笔记---Shiro

最新推荐文章于 2024-07-14 14:59:27 发布
最新推荐文章于 2024-07-14 14:59:27 发布
阅读量109 收藏
点赞数
分类专栏: 笔记 文章标签: java spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BestJokerr/article/details/124809829
版权

shiro

一、基础配置

  1. 导包
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vJLpyflc-1652711418445)(C:\Users\70402\Desktop\笔记md\spring\shiro\res\导包.png)]
  2. 配置ini文件
  • ini文件在resource目录下
  • 假数据
    [users]
    xiaochen=123
  1. 创建安全管理器对象
DefaultSecurityManager manager = new DefaultSecurityManager();
  1. 给安全管理器设置realm
securityManager.setRealm(new IniRealm("classpath:shiro.ini"));
  1. 给全局安全工具类设置安全管理器
SecurityUtils.setSecurityManager(securityManager);
  1. 获取主体subject,
Subject subject = SecurityUtils.getSubject();
  1. 创建令牌
UsernamePasswordToken token = new UsernamePasswordToken("xiaochen","123");
  1. 用户认证
try {
            subject.login(token);
        }catch (UnknownAccountException e){
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            System.out.println("密码错误");
        }

二、自定义reaml

  1. 自定义reaml继承AuthorizingRealm
  • doGetAuthorizationInfo 授权
  • doGetAuthenticationInfo 认证
  1. 认证操作
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        String username = userToken.getUsername();
        Customer customer = mapper.selectByUsername(username);
        //Shiro报错UnknownAccountException
        if (customer==null){
            return null;
        }
        return new SimpleAuthenticationInfo(customer,customer.getPassword(),"");
    }
  • 通过token获取用户名密码
  • SimpleAuthenticationInfo中有3个参数:账户、密码、realm

二、shiro

  • Subject: shiro的一个抽象概念,包含了用户的信息

  • Realm: 开发者自定义的模块,根据项目的需求,验证和授权的逻辑全部写在Realm中

  • ShiroFilterFactoryBean:过滤工厂,shiro的基本运行机制是开发者制定规则,shiro去执行,具体执行操作就是由ShiroFilterFactoryBean创建的一个个Filter对象来完成

  • DefaultWebSecurityManager: 安全管理器。开发者自定义的Realm需要注入到DefaultWebSecurityManager进行管理才能生效

  1. 配置Realm类

    • Realm类继承AuthorizingRealm类

    • 授权**(AuthorizationInfo,用户的权限信息集合,授权时使用)**

      protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    Subject subject = SecurityUtils.getSubject();
    Customer user = (Customer) subject.getPrincipal();
    info.addStringPermission(user.getPerms());
    return info;
}

    • 认证**(AuthenticationInfo用户的角色信息结合,认证时使用)**

      protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    UsernamePasswordToken userToken = (UsernamePasswordToken) token;
    String username = userToken.getUsername();
    Customer customer = mapper.selectByUsername(username);
    //Shiro报错UnknownAccountException
    if (customer==null){
        return null;
    }
    return new SimpleAuthenticationInfo(username,customer.getPassword(),this.getName());
}

  2. 配置config类(需要加Configuration注解)

    • config类需要配置3个bean对象分别为:

      1. UserRealm**(Ioc注入userRealm())**

        @Bean
public UserRealm userRealm(){
    return new UserRealm();
}

      2. DefaultWebSecurityManager**(userRealm()注入DefaultWebSecurityManager)**

        @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserReaml userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return securityManager;
    }
        • @Qualifier(“userRealm”):通过方法名从IOC中获取bean对象

      3. ShiroFilterFactoryBean

        @Bean
public ShiroFilterFactoryBean ShiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
    ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
    bean.setSecurityManager(defaultWebSecurityManager);
    return  factoryBean ;
}

  3. 编写认证和授权规则

    • 认证过滤器:
    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Cagq5qhX-1652711418448)(C:\Users\70402\AppData\Roaming\Typora\typora-user-images\image-20220322014419112.png)]
    名称作用
    anon无需认证就可以访问
    authc必须认证才能访问,get不用认证
    user必须拥有记住我功能才能用
    authcBasic需要通过HTTPBasic认证
    • 授权过滤器
    名称作用
    perms必须拥有某个权限才能访问
    role必须拥有某个角色才能访问
    port请求的端口必须是指定值才能访问
    rest请求必须基于RESTful,即POST, PUT, GET, DELETE
    ssl必须是安全的URL请求,协议HTTPS

    • 写入位置:ShiroFilterFactoryBean

      @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(defaultWebSecurityManager);
        //权限设置----------------------------------
        Map<String,String> map = new HashMap<>();
        map.put("/*","authc");
        factoryBean.setFilterChainDefinitionMap(map);
        //-----------------------------------------
        return  factoryBean ;
    }

  4. 登录验证

    • 位置:controller/service

      public String login(Map<String,String> map){
        String username = map.get("username");
        String password = map.get("password");
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
        } catch (UnknownAccountException e) {
            return "{\"status\":\"用户不存在\"}";
        } catch (IncorrectCredentialsException e){
            return "{\"status\":\"密码错误\"}";
        }
        return "{\"status\":\"OK\"}";
    }

  5. 退出

    在logout方法中执行

    Subject subject = SecurityUtils.getSubject();
subject.logout();
BestJokerr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro安全框架最全面解析
S_mengyong的博客
06-28 1244
Shiro 一、权限框架介绍 1. 什么是权限管理 权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一
apache-shiro 学习笔记
04-13
本学习笔记将深入探讨Shiro 的核心概念与使用方法。 首先,Shiro 的核心组件包括Subject、Realms、Cryptography(加密)和Session Management(会话管理)。Subject 是Shiro 的中心概念,代表了当前的安全主体,如...
shiro源码-创建过滤链
caiqianzhigai0859的博客
09-27 409
接上篇,上篇说到AbstractShiroFilter中的doFilterInternal主要做了创建subject和过滤链,上篇已经说了创建subject的过程,这篇说说创建过滤链的过程。 主要是executeChain这个方法了,看名字是执行链,实际上是执行servlet的过滤链来生成shiro的过滤链,来看一下它的具体实现。进到具体的实现里可以发现,只有两行代码,得到过滤链,执行过滤链...
Apache 防盗链配置详解介绍
不忘初心,方得始终
05-03 1322
现在中国很多长站都是直接使用其它网站上的资源,如果你网站带宽性能不好,很容易给这类网站把流量费光了,下面我来介绍在Apache环境防盗链配置方法,这他们无法直接使用你网站资源哦。 apache防盗链最常用的配置一种是在服务器中进行配置,另一种是在.htaccess 中进行配置,两种语法与效果完全相同。 Apache 防盗链的第一种实现方法,可以用 rewrite 实现。首先要确认
防盗链设置及一些绕过防盗链的方法
chiqulao5770的博客
12-26 823
防盗链这里介绍的都是从request的header里判断refer是否为空,直接输入资源的地址的话 refer为空 绕过防盗链 也是基于这种判断header头的防盗链方式 如果用其他的放盗链,如定期批量改变服务器文件名称,或者用时间戳加密资源地址等这些防盗链措施是不能绕过的 这些网上都有 只是...
shiro过滤原理。
lqzxpp的博客
12-18 638
项目中用了shiro很久了,但对于其执行原理一直没研究过。后来在项目中做防盗链功能时候,因为不能拦截被shiro认证的白名单接口,不得不研究了shiro源码。 1、shiro首先是一个过滤器,filter基本功能肯定有。 我们知道filter最重要的一个接口是 void doFilter(ServletRequest request, ServletR...
learning-shiro:Shiro学习笔记
04-27
本项目“learning-shiro”显然是一个关于 Apache Shiro 的学习资源集合,包含了作者在学习过程中积累的笔记和示例代码。下面将详细探讨 Shiro 的核心概念以及如何使用它来实现应用安全。 1. **认证(Authentication...
吴天雄--shiro个人总结笔记.doc
04-30
Apache Shiro 是一款Java安全框架,它提供了身份认证、授权、加密和会话管理功能,适用于Java SE和Java EE环境,甚至能在分布式集群环境中运行。Shiro因其简单易用而受到青睐,相比于依赖SpringSpring Security,...
shiro学习笔记
04-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话...通过深入学习这份笔记,你可以掌握Shiro的基本用法,理解其内部机制,并能够应用于实际项目中,提供高效且安全的身份验证和授权功能。
Springboot 整合shiro实现权限控制
qq_40699540的博客
11-02 347
Springboot 整合shiro实现权限控制 Author:jeffrey Date:2019-04-08 一、开发环境: 1、mysql - 5.7 2、navicat(mysql客户端管理工具) 3、idea 2017.2 4、jdk8 5、tomcat 8.5 6、springboot2.1.3 7、mybatis 3 8、shiro1.4 9、maven3.3.9 二、数据库设计 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CB46ByC1-1604249108
HTTP Referer(页面统计/资源防盗链)
weixin_34055910的博客
10-19 287
简介 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站 用...
http请求详解 防盗链技术
SungDy
12-07 1756
http协议:超文本传输协议 1、建立在tcp/ip协议基础上. 2、我们的web开发数据的传输都是依赖于http协议。 http协议的 http请求(request) 基本结构 请求行 消息头 消息体(实体内容)(若有数据需要处理) 在服务器端我们可以通过$_SERVER来获取我们需要的信息 HTTP_ACCEPT=image/jpeg, application/x
防盗链——防止其他页面通过url直接访问本站资源
DUDUfine的专栏
11-24 9539
防盗链——防止其他页面通过url直接访问本站资源
配置Java开发环境
Broken_x的博客
07-10 1526
Java开发环境配置
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 504
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
Spring Security 授权
最新发布
persistence_PSH的博客
07-14 678
在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。通过 RBAC 获取到用户的具体权限后,再通过 Security 的 用户-权限-资源 来进行权限控制。HttpSecurity 权限配置。
【Go系列】 Sync并发控制
u013379032的博客
07-14 609
在上一篇文章中,我们介绍了goroutine和channel,理论上,通过channel可以实现并发控制,但是其他语言开发者可能更习惯一些原子操作的库。当然Go语言也会提供这样的库,所以我们今天了解一下sync库。
shiro-721 代码执行
08-25
Shiro-721是一种Shiro框架的漏洞,攻击者可以利用该漏洞执行任意代码。为了利用Shiro-721漏洞,需要先获取一个有效的rememberMe Cookie,并将其作为输入参数提供给ShiroExploit Shiro-721工具。通过下载Shiro-721 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值