目标:适用于需要开发或优化类似自动化生产设备的企业或个人。主要目标是提高设备的自动化程度,增强操作简便性和生产效率。 其他说明:文中不仅提供了详细的硬件连接图和软件代码示例,还分享了许多调试经验和优化技巧,有助于读者更好地理解和掌握相关技术。
泛在安全低空数智网技术体系白皮书
内容概要:本文是关于MATLAB开发资源的指南,涵盖了官方资源、学习资源、专业工具箱、开发者社区以及实战项目资源等方面。官方资源包括权威且全面的官方文档、交互式编程环境Live Editor和官方示例库;学习资源提供经典书籍推荐、在线课程平台和免费中文教程,帮助从入门到精通;专业工具箱列举了TOP5必装工具箱及其试用技巧;开发者社区介绍了MATLAB Central、Stack Overflow和中文社区等平台用于问题解决与经验共享;实战项目资源则提供了GitHub开源项目和Kaggle竞赛案例以供实践。最后给出学习建议,强调分阶段学习、动手实践和参与社区的重要性。 适合人群:对MATLAB感兴趣的初学者、希望提高MATLAB技能的学生或工程师。 使用场景及目标:① 初学者可以通过官方文档、经典书籍和免费教程快速上手MATLAB;② 学生或工程师能够利用专业工具箱加速特定领域的开发工作;③ 开发者可以在社区中寻求技术支持并分享经验;④ 用户可以借助实战项目资源进行实践,巩固所学知识。 其他说明:MATLAB的魅力在于其丰富的工具箱生态系统,建议开发者根据自身行业需求持续扩展技能边界。同时鼓励读者分享私藏的优质资源,共同促进MATLAB的学习和发展。
内容概要:本文详细介绍了利用MATLAB/Simulink构建的一个24小时微电网仿真模型,涵盖了柴油机、光伏发电、风力发电和V2G(Vehicle-to-Grid)电动汽车充放电四个主要组成部分。文中不仅展示了各个组件的具体建模方法和技术细节,如柴油机的PI调节器、光伏的MPPT控制、风电的随机风速生成,还深入探讨了V2G调度策略及其对电网频率和电压的影响。通过对不同时间段的仿真结果进行分析,揭示了各能源形式之间的相互作用和动态特性,特别是在应对突发情况时的表现。 适合人群:电力系统工程师、新能源研究学者、微电网开发者、自动化控制专业学生。 使用场景及目标:适用于希望深入了解微电网内部运作机制的研究人员和技术人员,旨在帮助他们掌握如何通过仿真工具优化微电网性能,提高可再生能源利用率并确保供电稳定性。 其他说明:文章提供了丰富的代码片段和实用技巧,有助于读者更好地理解和复现实验环境。此外,作者还分享了一些有趣的发现,比如V2G车辆的‘羊群效应’以及不同电源间的响应时间差异等。