安全框架Shiro怎么配置

這篇文章主要介紹“安全框架Shiro怎么配置”，在日常操作中，相信很多人在安全框架Shiro怎么配置問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”安全框架Shiro怎么配置”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習吧！

Shiro是一個很簡潔的安全框架，類似的Spring Security則要復(fù)雜許多。雖然spring-boot集成的是Spring Security，但我們還是選擇了Shiro。

Shiro官網(wǎng)：http://shiro.apache.org/

原理簡述

安全框架需要處理的事情：

• 訪問受保護頁面必須有權(quán)限。如果沒有登錄，則自動重定向至登錄頁面；如果登錄了，沒有權(quán)限則顯示沒有權(quán)限。

• 登錄的時候需要校驗密碼和用戶狀態(tài)（被鎖定的用戶不能登錄），并獲取用戶的權(quán)限信息，以判斷用戶是否有權(quán)訪問該頁面。

• 在頁面里要能判斷用戶是否具有訪問某一頁面的權(quán)限，以便控制是否顯示該功能。

Shiro使用Servlet Filter過濾器保護受訪的頁面，通過下面介紹的shiroFilterChainDefinitionMap配置需要保護的頁面路徑。

使用AuthorizingRealm獲取用戶密碼及權(quán)限信息，即下面介紹的com.jspxcms.core.security.ShiroDbRealm。

在JSP頁面中使用標簽<shiro:hasPermission name="my:perm:code">判斷是否有訪問Controller中@RequiresPermissions("my:perm:code")標識的方法。

配置及源代碼

配置類com.jspxcms.core.ShiroConfig（7.0及之前版本/src/main/resources/conf/context-shiro.xml）

權(quán)限相關(guān)的類包：com.jspxcms.core.security

加密相關(guān)的公用類包：com.jspxcms.common.security

核心類：

• com.jspxcms.core.security.CmsAuthenticationFilter 登錄邏輯處理類。包括加入驗證碼判斷、記錄登錄日志的邏輯。

• com.jspxcms.core.security.ShiroDbRealm 登錄時查詢用戶名、密碼及獲取用戶權(quán)限信息。

過濾器映射配置

ShiroConfig會讀取過濾器映射配置。

@Bean("shiroFilter")
@DependsOn("propertiesHelper")
public ShiroFilterFactoryBean shiroFilterFactoryBean(BeanFactory beanFactory) throws IOException {
  ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
  ...
  Map<String, String> filterChainDefinitionMap = propertiesHelper()
      .getSortedMap("shiroFilterChainDefinitionMap.");
  factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
  ...
}

過濾器映射配置：/src/main/resources/conf/conf.properties

shiroFilterChainDefinitionMap[100]/login=authc
shiroFilterChainDefinitionMap[200]/logout=logout
shiroFilterChainDefinitionMap[300]/cmscp=backSite,anon
shiroFilterChainDefinitionMap[400]/cmscp/=backSite,anon
shiroFilterChainDefinitionMap[500]/cmscp/index.do=backSite,anon
shiroFilterChainDefinitionMap[600]/cmscp/login.do=backSite,authc
shiroFilterChainDefinitionMap[700]/cmscp/logout.do=backSite,logout
shiroFilterChainDefinitionMap[800]/cmscp/**=backSite,user
shiroFilterChainDefinitionMap[900]/my/**=user
shiroFilterChainDefinitionMap[1000]/**=anon

大致描述如下：

• /my/** /cmscp/** 路徑需要登錄后才能訪問，如未登錄則會重定向至登錄頁面。前者為是前臺會員中心路徑，后者為后臺管理路徑。

• /login /cmscp/login.do 是登錄請求。前者為前臺登錄請求，后者為后臺登錄請求。

• /logout /cmscp/logout.do 是退出登錄請求。

• /** 其他路徑可以隨便訪問。

密碼加密

將用戶密碼直接使用明文保存在數(shù)據(jù)庫中是極其不安全的。要對密碼進行加密后，再保存到數(shù)據(jù)庫，通常的加密方式有md5 sha1 sha256等，md5使用的最為廣泛，但由于安全性較差，已經(jīng)不建議使用。系統(tǒng)中使用sha1作為加密方式。

ShiroConfig中的配置如下：

@Bean("credentialsDigest")
public SHA1CredentialsDigest credentialsDigest() {
  return new SHA1CredentialsDigest();
}

這個加密對象會在com.jspxcms.core.security.ShiroDbRealm中注入：

@Autowired
public void setCredentialsDigest(CredentialsDigest credentialsDigest) {
    this.credentialsDigest = credentialsDigest;
}

到此，關(guān)于“安全框架Shiro怎么配置”的學(xué)習就結(jié)束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習，快去試試吧！若想繼續(xù)學(xué)習更多相關(guān)知識，請繼續(xù)關(guān)注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>