第九章 Shiro 认证(Authentication)

已于 2024-10-16 18:59:05 修改
阅读量840 收藏 14
点赞数 16
分类专栏: Java开发之Spring Boot框架核心技术 文章标签: spring boot 后端 java
于 2024-10-16 18:54:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78884095/article/details/142986134
版权

学习目标


  (如果没有了解可以去我主页看看 第一至八章的内容来学习)Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、会话管理和加密等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务,并且对于其他安全框架,Shiro要简单易用的多。本章主要给大家介绍Shiro的架构,讲解认证功能并和SpringBoot集成实现动态认证。

9.1 Shiro简介

  Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、会话管理和加密等功能。对于任意一个应用程序,Shiro 都可以提供全面的安全管理服务,对比Spring Security,可能没有Spring Security功能强大,但是我们在实际工作中可能并不需要那么复杂的功能,所以使用简单易用的Shiro就已经足够了。本教程也只介绍基本的Shiro使用,不会过多分析源码等,重在使用。

9.1.1 Shiro特性

  Apache Shiro 是一个强大的 Java 安全框架,提供了身份验证、授权、加密和会话管理等功能。Shiro 的特性包括:

  1. 身份验证(Authentication):验证用户身份。
  2. 授权(Authorization):确定用户是否有权限访问某些资源。
  3. 加密(Cryptography):保护数据的安全。
  4. 会话管理(Session Management):管理用户会话。

下面是一个简单的 Java 示例,展示了如何使用 Shiro 进行身份验证和授权。

1. 添加 Shiro 依赖

首先,在你的 Maven 项目中添加 Shiro 依赖。如果你使用的是 Gradle,请相应调整。

<dependency>  
    <groupId>org.apache.shiro</groupId>  
    <artifactId>shiro-core</artifactId>  
    <version>1.8.0</version>  
</dependency>  
<dependency>  
    <groupId>org.apache.shiro</groupId>  
    <artifactId>shiro-spring</artifactId>  
    <version>1.8.0</version>  
</dependency>  
<dependency>  
    <groupId>org.apache.shiro</groupId>  
    <artifactId>shiro-web</artifactId>  
    <version>1.8.0</version>  
</dependency>

2. . 配置 Shiro
创建一个 Shiro 配置类:

import org.apache.shiro.mgt.SecurityManager;  
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;  
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;  
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;  
import org.apache.shiro.spring.web.config.ShiroWebConfiguration;  
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;  
import org.springframework.context.annotation.Bean;  
import org.springframework.context.annotation.Configuration;  
  
@Configuration  
public class ShiroConfig extends ShiroWebConfiguration {
     
  
    @Bean  
    public SecurityManager securityManager() {
     
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();  
        // 设置自定义的 Realm  
        securityManager.setRealm(myRealm());  
        return securityManager;  
    }  
  
    @Bean  
    public MyRealm myRealm() {
     
        return new MyRealm();  
    }  
  
    @Bean  
    public ShiroFilterChainDefinition shiroFilterChainDefinition() {
     
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();  
        chainDefinition.addPathDefinition("/login", "anon");  
        chainDefinition.addPathDefinition("/**", "authc");  
        return chainDefinition;  
    }  
  
    @Bean  
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
     
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();  
        advisor.setSecurityManager(securityManager);  
        return advisor;  
    }  
}

3. 创建自定义 Realm
自定义 Realm 用于处理身份验证和授权逻辑:

import org.apache.shiro.authc.*;  
import org.apache.shiro.authz.AuthorizationInfo;  
import org.apache.shiro.authz.SimpleAuthorizationInfo;  
import org.apache.shiro.realm.AuthorizingRealm;  
import org.apache.shiro.subject.PrincipalCollection;  
  
public class MyRealm extends AuthorizingRealm {
     
  
    @Override  
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
     
        String username = (String) principals.getPrimaryPrincipal();  
        // 基于用户名获取权限和角色  
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();  
        authorizationInfo.setRoles(Arrays.asList("user")); // 示例角色  
        authorizationInfo.setStringPermissions(Arrays.asList("read", "write")); // 示例权限  
        return authorizationInfo;  
    }  
  
    @Override  
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
     
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;  
        String username = upToken.getUsername();  
  
        // 模拟从数据库中获取用户信息  
        if ("john".equals(username)) {
     
            return new SimpleAuthenticationInfo(username, "password123", getName());  
        } else {
     
            throw new UnknownAccountException("No account found for user [" + username + "]");  
        }  
    }  
}

4. 使用 Shiro 进行身份验证和授权

import org.apache.shiro.SecurityUtils;  
import org.apache.shiro.authc.UsernamePasswordToken;  
import org.apache.shiro.subject.Subject;  
  
public class ShiroExample {
     
  
    public static void main(String[] args) {
     
        // 获取当前的 Subject  
        Subject currentUser = SecurityUtils.getSubject();  
  
        // 创建令牌  
        UsernamePasswordToken token = new UsernamePasswordToken("john", "password123");  
  
        try {
     
            // 登录  
            currentUser.login(token);  
            System.out.println("User logged in successfully.");  
  
            // 检查是否有某个角色  
            boolean hasRole = currentUser.hasRole("user");  
            System.out.println("User has role 'user': " + hasRole);  
  
            // 检查是否有某个权限  
            boolean
最低0.47元/天 解锁文章
Authentication—身份验证流程
微服务技术栈
01-21 6922
本篇是对Shiro体系架构的介绍,本栏目大部分内容来自于Shiro官网。翻译过程中已经尽量保证用词的准确性和易懂性,如有不准确或者不确切的地方,请联系作者加以修改。本篇内容翻译自Authentication特征与Authentication官方指南。 Authentication是身份验证的过程,即证明该用户是否合法,对于证明一个用户是否合法,用户需要提供一些身份识别信息,以及系统能信任的身份证...
Shiro认证(Authentication)
weixin_44659712的博客
09-17 280
Shiro简介 Apache Shiro 是一个强大易用的java安全框架,提供了认证、授权、会话管理和加密 等功能。对于任意一个应用程序,shiro都可以提供全面的安全管理服务,对比spring security。可能没有spring security 功能强大,但是我们在实际工作中可能并不需要那么复杂的功能,所有使用简单易用的shiro就足够了。 shiro特性 shiro可以非常易用的开发出足够好的应用,其不仅可在javaSE 环境,也可以在javaSE环境。shiro可以帮助我们完成:认证、授权、会
AuthenticationSpring Security 认证笔记)
weixin_30667301的博客
03-10 257
这篇文章是对Spring Security的Authentication模块进行一个初步的概念了解,知道它是如何进行用户认证的 考虑一个大家比较熟悉的标准认证过程: 1.用户使用username和password登录 2.系统验证这个password对于该username是正确的 3.假设第二步验证成功,获取该用户的上下文信息(如他的角色列表) 4.围绕该用户建立安全上下文(s...
安全-认证授权、数据脱敏
Xue_99的博客
08-03 1008
一、认证授权 JWT :JWT(JSON Web Token)是一种身份认证的方式,JWT 本质上就一段签名的 JSON 格式的数据。由于它是带有签名的,因此接收者便可以验证它的真实性。 SSO(单点登录) :SSO(Single Sign On) 即单点登录说的是用户登陆多个子系统的其中一个就有权访问与其相关的其他系统。举个例子我们在登陆了京东金融之后,我们同时也成功登陆京东的京东超市、京东家电等子系统。 认证 (Authentication) 和授权 (Authorization)的区别是什
Shiro的身份认证Authentication
liuyinfei_java的博客
02-07 2114
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要介绍 Shiro 的登录认证Authentication)功能,主要从 Shiro 设计的角度去看这个登录认证的过程。一、Shiro 总览首先,我们思考整个认证过程的业务逻辑:获取用户输入的用户名,密码;从服务器...
7_springboot_shiro_jwt_多端认证鉴权_自定义AuthenticationToken
paopao_wu的专栏
03-31 1107
本小节会先对Shiro的核心流程进行一次回顾,并进行梳理。然后会介绍如果应用是以API接口的方式提供给它方进行调用,那么在这种情况下如何使用Shiro框架来完成接口调用的认证和授权。
不解释,全网最全Shiro认证与授权原理分析
程序新视界
01-25 973
本篇为《Shiro从入门到精通》系列第二篇,在上篇《还在手写filter进行权限校验?尝试一下Shiro吧》中,我们学习了Shiro的基本功能、架构以及各个组件的概念。本篇文章继续深入,以官方示例为基础,讲解使用Shiro的流程以及认证和授权的原理分析。下面开始正文: 前言 Shiro作为常用的权限框架,可被用于解决认证、授权、加密、会话管理等场景。Shiro对其API进行了友好的封装,如果单纯的使用Shiro框架非常简单。但如果使用了多年Shiro,还依旧停留在基本的使用上,那么这篇文章就值得你学习一下。
shiro将session认证改成token认证_源码分析shiro认证授权流程
weixin_31286719的博客
01-12 603
1. shiro介绍Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”;授权 - 访问控制;密码加密 - 保护或隐藏数据防止被偷窥;会话管理 - 每用户相关的时间敏感的状态。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。2. shiro源码概况...
Springboot整合Shiro+JWT实现认证授权
我的青春一去不复返
09-02 2370
Springboot整合Shiro+JWT实现用户登录认证和权限授权
shiro认证与授权
qq_41644069的博客
10-27 643
1.shiro认证 1.1.身份验证 身份验证:一般需要提供如身份ID等一些标识信息来表明登录者的身份,如提供email,用户名/密码来证明。 在shiro中,用户需要提供principals(身份)和credentials(证明)shiro,从而应用能验证用户身份。 principals:身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primaryprincipals,一般是用户名/邮箱/手机号。 credentials.
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 3503
前言 最后调用过程参考了 : https://blog.csdn.net/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了一下避免以后忘记了. 其中代码中我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro的功能 Authentication:身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证某
jwt结合shiro实现认证和权限控制,非常详细
热门推荐
zhuzi的博客
07-30 1万+
文章目录前期准备1. 导入依赖2. 编写JwtUtil类3. 封装token4. 编写JWT的过滤器5. 编写shiro的自定义Realm对象6. 编写shiro配置文件7. 捕获shiro异常8. 编写controller1.登录接口2.用户接口9.测试结果 前期准备 jwt,我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性。为什么不适用Session? 原理是,登录之后客户端和服务端各自保存一个相应的SessionId,每次客户端发起请求的时候就得携带
第十章 Shiro授权(Authorization)
上官花雨滴博客!!!
10-24 694
RBAC(Role-Based Access Control,基于角色的访问控制)是一种在组织和企业中广泛使用的访问控制机制。它的核心概念是将权限分配给角色,而不是直接分配给用户。用户则被分配一个或多个角色,从而继承这些角色的权限。这种方法简化了权限管理,因为当员工的职责发生变化时,只需要更改他们的角色分配,而不需要逐一修改他们的权限。
Spring Boot 2.x 到 3.x 迁移实战:Redis 配置篇
wenxuankeji的博客
03-28 1022
的深化,Redis 配置与集成方式发生了显著变化。今天简单讲下redis的变化。Spring Boot 3.x 的配置调整并非简单的语法变化,而是。随着 Spring Boot 3.x 的发布,其对。
基于Spring Boot的服装定制系统的设计与实现(LW+源码+讲解)
hungelianshu123的博客
03-28 980
首先,论文一开始便是清楚的论述了系统的研究内容。其次,剖析系统需求分析,弄明白“做什么”,分析包括业务分析和业务流程的分析以及用例分析,更进一步明确系统的需求。然后在明白了系统的需求基础上需要进一步地设计系统,主要包罗软件架构模式、整体功能模块、数据库设计。本项目软件架构选择B/S模式,总体功能模块运用自顶向下的分层思想。再然后就是实现系统并进行代码编写实现功能。论文的最后章节总结一下自己完成本论文和开发本项目的心得和总结。通过服装定制系统将会使服装定制各个方面的工作效率带来实质性的提升。
Spring Boot框架
Xyuan的博客
03-27 828
Spring Boot核心特性、核心注解、快速创建、启动流程、优缺点和适用场景
解锁Spring Boot异步编程:让你的应用“飞“起来!
qq_42763903的博客
03-27 1003
优点:提高翻台率(吞吐量),顾客体验好(响应快)代价:管理复杂度高(需要处理回调/异常)IO密集型用异步,简单操作用同步。现在就去给你的Spring Boot应用装上"涡轮增压"吧!
宠物医院管理系统基于Spring Boot SSM
计算机程序开发设计
03-28 938
本研究旨在设计并实现一套功能完善、操作便捷的宠物医院管理系统,以满足宠物医院日常管理的各项需求。该系统采用Spring Boot框架,结合MySQL数据库、前端技术(如HTML、CSS、JavaScript、Vue.js)以及后端技术(如JavaSpring、MyBatis),实现用户信息管理、宠物医生排班、宠物类型分类、预约挂号与取消、就诊记录保存、费用结算、宠物信息录入以及疫苗接种跟踪等功能。
快餐配送管理系统基于Spring Boot SSM原创
最新发布
计算机程序开发设计
03-31 406
随着现代生活节奏的加快,快餐配送服务逐渐成为人们日常生活中不可或缺的一部分。为了提升快餐配送的效率和服务质量,本文设计了一套基于Spring Boot框架的快餐配送管理系统。该系统涵盖了店铺管理、商品管理、用户管理、订单管理、评价管理和预约管理等多个功能模块,旨在实现快餐配送流程的自动化、智能化和高效化。
Apache Shiro安全框架详解:认证、授权与会话管理
9. **单点登录(Single Sign-On, SSO)**:Shiro 提供 SSO 实现,允许用户在一个系统登录后,无须再次认证就能访问其他关联系统。 通过这些功能,Apache Shiro 能够帮助开发者快速构建安全的应用程序,降低安全编程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值