-
Shiro-全面详解(学习总结---从入门到深化)
目录
Shiro介绍_Shiro简介
Shiro是apache旗下的一个开源安全框架,它可以帮助我们完成身 份认证,授权、加密、会话管理等功能。它有如下特点:
1、易于理解的API 简单的身份认证,支持多种数据源
2、简单的授权和鉴权
3、简单的加密API
4、支持缓存,以提升应用程序的性能
5、内置会话管理,适用于Web以及非Web的环境
6、不跟任何的框架或者容器捆绑,可以独立运行
认证
认证即系统判断用户的身份是否合法,合法可继续访问,不合法则 拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码 登录、手机短信登录、脸部识别认证、指纹认证等方式。 认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。
授权
授权即认证通过后,根据用户的权限来控制用户访问资源的过程, 拥有资源的访问权限则正常访问,没有权限则拒绝访问。 比如在一 些视频网站中,普通用户登录后只有观看免费视频的权限,而VIP用户登录后,网站会给该用户提供观看VIP视频的权限。 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐 私数据进行划分,控制不同的用户能够访问不同的资源。 举个例子:认证是公司大门识别你作为员工能进入公司,而授权则是由于你作为公司会计可以进入财务室,查看账目,处理财务数据。
Shiro介绍_Shiro核心功能
Authentication:身份认证/登录。
Authorization:权限验证,即判断用户是否能在系统中做某件 事情。
Session Management:会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。
Cryptography:加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。 Web Support:Web 支持,可以非常容易的集成到Web环境。
Caching:缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。
Concurrency:Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。
Testing:提供测试支持。
Run As:允许一个用户假装为另一个用户的身份进行访问。
Remember Me:记住我,即一次登录后,下次再来就不用登 录了。
Shiro介绍_Shiro核心组件
1、Subject
主体。 Subject 在Shiro中是一个接口,接口中定义了认证授权的相关 方法。程序通过调用 Subject 的方法进行认证授权,而 Subject 使用 SecurityManager 进行认证授权。
2、SecurityManager
权限管理器,它是Shiro的核心。通过 SecurityManager 可以完成具体的 认证、授权等操作, SecurityManager 是通过 Authenticator 进行认证,通过 Authorizer 进行授权,通过 SessionManager 进行会话管理。 SecurityManager 是 一个接口,继承了 Authenticator , Authorizer , SessionManager 三个接口。
2、Authenticator
认证器。对用户登录时进行身份认证
3、Authorizer
授权器。用户认证通过后,在访问功能时需要通过授权器判断用户 是否有此功能的操作权限。
4、SessionManager
会话管理。shiro框架定义了一套会话管理,它不依赖web容器的 session,所以shiro可以使用在非web应用上。
5、Realm
领域。他是连接数据源+认证功能+授权功能的具体实现。 SecurityManager 通过 Realm 获取用户的身份和权限信息,并对用户进行认证和授权。
6、SessionDAO
会话dao,是对会话进行操作的一套接口。它可以将session数据存 储到数据库或缓存服务器中。
7、CacheManager
缓存管理,将用户权限数据存储在缓存中,这样可以减少权限查询 次数,提高性能。
8、Cryptography
密码管理,Shiro提供了一套加密/解密的组件,方便开发。
Shiro入门_项目搭建
1、准备名为myshiro的mysql数据库
2、创建SpringBoot项目,加入相关依赖
- <dependencies>
- <dependency>
- <groupId>org.springframework.bootgroupId>
- <artifactId>spring-boot-starter-webartifactId>
- dependency>
- <dependency>
- <groupId>org.springframework.bootgroupId>
- <artifactId>spring-boot-starter-thymeleafartifactId>
- dependency>
- <dependency>
- <groupId>mysqlgroupId>
- <artifactId>mysql-connector-javaartifactId>
- <scope>runtimescope>
- dependency>
- <dependency>
- <groupId>com.baomidougroupId>
- <artifactId>mybatis-plus-boot-starterartifactId>
- <version>3.5.0version>
- dependency>
- <dependency>
- <groupId>org.apache.shirogroupId>
- <artifactId>shiro-springartifactId>
- <version>1.9.0version>
- dependency>
- <dependency>
- <groupId>org.projectlombokgroupId>
- <artifactId>lombokartifactId>
- <optional>trueoptional>
- dependency>
- <dependency>
- <groupId>org.springframework.bootgroupId>
- <artifactId>spring-boot-starter-testartifactId>
- <scope>testscope>
- dependency>
- <dependency>
- <groupId>org.springframework.bootgroupId>
- <artifactId>spring-boot-starter-jdbcartifactId>
- dependency>
- dependencies>
3、编写配置文件 application.yml
- server:
- port: 80
- #日志格式
- logging:
- pattern:
- console: '%d{HH:mm:ss.SSS} %clr(%-5level) --- [%-15thread]
- %cyan(%-50logger{50}):%msg%n'
- # 数据源
- spring:
- datasource:
- driver-class-name: com.mysql.cj.jdbc.Driver
- url: jdbc:mysql:///myshiro?serverTimezone=UTC
- username: root
- password01: root
4、将前端资源复制到项目中
5、编写页面跳转控制器
- @Controller
- public class PageController {
- @RequestMapping("/{page}")
- public String showPage(@PathVariable String page) {
- return page;
- }
- // 忽略favicon.ico的获取
- @GetMapping("favicon.ico")
- @ResponseBody
- public void noFavicon() {}
- }
6、启动项目,访问登录页http://localhost/login
Shiro入门_配置文件认证
Shrio支持多种数据源,我们首先将用户名密码写入配置文件,让 Shiro读取配置文件进行认证。
1、在 resources 目录下编写配置文件 shiro.ini
- #声明用户账号
- [users]
- baizhan=123
2、编写登录控制器方法
- @Controller
- public class LoginController {
- @RequestMapping("/user/login")
- public String login(String username,String password){
- // 1.获取SecurityManager工厂,读取配置文件
- IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
- // 2.获取SecurityManager对象
- SecurityManager securityManager = factory.getInstance();
- // 3.将SecurityManager对象设置到运行环境中
- SecurityUtils.setSecurityManager(securityManager);
- // 4.获取Subject对象
- Subject subject = SecurityUtils.getSubject();
- // 5.将前端传来的用户名密码封装为Shiro提供的身份对象
- UsernamePasswordToken token = new UsernamePasswordToken(username, password);
- try {
- // 6.shiro认证
- subject.login(token);
- // 7.认证通过跳转到主页面
- return "main";
- }catch (AuthenticationException e)
- {
- // 8.认证不通过跳转到失败页面
- return "fail";
- }
- }
- }
3、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro入门_数据库认证
之前我们使用配置文件做数据源,在真实开发中,我们往往会使用 数据库作为数据源进行认证操作。 Realm 负责连接数据源并进行具体 认证,它有一个子类 JdbcRealm ,该类可以自动连接数据库认证。
1、创建数据表
- CREATE TABLE `users` (
- `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
- NULL,
- `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
- NULL
- ) ENGINE = InnoDB CHARACTER SET = utf8
- COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
- INSERT INTO `users` VALUES ('bizhn', 'bizhn');
2、编写登录控制器方法
- @RequestMapping("/user/login2")
- public String login2(String username,String password){
- // 1.获取SecurityManager对象
- DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
- // 2.为SecurityManager对象设置Realm
- JdbcRealm jdbcRealm = new JdbcRealm();
- jdbcRealm.setDataSource(dataSource);
- securityManager.setRealm(jdbcRealm);
- // 3.将SecurityManager对象设置到运行环境中
- SecurityUtils.setSecurityManager(securityManager);
- // 4.获取Subject对象
- Subject subject = SecurityUtils.getSubject();
- // 5.将前端传来的用户名密码封装为Shiro提供的身份对象
- UsernamePasswordToken token = new UsernamePasswordToken(username, password);
- try {
- // 6.shiro认证
- subject.login(token);
- // 7.认证通过跳转到主页面
- return "main";
- }catch (AuthenticationException e){
- // 8.认证不通过跳转到失败页面
- return "fail";
- }
- }
3、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_将Shiro对象交给容器管理
之前的案例中,所有关于Shiro的对象都是自己创建的。我们在 SpringBoot中使用Shiro,就可以将Shiro的对象交给容器管理,简 化业务代码。
1、创建Shiro配置类
- @Configuration
- public class ShiroConfig {
- // SecurityManager对象
- @Bean
- public DefaultWebSecurityManager getDefaultWebSecurityManager(JdbcRealm jdbcRealm){
- DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();
- defaultSecurityManager.setRealm(jdbcRealm);
- return defaultSecurityManager;
- }
- // JdbcRealm
- @Bean
- public JdbcRealm getJdbcRealm(DataSource dataSource) {
- JdbcRealm jdbcRealm = new JdbcRealm();
- jdbcRealm.setDataSource(dataSource);
- return jdbcRealm;
- }
- }
2、创建 UserService.java
- @Service
- public class UsersService {
- @Autowired
- private DefaultWebSecurityManager securityManager;
- public void userLogin(String username,String password) throws AuthenticationException {
- // 1.将SecurityManager对象设置到运行环境中
- SecurityUtils.setSecurityManager(securityManager);
- // 2.获取Subject对象
- Subject subject = SecurityUtils.getSubject();
- // 3.将前端传来的用户名密码封装为Shiro提供的身份对象
- UsernamePasswordToken token = new UsernamePasswordToken(username, password);
- // 4.Shiro认证
- subject.login(token);
- }
- }
3、编写登录控制器方法
- @RequestMapping("/user/login2")
- public String login2(String
- username,String password){
- try {
- usersService.userLogin(username,password);
- return "main";
- }catch (AuthenticationException e){
- return "fail";
- }
- }
4、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_自定义Realm
使用 JdbcRealm 认证时,数据库表名、字段名、认证逻辑都不能改变, 我们可以自定义Realm进行更灵活的认证。
1、准备数据表
- CREATE TABLE `users` (
- `uid` int(11) NOT NULL AUTO_INCREMENT,
- `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
- `password` varchar(255) CHARACTER SET
- utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
- PRIMARY KEY (`uid`) USING BTREE
- ) ENGINE = InnoDB CHARACTER SET = utf8
- COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
- INSERT INTO `users` VALUES (1, 'bizan','123');
2、编写实体类
- @Data
- public class Users {
- private Integer uid;
- private String username;
- private String password;
- }
3、编写mapper接口
public interface UsersMapper extends BaseMapper{ } 4、在启动类加载mapper接口
- @SpringBootApplication
- @MapperScan("com.itbaizhan.myshiro1.mapper")
- public class Myshiro1Application {
- public static void main(String[] args)
- {
- SpringApplication.run(Myshiro1Application.class, args);
- }
- }
5、编写自定义Realm类
- public class MyRealm extends
- AuthorizingRealm {
- @Autowired
- private UserInfoMapper userInfoMapper;
- // 自定义认证方法
- @Override
- protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
- // 1.获取用户输入的用户名
- UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
- String username = token.getUsername();
- // 2.根据用户名查询用户
- QueryWrapper
wrapper = new QueryWrapper ().eq("username",username); - Users users = usersMapper.selectOne(wrapper);
- // 3.将查询到的用户封装为认证信息
- if (users == null) {
- throw new UnknownAccountException("账户不存在");
- }
- /**
- * 参数1:用户
- * 参数2:密码
- * 参数3:Realm名
- */
- return new SimpleAuthenticationInfo(users,users.getPassword(),"myRealm");
- }
- // 自定义授权方法
- @Override
- protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
- return null;
- }
- }
6、将自定义Realm放入SecurityManager对象中
- @Configuration
- public class ShiroConfig {
- // 自定义Realm
- @Bean
- public MyRealm myRealm(){
- return new MyRealm();
- }
- // SecurityManager对象
- @Bean
- public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
- DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();
- // 自定义Realm放入SecurityManager中
- defaultSecurityManager.setRealm(myRealm);
- return defaultSecurityManager;
- }
- }
7、无需修改Service和Controller
8、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_多Realm认证
在实际开发中,我们的认证逻辑可能不止一种,例如:
1、系统支持用户名密码认证,也支持扫描二维码认证;
2、在系统中有管理员和普通用户两张表,管理员和普通用户的认证逻辑是不一样的;
3、用户数据量庞大,分别存在不同的数据库中,认证时需要连接多个数据源。
以上情况都需要配置多个Realm进行认证,我们以第二种情况举 例,讲解Shiro中多Realm认证的写法:
1、在数据库创建admin表
- CREATE TABLE `admin` (
- `id` int(11) NOT NULL,
- `name` varchar(255) CHARACTER SET utf8
- COLLATE utf8_general_ci NULL DEFAULT NULL,
- `password` varchar(255) CHARACTER SET
- utf8 COLLATE utf8_general_ci NULL DEFAULT
- NULL,
- PRIMARY KEY (`id`) USING BTREE
- ) ENGINE = InnoDB CHARACTER SET = utf8
- COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
- INSERT INTO `admin` VALUES (1, 'bizan','123');
- INSERT INTO `admin` VALUES (2, 'xtzb','456');
2、创建Admin实体类和AdminMapper接口
- @Data
- public class Admin {
- private Integer id;
- private String name;
- private String password;
- }
- public interface AdminMapper extends BaseMapper
{}
3、MyRealm 认证User用户, MyRealm2 认证Admin用户
- public class MyRealm2 extends AuthorizingRealm {
- @Autowired
- private AdminMapper adminMapper;
- // 自定义认证方法
- @Override
- protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
- // 1.获取输入的管理员名
- UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
- String username = token.getUsername();
- // 2.根据管理员名查询管理员
- QueryWrapper
wrapper = new QueryWrapper ().eq("name",username); - Admin admin =adminMapper.selectOne(wrapper);
- // 3.将查询到的管理员封装为认证信息
- if (admin == null) {
- throw new UnknownAccountException("账户不存在");
- }
- /**
- * 参数1:管理员
- * 参数2:密码
- * 参数3:Realm名
- */
- return new SimpleAuthenticationInfo(admin,
- admin.getPassword(),
- "myRealm2");
- }
- // 自定义授权方法
- @Override
- protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
- return null;
- }
- }
4、在SecurityManager中配置Realm
- // Realm
- @Bean
- public MyRealm getMyRealm() {
- return new MyRealm();
- }
- @Bean
- public MyRealm2 getMyRealm2() {
- return new MyRealm2();
- }
- // SecurityManager对象
- @Bean
- public DefaultWebSecurityManager
- getDefaultWebSecurityManager(MyRealm realm, MyRealm2 realm2){
- DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
- // Realm放入SecurityManager中
- List
realms = new ArrayList(); - realms.add(realm);
- realms.add(realm2);
- defaultSecurityManager.setRealms(realms);
- return defaultSecurityManager;
- }
5、使用 bizan:123 和 xtzb:456 测试认证效果
Shiro认证_多Realm认证策略
如果有多个Realm,怎样才能认证成功,这就是认证策略。认证策 略主要使用的是 AuthenticationStrategy 接口,这个接口有三个实现类:
- // Realm管理者
- @Bean
- public ModularRealmAuthenticator modularRealmAuthenticator(){
- ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator();
- //设置认证策略
- modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
- return modularRealmAuthenticator;
- }
- // SecurityManager对象
- @Bean
- public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm realm,MyRealm2 realm2){
- DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
- // 设置Realm管理者(需要在设置Realm之前)
- defaultSecurityManager.setAuthenticator(modularRealmAuthenticator());
- List
realms = new ArrayList(); - realms.add(realm);
- realms.add(realm2);
- defaultSecurityManager.setRealms(realms);
- return defaultSecurityManager;
- }
在 ModularRealmAuthenticator 中的 doMultiRealmAuthentication 方法中添加断点可以 查看认证通过信息。
Shiro认证_异常处理
当Shiro认证失败后,会抛出 AuthorizationException 异常。该异常的子类分 别代表不同的认证失败原因,我们可以通过捕捉它们确定认证失败原因。
1、DisabledAccountException:账户失效
2、ConcurrentAccessException:竞争次数过多
3、ExcessiveAttemptsException:尝试次数过多
4、UnknownAccountException:用户名不正确
5、IncorrectCredentialsException:凭证(密码)不正确
6、ExpiredCredentialsException:凭证过期
我们一般在Controller中处理认证异常:
- @RequestMapping("/user/login2")
- public String login(String username, String password) {
- try {
- usersService.userLogin(username, password);
- return "main";
- } catch (DisabledAccountException e) {
- System.out.println("账户失效");
- return "fail";
- } catch (ConcurrentAccessException e) {
- System.out.println("竞争次数过多");
- return "fail";
- } catch (ExcessiveAttemptsException e) {
- System.out.println("尝试次数过多");
- return "fail";
- } catch (UnknownAccountException e) {
- System.out.println("用户名不正确");
- return "fail";
- } catch (IncorrectCredentialsException e) {
- System.out.println("密码不正确");
- return "fail";
- } catch (ExpiredCredentialsException e)
- {
- System.out.println("凭证过期");
- return "fail";
- }
- }
注: 如果将异常信息提示给用户,尽量把异常信息表示的婉转一 些。比如不管用户名还是密码错误,都提示用户名或密码错误,这样有助于提升代码的安全性。
Shiro认证_散列算法
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,适 合于对密码进行加密。比如密码 admin ,产生的散列值是 21232f297a57a5a743894a0e4a801fc3 ,但在md5解密网站很容易的通过散列值 得到密码 admin 。所以在加密时我们可以加一些只有系统知道的干扰 数据,这些干扰数据称之为“盐”,并且可以进行多次加密,这样生 成的散列值相对来说更难破解。
Shiro支持的散列算法:
Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、 Sha384Hash、Sha512Hash
- @SpringBootTest
- public class Md5Test {
- @Test
- public void testMd5() {
- //使用MD5加密
- Md5Hash result1 = new Md5Hash("123");
- System.out.println("md5加密后的结果:" + result1);
- //加盐后加密,加密5次
- Md5Hash result2 = new Md5Hash("123","sxt",5);
- System.out.println("md5加盐加密后的结果:" + result2);
- }
- }
接下来我们在项目中对密码进行加密:
1、修改数据库和实体类,添加盐字段,并修改数据库用户密码为加盐加密后的数据。
- @Data
- public class Users{
- private Integer uid;
- private String username;
- private String password;
- private String salt;
- }
2、修改自定义Realm
- @Component
- public class MyRealm extends AuthorizingRealm {
- @Autowired
- private UserInfoMapper userInfoMapper;
- // 自定义认证方法
- @Override
- protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
- // 1.获取用户输入的用户名
- UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
- String username = token.getUsername();
- // 2.根据用户名查询用户
- QueryWrapper
wrapper = new QueryWrapper ().eq("username",username); - Users users = usersMapper.selectOne(wrapper);
- // 3.将查询到的用户封装为认证信息
- if (users == null) {
- throw new UnknownAccountException("账户不存在");
- }
- /**
- * 参数1:用户
- * 参数2:密码
- * 参数3:盐
- * 参数4:Realm名
- */
- return new SimpleAuthenticationInfo(users,
- users.getPassword(),
- ByteSource.Util.bytes(users.getSalt()),
- "myRealm");
- }
- // 自定义授权方法
- @Override
- protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
- return null;
- }
- }
3、在注册自定义Realm时添加加密算法
- // 配置加密算法
- @Bean
- public HashedCredentialsMatcher hashedCredentialsMatcher(){
- HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
- //加密算法
- hashedCredentialsMatcher.setHashAlgorithmName("md5");
- //加密的次数
- hashedCredentialsMatcher.setHashIterations(5);
- return hashedCredentialsMatcher;
- }
- // Realm
- @Bean
- public MyRealm getMyRealm(HashedCredentialsMatcher hashedCredentialsMatcher) {
- MyRealm myRealm = new MyRealm();
- // 设置加密算法
- myRealm.setCredentialsMatcher(hashedCredentialsMatcher);
- return myRealm;
- }
4、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_过滤器
在以上案例中,虽然有认证功能,但即使没有登录也可以访问系统 资源。如果要配置认证后才能访问资源,就需要使用过滤器拦截请 求。Shiro内置了很多过滤器:
过滤器工厂配置过滤器链:
- // 配置过滤器
- @Bean
- public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
- // 1.创建过滤器工厂
- ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
- // 2.过滤器工厂设置SecurityManager
- filterFactory.setSecurityManager(securityManager);
- // 3.设置shiro的拦截规则
- Map
- // 不拦截的资源
- filterMap.put("/login.html","anon");
- filterMap.put("/fail.html","anon");
- filterMap.put("/user/login","anon");
- filterMap.put("/css/**","anon");
- // 其余资源都需要用户认证
- filterMap.put("/**","authc");
- // 4.将拦截规则设置给过滤器工厂
- filterFactory.setFilterChainDefinitionMap(filterMap);
- // 5.登录页面
- filterFactory.setLoginUrl("/login.html");
- return filterFactory;
- }
Shiro认证_获取认证数据
用户认证通过后,有时我们需要获取用户信息,比如在网站顶部显 示:欢迎您,XXX。获取用户信息的写法如下:
- @RequestMapping("/user/getUsername")
- @ResponseBody
- public String getUsername(){
- Subject subject = SecurityUtils.getSubject();
- // 获取认证数据
- Users users = (Users)subject.getPrincipal();
- return users.getUsername();
- }
Shiro认证_Shiro会话
Shiro提供了完整的企业级会话管理功能,不依赖于Web容器,不管 JavaSE还是JavaEE环境都可以使用。
- // 使用Shiro提供的会话对象
- @RequestMapping("/user/session")
- @ResponseBody
- public void session(){
- // 1.获取Subject
- Subject subject = SecurityUtils.getSubject();
- // 2.获取会话
- Session session = subject.getSession();
- // 会话id
- System.out.println("会话id:"+session.getId());
- // 会话的主机地址
- System.out.println("会话的主机地址:"+session.getHost());
- // 设置会话过期时间
- session.setTimeout(1000*10);
- // 获取会话过期时间
- System.out.println("会话过期时间:"+session.getTimeout());
- // 会话开始时间
- System.out.println("会话开始时间:"+session.getStartTimestamp());
- // 会话最后访问时间
- System.out.println("会话最后访问时间:"+session.getLastAccessTime());
- // 会话设置数据
- session.setAttribute("name","百战不败");
- }
- @RequestMapping("/user/getSession")
- @ResponseBody
- public void getSession(){
- Subject subject = SecurityUtils.getSubject();
- Session session = subject.getSession();
- System.out.println(session.getAttribute("name"));
- }
Shiro认证_会话管理器
Shiro中提供了会话管理器,可以对会话对象进行配置和监听,用法如下:
1、创建会话监听器
- @Component
- public class MySessionListener implements SessionListener {
- //会话创建时触发
- @Override
- public void onStart(Session session) {
- System.out.println("会话创建:" + session.getId());
- }
- //会话过期时触发
- @Override
- public void onExpiration(Session session) {
- System.out.println("会话过期:" + session.getId());
- }
- //退出/会话过期时触发
- @Override
- public void onStop(Session session) {
- System.out.println("会话停止:" + session.getId());
- }
- }
2、在会话管理器中配置会话监听器
- // 会话管理器
- @Bean
- public SessionManager
- sessionManager(MySessionListener sessionListener) {
- // 创建会话管理器
- DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
- // 创建会话监听器集合
- List
listeners = new ArrayList(); - listeners.add(sessionListener);
- // 将监听器集合设置到会话管理器中
- sessionManager.setSessionListeners(listeners);
- // 全局会话超时时间(单位毫秒),默认30分钟,设置为5秒
- sessionManager.setGlobalSessionTimeout(5*1000);
- // 是否开启删除无效的session对象,默认为true
- sessionManager.setDeleteInvalidSessions(true);
- // 是否开启定时调度器进行检测过期session,默认为true
- sessionManager.setSessionValidationSchedulerEnabled(true);
- return sessionManager;
- }
3、在SecurityManager中配置会话管理器
- @Bean
- public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2
- myRealm2,SessionManager sessionManager){
- DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
- // 自定义Realm放入SecurityManager中
- // securityManager.setRealm(myRealm);
- // 设置Realm管理者(需要设置在Realm之前)
- securityManager.setAuthenticator(modularRealmAuthenticator());
- List
realms = new ArrayList(); - realms.add(myRealm);
- //realms.add(myRealm2);
- securityManager.setRealms(realms);
- securityManager.setSessionManager(sessionManager);
- return securityManager;
- }
Shiro认证_退出登录
在系统中一般都有退出登录的操作。退出登录后Shiro会销毁会话和 认证数据。在Shrio中,退出登录的写法如下:
1、编写退出登录控制器
- @RequestMapping("/user/logout")
- public String logout(){
- Subject subject = SecurityUtils.getSubject();
- // 退出登录
- subject.logout();
- // 退出后跳转到登录页
- return "redirect:/login";
- }
2、在主页面添加退出登录按钮
- html>
- <html>
- <head>
- <meta charset="UTF-8">
- <title>主页面title>
- head>
- <body>
- <h1>主页面h1>
- <h2><a href="/user/logout">退出登录a>h2>
- body>
- html>
Shiro认证_Remember Me
Remember Me为“记住我”功能,即登录成功后,下次访问系统时无 需重新登录。当使用“记住我”功能登录后,Shiro会在浏览器Cookie 中保存序列化后的认证数据。之后浏览器访问项目时会携带该 Cookie数据,这样不登录也可以完成认证。
当然,为了安全起见,并不是所有资源都可以通过“记住我”访问。 比如在电商系统中,查询商品等操作可以不登录,但是支付时往往 需要重新登录,Shiro支持配置什么资源可以通过“记住我”访问。
实现“记住我”功能的写法如下:
1、序列化所有实体类
- @Data
- public class Users implements Serializable
- {
- private Integer uid;
- private String username;
- private String password;
- private String salt;
- }
2、配置Cookie生成器和记住我管理器
- // Cookie生成器
- @Bean
- public SimpleCookie simpleCookie() {
- SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
- // Cookie有效时间,单位:秒
- simpleCookie.setMaxAge(20);
- return simpleCookie;
- }
- // 记住我管理器
- @Bean
- public CookieRememberMeManager cookieRememberMeManager(SimpleCookie simpleCookie) {
- CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
- // Cookie生成器
- cookieRememberMeManager.setCookie(simpleCookie);
- // Cookie加密的密钥
- cookieRememberMeManager.setCipherKey(Base64.decode("6ZmI6I2j3Y+R1aSn5BOlAA=="));
- return cookieRememberMeManager;
- }
- @Bean
- public DefaultWebSecurityManager securityManager(MyRealm myRealm,
- MyRealm2 myRealm2,SessionManager sessionManager,
- CookieRememberMeManager rememberMeManager){
- DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
- // 自定义Realm放入SecurityManager中
- // securityManager.setRealm(myRealm);
- // 设置Realm管理者(需要设置在Realm之前)
- securityManager.setAuthenticator(modularRealmAuthenticator());
- List
realms = new ArrayList(); - realms.add(myRealm);
- //realms.add(myRealm2);
- securityManager.setRealms(realms);
- securityManager.setSessionManager(sessionManager);
- securityManager.setRememberMeManager(rememberMeManager);
- return securityManager;
- }
3、修改登录表单
- <form class="form" action="/user/login" method="post">
- <input type="text" placeholder="用户名" name="username">
- <input type="password" placeholder="密码" name="password">
- <input type="checkbox" name="rememberMe" value="on">记住我<br>
- <button type="submit" id="loginbutton">登录button>
- form>
4、修改登录控制器
- @RequestMapping("/user/login")
- public String login(String username,String password,String rememberMe) {
- try {
- usersService.userLogin(username,password,rememberMe);
- return "main";
- } catch (DisabledAccountException e) {
- System.out.println("账户失效");
- return "fail";
- } catch (ConcurrentAccessException e){
- System.out.println("竞争次数过多");
- return "fail";
- } catch (ExcessiveAttemptsException e){
- System.out.println("尝试次数过多");
- return "fail";
- } catch (UnknownAccountException e) {
- System.out.println("用户名不正确");
- return "fail";
- } catch (IncorrectCredentialsException e) {
- System.out.println("密码不正确");
- return "fail";
- } catch (ExpiredCredentialsException e) {
- System.out.println("凭证过期");
- return "fail";
- }
- }
5、修改登录Service
- @Service
- public class UsersService {
- @Autowired
- private DefaultWebSecurityManager securityManager;
- public void userLogin(String username,String password,String rememberMe) throws AuthenticationException
- {
- SecurityUtils.setSecurityManager(securityManager);
- Subject subject = SecurityUtils.getSubject();
- UsernamePasswordToken token=new UsernamePasswordToken(username,password);
- if (rememberMe != null){
- // 如果用户选择记住我,则生成记住我Cookie
- token.setRememberMe(true);
- }
- subject.login(token);
- }
- }
6、配置过滤器,配置可以通过“记住我”访问的资源。
- @Bean
- public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
- // 1.创建过滤器工厂
- ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
- // 2.过滤器工厂设置SecurityManager
- filterFactory.setSecurityManager(securityManager);
- // 3.设置shiro的拦截规则
- Map
- // 不拦截的资源
- filterMap.put("/login.html","anon");
- filterMap.put("/fail.html","anon");
- filterMap.put("/user/login","anon");
- filterMap.put("/static/**","anon");
- // 其余资源都需要认证,authc过滤器表示需要认证才能进行访问;
- //user过滤器表示配置记住我或认证都可以访问
- //filterMap.put("/**","authc");
- filterMap.put("/user/pay","authc");
- filterMap.put("/**", "user");
- // 4.将拦截规则设置给过滤器工厂
- filterFactory.setFilterChainDefinitionMap(filterMap);
- // 5.登录页面
- filterFactory.setLoginUrl("/login.html");
- return filterFactory;
- }
7、编写支付控制器
- // 支付
- @RequestMapping("/user/pay")
- @ResponseBody
- public String pay(){
- return "支付功能";
- }
Shiro授权_权限表设计
授权即认证通过后,系统给用户赋予一定的权限,用户只能根据权 限访问系统中的某些资源。所以在数据库中,用户需要和权限关 联。除了用户表和权限表,还需要创建角色表,他们之间的关系如下:
用户角色,角色权限都是多对多关系,即一个用户拥有多个角色, 一个角色拥有多个权限。如:张三拥有总经理和股东的角色,而总 经理拥有查询工资、查询报表的权限;股东拥有查寻股权的权限, 这样张三就拥有了查询工资、查询报表、查询股权的权限。
接下来我们创建除users外的其余表:
- CREATE TABLE `role` (
- `rid` int(11) NOT NULL AUTO_INCREMENT,
- `roleName` varchar(255) CHARACTER SET utf8
- COLLATE utf8_general_ci NULL DEFAULT NULL,
- `roleDesc` varchar(255) CHARACTER SET utf8
- COLLATE utf8_general_ci NULL DEFAULT NULL,
- PRIMARY KEY (`rid`) USING BTREE
- ) ENGINE = InnoDB AUTO_INCREMENT = 4
- CHARACTER SET = utf8 COLLATE =
- utf8_general_ci ROW_FORMAT = Dynamic;
- INSERT INTO `role` VALUES (1,'总经理','管理整个公司');
- INSERT INTO `role` VALUES (2,'股东','参与公司决策');
- INSERT INTO `role` VALUES (3,'财务','管理公司资产');
- CREATE TABLE `permission` (
- `pid` int(11) NOT NULL AUTO_INCREMENT,
- `permissionName` varchar(255) CHARACTER
- SET utf8 COLLATE utf8_general_ci NULL
- DEFAULT NULL,
- `url` varchar(255) CHARACTER SET utf8
- COLLATE utf8_general_ci NULL DEFAULT NULL,
- PRIMARY KEY (`pid`) USING BTREE
- ) ENGINE = InnoDB AUTO_INCREMENT = 4
- CHARACTER SET = utf8 COLLATE =
- utf8_general_ci ROW_FORMAT = Dynamic;
- INSERT INTO `permission` VALUES (1,'查询报表', '/reportform/find');
- INSERT INTO `permission` VALUES (2,'查询工资', '/salary/find');
- INSERT INTO `permission` VALUES (3,'查询税务', '/tax/find');
- CREATE TABLE `users_role` (
- `uid` int(255) NOT NULL,
- `rid` int(11) NOT NULL,
- PRIMARY KEY (`uid`, `rid`) USING BTREE,
- INDEX `rid`(`rid`) USING BTREE,
- CONSTRAINT `users_role_ibfk_1` FOREIGN KEY
- (`uid`) REFERENCES `users` (`uid`) ON DELETE
- RESTRICT ON UPDATE RESTRICT,
- CONSTRAINT `users_role_ibfk_2` FOREIGN KEY
- (`rid`) REFERENCES `role` (`rid`) ON DELETE
- RESTRICT ON UPDATE RESTRICT
- ) ENGINE = InnoDB CHARACTER SET = utf8
- COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
- INSERT INTO `users_role` VALUES (1, 2);
- INSERT INTO `users_role` VALUES (1, 3);
- CREATE TABLE `role_permission` (
- `rid` int(11) NOT NULL,
- `pid` int(11) NOT NULL,
- PRIMARY KEY (`rid`, `pid`) USING BTREE,
- INDEX `pid`(`pid`) USING BTREE,
- CONSTRAINT `role_permission_ibfk_1`
- FOREIGN KEY (`rid`) REFERENCES `role`
- (`rid`) ON DELETE RESTRICT ON UPDATE
- RESTRICT,
- CONSTRAINT `role_permission_ibfk_2`
- FOREIGN KEY (`pid`) REFERENCES `permission`
- (`pid`) ON DELETE RESTRICT ON UPDATE
- RESTRICT ) ENGINE = InnoDB CHARACTER SET = utf8
- COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
- INSERT INTO `role_permission` VALUES (1, 1);
- INSERT INTO `role_permission` VALUES (2, 1);
- INSERT INTO `role_permission` VALUES (1, 2);
- INSERT INTO `role_permission` VALUES (3, 2);
- INSERT INTO `role_permission` VALUES (1, 3);
- INSERT INTO `role_permission` VALUES (2, 3);
Shiro授权_数据库查询权限
在认证后进行授权需要根据用户id查询到用户的权限,写法如下:1、编写用户、角色、权限实体类
- @Data
- public class Users implements Serializable
- {
- private Integer uid;
- private String username;
- private String password;
- private String salt;
- }
- // 角色
- @Data
- public class Role implements Serializable{
- private Integer rid;
- private String roleName;
- private String roleDesc;
- }
- // 权限
- @Data
- public class Permission implements Serializable{
- private Integer pid;
- private String permissionName;
- private String url;
- }
2、修改UsersMapper接口
- // 根据用户id查询权限
- List
findPermissionById(Integer id);
3、在resources目录中编写UsersMapper的映射文件
- "1.0" encoding="UTF-8"?>
- mapper
- PUBLIC "-//mybatis.org//DTD Mapper3.0//EN"
- "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
- <mapper namespace="com.itbaizhan.myshiro1.mapper.UsersMapper">
- <select id="findPermissionById" resultType="com.itbaizhan.myshiro1.domain.Permission">
- SELECT DISTINCT permission.pid,permission.permissionName,permission.url FROM
- users
- LEFT JOIN users_role on users.uid = users_role.uid
- LEFT JOIN role on users_role.rid = role.rid
- LEFT JOIN role_permission on role.rid = role_permission.rid
- LEFT JOIN permission on role_permission.pid = permission.pid
- where users.uid = #{uid}
- select>
- mapper>
4、测试方法
- @SpringBootTest
- public class UserMapperTest {
- @Autowired
- private UsersMapper usersMapper;
- @Test
- public void testFindPermissionById(){
- List
permissions = usersMapper.findPermissionById(1); - permissions.forEach(System.out::println);
- }
- }
Shiro授权_在Realm进行授权
在自定义Realm中可以自定义授权方法:
- // 自定义授权方法
- @Override
- protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
- //1.拿到用户认证信息
- Users users = (Users) principalCollection.getPrimaryPrincipal();
- //2.从数据库中查询权限
- List
permissions = usersMapper.findPermissionById(users.getUid()); - //3.遍历权限对象,将所有权限名交给Shiro管理
- SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
- for (Permission permission : permissions) {
- authorizationInfo.addStringPermission(permission.getUrl());
- }
- return authorizationInfo;
- }
Shiro授权_过滤器配置鉴权
Shiro可以根据用户拥有的权限,控制具体资源的访问,这一过程称 为鉴权。在Shiro中,可以通过过滤器进行鉴权配置:
- // 配置过滤器
- @Bean
- public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
- // 1.创建过滤器工厂
- ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
- // 2.过滤器工厂设置SecurityManager
- filterFactory.setSecurityManager(securityManager);
- // 3.设置shiro的拦截规则
- Map
- // 不拦截的资源
- filterMap.put("/login.html","anon");
- filterMap.put("/fail.html","anon");
- filterMap.put("/user/login","anon");
- filterMap.put("/css/**","anon");
- // 鉴权过滤器,要写在/**之前,否则认证都无法通过
- filterMap.put("/reportform/find","perms[/reportform/find]");
- filterMap.put("/salary/find","perms[/salary/find]");
- filterMap.put("/staff/find","perms[/staff/find]");
- // 其余资源都需要认证,authc过滤器表示需要认证才能进行访问;
- //user过滤器表示配置记住我或认证都可以访问
- //filterMap.put("/**","authc");
- filterMap.put("/user/pay","authc");
- filterMap.put("/**", "user");
- // 4.将拦截规则设置给过滤器工厂
- filterFactory.setFilterChainDefinitionMap(filterMap);
- // 5.登录页面
- filterFactory.setLoginUrl("/login.html");
- return filterFactory;
- }
- // 编写测试控制器
- @RestController
- public class MyController {
- @GetMapping("/reportform/find")
- public String findReportform(){
- return "查询报表";
- }
- @GetMapping("/salary/find")
- public String findSalary(){
- return "查询工资";
- }
- @GetMapping("/staff/find")
- public String findStaff(){
- return "查询员工";
- }
- }
此时如果权限不足会抛出401异常,我们可以自定义权限不足的跳转页面:
1、编写权限不足页面
- html>
- <html lang="en">
- <head>
- <meta charset="UTF-8">
- <title>权限不足title>
- head>
- <body>
- <h1>您的权限不足,请联系管理员!h1>
- body>
- html>
2、配置权限不足的跳转页面
- // 配置过滤器
- @Bean
- public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
- // 1.创建过滤器工厂
- ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
- // 2.过滤器工厂设置SecurityManager
- filterFactory.setSecurityManager(securityManager);
- // 3.设置shiro的拦截规则
- Map
- // 不拦截的资源
- filterMap.put("/login.html","anon");
- filterMap.put("/fail.html","anon");
- filterMap.put("/noPermission.html","anon");
- filterMap.put("/user/login","anon");
- filterMap.put("/css/**","anon");
- // 鉴权过滤器
- filterMap.put("/reportform/find","perms[/reportform/find]");
- filterMap.put("/salary/find","perms[/salary/find]");
- filterMap.put("/staff/find","perms[/staff/find]");
- // 其余资源都需要认证,authc过滤器表示需要认证才能进行访问;
- //user过滤器表示配置记住我或认证都可以访问
- //filterMap.put("/**","authc");
- filterMap.put("/user/pay","authc");
- filterMap.put("/**", "user");
- //4.将拦截规则设置给过滤器工厂
- filterFactory.setFilterChainDefinitionMap(filterMap);
- // 5.登录页面
- filterFactory.setLoginUrl("/login.html");
- // 6.权限不足访问的页面
- filterFactory.setUnauthorizedUrl("/noPermission.html");
- return filterFactory;
- }
Shiro授权_注解配置鉴权
除了过滤器,Shiro也提供了一些鉴权的注解。我们可以使用注解配置鉴权。
@RequiresGuest:不认证即可访问的资源。
@RequiresUser:通过登录方式或“记住我”方式认证后可以访问资源。 @RequiresAuthentication:通过登录方式认证后可以访问资 源。
@RequiresRoles:认证用户拥有特定角色才能访问的资源
@RequiresPermissions:认证用户拥有特定权限才能访问的资源
1、在配置类开启Shiro注解
- // 开启shiro注解的支持
- @Bean
- public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
- AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
- advisor.setSecurityManager(securityManager);
- return advisor;
- }
- // 开启aop注解支持
- @Bean
- public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
- DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
- defaultAAP.setProxyTargetClass(true);
- return defaultAAP;
- }
2、在控制器方法上添加鉴权注解
- @GetMapping("/test/index")
- @RequiresGuest
- public String testIndex() {
- return "访问首页";
- }
- @GetMapping("/test/user")
- @RequiresUser
- public String testUser() {
- return "用户中心";
- }
- @GetMapping("/test/pay")
- @RequiresAuthentication
- public String testPay() {
- return "支付中心";
- }
- @GetMapping("/tax/find")
- @RequiresPermissions("/tax/find")
- public String taxFind() {
- return "查询税务";
- }
- @GetMapping("/address/find")
- @RequiresPermissions("/address/find")
- public String addressFind() {
- return "查询地址";
- }
Shiro授权_Thymeleaf中进行鉴权
Shrio可以在一些视图技术中进行控制显示效果。例如Thymeleaf 中,只有认证用户拥有某些权限才会展示一些菜单。
1、在pom中引入Shiro和Thymeleaf的整合依赖
- <dependency>
- <groupId>com.github.theborakompanionigroupId>
- <artifactId>thymeleaf-extrasshiroartifactId>
- <version>2.0.0version>
- dependency>
2、在配置文件中注册ShiroDialect
- @Bean
- public ShiroDialect shiroDialect(){
- return new ShiroDialect();
- }
3、在Thymeleaf中使用Shiro标签,控制前端的显示内容
- html>
- <html xmlns:th="http://www.thymeleaf.org"
- xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
- <head>
- <meta charset="UTF-8">
- <title>主页面title>
- head>
- <body>
- <h1>主页面h1>
- <ul>
- <li shiro:hasPermission="/reportform/find">
- <a href="/reportform/find">查询报表a>li>
- <li shiro:hasPermission="/salary/find">
- <a href="/salary/find">查询工资a>li>
- <li shiro:hasPermission="/staff/find">
- <a href="/staff/find">查询员工a>li>
- ul>
- <h2><a href="/user/logout">退出登录a>h2>
- body>
- html>
Shiro授权_缓存
在Shiro中,每次拦截请求进行鉴权,都会去数据库查询该用户的权 限信息。因为用户的权限信息在短时间内是不可变的,每次查询出 来的数据其实都是重复数据,此时就会非常浪费资源。所以一般我 们会将权限数据放在缓存中进行管理,这样我们就不用每次请求都 查询数据库,提升了系统性能。
缓存
缓存即存在于内存中的一块数据。数据库的数据是存储在硬盘上 的,而内存的读写效率要远远的高于数据库。但硬盘中保存的数据 是持久化数据,断电后依然存在;而内存中保存的是临时数据,随 时可能清空。所以我们为了提升系统性能,减少程序和数据库的交 互,会将经常查询但不常改变的,改变后对结果影响不大的数据放 入缓存中。
Shiro支持多种缓存产品,在课程中我们使用ehcache缓存用户的权限数据。
ehcache
ehcache是用来管理缓存的一个工具,其缓存的数据可以放在内存 中,也可以放在硬盘上。ehcache的核心是CacheManager,一切 的ehcache的应用都是从CacheManager开始的。
1、引入shiro和ehcache整合包
- <dependency>
- <groupId>org.apache.shirogroupId>
- <artifactId>shiro-ehcacheartifactId>
- <version>1.9.0version>
- dependency>
2、创建配置文件shiro-ehcache.xml
- "1.0" encoding="UTF-8"?>
- <ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:noNamespaceSchemaLocation="http://ehcache.org/ehcache.xsd"
- updateCheck="false">
- <diskStore path="java.io.tmpdir/Tmp_EhCache"/>
- <defaultCache
- maxElementsInMemory="10000"
- timeToIdleSeconds="120"
- timeToLiveSeconds="120"
- diskExpiryThreadIntervalSeconds="120"/>
- <cache name="authorizationCache"
- maxEntriesLocalHeap="2000"
- timeToIdleSeconds="0"
- timeToLiveSeconds="0">
- cache>
- ehcache>
3、在配置文件创建CacheManager
- // 创建CacheManager
- @Bean
- public EhCacheManager ehCacheManager() {
- EhCacheManager ehCacheManager = new EhCacheManager();
- ehCacheManager.setCacheManagerConfigFile( "classpath:shiro-ehcache.xml");
- return ehCacheManager;
- }
4、在SecurityManager中配置CacheManager
- @Bean
- public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2 myRealm2,
- SessionManager sessionManager, CookieRememberMeManager rememberMeManager,
- EhCacheManager ehCacheManager){
- DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
- // 自定义Realm放入SecurityManager中
- // securityManager.setRealm(myRealm);
- // 设置Realm管理者(需要设置在Realm之前)
- securityManager.setAuthenticator(modularRealmAuthenticator());
- List
realms = new ArrayList(); - realms.add(myRealm);
- //realms.add(myRealm2);
- securityManager.setRealms(realms);
- securityManager.setSessionManager(sessionManager);
- securityManager.setRememberMeManager(rememberMeManager);
- securityManager.setCacheManager(ehCacheManager);
- return securityManager;
- }
5、启动项目,测试权限缓存。
-
相关阅读:
如何在宝塔上面新建虚拟主机
渗透测试信息收集方法和工具分享
使用信号量解决并发问题
高频知识汇总 |【计算机网络】面试题汇总(万字长文通俗易懂)
flutter系列之:flutter架构什么的,看完这篇文章就全懂了
★★[leetCode 42] 接雨水 总结
学习虚幻C++开发日志——基础案例(持续更新中)
搭建WAMP网站教程(Windows+Apache+MySQL+PHP)
字符串资源LoadString 加速键资源TranslateAccelerator、LoadAccelerators
NotePad++ 在行前/行后添加特殊字符内容方法
- 原文地址:https://blog.csdn.net/m0_58719994/article/details/128131714