初学Shiro 1:Shiro的简单流程

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量2.2k 收藏
点赞数
文章标签: shiro

一些基本概念

身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。
在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
最常见的principals和credentials组合就是用户名/密码了。
另外两个相关的概念是之前提到的Subject及Realm,分别是主体及验证主体的数据源。

编写Shiro.ini文件

首先要有一个Shiro.ini的文件如下:

[main]
authc.loginUrl=/login
[users]
kh=123
zs=111
ls=111
[urls]
/admin/**=authc
/login=anon

[urls]下面符合通配符/admin/**的都需要进行权限认证。
符合正则表达式/login的不需要进行权限认证。
[users]下面的是用户名和密码。用户名在前,密码在后。
[main]下面authc.loginUrl是登录连接。

除此之外,Shiro还支持角色管理。

后台处理代码

主要的后台代码如下:

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String username = request.getParameter("username");
        String password = request.getParameter("password");

        //在Shiro中,所有的代码基本上都要经过subject这一层。
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        String emsg = null;
        try {
            //登录,即身份验证
            subject.login(token);
        } catch (UnknownAccountException e) {
            //身份验证失败
            emsg = "用户名出错!";
        } catch (IncorrectCredentialsException e) {
            emsg = "用户密码出错!";
        } catch (AuthenticationException e) {
            emsg = "其他异常:"+e.getMessage();
        }
        if(emsg!=null) {
            request.setAttribute("emsg", emsg);
            request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request, response);
        } else {
            response.sendRedirect(request.getContextPath()+"/");
        }
    }

角色管理

现在shiro.ini文件更改为如下:

[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/unauth.jsp
perms.unauthorizedUrl=/unauth.jsp
[users]
kh=123,admin
zs=111,user
ls=111
[roles]
admin=admin:*,user:*
user=user:*
[urls]
/admin/**=authc,roles[admin]
/user/add.jsp=authc,perms[user:add]
/user/**=authc
/login=anon
/logout = logout

[roles]下面user只拥有user的权限,而admin拥有admin和user权限

[urls]下
符合通配符/admin/**的链接需要拥有admin角色的用户能访问
/user/add.jsp页面需要拥有增加用户的权限才能访问
/logout = logout表示当我们访问/logout连接的时候直接调用logout过滤器帮我们完成登出。

[users]下
kh是admin角色,zs是user角色,ls没有角色

[main]下的这个两个配置表示当没有权限或者不是该角色就让他跳转到某个页面。
roles.unauthorizedUrl=/unauth.jsp
perms.unauthorizedUrl=/unauth.jsp

如果我们的项目是一个小网站,有很简单的角色,不需要做用户管理,就可以用如上的配置。
但是一般的项目都是通过数据库来配置这些角色的。

Shiro的界面标签

请参考如下代码:

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!-- 要使用Shiro,首先要引入标签库 -->
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<h1>hello <shiro:principal></shiro:principal></h1>

<!-- 如果用户还没有登录就使用shiro:guest标签 -->
<shiro:guest>
<a href="/shiro/login">用户登录</a>
</shiro:guest>

<!-- 如果用户已经登录了,就是用shiro:user标签 -->
<shiro:user>
<a href="/shiro/user/list.jsp">用户列表</a>

<!-- 如下标签标示只有user.add权限才能访问 -->
<shiro:hasPermission name="user:add">
<a href="/shiro/user/add.jsp">用户添加</a>
</shiro:hasPermission>
<!-- 如下标签标示只有admin角色才能看到 -->
<shiro:hasRole name="admin">
<a href="/shiro/admin">管理界面</a>
</shiro:hasRole>
<a href="/shiro/logout">退出系统</a>
</shiro:user>
</body>
</html>
程序员诚哥
关注
浅淡shiro的工作流程及原理 之 身份认证(一)
weixin_50235024的博客
09-08 386
目录 前言 身份认证工作流程 1. 项目结构 2. 工作流程 身份认证的原理 总结 前言 这篇文章是记录我学习springboot整合shiro的学习感悟,因此,这篇文章的主要读者对象是了解springboot整合shiro。如果有错误的地方,还请各位谅解,与纠正小编的错误。 身份认证工作流程 1. 项目结构 项目结构如下图所示: 2. 工作流程 我将以我的项目为模板,讲解shiro的工作流程。 1. 项目启动,创建ShiroConfig配置的...
初学Shiro框架项目
12-23
初学者在接触Shiro框架时,可能会遇到各种概念和配置,本项目旨在帮助新手理解如何利用Shiro来实现权限管理,特别是针对不同角色显示不同菜单的功能。 首先,Shiro的核心组件包括Subject、Realm、Session管理和...
shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6377
1、shiro架构图 shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
Shiro详解
最新发布
weixin_57356976的博客
08-11 759
在web.xml文件里配置shiro的过滤器shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</
shiro框架的基本工作流程
Dragon_King的博客
03-22 3284
当用户前台登录发起请求时: 1.从shiro中获取subject主体 SecurityUtils.getSubject(); 2.判断当前用户是否认证过了,如果认证过了就放行了 subject.isAuthenticated() 3.如果没有认证过,就把前台传递的账号密码封装为一个UserNamePasswordToken对象, new UsernamePasswordToken(username...
apache shiro的工作流程分析
weixin_33957648的博客
09-25 93
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro(一):Shiro介绍及主要流程
weixin_34250709的博客
06-10 119
什么是Shiro Apache Shiro是一个强大且灵活的开源安全框架,易于使用且好理解,撇开了搭建安全框架时的复杂性。 Shiro可以帮助我们做以下几件事: 认证使用者的身份 提供用户的访问控制,比如: 决定一个用户是否被授予某个特定的安全角色 决定用户是否允许做某件事 可以在任何环境中使用Session API,不在局限于web或是EJB容器中 可以在认证,访问控制或是sessi...
shiro:shiro示范项目
05-09
在这个名为"shiro:shiro示范项目"的压缩包中,我们可以推测它是一个使用Apache Shiro进行权限管理的示例项目,适合初学者学习和理解Shiro的用法。 Shiro的主要组件包括: 1. **认证(Authentication)**:这是验证...
全面解析Apache Shiro框架:从入门到实战
"Shiro教程.pdf是一个适合初学者的教程,涵盖了Apache Shiro权限框架的基础知识,包括Shiro的简介、身份验证、授权、INI配置、编码/加密、REALM及相关对象、与Web集成、拦截器机制、JSP标签、会话管理和缓存机制,...
Shiro教程:身份验证、授权与Web集成详解
1. **章节概览**: - 第一章:**SHIRO简介**,概述了Shiro的基本概念,包括其在Web应用中的作用和主要组件。 - 第二章:**身份验证**,讲解了环境准备、登录/退出流程,以及身份认证流程,重点提到了REALM和相关的...
Spring Boot与Shiro集成:自定义密码验证及权限渲染教程
作者提到,虽然Spring Security提供了丰富的功能,但其复杂性对初学者来说可能是个挑战,而Shiro则以其简洁性受到推荐。 首先,集成步骤开始于添加Shiro的Spring依赖版本1.4.0到项目中,以确保兼容性和功能支持: ...
shiro流程
~
04-26 2691
FormAuthenticationFilter资料 Shiro登录成功之后跳到指定URL  1.web.xml里配置(ShiroFilter入口) shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle
Shiro的基础工作流程
qq_31213835的博客
04-23 419
1.获取当前的Subject,调用SecurityUtils.getSubject()。2.检测当前用户是否已经被认证,即是否已经登陆,调用Subject的isAuthenticated()。3.若没有被认证,则把用户名和密码封装为UsernamePasswordToken对象。    3.1认证流程        (1)创建一个登陆表单页面。        (2)将请求提交到SpringMVC的...
shiro整体流程
Jay的博客
07-29 1434
先摆出一套常规快速入门的shiro点的认证授权. 在pom文件中导入jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> 配置ShiroConfig: @Configuration
shiro原理及其运行流程介绍
m0_67403076的博客
08-24 744
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。使用shiro实现系统的权限管理,有效提高开发效率,从而降低开发成本。
shiro配置及使用 整体流程
natural_的博客
06-15 5613
shiro的介绍网上很多,详细的有开涛的博客。因为开涛的博客文章较多,而项目又比较赶,所以博主是根据项目需要来搜资料的,当然了,获取资料最多的就是开涛的博客了。 当然了,使用一个东西最开始就应该就是导入它的包了,在官网上写了好多种包,但是shiro不是自己都说,好的项目不是什么都有,而是不能再少一点东西了,所以大家在导包 的时候尽量不要太贪心的全导入了,视项目的情况而定吧。 下面是maven的
shiro认证流程
weixin_43150427的博客
08-14 260
shiro认证流程
shiro url中流程
xydxiong的博客
04-14 192
学习shiro梳理了下loginurl中在shiro中实现流程图:
Shiro授权流程
weixin_36894490的博客
11-11 585
Shiro授权流程Shiro授权流程Shiro授权流程文字说明 Shiro授权流程图 参考:https://www.w3cschool.cn/shiro/skex1if6.html 根据Shiro授权流程文字说明,绘制流程图如下: Shiro授权流程文字说明 流程如下: 首先调用 Subject.isPermitted*/hasRole接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer; Authorizer 是真正的授权者,如果我
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值