Shiro框架笔记

最新推荐文章于 2022-08-07 23:06:36 发布
最新推荐文章于 2022-08-07 23:06:36 发布
阅读量129 收藏
点赞数
分类专栏: Shiro框架 文章标签: Shiro web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN7353/article/details/88932721
版权

简介:

       百度百科:Shiro
       Shiro 官方主页:http://shiro.apache.org/download.html

身份认证

1) Subject 认证主体
Subject 认证主体包含两个信息:
Principals:身份,可以是用户名,邮件,手机号码等等,用来标识一个登录主体身份;
Credentials:凭证,常见有密码,数字证书等等;

2)身份认证流程
在这里插入图片描述
/**
*

  • 身份认证
  • Subject 认证主体
  • Subject 认证主体包含两个信息:
  • Principals:身份,可以是用户名,邮件,手机号码等等,用来标识一个登录主体身份;
  • Credentials:凭证,常见有密码,数字证书等等;
  • @author Administrator

*/
public class JdbcRealmTest {

public static void main(String[] args) {
	/**
	 * 读取配置文件,初始化SecurityManager工厂
	 */
	Factory<SecurityManager> factory=
			new IniSecurityManagerFactory("classpath:jdbc_realm.ini");
    /**
     * 获取securityManager实例
     */
	SecurityManager securityManager=factory.getInstance();
	/**
	 * 把securityManager实例绑定到SecurityUtils
	 */
	SecurityUtils.setSecurityManager(securityManager);
    /**
     * 得到当前执行的用户
     */
   Subject currentUser=SecurityUtils.getSubject();
   /**
    * 创建token令牌,用户名/密码
    */
   UsernamePasswordToken token=new UsernamePasswordToken("java1234","123456");
     try{
   /**
    * 身份认证
    */
     currentUser.login(token);
     System.out.println("身份认证成功");
     }catch(AuthenticationException e){
    	 e.printStackTrace();
    	 System.out.println("身份认证失败");
     }
     //退出
     currentUser.logout();
}

}

3)Realm & JDBC Realm
Realm:域,Shiro从Realm中获取验证数据;
Realm 有很多种类,列如常见的jdbc realm, jndi realm, text realm。

权限认证(授权)

1)权限认证核心要素
权限认证,就是访问控制,即在应用中控制谁能访问哪些资源。
在权限认证中,最核心的三要素是:权限、角色和用户;
权限,即操作资源的权利,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利;
角色,即权限的集合,一个角色中可以包含多种权限;
用户,在Shiro中,代表访问系统的用户,即Subject;

2)授权
1.编程式授权
1.1 基于角色的访问控制
1.2 基于权限的访问控制
2.注解式授权
@RequiresAuthentication 要求当前的Subject以及在当前的session中被验证通过才能被访问或调用。
@RequiresGuest 要求当前的Subject是一个"guest",也就是必须在之前的session中没有被验证或者被记住才能被访问或者被调用
@RequiresPermissions(“account:create”) 要求当前的Subject被允许一个或多个权限,以便执行注解的方法。
@RequiresRoles(“administrator”)要求当前的Subject拥有指定的角色,若没有,则该方法将不会被执行,而且AuthorizationException 异常将会抛出。

3.JSP标签授权
Guest标签:用户没有身份认证时显示相应的信息,即游客访问信息
User标签:用户已经身份认证/记住我登录后相应的信息
Authenticated标签:用户已经身份认证通过,即Subject.login 登录成功,不是记住我登录的。
notAuthenticated标签:用户没有身份认证通过,既没有调用Subject.login登录,包括记住我自动登录的也属于未进行身份验证。
principal标签:显示用户身份信息,默认调用Subject.getPrincipal()获取,即Primary Principal。
hasRole标签:如果当前Subject有角色将显示body体内容
lacksRole标签:如果当前Subject没有角色将显示body体内容。
hasAnyRoles标签:如果当前Subject有任意一个角色(或的关系)将显示body体内容。
hasPermission标签:如果当前Subject有权限将显示body体内容。
lacksPermission标签:如果当前Subject没有权限将显示body体内容。

3)授权流程
在这里插入图片描述

集成WEB

1)配置
2)Shiro集成Web具体使用
Url匹配方式
?匹配一个字符/admin? 可以匹配/admin1 /admin2 但是不能匹配/admin1 2/admin

  • 匹配零个或者一个或者多个字符/admin* 可以匹配/admin /admin1/admin12 但是不能匹配/admina/abc
    ** 匹配零个或者多个路径/admin/** 可以匹配/admin/admin/a /admin/a/b

登录授权 /身份认证
public class MyRealm extends AuthorizingRealm{

private UserDao userDao=new UserDao();
private DbUtil dbUtil=new DbUtil();
/**
 * 为当前登录的用户授予角色和权限
 */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
	/**
	 * 登录成功后 
	 * 通过userName获取权限 角色
	 */
	String userName=(String) principals.getPrimaryPrincipal();
	SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();
	Connection con=null;
	try{
		con=dbUtil.getCon();
		authorizationInfo.setRoles(userDao.getRoles(con,userName));
		authorizationInfo.setStringPermissions(userDao.getPermissions(con, userName));
		
	}catch(Exception e){
		e.printStackTrace();
	}finally{
		try{
			dbUtil.closeCon(con);
			
		}catch(Exception e){
			e.printStackTrace();
		}
	}
	return authorizationInfo; //返会的是一些权限封装的信息
}

/**
 * 验证当前登录的用户
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
	String userName=(String)token.getPrincipal(); //获取用户名 密码
	Connection con=null;
	try{
		con=dbUtil.getCon();
		User user=userDao.getByUserName(con, userName);
		if(user!=null){
			AuthenticationInfo authcInfo=new SimpleAuthenticationInfo(user.getUserName(),user.getPassword(),"xx");
		    return authcInfo;
		}else{
			return null;
		}
		
	}catch(Exception e){
		e.printStackTrace();
	}finally{
		try{
			dbUtil.closeCon(con);
		}catch(Exception e){
			e.printStackTrace();
		}
	}
	return null;  //即用户名/密码不对  返回nulls
	

}

}

加密

/**

  • 加密解密
  • @author Administrator

/
public class CryptographyUtil {
/*

  • base64加密 可逆

  • @param str

  • @return
    /
    public static String encBase64(String str){
    return Base64.encodeToString(str.getBytes());
    }
    /    *

    • base64解密
    • @param str
    • @return
      */
      public static String decBase64(String str){
      return Base64.decodeToString(str);
      }

    /**

    • Md5加密
    • @param str
    • @param salt
    • @return
      */
      public static String md5(String str,String salt){
      return new Md5Hash(str,salt).toString();
      }

    /**
    *测试加密解密效果

    • @param args
      */
      public static void main(String[] args) {
      String password=“123456”;
      System.out.println(“Base64解密:”+CryptographyUtil.encBase64(password));
      System.out.println(“Base64解密:”+CryptographyUtil.decBase64(CryptographyUtil.encBase64(password)));

    System.out.println(“Md5加密:”+CryptographyUtil.md5(password, “java1234”));
    }
    }

转自:http://www.java1234.com网址

csdn7353
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro框架教案+笔记+sql脚本+项目案例
08-14
shiro框架教案+笔记+sql脚本+项目案例,一键解压,资源全面
shiro学习笔记
04-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。Shiro 不仅可以用于Java Web 应用,也可以用于任何Java应用,如Java桌面应用或者...
自学Shiro框架笔记
偏执即为魔的博客
02-14 2500
Shiro框架笔记 一、Shiro概述 1.1 什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 2.shiro特性: Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限。如:验证某个用户是否拥有某个角色,
Shiro框架学习笔记
weixin_46577581的博客
08-29 154
一、概念 shiro是一个安全框架,主要可以帮助我们解决程序开发中认证和授权的问题。基于拦截器做的权限系统,权限控制的粒度有限,为了方便各种各样的常用的权限管理需求的实现,我们有必要使用比较好的安全框架,于是就出现了shiro安全框架,学习成本降低了很多,而且基本的功能也比较完善。 二、shiro提供的功能 1、Authentication:身份认证/登陆,验证用户是不是拥有相对应的身份; 2、Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的
shiro框架学习笔记
小X的书屋
10-05 212
最近学习了 权限框架shiro的知识,做一下 学习的笔记 使用ini 这是shiro 最简单的用法,首先创建一个demo.ini文件,里面写入如下的内容 [users] xiezihao=123456,admin [roles] admin = user.insert,user.update 下面对上面的配置进行一下解释 [users] 代表的是用户,之后在代码中做登录的时候使用,比如这里...
Shiro框架学习笔记(一)
ѧѦ ѧ
08-01 235
权限管理(一) 权限概述: 控制用户只可以访问且只能访问自己被授权的资源 认证: ​ 就是用户登录, 系统验证用户额合法性, 常用的方式: 用户名密码, 指纹打卡, 证书验证 subject主体: 相当于用户, 或者是程序, 就是对系统资源的访问者 principal身份信息: 主身份信息是唯一的, 一个主体有多个身份信息 credential 凭证信息: 密码 ....
shiro课堂笔记
04-20
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在"Shiro课堂笔记"中,我们可以深入理解Shiro的核心概念和实际应用。 1. **Shiro基础*...
shiro学习笔记.rar
10-06
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地为应用程序提供安全保障。本学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,...
Shiro安全框架学习笔记
weixin_30273175的博客
02-27 92
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份;(2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某...
shiro安全框架的学习笔记
weixin_44720982的博客
08-07 1083
shiro安全框架的使用 shiro整合ssm框架 shiro整合springboot框架
学习shiro框架记的一次随笔
KevinLoveJava
08-16 117
shiro安全权限框架. 可以做:认证、授权、会话管理、加密、与Web 集成、缓存等 Applciation Code Subject shiro SecurityManager UsernamePasswordToken Realm (相当于securitymanager 的dao) permitted 被许可 行为 认证 、 角色 、 行为(permitted 可以理解成权限) 用户是否具有某个行为.subject.isPermitted(“权限”); shiroFilter 配置shir
Shiro笔记(一)----Shiro安全框架简介
热门推荐
fendo
02-14 5万+
一、Shiro简介 Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成
Shiro框架实现登录的学习笔记
KimiKudo的博客
01-30 1661
这两天公司的项目单独分离出了一个后台管理方向的项目,作为一个单独的项目,于是重新新建了用户表.导致必须要重写一个登录接口. 由于公司之前的登录是通过Shiro框架写的.之前没有接触过,通过这次稍微了解学了一下.做一个笔记.而且项目组长也给了一些指点,正好整理一下 暂时来不及整理!回头再说! ...
Shiro框架学习笔记(一)
weweeeeeeee的博客
05-15 1166
#Shiro框架学习笔记(一)################################################################################一、sessionValidationScheduler的使session失效执行流程(SessionManeger)##############################################...
Shiro安全框架【快速入门】就这一篇!
anye0005的博客
01-06 386
Shiro 简介 照例又去官网扒了扒介绍: Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to...
java安全框架-Shiro学习笔记(四)-注解式授权+Jsp标签授权
绝版灬小伙的博客
06-27 489
一,注解式授权 @RequiresAuthentication 要求当前Subject 已经在当前的session 中被验证通过才能被访问或调用。 @RequiresGuest 要求当前的Subject 是一个"guest",也就是说,他们必须是在之前的session 中没有被验证或被记住才能被访问或调用。 @RequiresPermissions("account:create") 要求当
Android与Vue.js的跨平台开发指南
07-12
Android 和 Vue 是两个在技术栈和平台上都不同的概念,但它们可以间接地联系在一起: 1. **Android**: - Android 是一个基于Linux的开源操作系统,主要被用于移动设备如智能手机和平板电脑,以及可穿戴设备、电视等。 - Android 应用开发通常使用Java或Kotlin作为编程语言,并且使用Android SDK进行开发。 2. **Vue**: - Vue.js(通常简称为Vue)是一个开源的JavaScript框架,用于构建用户界面和单页应用程序(SPAs)。 - Vue 使用HTML、CSS和JavaScript(Vue特定的语法糖)来构建前端界面。 尽管Vue主要用于Web前端开发,但存在一些方法可以将Vue.js与Android集成: - **WebView**: - Android应用可以使用WebView组件来加载和显示基于Vue.js开发的Web应用,就像在应用中嵌入一个浏览器窗口。 - **跨平台框架**: - 使用跨平台移动应用开发框架,如NativeScript、Weex或React N
基于SpringBoot家政服务管理系统.docx
最新发布
07-12
随着家政服务行业的不断发展,家政服务在现实生活中的使用和普及,家政服务行业成为近年内出现的一个新行业,并且能够成为大众广为认可和接受的行为和选择。设计家政服务管理平台的目的就是借助计算机让复杂的销售操作变简单,变高效。 家政服务管理平台采用了B/S结构,JAVA作为开发语言,数据库采用了B/S结构,MySQLl数据库进行开发。该系统包括前台操作和后台管理两个部分,一方面,为用户提供首页、服务信息、公告信息、留言反馈、个人中心、后台管理等功能;另一方面,为管理员提供首页、个人中心、用户管理、服务人员管理、服务信息管理、服务类型管理、服务预约管理、服务取消管理、服务分配管理、服务进度管理、评价信息管理、留言反馈、系统管理等功能。 此文档欢迎大家下载学习!
java shiro框架
05-17
Java Shiro框架是一个开源的安全框架,它提供了身份认证、授权、加密、会话管理等功能,可以帮助开发者轻松地实现安全功能,减少安全漏洞。Shiro框架不依赖于任何容器,可以与任何Java应用程序集成,支持多种身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值