Shiro 基本学习

最新推荐文章于 2023-03-14 20:14:38 发布
最新推荐文章于 2023-03-14 20:14:38 发布
阅读量144 收藏
点赞数
文章标签: shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CLismy/article/details/115178084
版权
本文介绍了Apache Shiro框架的三个核心概念:Subject、SecurityManager和Realm,并展示了如何在Spring环境中配置Shiro,包括自定义Realm实现认证和授权,以及设置过滤器链。在Controller层,提供了一个简单的登录示例。文中提到的权限和角色信息目前是硬编码的,实际应用中应从数据库中获取。
摘要由CSDN通过智能技术生成

 

 

 一: 三个主要的概念

1.subject:当前用户(可以是使用者也可以是第三方服务,主要指一个正在与当前软件交互的东西),所有的Subject都需要SecurityManager

2.SecurityManager :安全管理员,Shiro架构的核心

3.Realms:用于进行权限信息的验证,可以由我们自己实现。在配置 Shiro 的时候,我们必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

二:基本使用

1.导入依赖:


        <!-- thymeleaf 与 shiro  整合-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
        <!--整合shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>

2.配置类:

1)自定义一个Realm

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UsersService usersService;

    /**
     * 授权
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 进入该方法说明已经通过认证了

        // principalCollection 中可以获得认证中传入的三个参数
        // 该数据就是认证时传入的用户信息
        Users users = (Users) principalCollection.getPrimaryPrincipal();
        // 也可以从Subject中获得当前用户的信息
        // Subject subject = SecurityUtils.getSubject();
        // Users user = (Users) subject.getPrincipal();

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermission("user:add"); // 给当前用户授权,可从数据库中获取进行授权,此处为手动授权

        return info;
    }

    /**
     * 认证
     *
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 可以获得表单中输入的用户名和密码
        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;
        // 根据输入的用户名从数据库中查找该用户
        Users users = usersService.queryUsersByUserName(userToken.getUsername());
        if (users.getUsername() == null || !userToken.getUsername().equals(users.getUsername())) {
            return null;// 自动抛出异常
        }
        // 密码认证不需要我们实现
        return new SimpleAuthenticationInfo(users, users.getPassword(), users.getUsername());
//       return new SimpleAuthenticationInfo("", users.getPassword(), "");
    }
}

 2)ShiroConfig 类

@Configuration
public class ShiroConfig {

    /**
     * 3 ShiroFilterFactoryBean
     *
     * @param defaultWebSecurityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        // 设置安全关联器
        bean.setSecurityManager(defaultWebSecurityManager);
        /**
         * anon:无需认证就可以访问
         * authc:必须认证了才能访问
         * user:必须拥有 记住我 功能才能访问
         * perms:拥有对某个资源的权限才能访问
         * role:拥有某个介绍权限才能访问
         */
        // 添加shiro 的内置过滤器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 授权
        filterChainDefinitionMap.put("/add", "perms[user:add]");
        filterChainDefinitionMap.put("/update", "authc");// 必须认证才能登录
        // 配置退出
        filterChainDefinitionMap.put("/logout", "logout");
        // 设置登录请求
        bean.setLoginUrl("/toLogin");
        // 设置未授权
        bean.setUnauthorizedUrl("/noauth");
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return bean;
    }

    /**
     * 2 DefaultWebSecurityManager
     *
     * @param userRealm
     * @return DefaultWebSecurityManager
     */
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 关联userRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    /**
     * 1、创建Realm对象
     *
     * @return Realm 一个实例对象
     */
    @Bean
    public UserRealm userRealm() {
        return new UserRealm();
    }

    /**
     * 创建ShiroDialect:用于整合shiro 和thymeleaf
     *
     * @return
     */
    @Bean
    public ShiroDialect getShiroDialect() {
        return new ShiroDialect();
    }
}

3 control层

  @RequestMapping("/login")
    public String login(String username, String password, Model model) {
        // 获取当前用户
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            subject.login(token);// 执行登录的方法,没有异常就可以成功
            return "index";
        } catch (UnknownAccountException e) {
            model.addAttribute("msg", "用户名错误");
            return "login";
        } catch (IncorrectCredentialsException e) {
            model.addAttribute("msg", "密码错误");
            return "login";
        }
    }

上述代码中用户的角色和权限信息没有从数据库中获取,都为自定义,可以修改这部分代码,将其改为从数据库中的获取。

做一个会飞的吉吉猪
关注
shiro框架学习心得
06-27
shiro框架学习心得,简介!
shrio学习
longload
02-24 169
扩展Shrio的FormAuthenticationFilter实现动态改变LoginUrl      &lt;!-- 网络查找--&gt; shrio 权限管理filterChainDefinitions过滤器配置   shrio全面学习参考网址 shiro拦截url动态配置在数据库   ...
shiro学习一(shiro基本知识点)
bird_tp的博客
07-07 428
一、什么是Shiro Shiro是一套是Java的一个安全框架,实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   其主要功能为用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 二、ShiroSpring Security比较 (1)ShiroSpring更容易使用,实现和最重要的理解 (2)Spring Security更加知名的唯一原因是因为品牌名称...
Shiro学习
无术不学的博客
04-10 147
http://www.cnblogs.com/learnhow/p/5694876.html https://www.cnblogs.com/learnhow/p/9747134.html https://www.sojson.com/shiro demo
shiro入门学习.ppt
06-15
除了这些基本功能,Shiro还提供了许多扩展性特性: - **Web Support**:针对Web应用提供了额外的便利,如过滤器支持、会话管理等。 - **Caching**:缓存机制提高应用性能,减少数据库查询。 - **Concurrency**:...
shiro学习笔记
04-03
- Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - ShiroSpring的整合 - Shiro的Filter链配置 - 自定义RememberMe服务 - 示例代码及异常处理 通过深入学习这份...
shiro学习示例
02-07
1. **Shiro基本概念** - **认证**:确认用户身份的过程,即用户输入用户名和密码,系统通过验证来确认用户的身份。 - **授权**:确定用户是否有执行某个操作的权限,即访问控制。 - **会话管理**:保持用户状态,...
shiro项目基本运行架包以及全部的架包shiro-all.jar
04-17
标题提到的"shiro项目基本运行架包以及全部的架包shiro-all.jar"正是这个框架的核心组件,集成了Shiro的所有功能模块。 Shiro的主要组成部分包括: 1. **身份验证(Authentication)**:这是确认用户身份的过程,...
shiro入门学习
weixin_43790051的博客
06-05 364
shiro入门学习shiroshiro架构shiro hello worldSpringBoot 集成Shiro1、导入依赖2、创建Shiro配置文件3、添加shiro过滤器4、用户认证5、用户授权6、shiro和Thymeleaf整合 shiro shiro是一个轻量级的安全权限框架,可以完成认证、授权、加密、会话管理、与web集成、缓存等 shiro架构 Subject:应用代码直接交互的对象就是Subject,也就是说Shiro的对外API核心就是Subject,Subject代表了当前用户
shiro学习
hadet的博客
01-22 935
文章目录1.定义:1.1 权限管理:1.2 关于shiro:2.身份认证:2.1 编写代码: 1.定义: 1.1 权限管理: 分类:shiro(Apache) 和 springsecurity 定义:属于系统安全的范畴,实现对用户访问系统的控制,按照安全规则控制用户可以访问且只能访问自己被授权的资源。 包括:身份认证(Authenticator) 和 授权(Authorizer) 1.2 关于shiroshiro官网:https://shiro.apache.org/ shiro的核心架构图 重要部
11、Shiro入门学习
最新发布
执手天涯@的博客
03-14 324
认证授权加密会话管理与web集成缓存User类UserMapper类static {} /*** 根据用户名返回user对象* @param username 用户名} }UserRealm类// 授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
小白的shiro学习路线
Ares_song的博客
09-11 1229
1.权限管理 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 用户身份认证 身份认证,就是判断一个用户是...
shiro权限学习笔记
qq_31914717的博客
02-15 162
一、登录 1、准备加密工具类 (1)静态方法 (2)全局变量 目的:在自定义realm时可以用,而且不被修改 package cn.itsource.aisell.common; import org.apache.shiro.crypto.hash.SimpleHash; public class MD5Utils { public static final String SALT ...
Shiro-全面详解(学习总结---从入门到深化)
12-01 2834
身份认证/登录。权限验证,即判断用户是否能在系统中做某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。提供测试支持。
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 3640
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
shiro入门
trasewell的博客
09-25 935
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro学习一 (开涛的跟我学系列 ) 身份验证
ahaha413525642的博客
10-27 3795
shiro
深入浅出Shiro框架学习教程
Shiro可以与Spring集成,提供了多种集成方式,包括基本应用的配置、Web应用的配置、和Struts2+Spring3的集成、和SpringMVC+Spring3的集成等。 **总结** Shiro是一个功能强大且灵活的安全控制框架,能够满足各种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值