shiro小而美的安全框架

最新推荐文章于 2024-09-22 22:15:03 发布
最新推荐文章于 2024-09-22 22:15:03 发布
阅读量460 收藏 1
点赞数 1
分类专栏: 学习笔记 文章标签: java shiro 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ecilipse/article/details/72650609
版权

最近项目需要利用shiro来进行权限管理实现,本人也是第一次接触,写的不好还请见谅。
首先shiro是一个java的安全框架,能够帮我们实现登录认证,权限认证等其他功能,如rememberMe。
主要关注点如下:

  1. Subject:可以看成当前用户
  2. Token:令牌,包含当前用户利用form表单提交的用户名和密码信息
  3. Authentication:身份认证,可以理解成当前用户的用户名和密码验证
  4. Authorization:权限认证,可以理解成当前用户访问某个资源时的权限判断
  5. Realm:安全数据源,可以理解成当前用户相关的身份信息及权限相关信息(暂时可以这么理解)

整体结构大致如下:

How
有关shiro的dependencies大致如下:(特别注明:这里页面模板引擎用的是Thymeleaf而不是jsp)

        <!-- shiro -->
        <dependency>  
            <groupId>org.apache.shiro</groupId>  
            <artifactId>shiro-core</artifactId>  
            <version>1.2.2</version>  
        </dependency> 
        <!-- shiro -web -->
        <dependency>  
        <groupId>org.apache.shiro</groupId>  
            <artifactId>shiro-web</artifactId>  
            <version>1.2.2</version>  
        </dependency>
        <!-- shiro-spring -->
         <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.2</version>
        </dependency>
        <!-- 以下为thymeleaf权限标签,如果不是用Thymeleaf请忽略 -->
        <!-- shiro-thymeleaf-tag -->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
  </dependencies>

增加完shiro相关依赖就需要我们在spring的配置文件中增加如下配置:

        <!-- 自定义的Realm -->
        <bean id="userRealm" class="com.myjava.realm.UserRealm">
            <property name="credentialsMatcher" ref="credentialsMatcher"></property>
        </bean>
        <!-- 安全管理器 -->
        <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
            <property name="realm" ref="userRealm"/>
            <!-- 会话管理及rememberMe,可以等到需要时再配置 -->
            <property name="sessionManager" ref="defaultWebSessionManager"/>
            <property name="rememberMeManager" ref="remembermeManager"/>
        </bean>
        <!-- 密码匹配器 -->
        <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
            <!-- 指定加密算法,此处是MD5 -->
            <property name="hashAlgorithmName" value="md5"/>
            <property name="hashIterations" value="2"></property>
        </bean>

        <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->  
        <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">  
            <property name="staticMethod"   
                value="org.apache.shiro.SecurityUtils.setSecurityManager"/>  
            <property name="arguments" ref="securityManager"/>  
        </bean>  
        <!-- Shiro生命周期处理器-->  
        <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

先从登录开始,其实shiro中的默认的过滤器就已经帮助我们实现从登录(login)到身份认证(authentication),我们只需要在shiro的配置文件中配置好过滤器即可,但是这里为了更清晰了解这个过程,先自己写一个登录的Controller,如下:

@RequestMapping("/login")
public String login(User user, ModelMap mm , HttpSession session,HttpServletResponse response,RedirectAttributes attrs ) {
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername() , user.getPassword()) ;
        //rememberMe
        token.setRememberMe(true);
        //获取主体
        Subject subject = SecurityUtils.getSubject() ;
        try {
            //登录
            subject.login(token);
        } catch (AuthenticationException e) {
            System.out.println("---------------用户名或者密码错误-------------------");
            attrs.addFlashAttribute("msg","用户名或密码错误") ;
            e.printStackTrace();
            return "redirect:toLogin.action" ;
        }
        subject.getSession().setAttribute("user", userService.getByUserName(user.getUsername()));
        return "redirect:index.action";
    }

由于用户输入的username及password需要利用数据库中的信息进行对比,这必然涉及到数据库的交互,而shiro将这个交互封装到Realm中,即shiro通过Realm获取信息,而realm才真正从数据库中获取信息。所以我们需要自定义一个Realm,如下:

public class UserRealm extends AuthorizingRealm{
    @Autowired
    private RoleService roleService  ;
    @Autowired
    private UserService userService ;
    @Autowired
    private PermissionService permissionService ;
    //保存当前用户的授权信息
    private SimpleAuthorizationInfo info = new SimpleAuthorizationInfo() ;
    /**
     * 获取用户授权信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();
        /**
         * 将用户角色信息放入SimplAuthorizationInfo
         */
        info.setRoles(this.addRoles(username));
        /**
         * 将用户权限信息放入SimpleAuthorizationInfo中
         */
        info.setStringPermissions(this.addPermissions(username));

        return info;
    }
    /**
     * 获取用户身份信息
     * CredentialsMatcher会进行密码验证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {
        //用户输入的用户名和密码
        String username = (String) token.getPrincipal() ;
        //数据库查找的user
        User accountUser = userService.getByUserName(username) ;
        //验证
        if(accountUser == null) throw new UnknownAccountException() ;
        //会调用credentialMatcher进行密码验证
        return new SimpleAuthenticationInfo(accountUser.getUsername(),accountUser.getPassword(),new SimpleByteSource(accountUser.getSalt()),getName());
    }

注意以上override的两个方法,doGetAuthenticationInfo是获取用户认证信息,doGetAuthorizationInfo是获取用户权限信息。
执行流程如下:
1. 将form表单传来的用户信息封装到UsernamePasswordToken 中。
2. 通过Subject subject = SecurityUtils.getSubject() ; 获取subject主体。
3. 执行登录行为subject.login(token); 之后委托给securityManager执行真正的login操作,也是说securityManager才是真正的核心。
4. shiro会自动获取配置好的Realm(可以有多个),如上面自定义的UserRealm,在Realm中获取当前username对应的用户相关信息(如username,password……)
5. 内部会调用之前配置好的HashedCredentialsMatcher密码匹配器进行密码验证(期间会根据指定的算法进行密码的加密),如果匹配失败则会抛出IncorrectCredentialsException。

登录成功后subject.isAuthenticated()就会return true.至此登录的雏形就完成了。

未完待续……

leofee
关注
专栏目录
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
安全框架shiro入门示例
lucasma的博客
06-26 1236
最近做了一个简单的线上支付网关。就是接收客户端发起的支付请求,然后转发给第三方的支付通道处理。这个网关是公司内部使用的,接口都是自定义的。为了防止外部攻击,我用shiro做了一个简易的授权机制。 基本原理 原理也很简单,客户端的请求报文如下(考虑到保密性,做了部分删减): http://localhost:8080/paygateway/core/pay?amount=2&amp;s...
安全框架-Shiro
有梦才叫青春
05-29 1668
什么是Shiro        Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Shiro能做什么         认证:验证用户来核实他们的身份         授权:对用户执行访问控制,如: 判断用户是否被分配了一个确定的安全角色;判断用户是否被允许做某事;         会话管理:在任何环境下使用Session API,即使没有
Shiro笔记(一)----Shiro安全框架简介
热门推荐
fendo
02-14 5万+
一、Shiro简介 Apache ShiroJava的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成
Shiro的原理及Web搭建
weixin_30437481的博客
02-27 280
shirojava安全框架)     以下都是综合之前的人加上自己的一些小总结     Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Shiro 主要分为来个部分就是认证和授权,在个人感觉来看就是查询数据库做相...
01 | 小而美的日志框架 timber(上)核心原理
ASCE1885
06-22 5700
作者简介:ASCE1885,《Android 高级进阶》 和 《Android 高级进阶(源码剖析篇)》作者。 本文由于潜在的商业目的,未经授权不开放全文转载许可,谢谢! 本文分析的源码版本已经 fork 到我的 Github。 无论是前端开发还是后端开发,日志记录都是一个不可或缺的底层基础模块,本文剖析的 timber 是 JakeWharton 开源的一个小而美的日志框架...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
Java安全框架Shiro电子书
04-07
Apache ShiroJava 的一个安全框架。目前,使用Apache Shiro 的人越来越多,因为它相 当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以...
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
Apache Shiro安全框架(1)-整体功能介绍
一点点的积累
06-16 3724
Apche shiroJava的常用安全框架之一,也是目前Java使用最多的安全框架。主要的核心功能包括:认证、授权、会话管理、加密。也提供了额外的功能支持在不同环境所关注的问题。例如:支持web的API、缓存、记住用户身份等。Apache  shiro的功能结构图如下:高层次概览从Apche shiro 的高层次来看整个shiro 的内部结构可以概括如下:用户通过shiro中Subject类实...
shiro安全框架---shiro的应用理解
凌大大的博客
02-13 7172
shiro的简单介绍   我没有用过Spring Security,听别人说是功能多于shiroshiro简单一些,当然没有用过,我也就不做评价了,因为项目在用shiro,在同事们的帮助下,从零到现在基本能完成登录授权、权限验证、会话管理等的功能,对shiro的问题基本都熟悉了很多了。打算写一下,权当复习一下。   在这里给大家推荐一个文章开涛的博客,我并没有详细看过shiro的概念...
第九篇:Shiro安全框架简介
weixin_43532884的博客
01-23 247
1:Shiro概述 shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权,加密,会话管理等功能,组成了一个通用的安全认证框架,使用shiro就可以非常快速的完成认证,授权等功能的开发,降低系统成本 2:shiro概要架构 在概念层中,shiro架构包含三个主要的理念:Subject,SecurityManager和Realm 3:Shi...
Java安全架构概览
哎呦哥哥的博客
01-30 1万+
介绍 Java平台在设计的时候就着重与安全方面,在Java核心设计中,Java语言本身就是类型安全的,并且提供了自动垃圾收集机制,用于增强代码的健壮性,类在加载时需要被验证,用于保证只有合法的Java代码会被执行。 初始的Java平台创建了一个安全的运行环境,用于执行那些可能不被信任的代码,例如从公共网络上下载下来的Java applets。随着平台的成长以及部署范围的扩展,Java安全体系结
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3992
一、Shiro框架简单介绍 Apache ShiroJava的一个安全框架,旨在简化身份验证和授权。ShiroJavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
qq oauth java_Java领域最安全框架,SpringSecurity实战教程
weixin_39587164的博客
11-26 177
spring security 简介SpringSecurity是一个强大且高度可定制的安全框架,致力于为Java应用提供身份认证和授权。 spring security 的核心功能主要包括:认证 (你是谁)授权 (你能干什么)攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在...
Arthas sysenv(查看JVM的环境变量)
刘大猫
09-21 315
Arthas sysenv(查看JVM的环境变量)
智能BI平台项目
最新发布
2302_79400545的博客
09-22 61
BI商业智能:数据可视化、报表可视化系统。
faiss安装 (CPU版本)
CSDN_WHB的博客
09-20 224
faiss版本 faiss-v1.7.4。
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
weixin_43860634的博客
09-14 1017
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
Shiro安全框架深度解析
"这篇文档是关于Apache Shiro安全框架的全程讲解,涵盖了从基础到高级的各种功能,包括身份验证、授权、配置、Web集成、拦截器机制、JSP标签、会话管理和缓存机制,以及如何与Spring框架进行集成。" Apache Shiro是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值