2021-12-28 shiro学习心得

于 2021-12-28 11:15:24 发布
阅读量212 收藏
点赞数
分类专栏: shiro 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Niall_Tonshall/article/details/122188120
版权

2021SC@SDUSC
基于web应用的登录认证和授权管理问题
据了解(加上个人理解),不使用安全框架,一般情况下,处理安全问题的数据库模型是RBAC(role base access controller),就是由角色控制可以访问的资源,然后给用户分配角色,这样就使得角色有了某种权限,权限就是各种controller的请求路径。这种做法就需要把所有的请求路径都管理起来,如果controller层的请求路径有变动,数据库就要变动,使得管理不方便。如果用面向对象的开放封闭原则来说,这算是一种差的做法。
然后再说一下shiro框架,就用了新的RBAC的思想,resources base access controller,基于资源的控制,把资源分类,然后管理起来,这样就又出现了粗粒度和细粒度权限这个区别。比如一个product类,从资源的角度看,粗粒度的权限就是能查看所有product,就是product:list,细粒度的权限就是能对某一id的product查看详情,product:show:[id]。
然后再加上方法级的权限控制和前端菜单显示控制,就能达到天衣无缝的权限控制。

springSecurity框架
Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications.
Spring Security is a framework that focuses on providing both authentication and authorization to Java applications. Like all Spring projects, the real power of Spring Security is found in how easily it can be extended to meet custom requirements
它是一个强大的高度客制化的认证和访问控制的框架,它符合spring应用的标准。
它是一个聚焦于Java应用的认证和授权的框架,像所有的spring项目一样,它致力于能够轻松的满足客制化的需求。
使用框架的前提还是要很好的配置,感觉配置的好才能很好的发挥框架的作用。之前用过,是基于springboot的应用,但现在忘完了,一般是它配合Spring Security使用,所以只在这里提一下。

shiro框架
shiro框架是今天的主角。它同样非常强大。
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序百度。

主要功能
三个核心组件:Subject, SecurityManagerRealms.
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。
shiro框架具体使用

<artifactId>shiro-test</artifactId>
    <dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.7.1</version>
        </dependency>
  	</dependencies>

package com.shiro.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.SimpleAccountRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Before;
import org.junit.Test;

public class AuthenticationTest {

    SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();

    @Before
    public void addUser(){
        simpleAccountRealm.addAccount("Mark","123456","admin","user");
        simpleAccountRealm.addAccount("Sam","123456","admin");
        simpleAccountRealm.addAccount("Adam","123456","user");
    }

    public void testAuthentication(UsernamePasswordToken token){

        //1.构建securityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(simpleAccountRealm);

        //2.主体提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();

        try {
            subject.login(token);
            System.out.println(token.getUsername()+" isAuthenticated:"+subject.isAuthenticated());
            subject.checkRole("admin");
            subject.logout();
            System.out.println(token.getUsername()+" isAuthenticated:"+subject.isAuthenticated());
        }catch (org.apache.shiro.authc.UnknownAccountException e){
            System.out.println("用户名"+token.getUsername()+"不存在");
        }catch (org.apache.shiro.authc.IncorrectCredentialsException e){
            System.out.println("密码错误");
        }catch (org.apache.shiro.authz.UnauthorizedException e){
            System.out.println("用户权限不足");
        }

    }

    @Test
    public void testAuthentication(){
        UsernamePasswordToken token1 = new UsernamePasswordToken("Mark","123456");
        UsernamePasswordToken token2 = new UsernamePasswordToken("San","123456");
        UsernamePasswordToken token3 = new UsernamePasswordToken("Adam","123456");
        testAuthentication(token1);
        //用户名不存在,抛出异常
        testAuthentication(token2);
        //用户密码错误,抛出异常
        testAuthentication(token3);
    }

}

自定义realm实现
自定义realm的实现,将决定如何实现登录认证和授权管理。重写的doGetAuthorizationInfo 和doGetAuthenticationInfo 方法被授权器和认证器调用。

先说一下doGetAuthenticationInfo 方法,用于认证的过程实现。大概流程就是根据获取的身份principal 从数据库查找该身份的密码credentials ,然后与在登录页面输入的密码进行对比,如果一样就通过认证,如果不一样就拒绝认证。
再说一下doGetAuthorizationInfo 方法,用于授权管理过程。在用户判断是否有某种权限时,调用此方法从数据库获取该principal 的权限,然后与要判断的权限做比较,返回布尔值。

认证具体流程
1、Shiro把用户的数据封装成标识token,token一般封装着用户名,密码等信息,用户登录时调用subject.login(token);
2、Subject把标识token交给SecurityManager,这里用的DefaultSecurityManager,
3、在SecurityManager安全中心中,SecurityManager把标识token委托给认证器AbstractAuthenticator,认证器获取到本次认证用的realm,
4、然后调用ModularRealmAuthenticator的doAuthenticate方法,它拿着自定义的realm和token去做认证。

授权具体流程
1、对subject进行授权,调用isPermitted(xxx),
2、securityManager执行授权,通过ModularRealmAuthorizer进行授权,
3、ModularRealmAuthorizer调用realm(自定义realm)的doGetAuthorizationInfo方法从数据库获取当前身份principal的权限返回给ModularRealmAuthorizer,
4、ModularRealmAuthorizer调用isPermitted进行权限串比较,返回Boolean值。

参考链接:https://blog.csdn.net/weixin_46119027/article/details/115754391

慌张的唐同学
关注
专栏目录
shiro(一)----------开启shiro的旅程
tq812的专栏
12-08 268
开启shiro的旅程因为项目的需要,所以我开始接触学习shiro,毕业了学习新的技术往往是因为是真的有需求所以花了时间学习,然后慢慢的就用上手了,我学习的时候也是阅读了参考他人的博客,写的很好其实我觉得看他的基本都会了,哈哈哈哈,而我在这里记录下我学习过程中的遇到的问题和心得^-^(对于我来说写博客比打码更难)参考摘抄 http://jinnianshilongnian.iteye.com/blog
shiro框架学习心得
06-27
shiro框架学习心得,简介!
shiro框架学习总结
青树寒鸦的博客
04-16 597
shiro的使用,配置和理解
Shiro学习(总结)
weixin_34025051的博客
04-25 95
声明:本文原文地址:http://www.iteye.com/blogs/subjects/shiro 感谢开涛提供的博文,让我学到了非常多。在这里由衷的感谢你,同一时候我强烈的推荐开涛的博文。他的博文力争完美,解说仔细,是基于实际的项目进行解说,有理有据值得学习和借鉴。同一时候,在这里自荐一下。也希望大家也可以多多的关注我的博文,希望你的技术有所提高。大家共同学习共同进步。 ...
shiro学习总结
qq_39172525的博客
03-05 178
shiro内容主要有两大部分:认证(你之前登录了没)和授权(你有没有权限登录) 认证的原理:过滤器Filter,入囗DelegatingFilterProxy,spring的一个过滤器 DelegatingFilterProxy->ShiroFilterFactoryBean->自定义过滤器(也可使用shiro自带过滤器)->subject.login() 授权的原理:springAop实现的代理(现在都用注解来配置),引入AuthorizationAttributeSourceAdv
Shiro 学习总结
qq_41904978的博客
08-27 315
一、介绍 Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the sm
shiro学习心得
05-20
### Shiro 学习心得与应用实践 #### 一、Shiro 认证与权限管理基础 Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证(Authentication)、授权(Authorization)、加密(Cryptography)以及会话管理...
Shiro权限管理框架学习笔记
"Shiro学习心得与应用" Apache Shiro 是一个强大且易用的Java安全框架,主要用于身份验证、授权、会话管理和加密等安全相关功能。在学习Shiro的过程中,我们可以了解到它的一些核心概念和常见应用场景。 首先,...
shiro学习总结(一)
cchangcs
10-04 523
shiro学习总结一、shiro简介   shiroJava的一个安全(权限框架)。   shiro可以完成:认证、授权、加密、会话管理、与web集成、缓存等;   最主要的四个功能:认证(如密码匹配)、授权、会话管理、加密;   Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其
Shiro学习总结(一)--关于Shiro
Architect_CSDN的博客
05-14 318
关于shiro: shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企...
安全框架Apache Shiro学习心得
qq_32814555的博客
08-31 325
安全框架Apache Shiro学习心得
关于shiro学习总结
weixin_37885929的博客
07-17 193
最近学习shiro来进行登录验证,以及权限管理.以下对shiro相关知识点进行学习与整理. 首先shiro是一个Java安全框架,它具有以下功能:   1:认证   2:加密   3:权限验证   4:会话管理 Shiro 的架构有 3 个主要的概念:Subject,SecurityManager 和 Realms。下面的关系图是关于这 些组件是如何交互的高级概述: shiro
Shiro学习总结
Eaphy's Blog
04-28 3191
一个简单的shiro应用流程,就是通过Subject来进行认证和授权,而Subject又委托给SecurityManager,然后向SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。 Subject :包含 principals(身份)、credentials(凭证)两部分;SecurityManager :它管理着所有Subject
shiro学习_总结
it_lihongmin的博客
07-12 354
Shiro的流程大致如下(图画的不是很好,能表达清楚意思就可以了):           说明:shiro只会使用对用户、角色和权限进行管理,并注入到Subject中方便用户进行使用编程、注解或标签的形式对角色或权限控制不同用户拥有不同的权限。 其底层需要自己去实现,包括表结构设计等,然后用重写方法的形式将关系注入到shiro中。说明shiro只能对一般的授权模型进行控制 一般表结构设
Shiro学习小结
weixin_34174422的博客
12-02 132
1. What is Shiro? Apache旗下一个开源的Java权限框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 2. Why is Shiro? 使用Shiro可以快速完成认证、授权等功能的开发; Shiro不依赖于任何容器,可以运行在web应用、非web应用、集群分布式等应用中。 ...
shiro小结
ja.rome
07-16 1115
过滤器简称 对应的java类 anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FromAuthenticationFilter authcBasic org.apa
SSM到RBAC:MyBatis-Spring-SpringMVC-Hibernate-Shiro深度学习
"高级框架阶段教程,涵盖了MyBatis、Spring、SpringMVC、SSM、RBAC权限控制、Hibernate、Shiro等多个热门IT技术领域,包括视频讲解、源代码示例及学习笔记。" 在IT行业中,框架的使用是提升开发效率、保证项目稳定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值