ITPub博客

web开发安全框架中的Apache Shiro的应用

数据分析 作者:本宫没空6 时间:2018-11-09 09:39:24 0 删除 编辑

web 开发安全框架中的Apache Shiro的应用

前阶段就 hadoop 的分享了一些内容,希望对新手入门的朋友有点帮助吧!对于 hadoop 新手入门的,还是比较推荐大快搜索的 DKHadoop 发行版,三节点标准版还是值得拥有的(三节点的标准版是可以免费下载的,与付费版的目前功能一样,只是节点数量不同,对于新手而言三节点的够用了)。正在学习 hadoop 可以下载一下研究学习之用,也可以留言向我索要!

今天准备分享一下 Apache Shiro web 开发中的应用。 shiro 安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证、授权、加密和会话管理等功能

shiro 能做什么?

认证 :验证用户的身份

授权 :对用户执行访问控制:判断用户是否被允许做某事

会话管理 :在任何环境下使用 Session API ,即使没有 Web EJB 容器。

加密 :以更简洁易用的方式使用加密功能,保护或隐藏数据防止被偷窥

Realms :聚集一个或多个用户安全数据的数据源

单点登录 SSO )功能。

为没有关联到登录的用户启用 "Remember Me“ 服务

Shiro 的四大核心部分

Authentication( 身份验证 ) :简称为 登录 ,即证明用户是谁。

Authorization( 授权 ) :访问控制的过程,即决定是否有权限去访问受保护的资源。

Session Management( 会话管理 ) :管理用户特定的会话,即使在非 Web EJB 应用程序。

Cryptography( 加密 ) :通过使用加密算法保持数据安全

shiro 的三个核心组件:

Subject   :正与系统进行交互的人,或某一个第三方服务。所有 Subject 实例都被绑定到(且这是必须的)一个 SecurityManager 上。

SecurityManager Shiro 架构的心脏,用来协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务。当 Shiro 与一个 Subject 进行交互时,实质上是幕后的 SecurityManager 处理所有繁重的 Subject 安全操作。

Realms   :本质上是一个特定安全的 DAO 。当配置 Shiro 时,必须指定至少一个 Realm 用来进行身份验证和 / 或授权。 Shiro 提供了多种可用的 Realms 来获取安全相关的数据。如关系数据库 (JDBC) INI 及属性文件等。可以定义自己 Realm 实现来代表自定义的数据源。

shiro 整合 SSM 框架:

1. 加入 jar

                                                                  2. 配置 web.xml 文件

web.xml 中加入以下代码 —shiro 过滤器。

< filter >

< filter-name > shiroFilter </ filter-name >

< filter-class >

org.springframework.web.filter.DelegatingFilterProxy

</ filter-class >

     < init-param >

         < param-name > targetFilterLifecycle </ param-name >

         < param-value > true </ param-value >

      </ init-param >

</ filter >

< filter-mapping >

      < filter-name > shiroFilter </ filter-name >

      < url-pattern > /* </ url-pattern >

</ filter-mapping >

 

 

3. Spring 的配置文件中配置 Shiro

Springmvc 配置文件中:

Spring 配置文件中导入 shiro 配置文件:

<!-- 包含 shiro 的配置文件 -->

           < import resource ="classpath:applicationContext-shiro.xml"/> 新建 applicationContext-shiro.xml

到这一步,配置文件都基本准备好了,接下来要写 Realm 方法了,新建 shiro 包,在包下新建 MyRealm.java 文件继承 AuthorizingRealm

以上配置已经完成,接下来通过 action 进行验证

// 登录认证

    @RequestMapping("/shiro-login")

     public  String login(@RequestParam("username") String username,

            @RequestParam("password") String password){

        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new  UsernamePasswordToken(username, password);        

         try  {

             // 执行认证操作 .

            subject.login(token);

        } catch  (AuthenticationException ae) {

            System.out.println(" 登陆失败 : " + ae.getMessage());

             return  "/index";

        }

         return  "/shiro-success";

    }

// 提示:记得在注册中密码存入数据库前也记得加密哦,提供一个 utils 方法

// 进行 shiro 加密,返回加密后的结果

public   static  String md5(String pass){

String saltSource = "blog";    

String hashAlgorithmName = "MD5";

Object salt = new  Md5Hash(saltSource);

int  hashIterations = 1024;    

Object result = new  SimpleHash(hashAlgorithmName, pass, salt, hashIterations);

String password = result.toString();

return  password;

}

shiro 登录验证到这里完了, shiro 主要是进行登陆认证,权限以及菜单模块的设置。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31555245/viewspace-2219322/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2018-09-18

  • 博文量
    54
  • 访问量
    18015