Shiro

最新推荐文章于 2022-08-27 20:10:07 发布
最新推荐文章于 2022-08-27 20:10:07 发布
阅读量2.2k 收藏 42
点赞数 9
分类专栏: shiro JAVA 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/China_I_Love_You/article/details/112759107
版权
JAVA 同时被 2 个专栏收录
24 篇文章 0 订阅
订阅专栏
shiro
3 篇文章 0 订阅
订阅专栏

Shiro基础

  1. 权限管理

    1.1 什么是权限管理?
    • 基本上涉及到用户的系统都需要进行权限管理, 权限管理属于系统安全的范畴, 权限管理实现对用户访问系统的控制
      按照安全规则或则是安全策略, 控制用户可以访问且只能访问自己被授权的资源
    • 权限管理包括用户身份验证授权两部分, 简称认证授权, 对用户进行身份认证,认证通过后才可以访问可以访问的资源

  2. 起步

    <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.5.3</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.5.3</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.5.3</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-aspectj</artifactId>
    <version>1.5.3</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>1.5.3</version>
</dependency>

  3. 第一个程序

    • 配置文件

      [users]
zhangsan=123
lisi=456
wangwu=789

    • java程序

      package com.study;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

/**
 * ClassName:TestAuthenticator
 * Package:com.study
 * Description: study shiro
 *
 * @Date:2021/1/15 20:39
 * @com.chuangmei
 */
public class TestAuthenticator {

    public static void main(String[] args) {

        //1.创建安全管理器对象
        SecurityManager securityManager = new DefaultSecurityManager();

        //2.给安全管理器设置realm
        ((DefaultSecurityManager) securityManager).setRealm(new IniRealm("classpath:shiro.ini"));

        //3.SecurityUtils 给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);

        //4.关键对象 subject主体
        Subject subject = SecurityUtils.getSubject();

        //5.创建令牌
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("lisi","4156");

        try{
            //获取认证状态 未认证返回false 已认证返回true
            System.out.println(subject.isAuthenticated());
            //认证,如果认证成功不会发生异常
            subject.login(usernamePasswordToken);
            //获取认证状态当前为true
            System.out.println(subject.isAuthenticated());
        }catch(UnknownAccountException unknowAccountException){ //用户名错误发生UnknownAccountException异常
            unknowAccountException.printStackTrace();
            System.out.println("账户名不存在!");
        }catch (IncorrectCredentialsException incorrectCredentialsException){ //密码错误 发生IncorrectCredentialsException异常
            incorrectCredentialsException.printStackTrace();
            System.out.println("密码错误!");
        }
    }
}

  4. 认证

    4.1 最终用户名的比较是在SimpleAccountRealm中的doGetAuthenticationInfo方法中进行用户名的校验
    4.2 密码的校验是在AuthenticatingRealm中的assertCredentialsMatch方法中完成的
    4.3
    AuthenticatingRealm 认证realm doGetAuthenticationInfo(自定义realm重写此方法)
    AuthenorizingRealm 授权realm doGetAuthorizationInfo

Shiro实践

  • SimpleAccountRealm

        //认证
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken)token;
        SimpleAccount account = this.getUser(upToken.getUsername());
        if (account != null) {
            if (account.isLocked()) {
                throw new LockedAccountException("Account [" + account + "] is locked.");
            }

            if (account.isCredentialsExpired()) {
                String msg = "The credentials for account [" + account + "] are expired";
                throw new ExpiredCredentialsException(msg);
            }
        }

        return account;
    }

	//授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = this.getUsername(principals);
        this.USERS_LOCK.readLock().lock();

        AuthorizationInfo var3;
        try {
            var3 = (AuthorizationInfo)this.users.get(username);
        } finally {
            this.USERS_LOCK.readLock().unlock();
        }

        return var3;
    }

  • main (测试)

    package com.study;

import com.study.Realm.CustomerRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

/**
 * ClassName:CustomerRealmAuthenticator
 * Package:com.study
 * Description:
 *
 * @Date:2021/1/16 20:40
 * @com.chuangmei
 */
public class CustomerRealmAuthenticator {

    public static void main(String[] args) {

        //创建安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        //设置自定义realm
        defaultSecurityManager.setRealm(new CustomerRealm());

        //将安全管理器添加至工具类
        SecurityUtils.setSecurityManager(defaultSecurityManager);

        //通过安全工具类获取subject
        Subject subject = SecurityUtils.getSubject();

        //创建token
        UsernamePasswordToken token = new UsernamePasswordToken("renyi", "123");

        try{
            System.out.println(subject.isAuthenticated());
            subject.login(token);
            System.out.println(subject.isAuthenticated());
            if (subject.isAuthenticated()){
                System.out.println("登录成功");
            }
        }catch (UnknownAccountException unknownAccountException){
            unknownAccountException.printStackTrace();
            System.out.println("用户名错误!");
        }catch(IncorrectCredentialsException incorrectCredentialsException){
            incorrectCredentialsException.printStackTrace();
            System.out.println("密码错误!");
        }

    }
}

  • CustomerRealm 自定义Realm 需覆盖AuthorizingRealm中的认证和授权方法

    package com.study.Realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * ClassName:CustomerRealm
 * Package:com.study
 * Description:
 *
 * @Date:2021/1/16 20:37
 * @com.chuangmei
 */
public class CustomerRealm extends AuthorizingRealm {


    //授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    //认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //从token中获取username
        String principal = (String) authenticationToken.getPrincipal();
        //renyi应该是数据库中查询到的真实数据
        if ("renyi".equals(principal)){
            /**
             * 创建SimpleAuthenticationInfo对象
             * 参数1: 代表数据库中的用户名
             * 参数2: 代表数据库中的密码
             * 参数3: 表示realm名,可以用getname()方法获取
             */
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo("renyi","123",this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

  • MD5和salt

    • MD5

      • 作用: 一般用来加密或签名
      • 特点: MD5算法不可逆, 而且无论执行多少次, 生成的密文都是相同的!

    • shiroMD5加密

      public class TestShiroMD5 {

    public static void main(String[] args) {

        /**
         * 使用 md5
         */
        Md5Hash md5Hash = new Md5Hash("123");
        //获取加密后的数据
        System.out.println(md5Hash.toHex());

        /**
         * MD5 + salt
         */
        Md5Hash md5Hash1 = new Md5Hash("123","X0*7ps");
        System.out.println(md5Hash1.toHex());

        /**
         *推荐 MD5 + salt + hash散列
         */
        Md5Hash md5Hash2 = new Md5Hash("123","X0*7PS",1024);
        System.out.println(md5Hash2.toHex());

    }

}

  • shiroMD5认证

    • 当我们使用MD5加密后普通的认证无法通过,所以我们需要给认证也加上MD5

    • 自定义Realm

      package com.study.Realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

/**
 * ClassName:CustomerMD5Realm
 * Package:com.study.Realm
 * Description:当我们使用MD5加密后普通的认证无法通过,所以我们需要给认证也加上MD5
 *              MD5 + salt + hash散列
 *
 * @Date:2021/1/17 20:44
 * @com.chuangmei
 */
public class CustomerMD5Realm extends AuthorizingRealm {


    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //principal
        String principal = authenticationToken.getPrincipal().toString();

        //比较用户名
        if ("renyi".equals(principal)){
            /**
             * 此处的renyi和123都是来自数据库的,如果我的密码123经过了md5加密怎么办?
             * 假设此处的123经过了md5 + 随机盐 + hash散列 明文 123 密文 d5a6b89a330bc2d7956092d2652890e0
             * 我们需要修改shiro在进行密码比较时候的默认策略
             */
            return new SimpleAuthenticationInfo(
                    "renyi",
                    "d5a6b89a330bc2d7956092d2652890e0",
                    ByteSource.Util.bytes("X0*7ps"),
                    this.getName());
        }

        return null;
    }
}

    • 测试

      package com.study;

import com.study.Realm.CustomerMD5Realm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

/**
 * ClassName:CustomerMD5RealmAuthenticator
 * Package:com.study
 * Description:
 *
 * @Date:2021/1/17 20:51
 * @com.chuangmei
 */
public class CustomerMD5RealmAuthenticator {

    public static void main(String[] args) {

        //创建安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        //设置realm的hash凭证匹配器
        CustomerMD5Realm realm = new CustomerMD5Realm();
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        //指定MD5算法
        credentialsMatcher.setHashAlgorithmName("md5");
        //指定散列次数
        credentialsMatcher.setHashIterations(1024);
        //设置凭证匹配器
        realm.setCredentialsMatcher(credentialsMatcher);
        //注入realm
        defaultSecurityManager.setRealm(realm);

        //将安全管理器设置到Securityutils
        SecurityUtils.setSecurityManager(defaultSecurityManager);

        //获取主体
        Subject subject = SecurityUtils.getSubject();

        //token
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("renyi", "123");

        //认证
        try {
            System.out.println(subject.isAuthenticated());
            subject.login(usernamePasswordToken);
            System.out.println(subject.isAuthenticated());
            System.out.println("登录成功!");
        } catch (UnknownAccountException unKnowAccountException) {
            unKnowAccountException.printStackTrace();
            System.out.println("用户名错误!");
        } catch (IncorrectCredentialsException incorrectCredentialsException){
            incorrectCredentialsException.printStackTrace();
            System.out.println("密码错误!");
        }

    }

}
编程小白AA
关注
专栏目录
shiro 简介
Zllvincent的博客
09-18 8580
一.What is Apache Shiro? shiro 可以在command line、mobile application、web 中使用的安全框架,其中有4个核心组件。 Authentication: 认证(校验用户身份,常叫做登录) Authorization:授权(可简单理解为授权登录用户某种操作的能力) Cryptography: 加密 Session Management:会话管...
一篇适合小白的Shiro教程
热门推荐
潮汐先生的专栏
12-02 6万+
Shiro的基本使用Shiro简介什么是ShiroShiro核心架构SubjectSecurityManagerAuthenticatorAuthorizerRealmSessionManagerSessionDAOCacheManagerCryptographyShiro中的认证什么是认证三个概念SubjectPrincipalcredential认证的实现Shiro认证的源码分析Shiro使用自定义Relam实现认证CustomerRealmCustomerRealmAuthenticatorTest测
shiro
m0_67476502的博客
04-09 1万+
1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。 2. 在应用程序角度来观察如何使用Shiro完成...
shiro原理
tiantian929的博客
02-19 3980
shiro原理
Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro
MinggeQingchun的博客
08-27 3万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
Shiro介绍
PinkCoder
02-12 1578
Shiro介绍
shiro(详解)
weixin_56404155的博客
06-26 5102
这里写自定义目录标题什么是shiro什么是权限管理什么是身份认证什么是授权SubjectSecurityManagerAuthenticatorAuthorizerRealmSessionManagerSessionDAOCacheManagerCryptography`面试题`认证的开发1. 创建项目并引入依赖2. 引入shiro配置文件并加入如下配置自定义Realm自定义realm使用自定义Realm认证使用MD5和Salt1.自定义md5+salt的realm2.使用md5 + salt 认证shir
Shiro之注解篇
qq_43654581的博客
10-15 2840
1.开启注解功能,比较使用注解 2.解决注解式,登录页和无权访问页面不跳转问题 3.拦截器跟注解同时使用的执行顺序
spring集成shiro详解
u010752885的博客
06-24 6862
shiro说明 springboot集成shiro 前后端分离项目集成shiro shiro集成其他认证方式
shiro(shiro1.3.2)
03-21
Apache Shiro是一个强大且易用的Java安全框架,主要用于处理认证、授权、加密以及会话管理等核心安全性问题。在给定的压缩包"shiro1.3.2"中,包含了Shiro的一个核心组件库"shiro-all-1.3.2.jar"以及两个日志管理库...
Apache shiro 1.13.0源码
最新发布
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
mybatis自连接
China_I_Love_You的博客
08-14 710
表结构 实体类 package com.chuangmei.mybatis.beans; import java.util.Set; public class NewsLabel { //新闻栏目 private Integer id; private String name; //关联属性 private Set<NewsLabel> children; /** * @return the id */ public Integer getId() { ret
抽象方法
China_I_Love_You的博客
08-06 470
抽象方法 1. 抽象类的子类必须重写/覆盖/实现抽象类中的抽象方法,否则编译无法通过 问题: 没有方法体的都是抽象方法吗? 错误 Object中的public native int hashCode(); native: 表示调用本地JVM程序(C++的动态链接库(dll)) public abstract void abstractMethod(); 没有方法体,以分号结尾 在修饰符后面用abstract进行修饰 抽象方法必须出现在抽象类中,但是抽象类中不一定存在抽象
Java HashMap
China_I_Love_You的博客
08-26 377
HashMap HashMap的key就是HashSet集合,无序、不可重复 HashMap底层是一个Hash表,属性有key,value,hash,next 数组中每个元素中的单向链表的每个节点的hash值是相同的,该hash值就是该单向链表所在的元素的 下标,hash值是通过调用key的hashCode()方法经过hash算法得到的. HashMap的put(k,v)方法实现原理: 1. 当调用put(k,v)时,会将传入的key和value封装到Node对象中 2.再调用key的hashCod
Apache Shiro 安全框架教程
Apache Shiro 教程 Apache Shiro 是一个 Java 安全框架,目前越来越多的人使用它,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值