深入浅出学Shiro(一)--登录认证

最新推荐文章于 2022-08-24 04:57:53 发布
最新推荐文章于 2022-08-24 04:57:53 发布
阅读量598 收藏
点赞数

ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:

 

Shiro为解决下列问题,提供了保护应用的API:


  认证 - 用户身份识别,常被称为用户“登录”;

  授权 - 访问控制;

  密码加密 - 保护或隐藏数据防止被偷窥;

  会话管理 - 每用户相关的时间敏感的状态。

 

对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。

 

核心概念:Subject,SecurityManager和Realms



Subject

 

  

     “当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(DaemonAccount)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。

Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。

 

SecurityManager

 

  它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

 

Realms

 

   Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当切实与像用户帐户这类安全相关数据进行交互,执行认证(登录)和授权(访问控制)时,Shiro会从应用配置的Realm中查找很多内容。

  从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。

 

认证流程:



1、应用程序构建了一个终端用户认证信息的AuthenticationToken实例后,调用Subject.login方法。

 

2Sbuject会委托应用程序设置的securityManager实例调用securityManager.login(token)方法。 


3、SecurityManager接受到token(令牌)信息后会委托内置的Authenticator的实例(通常都是ModularRealmAuthenticator类的实例)调用authenticator.authenticate(token).ModularRealmAuthenticator在认证过程中会对设置的一个或多个Realm实例进行适配,它实际上为Shiro提供了一个可拔插的认证机制。


4、如果在应用程序中配置了多个Realm,ModularRealmAuthenticator会根据配置的AuthenticationStrategy(认证策略)来进行多Realm的认证过程。在Realm被调用后,AuthenticationStrategy将对每一个Realm的结果作出响应。 

注:如果应用程序中仅配置了一个Realm,Realm将被直接调用而无需再配置认证策略。 


5、Realm将调用getAuthenticationInfo(token);getAuthenticationInfo方法就是实际认证处理,我们通过覆盖Realm的doGetAuthenticationInfo方法来编写我们自定义的认证处理。 

 

 

下面结合一个实例来理解以上这些概念(结合SpringMVC):

 

Web.xml中添加 Shiro Filter

[html] view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. <context-param>  
  2.     <param-name>contextConfigLocation</param-name>  
  3.     <param-value>classpath:applicationContext.xml,classpath:spring-shiro.xml</param-value>  
  4. </context-param>  
  5. <!-- apache shiro权限 -->  
  6. <!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行-->    
  7. <!-- Shiro Filter -->    
  8. <filter>  
  9.     <filter-name>shiroFilter</filter-name>  
  10.     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  11.     <init-param>  
  12.         <param-name>targetFilterLifecycle</param-name>  
  13.         <param-value>true</param-value>  
  14.     </init-param>  
  15. </filter>  
  16.   
  17. <filter-mapping>  
  18.     <filter-name>shiroFilter</filter-name>  
  19.     <url-pattern>*.do</url-pattern>  
  20. </filter-mapping>  
  21. <filter-mapping>  
  22.     <filter-name>shiroFilter</filter-name>  
  23.     <url-pattern>*.jsp</url-pattern>  
  24. </filter-mapping>  

spring-mvc.xml

[html] view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. <!-- 开启Shiro的注解,实现对Controller的方法级权限检查(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 -->    
  2.     <!-- 配置以下两个bean即可实现此功能, 应该放在spring-mvc.xml中 -->    
  3.     <!-- Enable Shiro Annotations for Spring-configured beans. Only run after the lifecycleBeanProcessor has run -->    
  4.     <bean  
  5.         class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"  
  6.         depends-on="lifecycleBeanPostProcessor" >   
  7.         <property name="proxyTargetClass" value="true" />  
  8.     </bean>  
  9.     <bean  
  10.         class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  
  11.         <property name="securityManager" ref="securityManager" />  
  12.   
  13. </bean>  

spring-shiro.xml

[html] view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <beans xmlns="http://www.springframework.org/schema/beans"  
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:util="http://www.springframework.org/schema/util"  
  4.     xsi:schemaLocation="http://www.springframework.org/schema/beans   
  5.     http://www.springframework.org/schema/beans/spring-beans-3.0.xsd     
  6.     http://www.springframework.org/schema/util   
  7.     http://www.springframework.org/schema/util/spring-util-3.0.xsd">  
  8.     <description>Shiro 配置</description>  
  9.       
  10.     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
  11.         <!--设置自定义realm -->  
  12.         <property name="realm" ref="monitorRealm" />  
  13.     </bean>  
  14.     <!--继承自AuthorizingRealm的自定义Realm,即指定Shiro验证用户的认证和授权 -->   
  15.     <!--自定义Realm 继承自AuthorizingRealm -->  
  16.     <bean id="monitorRealm" class="com.shiro.service.MonitorRealm"></bean>  
  17.       
  18.     <!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 -->   
  19.     <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
  20.         <!-- Shiro的核心安全接口,这个属性是必须的 -->    
  21.         <property name="securityManager" ref="securityManager" />  
  22.         <!-- 要求登录时的链接,非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->    
  23.         <property name="loginUrl" value="/login.jsp" />  
  24.         <!-- 用户访问未对其授权的资源时,所显示的连接 -->  
  25.         <property name="unauthorizedUrl" value="/error/noperms.jsp" />  
  26.         <property name="filterChainDefinitions">  
  27.             <value>  
  28.              <!-- Shiro 过滤链的定义-->     
  29.       <!--   
  30.                     Anon:不指定过滤器   
  31.                     Authc:验证,这些页面必须验证后才能访问,也就是我们说的登录后才能访问。  
  32.                     -->  
  33.                      <!--下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->     
  34.                     <!--anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->     
  35.         <!--authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter-->     
  36.                   
  37.                 /login.jsp* = anon  
  38.                 /login.do* = anon  
  39.                 /index.jsp*= anon  
  40.                 /error/noperms.jsp*= anon  
  41.                 /*.jsp* = authc  
  42.                 /*.do* = authc  
  43.             </value>  
  44.         </property>  
  45.     </bean>  
  46.       
  47.         <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->  
  48.     <bean id="lifecycleBeanPostProcessor"  
  49.         class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />  
  50.           
  51. </beans>  

自定义RealmMonitorRealm

[java] view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. @Service("monitorRealm")  
  2. public class MonitorRealm extends AuthorizingRealm {  
  3.   
  4.     //获取身份验证相关信息   
  5.     @Override  
  6.     protected AuthenticationInfo doGetAuthenticationInfo(  
  7.             AuthenticationToken authcToken) throws AuthenticationException {  
  8.         /* 这里编写登陆认证代码 */  
  9. //      UsernamePasswordToken token = (UsernamePasswordToken) authcToken;  
  10. //      User user = userService.get(token.getUsername());  
  11.         User user = new User();  
  12.         user.setUserName("admin");  
  13.         user.setPassword(EncryptUtils.encryptMD5("admin"));  
  14.           
  15.           
  16.         return new SimpleAuthenticationInfo(user.getUserName(),  
  17.             user.getPassword(), getName());  
  18.           
  19.         /* //令牌——基于用户名和密码的令牌   
  20.         UsernamePasswordToken token = (UsernamePasswordToken) authcToken;   
  21.         //令牌中可以取出用户名密码   
  22.         String accountName = token.getUsername();   
  23.            
  24.       // 此处无需比对,比对的逻辑Shiro会做,我们只需返回一个和令牌相关的正确的验证信息,因此在随后的登录页面上只有admin/admin123才能通过验证   
  25.         return new SimpleAuthenticationInfo("admin","admin123",getName());  */  
  26.     }  


LoginController

[java] view plain copy print ?
  1. @Controller  
  2. @RequestMapping(value = "login")  
  3. public class LoginController {  
  4.     /** 
  5.      * 用户登录 
  6.      *  
  7.      * @param user 
  8.        *            登录用户 
  9.      * @return 
  10.      */  
  11.     @RequestMapping(params = "main")  
  12.     public ModelAndView login(User user,HttpSession session, HttpServletRequest request) {  
  13.   
  14.         ModelAndView modelView = new ModelAndView();  
  15.         /*就是代表当前的用户。*/  
  16.         Subject currentUser = SecurityUtils.getSubject();  
  17.         //获取基于用户名和密码的令牌   
  18.         //这里的token大家叫他令牌,也就相当于一张表格,你要去验证,你就得填个表,里面写好用户名密码,交给公安局的同志给你验证。  
  19.         UsernamePasswordToken token = new UsernamePasswordToken(  
  20.                 user.getUserName(), EncryptUtils.encryptMD5(user.getPassword()));  
  21.         /*UsernamePasswordToken token = new UsernamePasswordToken( 
  22.                 user.getUserName(), user.getPassword());*/  
  23. //      但是,“已记住”和“已认证”是有区别的:   
  24. //      已记住的用户仅仅是非匿名用户,你可以通过subject.getPrincipals()获取用户信息。但是它并非是完全认证通过的用户,当你访问需要认证用户的功能时,你仍然需要重新提交认证信息。   
  25. //      这一区别可以参考亚马逊网站,网站会默认记住登录的用户,再次访问网站时,对于非敏感的页面功能,页面上会显示记住的用户信息,但是当你访问网站账户信息时仍然需要再次进行登录认证。   
  26.         token.setRememberMe(true);   
  27.           
  28.         try {  
  29.             //这句是提交申请,验证能不能通过,也就是交给公安局同志了。这里会回调reaml里的一个方法  
  30.             // 回调doGetAuthenticationInfo,进行认证  
  31.             currentUser.login(token);  
  32.         } catch (AuthenticationException e) {  
  33.             modelView.addObject("message""login errors");  
  34.             modelView.setViewName("/login");  
  35.             e.printStackTrace();  
  36.             return modelView;  
  37.         }  
  38.         //验证是否通过   
  39.         if(currentUser.isAuthenticated()){  
  40.             user.setUserName("张三");  
  41.             session.setAttribute("userinfo", user);  
  42.             modelView.setViewName("/main");  
  43.         }else{  
  44.             modelView.addObject("message""login errors");  
  45.             modelView.setViewName("/login");  
  46.         }  
  47.         return modelView;  
  48.     }  


附:currentUser.login(token);的方法调用,调用到Subjectsubject = securityManager.login(this, token);方法后,则跳转到自定义Realm


[java] view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. public void login(AuthenticationToken token) throws AuthenticationException {  
  2.         clearRunAsIdentitiesInternal();  
  3.         Subject subject = securityManager.login(this, token);  
  4.   
  5.         PrincipalCollection principals;  
  6.   
  7.         String host = null;  
  8.   
  9.         if (subject instanceof DelegatingSubject) {  
  10.             DelegatingSubject delegating = (DelegatingSubject) subject;  
  11.             //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:  
  12.             principals = delegating.principals;  
  13.             host = delegating.host;  
  14.         } else {  
  15.             principals = subject.getPrincipals();  
  16.         }  
  17.   
  18.         if (principals == null || principals.isEmpty()) {  
  19.             String msg = "Principals returned from securityManager.login( token ) returned a null or " +  
  20.                     "empty value.  This value must be non null and populated with one or more elements.";  
  21.             throw new IllegalStateException(msg);  
  22.         }  
  23.         this.principals = principals;  
  24.         this.authenticated = true;  
  25.         if (token instanceof HostAuthenticationToken) {  
  26.             host = ((HostAuthenticationToken) token).getHost();  
  27.         }  
  28.         if (host != null) {  
  29.             this.host = host;  
  30.         }  
  31.         Session session = subject.getSession(false);  
  32.         if (session != null) {  
  33.             this.session = decorate(session);  
  34.         } else {  
  35.             this.session = null;  
  36.         }  
  37.     }  


总结:

      

     以上是一个简单的Shiro的登录认证过程,其实这部分功能也就是帮助我们验证此用户是否能登录本系统,和我们普通的登录完成的是同样的功能,Shiro是帮我们封装了这部分内容,让我们无需将登录的验证均写到程序中,而是使用配置的方式,更加灵活的应对变化,符合我们所说的OCP原则。

gelant
关注
Spring-shiro-Boot-3 AuthenticationToken体系
良之才的专栏
03-11 934
登陆认证时,必须要先构造登陆令牌。 在是shiro中,用AuthenticationToken接口来表达登陆令牌。 这里介绍shiro的AuthenticationToken体系,在实际使用中,很多时候需要继承原有令牌实现私有化功能。 一、shiro身份验证的基本概念: (1)身份验证: 这就不多说了,给shiro传递【身份+证明】,就可以进行验证。 (2)身份 粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。 准确的说,相当于身份。 shiro中把这个封装成了【principals】
Spring Shiro基础组件 AuthenticationToken
我家有猫已长成的博客
02-04 649
Spring Shiro基础组件 AuthenticationToken 简介。
Web安全-使用Shiro认证和访问控制
vrain的博客
05-12 351
在《公司项目重构-Web安全-访问控制》中,我讲到了基于URL和基于方法的访问控制可以用主流框架Spring Security或Shiro实现,现在我来分享下shiro的使用方法,其中的技术细节我就不多讲了,感兴趣的可以上网查找资料(推荐开涛讲的shiro)。 公司采用的是Spring Boot,shiro的版本是1.4.0。 1、引入shiro相关的依赖包 修改pom.xml文件,建议依赖的版本...
springboot使用shiro+jwt验证 前端axios携带jwt发送请求 shiro重新进行认证登录并生成新的session
c964364的博客
01-20 859
问了问题,大佬们没有解决,折磨半天还是发现自己对框架的不熟,最后找到了解决办法 原因:前端axios默认不携带cookie,导致访问没有携带shiro的jsession的cookie 导致shiro每次都进行认证登录 解决:开启axios携带cookie和后端开启跨域允许携带cookie就不一直进行shiro认证登录了 前端在axios的配置js中添加 //axios的配置js中添加 //开启axios允许携带cookie axios.defaults.withCredentials=t..
深入浅出shiro
09-26
### 深入浅出Shiro #### 权限管理设计基础 权限管理系统是现代软件尤其是企业级应用中不可或缺的一部分。它确保只有经过适当授权的用户才能访问特定资源或执行特定操作。权限管理通常涉及两个核心方面:权限的...
shiro教程文档-张开涛
03-17
张开涛是一位知名的 Java 技术专家,他的 Shiro 教程深入浅出地介绍了 Shiro 的各个方面,适合初者和有经验的开发者参考习。 1. **Shiro 简介** Apache Shiro 不仅是一个安全框架,它还是一个轻量级的解决方案...
shiro习笔记(一)shiro实现用户认证
今晨的个人博客
04-22 259
shiro习笔记(一)shiro实现用户认证 认证 ​ 用户认证,就是将用户输入的用户名和密码与数据库中的用户名和密码进行比较,来判断一个用户是否是一个合法的用户。 shiro认证用到的方法和关键对象 Subject:主体 访问系统的用户,可以是用户也可以是程序,需要进行认证的都可以成为主体。 Principal:身份信息 是主体进行身份认证的标识,标识必须唯一,如用户名、身份证号、邮箱地址等。一个主体可以有多个身份但是必须有一个主身份。 credential:凭证信息 只有主体知
shiro-jwt登录认证流程
qq_39159736的博客
05-07 1297
https://www.jianshu.com/p/6abc22ec3cb8 https://blog.csdn.net/mine_song/article/details/61616259 shiro+jwt做登录认证和授权认证,不要和我们登录功能搞混。我们的正常登录就是通过LoginControler登录的 而 shiro登录认证是已经登录过后,每次访问资源时我们通过判断token证明该用户携带的token是合法的,授权类似。 很重要的总结。 1. 登录: ...
shiro登录认证的使用
二十一克阳光!的博客
05-02 728
1. shiro简介以及功能描述 Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相 当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。 Authentication:身份认证/登录,验证用户是不是拥有相应...
浅谈shiro认证
qq_54778098的博客
08-07 801
shiro认证流程和细节
Shiro 实战教程(一) Shiro 认证
weixin_44602460的博客
07-07 199
一. 权限的管理 1. 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问。 2. 什么是身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中
shiro的登陆认证shiro项目中来的一)
weixin_33802505的博客
02-06 133
一,图解 假如你现在还在为自己的技术担忧,假如你现在想提升自己的工资,假如你想在职场上获得更多的话语权,假如你想顺利的度过35岁这个魔咒,假如你想体验BAT的工作环境,那么现在请我们一起开启提升技术之旅吧,详情请点击http://106.12.206.16:8080/qingruihappy/index.html  二,流程 2.1,创建token令牌,token中有用户提交的认证信息即...
微星项目中Shiro权限管理(手机号+邮箱) 多Token单Realm
YIYIYIPEI的博客
08-13 1247
前言 对于刚拿到手的微星项目而言,所有的html都放在WEB-INF下,做shiro权限的话,springboot和thymeleaf结合,访问html时需要根据引用的静态资源查看路径,所以将html移动到resources下 1、shiro用户验证 shiroConfig配置类 package com.yhj.sbm.config; import at.pollux.thymeleaf.s...
shiroshiro 登陆Subject().login()与SecurityManager().login()
mfkarj的博客
01-07 1986
今天踩坑,写一跨域登陆, 开始如下: UsernamePasswordToken token = new UsernamePasswordToken(username, password); SecurityUtils.getSecurityManager().login(SecurityUtils.getSubject(), token); 登陆是登陆成功了,但是后续获取Security...
Shiro自定义Token
drhrht的博客
08-24 1389
***//*** 公司ID*//*** 用户名称*//*** 用户密码*/}}}}}}}@Override}@Override}}/***//*** 重写supports方法,使 Shiro 能够识别自定义的 Token* @return*/@Override}@Override/*PrincipalCollection 身份的集合一个主体可以有多个身份,但是只有一个主身份*/// 获取主体的主身份。
shiro源码(二)——login方法源码解读
敲代码的小小酥的博客
12-31 3417
一、shiro认证流程源码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
Java私塾《深入浅出Shiro》-权限管理精品教程
"深入浅出Shiro - Java私塾的Shiro教程,涵盖Shiro的基础、配置、认证、授权、Realms、Session管理和与Spring的集成。" Apache Shiro 是一个强大且易用的Java安全框架,提供了身份认证、授权、话管理和加密等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值