Shiro基础教程

最新推荐文章于 2024-05-01 06:09:37 发布
最新推荐文章于 2024-05-01 06:09:37 发布
阅读量2.2k 收藏 13
点赞数 2
分类专栏: 基础篇 文章标签: Shiro教程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/I_No_dream/article/details/92799372
版权

什么Shiro?

  1. Apache的强大灵活的开源安全框架
  2. 提供, 认证, 授权, 企业会话管理, 安全加密, 缓存管理

一般我们使用Shiro能够快捷方便的完成项目里的权限管理模块开发

Shiro与Spring Security

Apache ShiroSpring Security
简单,灵活,轻量级复杂,笨重,重量级
可脱离Spring不可脱离Spring
粒度较粗粒度更细

我个人更喜欢用Shiro, 主要因为它比较简单, 灵活, 有些没有的功能我们可以自己去拓展. 权限粒度较粗这一块, 因为我们基本上是基于资源去做权限控制. 如果我们要做数据权限的话, 一定会和我们业务代码耦合, 所以Spring Security的控制粒度更细也没有体现出来, 或者说没有体现的很明显. 而且Spring的官网它也是用的Shiro做安全管理.

Shiro整体架构

在这里插入图片描述

  • 首页最上面浅黄的部分可以理解为当前的----操作用户

Security Manager部分是我们Shiro的核心. 我们来看一下它的组件

  • Authenticator(认证器)管理我们的登陆, 登出
  • Authorizer(授权器) 赋予我们主体的权限
  • SessionManager(会话管理器)可以不在不借助任何web容器下使用Session
  • SessionDAO(会话操作)提供了Session的操作, 主要是有增删改查
  • CacheManager(缓存管理器)利用缓存管理器可以缓存我们的角色数据和权限数据
  • PluggableRealms(插接式连接器)Shiro获取认证信息, 权限数据, 角色数据, 连接数据库
  • Cryptography(加密器)可以使用它, 非常快捷便利的行进加密

用户提交请求到SecurityManager, SecurityManager调用认证器去做一个认证, 而认证器是通过插接式连接器, 从数据库中查询获取到认证信息. 授权器同样如此.

Shiro认证

  1. 创建SecurityManager对象, 构建SecurityManager的环境
  2. 主体提交认证(也就是上图中的最上面部分,操作用户)到SecurityManager进行认证
  3. SecurityManager调用Authenticator(认证器)进行认证, 进行认证的时候需要使用PluggableRealms(插接式连接器)获取认证数据, 然后再进行认证.

认证小demo(可以改一下不正确的角色认证试试看会有什么效果)

SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();

    @Before
    public void addUser(){
        //添加一个用户
        simpleAccountRealm.addAccount("ljj","123");
    }

    @Test
    public void testAuthentication(){
        //1. 构建SecurityManager环境
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(simpleAccountRealm);//设置Realm环境

        //2. 主体提交认证请求
        SecurityUtils.setSecurityManager(manager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ljj","123");//存放验证数据
        subject.login(token);//进行验证

        //是否认证成功
        System.out.println(subject.isAuthenticated());

        //登出
        subject.logout();

        System.out.println(subject.isAuthenticated());
    }

Shiro授权

shiro授权和基本一致, 只不过是将Authenticator(认证器)更换成了Authorizer(授权器)

授权小demo (可以改一下不正确的角色权限试试看会有什么效果)

	@Before
    public void addUser(){
        //添加一个用户, 并赋予角色权限,可以有多个角色
        simpleAccountRealm.addAccount("ljj","123","admin","user");
    }

	@Test
    public void testAuthentication(){
        //1. 构建SecurityManager环境
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(simpleAccountRealm);//设置Realm环境

        //2. 主体提交认证请求
        SecurityUtils.setSecurityManager(manager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ljj","123");//存放验证数据
        subject.login(token);//进行验证

        //是否认证成功
        System.out.println(subject.isAuthenticated());

        //权限认证, 单个是checkRole, 多个才要加 s
        subject.checkRoles("admin","user");
    }

Shiro—IniRealm

首页我们得在resources文件夹下创建一个*.ini文件
在这里插入图片描述
内容如下

[users]    //认证信息, 角色权限
ljj=123,admin
[roles]   //角色权限限制
admin=user:delete,user:update

java代码

@Test
    public void testAuthentication(){
		//创建IniRealm对象
        IniRealm iniRealm = new IniRealm("classpath:user.ini");

        //1. 构建SecurityManager环境
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(iniRealm);//设置Realm环境
        //2. 主体提交认证请求
        SecurityUtils.setSecurityManager(manager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ljj","123");//存放验证数据
        subject.login(token);//进行验证

        //是否认证成功
        System.out.println(subject.isAuthenticated());

        subject.checkRole("admin");

        //判断是否具有对应操作的权限
        subject.checkPermission("user:update");
    }

大家可以尝试认证错误信息以及错误权限看看会发生什么情况

Shiro----jdbcRealm

感谢大家的关注, 关于连接数据库进行认证与授权的教程我将在Shiro实战教程中去编写, 点个赞支持一下作者.

Shiro—自定义

自定义Realm需要继承于AuthorizingRealm, 并且实现它的两个方法, 如下

	/**
     * 授权
     * @param principalCollection 授权信息
     * @return
     */
	@Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

	/**
     * 认证
     * @param authenticationToken 认证信息
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        return null;
    }

如注释所描述一样, 在其方法中便可进行认证与授权了.

认证

public class CustomRealm extends AuthorizingRealm {

    Map<String, String> userMap = new HashMap<>();
    {
        userMap.put("ljj","123");
        //realmName可以随意取名
        super.setName("customRealm");
    }

    /**
     * 认证
     * @param authenticationToken 认证信息
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //1.从主体传过来的认证信息中,获取用户名
        String userName = (String) authenticationToken.getPrincipal();

        //2.通过用户名到数据库中获取凭证
        String password = getPasswordByUserName(userName);
        //如果不存在
        if (password == null) {
            return null;
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                "ljj",password,"customRealm");
        return authenticationInfo;
    }

    /**
     * 模拟数据库查询凭证
     * 一般我们需要在这里连接数据进行验证, 由于我这只是一个小demo就直接写了一个map
     * 大家可以去连接数据库进行验证
     * @param userName
     * @return
     */
    private String getPasswordByUserName(String userName){
        return userMap.get(userName);
    }

测试类

	@Test
    public void testAuthentication(){

        CustomRealm customRealm = new CustomRealm();

        //1. 构建SecurityManager环境
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(customRealm);//配置环境
        //2. 主体提交认证请求
        SecurityUtils.setSecurityManager(manager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ljj","123");//存放验证数据
        subject.login(token);//进行验证

        //是否认证成功
        System.out.println(subject.isAuthenticated());

授权:

	/**
     * 授权
     *
     * @param principalCollection 授权信息
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        String userName = (String) principalCollection.getPrimaryPrincipal();
        //从数据库或者缓存中获取角色数据
        Set<String> roles = getRolesByUserName(userName);
        //从数据库或者缓存中获取权限数据
        Set<String> permissions = getPermissionsByUserName(userName);
        //创建SimpleAuthorizationInfo对象, 返回得到的数据
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //设置权限
        simpleAuthorizationInfo.setStringPermissions(permissions);
        //设置角色
        simpleAuthorizationInfo.setRoles(roles);
        return simpleAuthorizationInfo;
    }

    /**
     * 模拟数据库查询权限
     * @param userName
     * @return
     */
    private Set<String> getPermissionsByUserName(String userName) {
        Set<String> sets = new HashSet<>();
        sets.add("user:delete");
        sets.add("user:add");
        return sets;
    }

    /**
     * 模拟数据库查询授权
     * 这里和getPasswordByUserName一样
     *
     * @param userName
     * @return
     */
    private Set<String> getRolesByUserName(String userName) {
        Set<String> sets = new HashSet<>();
        sets.add("admin");
        sets.add("user");
        return sets;
    }

测试类
在认证测试类中加上这两句, 同样,大家可以尝试一下错误的认证与授权, 看看会发生什么情况

	//判断是否具有此角色信息
	subject.checkRole("admin");
     //判断是否具有对应操作的权限
    subject.checkPermissions("user:add","user:delete");

Shiro加密

Shiro散列配置

  • HashedCredentialsMatcher
  • 自定义Realm中使用散列
  • 盐的使用

首先我们先要创建一个HashedCredentialsMatcher工具类

	@Test
    public void testAuthentication(){

        CustomRealm customRealm = new CustomRealm();

        //1. 构建SecurityManager环境
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(customRealm);//配置环境

        //创建工具类
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //设置加密的名称,加密方式
        matcher.setHashAlgorithmName("md5");
        //设置加密的次数
        matcher.setHashIterations(1);
        //在自定义的Realm中配置HashedCredentialsMatcher对象
        customRealm.setCredentialsMatcher(matcher);


        //2. 主体提交认证请求
        SecurityUtils.setSecurityManager(manager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ljj","123");//存放验证数据
        subject.login(token);//进行验证

        //是否认证成功
        System.out.println(subject.isAuthenticated());

//        subject.checkRole("admin");
//
//        //判断是否具有对应操作的权限
//        subject.checkPermissions("user:add","user:delete");
    }

在自定义类中创建main方法, 使用md5获得加密后的密码

		public static void main(String[] args) {
        //得到加密数据
        Md5Hash md5Hash = new Md5Hash("123");
        System.out.println(md5Hash.toString());
   	 }

更改map里的密码为加密后的数据(数据库里的密码都是经过加密的只不过我这里的map是用来模拟)

但是由于密码只进行了一次加密, 安全级别还是达不到我们所需要的级别, 所以我们需要进行加盐.
获得加盐数据

 public static void main(String[] args) {
        //得到加盐数据
        Md5Hash md5Hash = new Md5Hash("123","ljj");
        System.out.println(md5Hash.toString());
    }

更改map里面的密码
我们还需要在认证方法中添加这样一句代码
authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(“ljj”)); 需要把所加的盐设置进SimpleAuthenticationInfo

	 /**
     * 认证
     *
     * @param authenticationToken 认证信息
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //1.从主体传过来的认证信息中,获取用户名
        String userName = (String) authenticationToken.getPrincipal();

        //2.通过用户名到数据库中获取凭证
        String password = getPasswordByUserName(userName);
        //如果不存在
        if (password == null) {
            return null;
        }
        //创建SimpleAuthenticationInfo,返回数据
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                "ljj", password, "customRealm");
        //需要把所加的盐设置进来               直接将字符串转换成ByteSource对象
        authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes("ljj"));
        return authenticationInfo;
    }

在下一篇博客中, 我将带着大家从数据库和缓存中获取数据, 跟真实的项目完全一致, 谢谢大家的关注

springBoot整合Shiro实战教程

https://blog.csdn.net/I_No_dream/article/details/93227335

菜鸟想飞的很高
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro简介及入门
qq_44847231的博客
10-13 446
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiro与web容器的集成 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
shiro入门
trasewell的博客
09-25 843
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro入门使用
yjt520557的博客
02-19 361
1. 什么是shiro  shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。    spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。    shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,    分布式系统权限管...
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
05-01 309
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 4765
Shiro入门概述与基本使用
Shiro基础(1)
weixin_67696142的博客
06-23 191
Shiro基础(1)
Shiro基础教程-跟着开哥学Shiro
12-16
Shiro基础教程-跟着开哥学Shiro Web或Standalone Application Security Framework
Shiro全面教程
09-16
Apache Shiro 是一个强大且易用的...通过这个全面教程,你不仅可以掌握 Shiro基础,还能深入了解其在实际项目中的应用,为你的应用安全提供有力保障。学习并熟练运用 Shiro,能够让你在处理安全问题时更加得心应手。
shiro视频教程
12-18
**一、Shiro基础** 1. **认证(Authentication)**:这是验证用户身份的过程。Shiro提供了一套完整的认证流程,包括凭证匹配、身份验证等,使得开发者能够方便地进行用户登录验证。 2. **授权(Authorization)**...
Shiro-pdf教程
11-17
通过这个教程,你可以了解到Shiro的基本概念和API,为后续更深入的学习打下基础。 总结来说,Apache Shiro 是一个全面的安全框架,能够满足各种类型应用程序的安全需求,提供简洁的API来处理复杂的安全问题。无论是...
shiro技术大讲堂.rar_highergck_shiro_shiro教程
09-20
8. **最佳实践**:除了基础使用方法,教程还可能涵盖了Shiro的高级特性,比如安全管理的设计模式、性能优化以及常见问题的解决策略。 通过这个"shiro技术大讲堂",学习者不仅可以掌握Shiro的基本用法,还能了解到...
快速入门Shiro
JunDong的博客
06-01 2057
讲解结合案例,Shiro入门,看这篇就够了。
Shiro最全基础教程
思月行云
10-18 2376
以下引自百度百科shiro(java安全框架)_百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(一)主要功能三个核心组件:Subject,SecurityManager 和 Realms。
shiro如何使用详解
9527的博客
04-06 6357
一.Shiro能做什么。 Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单 (注意:记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可)二.Shiro使用步骤。1.先把账号密码传入Shiro里面的UsernamePasswor...
Shiro 实战教程(全)
swy2560666141的博客
04-25 1491
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。
Shiro教程八步曲(一)Shiro入门,小白菜鸟,也能看懂学会!
qq_44285562的博客
11-09 655
Shiro入门 Shiro 是当下常见的安全框架,主要用于用户验证和授权操作。 Shiro 有相当的复杂性,为了使得学习更加平滑,本系列教程按照如下节奏系统地,循序渐进地,难度平滑提高地展开 在使用Shiro 之前,大家做登录,权限什么的都是五花八门,各种花里胡哨的代码,不同系统的做法很有可能千差万别。 但是使用 Shiro 这个安全框架之后,大家做权限的方式都一致化了,这样的好处就是你的代码我看...
Shiro 详细教程(集各教程内容为一体)
qq_37280924的博客
05-20 2035
在参考中发现了 《Apache Shiro 参考手册》,强烈建议参看学习。 Shiro 简介 Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 首先创建一个 SpringBoot 项目,并在 pom.xml 文件中引入如下会用到的依赖 <dependencies> <dependency> <groupId&g
二、了解shiro架构 (10 Minute Tutorial on Apache Shiro
Mr丶Yang
07-12 477
10 Minute Tutorial on Apache Shiro教程:https://shiro.apache.org/10-minute-tutorial.html#overview文档:https://shiro.apache.org/reference.htmlshiro: https://github.com/apache/shiro/blob/master/samples/quick...
spring rbac shiro 视频教程
10-26
这个视频教程将从基础开始介绍RBAC和Shiro的概念和原理,然后通过实际的示例演示如何在Spring项目中配置和使用它们。你将学习如何定义用户、角色和权限,并将它们组织起来以实现灵活的安全控制。你还将学习如何在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值