学习Apache Shiro - 预研

最新推荐文章于 2024-09-23 00:30:00 发布
最新推荐文章于 2024-09-23 00:30:00 发布
阅读量487 收藏
点赞数 1
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Paulmin/article/details/50719653
版权
官方手册导航:
官方参考手册:
Java API Doc:


============================================


摘自:
认证内部处理机制
以上,是Shiro认证在应用程序中的处理过程,下面将详细解说Shiro认证的内部处理机制。
如上图,我们通过Shiro架构图的认证部分,来说明Shiro认证内部的处理顺序:
1、应用程序构建了一个终端用户认证信息的AuthenticationToken 实例后,调用Subject.login方法。
2、Sbuject的实例通常是DelegatingSubject类(或子类)的实例对象,在认证开始时,会委托应用程序设置的securityManager实例调用securityManager.login(token)方法。
3、SecurityManager接受到token(令牌)信息后会委托内置的Authenticator的实例(通常都是ModularRealmAuthenticator类的实例)调用authenticator.authenticate(token). ModularRealmAuthenticator在认证过程中会对设置的一个或多个Realm实例进行适配,它实际上为Shiro提供了一个可拔插的认证机制。
4、如果在应用程序中配置了多个Realm,ModularRealmAuthenticator会根据配置的AuthenticationStrategy(认证策略)来进行多Realm的认证过程。在Realm被调用后,AuthenticationStrategy将对每一个Realm的结果作出响应。
注:如果应用程序中仅配置了一个Realm,Realm将被直接调用而无需再配置认证策略。
5、判断每一个Realm是否支持提交的token,如果支持,Realm将调用getAuthenticationInfo(token); getAuthenticationInfo 方法就是实际认证处理,我们通过覆盖Realm的doGetAuthenticationInfo方法来编写我们自定义的认证处理。

角色授权 - 代码实现
建议使用 权限角色 进行设计编码。
权限声明,例:
User:view,edit,123: - 查看权限,编辑id为123的用户资源的权限
这里分别代表了 资源类型:操作:资源ID

具体实现有以下三种方法:
1. java编码
2. 注解 annotation

3. JSP tag标签库
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

web filter配置说明
Filter Chain定义说明
1、一个URL可以配置多个Filter,使用逗号分隔
2、当设置多个过滤器时,全部验证通过,才视为通过
3、部分过滤器可指定参数,如perms,roles

Shiro内置的FilterChain
Filter NameClass
anonorg.apache.shiro.web.filter.authc.AnonymousFilter
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
portorg.apache.shiro.web.filter.authz.PortFilter
restorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter
sslorg.apache.shiro.web.filter.authz.SslFilter
userorg.apache.shiro.web.filter.authc.UserFilter

==  ==
IBM website上面又一篇对其架构描述得较为清楚得文章!!待细读。

授权部分很简单,即对安全实体进行 CRUD。其中 Permission 的权限字符串根据实际情况形成,在本例中:

  • 如果对所有 message 具有修改权限,权限字符串可以为:message:delete,update:*;
  • 如果针对某一个 message 具有修改权限,权限字符串可以为:message:update,delete:messageid。



Paulmin
关注
专栏目录
oauth2 java 服务端_oauth2 学习(一)-使用Apache oltu实现oauth2的授权服务器
weixin_34697393的博客
02-16 631
最近做oauth2预研,查了相当多的资料因为现有的项目是使用java 语言来实现的,且不打算直接去实现这一整套的标准。因此先去官网(https://oauth.net/code/)看了下现有的java版实现。其实还有其他的实现没有收录进去。比较之后发现资料相对较多的是Apache oltu以及 spring sercurity oauth.因为都是开源的,就去把源代码都clone下来了。个人认为O...
shiro-jar-1.7.0.zip相关资源包
12-24
解决:升級1.7后附件...shiro-cas-1.7.0.jar shiro-core-1.7.0.jar shiro-ehcache-1.7.0.jar shiro-spring-1.7.0.jar shiro-web-1.7.0.jar CustomShiroFilterFactoryBean.java spring-context-shiro.xml 修改说明.txt
Java后端真实面试题大全(有详细答案)--高频/真题
热门推荐
IT利刃出鞘的博客
11-24 14万+
本文分享Java后端真实高频面试题,有详细答案,保你稳过面试。题目包括:Java基础、多线程、JVM、数据库、Redis、Shiro、Spring、SpringBoot、MyBatis、MQ、ELK、SpringCloud、设计模式等。 本博客包含从简单到困难、从高频到低频的题目,适合所有Java求职者,包括:刚入门的、三年以内经验、三到五年经验、五到十年经验等。
oauth2 学习(一)-使用Apache oltu实现oauth2的授权服务器
weixin_30384031的博客
01-23 814
最近做oauth2预研,查了相当多的资料 因为现有的项目是使用java 语言来实现的,且不打算直接去实现这一整套的标准。因此先去官网(https://oauth.net/code/)看了下现有的java版实现。其实还有其他的实现没有收录进去。   比较之后发现资料相对较多的是Apache oltu以及 spring sercurity oauth.因为...
基于机器学习算法的菜谱推荐系统设计与实现
2301_79305643的博客
08-03 985
本系统使用集成开发工具Pycharm进行开发, 由于Pycharm中本地配置详细资料有很多, 不做详细赘述, 本文主要介绍Flask框架及 Shiro 框架的配置。首先需要在项目中中引入各框架以及数据库连接等所需要的 jar 包。
java学习路线
w18377940962的博客
02-08 6731
Java 学习路线 Java 学习路线一条龙版 by 程序员鱼皮 ???? + ???? = ???????? 建议先观看视频导读:https://www.bilibili.com/video/BV1Qf4y1K7ff/ 大纲 路线特点 最新,完整一条龙的大厂 Java 学习路线,从入门到入土 同时适用于想全面学习 / 快速求职的同学,可以根据符号来定制自己的专属学习路线 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 鱼皮自己是 Java 开发者,融入个
Java 学习路线一条龙版
程序员阿红的博客
12-02 9370
Java 学习路线一条龙版 Java 学习路线一条龙版 by 程序员鱼皮 ???? + ???? = ???????? 学习路线来源于:程序员鱼皮,大家可以去b站看看他的视频。 视频导读:https://www.bilibili.com/video/BV1Qf4y1K7ff/ 大纲 路线特点 最新,完整一条龙的大厂 Java 学习路线,从入门到入土 同时适用于想全面学习 / 快速求职的同学,可以根据符号来定制自己的专属学习路线 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文
乔戈里推荐的新版Java学习路线,开源!
WantFlyDaCheng的博客
12-13 7638
Java 学习路线一条龙版 by 程序员鱼皮所以我又抽空做了新版的 Java 学习路线一条龙,补充了很多内容(比如面试题、常用 Java 类库、常用软件等),让整个路线 字数翻倍 。同时区...
Java面试题(高频、有答案,全网最强)
IT利刃出鞘的博客
11-07 1470
这是一套全网最强的Java面试题,吊打网上所有Java面试题。
规则引擎框架哪家强?这2个开源项目你应当知道,一个是Drools,另一个是...没想到吧(带私活源码)
最新发布
m0_68103666的博客
09-23 2027
规则引擎由推理引擎发展而来,是一种嵌入在应用程序中的组件,实现了将业务决策从应用程序代码中分离出来,并使用预定义的语义模块编写业务决策。接受数据输入,解释业务规则,并根据业务规则做出业务决策。
shiro-core-1.4.0-API文档-中文版.zip
07-12
Maven坐标:org.apache.shiro:shiro-core:1.4.0; 标签:apacheshiro、core、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的...
shiro-jar.zip
12-12
shiro-all-1.7.1.jar,shiro-aspectj-1.7.1.jar,shiro-cache-1.7.1.jar,shiro-config-core-1.7.1.jar,shiro-config-ogdl-1.7.1.jar,shiro-core-1.7.1.jar,shiro-crypto-cipher-1.7.1.jar,shiro-crypto-core-1.7.1.jar...
Apache Shiro核心jar包:shiro-core-1.3.2
12-07
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
apache-shiro-1.2.x-reference:《 Apache Shiro参考手册》(http
04-12
apache-shiro-reference《Apache Shiro 参考手册》 Chinese translation of and the other article collection. The laset version of Apache Shiro is 1.5.x. You can also see the demos of the reference at ....
你是否应该使用规则引擎
Paulmin的专栏
09-01 4490
“规则引擎由推理引擎发展而来,是一种嵌入在应用程序中的组件,实现了将业务决策从应用程序代码中分离出来,并使用预定义的语义模块编写业务决策。接受数据输入,解释业务规则,并根据业务规则做出业务决策。” -- 摘自百度百科。 上面的解释可能过于晦涩了。我们来看看Martin的文章,就觉得这是很简单的东西了。 Martin Fowler关于规则引擎的介绍: https://martinfowle
聚石塔应用构建
Paulmin的专栏
10-27 2698
mysql jdbc & java 的数据类型mapping:  http://blog.sina.com.cn/s/blog_4b5bc01101010u1k.html
Notes for Netty 3.x with a simple NIO chat application
Paulmin的专栏
09-03 1578
study link: http://netty.io/3.6/guide/#architecture Netty 3.x NIO program flow ===========================================
Java NIO socket(network) program framework - Apache mina & JBoss netty (simple introduction)
Paulmin的专栏
08-24 1506
The 2 APIs are created by a Korean guy - Trustin Lee (who graduated at Yonsei University in Korea). You can visit here (http://kr.linkedin.com/in/trustin) to learn more from him. 10 years IT working
Apache Shiro 反序列化漏洞分析与利用(Shiro-550 & Shiro-721)
"本文主要讨论了Apache Shiro框架中的两个安全漏洞,Shiro-550和Shiro-721,以及如何进行自动化漏洞利用。Shiro是一个流行的Java安全框架,提供认证、授权、加密和会话管理等功能。文章详细介绍了这两个漏洞的原理、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值