国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

我是這樣用shiro的

nanchen2251 / 2974人閱讀

摘要:我這里為了簡化只寫了用戶名密碼參數。如下代碼可以退出當前用戶,這樣我們再請求登錄的時候就會繼續安全認證了。當我們登錄成功后,我們用是角色但是沒有權限的用戶訪問是可以請求成功,但是訪問是會跳轉到的配置文件的對應的地址,表示權限不足不可訪問。

小述

我在shiro學習上花費了一些時間,shiro的資料網上一大推,之前自己學習的知識點一直記錄在有道云筆記上,有道云有自己的好處 那就是沒有網絡的時候依然可以記錄一些東西,但是弊端就是不能與大家一起分享和討論,最后還是選擇在segmentFault,一上來發現自己聲望值是負數,有點小悲傷啊,以后學習到東西后自己會在這里寫寫記記,一是歸納梳理知識且自己記性不好,方便以后自我回憶,二是希望能和大家討論,我有不對的地方希望能有大神指點。廢話不多說,寫一下我最近學習的shiro的用法。

正文

大體的登錄認證流程如上圖,當進入登錄頁面后,會先進入通過shiroFilter安全認證過濾器,然后讀取數據庫信息來進行登錄和授權的認證,這一部分是交給realm來進行的,當認證成功后會跳轉到successURL對應的地址中去如果失敗會跳轉到loginUrl中。圖上的的${adminPath}只是從配置文件properties中讀出配置參數罷了,可以把它看成/a。

web.xml配置
    
    
        shiroFilter
        org.springframework.web.filter.DelegatingFilterProxy
        
            targetFilterLifecycle
            true
        
    
    
        shiroFilter
        /*
    

web.xml基本上是固定模板,/*攔截了所有的請求,但是記住下shiroFilter這個名字。

spring-context-shiro.xml 配置
Shiro Configuration

    
    
    
    
    
        
            
                /static/** = anon
                /userfiles/** = anon
                ${adminPath}/login = authc
                ${adminPath}/logout = logout
                ${adminPath}/sys/** = roles[sys]
                ${adminPath}/cms/** = perms[cms:view]
                ${adminPath}/** = user
            
        
    
    
    
    
         
        
        
        
        
            
                
            
        
        
            
        
    
    
    
    
        
        
    
    
    
    
    
    
    
        
    
    
        
    

XML配置文件中很多也是固定不變的,官網文檔也有介紹,anon表示請求對應的路徑不認證,authc表示請求對應的路徑需要登錄認證,roles[sys]表示請求對應的路徑需要角色為sys的才允許,perms[cms:view]表示請求對應的路徑需要有cms:view權限的才允許。這里的安全認證過濾器的名字要與web.xml中的shiroFilter一樣。

表示登錄失敗后會跳轉到對應請求

表示登錄成功后會跳轉的請求

表示訪問了無權訪問的鏈接后跳轉的請求。

 

表示 authc這個會通過FormAuthenticationFilter這個類來驗證

這是我們自定義的realm來認證登錄和授權信息的

實驗的目錄結構,如上圖

重寫FormAuthenticationFilter類
@Service
public class FormAuthenticationFilter extends org.apache.shiro.web.filter.authc.FormAuthenticationFilter{
    
    public static final String DEFAULT_CAPTCHA_PARAM = "validateCode";
    
    private String captchaParam = DEFAULT_CAPTCHA_PARAM;

    @Override
    protected AuthenticationToken createToken(ServletRequest request,ServletResponse response) {
        System.out.println("-------------進入創建token方法-------------");
        // TODO Auto-generated method stub
        String username = getUsername(request);
        String password = getPassword(request);
        if(password == null){
            password = "";
        }
        String captcha = getCapcha(request);
        System.out.println("-------------出創建token方法-------------");
        return new UsernamePasswordToken(username,password,captcha);
    }
    
    
    public String getCapcha(ServletRequest request){
        return WebUtils.getCleanParam(request, captchaParam);
    }
    
    public String getSuccessUrl(){
        return super.getSuccessUrl();
    }
    
    @Override
    protected void issueSuccessRedirect(ServletRequest request,ServletResponse response) throws Exception {
        // TODO Auto-generated method stub、
        System.out.println("-------------issueSuccessRedirect-------------");
        WebUtils.issueRedirect(request, response, getSuccessUrl());
    }


    @Override
    protected boolean onLoginFailure(AuthenticationToken token,AuthenticationException e, ServletRequest request,
            ServletResponse response) {
        // TODO Auto-generated method stub
        System.out.println("-------------onLoginFailure-------------");
        String className = e.getClass().getName();
        String message = "";
        System.out.println("=========e.getCLass().getName()===========:"+className);
        if(IncorrectCredentialsException.class.getName().equals(className)
                || UnknownAccountException.class.getName().equals(className)){
            message = "用戶名或密碼錯誤";
        }else{
            message = "系統出現點問題,請稍后再試!";
            e.printStackTrace(); // 輸出到控制臺
        }
        request.setAttribute("message",message);
        return true;
    }

}

當我們輸入完用戶密碼后需要進入一個 shiroFilter 安全認證過濾器,這里為什么需要重寫了呢,其實本質是shiro已經給我們提供了相應的 FormAuthenticationFilter 類,可以在其中根據用戶輸入的信息創建 token 來供以后流程的認證,但是如果我們還想加入一些其他的東西來一起創建這個 token,比如說我們通過用戶名、密碼、驗證碼、是否記住我、是否是手機端登錄等等信息來一起組成一個token的時候,這個時候我們就可以重寫 FormAuthenticationFilter 中的一些方法來實現了。

WebUtils.getCleanParam(request, captchaParam) 是 shiro 給我們提供的封裝,其實就是 request.getParameter(paramName) 的一個封裝罷了,我們可以通過它來獲取前臺輸入的參數。

重寫UsernamePasswordToken類
public class UsernamePasswordToken extends org.apache.shiro.authc.UsernamePasswordToken{
    
    private static final long serialVersionUID = 1L;
    
    private String captcha;
    
    public UsernamePasswordToken(String username,String password){
        super(username,password);
    }

    public UsernamePasswordToken() {
        super();
    }
    
    public UsernamePasswordToken(String username,String password,String captcha){
        super(username,password);
        this.captcha = captcha;
    }

    public String getCaptcha() {
        return captcha;
    }

    public void setCaptcha(String captcha) {
        this.captcha = captcha;
    }
    
}

通過重寫UsernamePasswordToken,目的是來根據開發者想創建token的參數來構造出一個新的UsernamePasswordToken以供使用。我這里為了簡化只寫了用戶名密碼參數。

此時此刻我們就有了token,下面開始我們的認證啦~

通過自定義的 Realm 來認證授權
@Service
public class SystemAuthorizingRealm extends AuthorizingRealm{
    
    @Autowired
    private SystemService systemService;
    /**
     * 登錄認證
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
        // TODO Auto-generated method stub
        System.out.println("-------------進入登錄認證方法-------------");
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        String username = token.getUsername();
        User user = systemService.getUserByName(username);
        System.out.println("-------1----getName()--------:"+getName());
        if(user != null){
            System.out.println("-------2----getName()--------:"+getName());
            System.out.println("-------------登錄認證結束--返回SimpleAuthenticationInfo-------------");
            return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
        }else{
            System.out.println("------------登錄認證結束--返回null------------");
            return null;
        }
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // TODO Auto-generated method stub
        System.out.println("-------------進入授權認證方法-------------");
//        Principal principal = (Principal) getAvailablePrincipal(principals);
        String name = (String) principals.getPrimaryPrincipal();
//        User user = systemService.getUserByName(principal.getName());
        User user = systemService.getUserByName(name);
        if(user != null){
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            List Roles = systemService.getRoleByUserId(user.getId());
            for(Role r:Roles){
                System.out.println("role---> "+r.getRole());
                info.addRole(r.getRole());
                List Perms = systemService.getPermByRoleId(r.getId());
                if(Perms != null && Perms.size() >0 ){
                    for(Perm p:Perms){
                        System.out.println("perm---> "+p.getPermission());
                        info.addStringPermission(p.getPermission());
                    }
                }
            }
            System.out.println("-----------授權認證結束--返回info------------");
            return info;
        }else{
            System.out.println("-----------授權認證結束--返回null------------");
            return null;
        }
    }
}

在 realm 中我們需要繼承 AuthorizingRealm,并重寫兩個方法:

doGetAuthenticationInfo 方法:用戶身份認證方法,根據參數返回
SimpleAuthenticationInfo,如果登錄成功則跳轉到xml配置文件中的 successUrl 地址,如果登錄失敗則跳轉到 loginUrl 地址;

doGetAuthorizationInfo 方法:身份權限認證,利用了 SimpleAuthorizationInfo,把角色和權限都給予 SimpleAuthorizationInfo 來進行授權;在是 shiro 中如果訪問了無權訪問的地址,則會跳轉到 xml 配置文件中
unauthorizedUrl 對應的地址。

到這里基本上shiro就完畢了,當我們登錄時候的順序:

上圖為登錄成功的流程

上圖為登錄失敗的流程

這時候 shiro 已經記住了用戶的信息,當再請求路徑的時候就不會繼續驗證了,在此輸入請求攔連接的時候就會直接去找對應的 action 而不會再進入安全過濾器,所有我們想在此登錄需要退出當前用戶才行。如下代碼可以退出當前用戶,這樣我們再請求登錄的時候就會繼續安全認證了。

SecurityUtils.getSubject().logout();

當我們登錄成功后,我們用是sys角色但是沒有 perms[cms:view] 權限 的用戶訪問 a/sys 是可以請求成功,但是訪問 a/cms 是會跳轉到 shiro 的 xml 配置文件的unauthorizedUrl 對應的地址,表示權限不足不可訪問。

上圖為授權成功,用戶有該請求權限,跳轉到對應 action 中

上圖為授權失敗,跳轉到 unauthorized.jsp 頁面,提示無權訪問

以后會有新的內容會加已補充,比如shiro的標簽和shiro和ehcache的整合等等。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/70053.html

相關文章

  • Shiro權限管理(一)——介紹

    摘要:大家好,今天給大家分享一個權限管理的框架的,說實話本來我是準備看的,畢竟是家族的框架,和整合更加容易一些。官方給出的介紹是是一個強大且易用的安全框架執行身份驗證授權密碼學和會話管理。由此可知,的主要功能是認證授權加密密和會話管理。 showImg(https://segmentfault.com/img/bV1BsT?w=1726&h=256); 大家好,今天給大家分享一個權限管理的框...

    liuhh 評論0 收藏0
  • Shiro權限管理(一)——介紹

    摘要:大家好,今天給大家分享一個權限管理的框架的,說實話本來我是準備看的,畢竟是家族的框架,和整合更加容易一些。官方給出的介紹是是一個強大且易用的安全框架執行身份驗證授權密碼學和會話管理。由此可知,的主要功能是認證授權加密密和會話管理。 showImg(https://segmentfault.com/img/bV1BsT?w=1726&h=256); 大家好,今天給大家分享一個權限管理的框...

    王偉廷 評論0 收藏0
  • 【Java EE】從零開始寫項目【總結】

    摘要:目前該功能并未完善,敬請期待。反正每次都會有新的東西補充上去一開始我本來想做的是可以使用微信登陸,也可以使用賬戶郵箱登陸,也可以使用短信登陸的。后來發現微信登陸要企業認證,做不了。 從零開發項目概述 最近這一直在復習數據結構和算法,也就是前面發出去的排序算法八大基礎排序總結,Java實現單向鏈表,棧和隊列就是這么簡單,十道簡單算法題等等... 被虐得不要不要的,即使是非常簡單有時候繞半...

    imtianx 評論0 收藏0
  • Spring Security

    摘要:框架具有輕便,開源的優點,所以本譯見構建用戶管理微服務五使用令牌和來實現身份驗證往期譯見系列文章在賬號分享中持續連載,敬請查看在往期譯見系列的文章中,我們已經建立了業務邏輯數據訪問層和前端控制器但是忽略了對身份進行驗證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護REST API 重拾后端之Spring Boot(一):REST API的搭建...

    keelii 評論0 收藏0
  • Shiro統一認證授權

    摘要:的統一認證授權是下面的一個簡單,易用的權限框架,對于單體應用來講,完全能夠極好的,快速的滿足權限的需求,所以一般在做項目的時候,都會成為開發者的首選。 Shiro的統一認證授權 Shiro是Apache下面的一個簡單,易用的Java權限框架,對于單體應用來講,Shiro完全能夠極好的,快速的滿足權限的需求,所以一般在做項目的時候,Shiro都會成為開發者的首選。 可是,如果你需要做第二...

    cocopeak 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<