Shiro 学习【一】概述、访问拦截实现

最新推荐文章于 2024-05-14 09:43:40 发布
最新推荐文章于 2024-05-14 09:43:40 发布
阅读量604 收藏
点赞数 2
分类专栏: java 文章标签: java shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/StarLight_LiuXT/article/details/119102316
版权

一、什么是 Shiro

Shiro 是一个功能强大和易于使用的Java安全框架,为开发提供一个直观全面的解决方案 的 认证,授权,加密,会话管理等

二、Shiro 功能

在这里插入图片描述

· Shiro 主要功能

Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,判断某个已经认证过的用户是否拥有某些权限访问某些资源,一般授权会有角色授权和权限授权;
SessionManager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的,web
环境中作用是和 HttpSession 是一样的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

· Shiro 的其他功能

Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

三、Shiro 高级概述

在这里插入图片描述

Shiro 架构包含三个主要的理念:Subject,SecurityManager 和 Realm

四、Shiro 认证过程

在这里插入图片描述

1.首先调用 Subject.login(token) 进行登录,其会自动委托给 Security Manager,
  调用之前必须通过 SecurityUtils.setSecurityManager() 设置;
2.SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
3.Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
4.Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,
  默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
5.Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,
  如果没有返回 / 抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。

五、访问拦截

当直接访问其他接口时,进行过滤,使其跳转到指定页面或接口

引入pom依赖

        <!-- Shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.7.1</version>
        </dependency>

假设Controller层有如下三个接口,分别完成不同的动作
期望达成 -> 访问 aaa/bbb 接口时进行拦截,使其跳转至 tologin 接口

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

/**
 * @author LiuXT
 */
@RestController
@RequestMapping("/testshiro")
public class ShiroController {

    @PostMapping("/aaa")
    public String aaa(){
        return "aaa 完成!";
    }

    @PostMapping("/bbb")
    public String bbb(){
        return "bbb 完成!";
    }

    @RequestMapping("/tologin")
    public String toLogin(){
        return "当前坐标 -> 登录~";
    }
}

在这里插入图片描述

有接口之后,开始进行Shiro的配置,在开始配置之前,我们需要自定义一个Realm(继承AuthorizingRealm即可)

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * @author LiuXT
 */
public class LiuRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了 -> 授权");
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了 -> 认证");
        return null;
    }
}

自定义Realm完成后,开始配置 Shiro,新建 ShiroConfig 类

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * @author LiuXT
 */
@Configuration
public class ShiroConfig {
    //3  ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("SecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //添加 Shiro内置过滤器
        /*
         * anon: 无需认证即可访问
         * authc: 需要认证才能访问
         * user: 需要拥有 ‘记住我’ 才能用
         * perms: 拥有对某个资源权限才能访问
         * role: 拥有某个角色权限才能访问
         */
        Map<String,String> map = new LinkedHashMap<>();
        //拦截器   ("请求路径",“请求过滤方式 ”)
        map.put("/testShiro/aaa","authc");
        map.put("/testShiro/bbb","authc");
        bean.setFilterChainDefinitionMap(map);
        // 设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        //配置 如果被拦截 则跳转到 XXX请求
        bean.setLoginUrl("/testShiro/login");
        return bean;
    }

    //2  DefaultWebSecurityManager
    @Bean(name = "SecurityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("liuRealm") LiuRealm liuRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 关联 LiuRealm
        securityManager.setRealm(liuRealm);
        return securityManager;
    }

    //1  创建 realm对象,自定义 Realm
    @Bean
    public LiuRealm liuRealm(){
        return new LiuRealm();
    }
}

在这里插入图片描述

想上天的小旭旭呀
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro实现单点登录(一个用户同一时刻只能在一个地方登录)
09-01
Shiro 中,可以使用拦截器(如 `authc.loginUrl` 和 `authc.successUrl`)来控制 URL 访问权限,指定登录页面和登录成功后的跳转页面。 总的来说,Shiro 实现单点登录的关键在于正确配置 SecurityManager、...
Shiro学习
so
04-03 312
#shiro 单词概念 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的; Cryptography:加
详解shiro实现登录拦截【springboot shiro】(上篇)
qq_46489085的博客
11-24 2858
springboot shiro关于shiro的介绍(来源于网络)导入maven依赖文件目录结构1.简单建立add.html2.快速建立update.html4. 创建首页index.html5.拥有登录页面login.html配置文件UserRealm.java配置文件ShiroConfig配置映射测试在MyController里面添加映射自定义数据(用户名和密码)SimpleAuthenticationInfo三个参数访问顺序不玩虚的,直接连上数据库通过Mybatis springboot secur
在JAVA微服务项目中使用shiro全局拦截_shiro在微服务架构中如何使用
最新发布
2401_84968582的博客
05-14 319
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Shiro快速入门 —— 2.拦截
weixin_34124939的博客
05-09 438
2019独角兽企业重金招聘Python工程师标准>>> ...
java web项目里ehcache.xml的参数说明
涂作权的博客
02-23 1569
name:缓存名称。        maxElementsInMemory:缓存最大个数。        eternal:对象是否永久有效,一但设置了,timeout将不起作用。        timeToIdleSeconds:设置对象在失效前的允许闲置时间(单位:秒)。仅当eternal=false对象不是永久有效时使用,可选属性,默认值是0,也就是可闲置时间无穷大。        t
shiro概述(三)拦截
w_t_y_y的博客
12-14 1416
也就是说一次请求只会走一次拦截器链;另外提供enabled属性,表示是否开启该拦截器实例,默认enabled=true表示开启,如果不想让某个拦截器工作,可以设置为false即可。当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;4、AdviceFilter:提供了AOP风格的支持,类似于SpringMVC中的Interceptor。3、ShiroFilter:是整个Shiro的入口点,用于拦截需要安全控制的请求进行处理。一、介绍:shiro使用了与servlet一样的Filter进行接口扩展。
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
jfina_shiro_jfinal+shiro_fromjh1_shiro_
10-04
1. **Shiro 概述**:Apache Shiro 是一个强大且易用的 Java 安全框架,处理认证、授权、加密和会话管理。它可以被轻松地嵌入到任何应用中,提供了一种声明式的安全控制。 2. **Shiro 认证**:Shiro 提供了用户身份...
跟我学shiro文档及源码
07-17
- Shiro 提供了 RememberMe 服务,允许用户在一段时间内免登录访问,提高了用户体验。 3. **Shiro 授权** - 授权是确定用户是否有权限执行特定操作。Shiro 支持角色和权限的概念,可以灵活地进行权限控制。 - ...
shiro_springboot.zip
02-06
一、Shiro 概述 Shiro 提供了简单但全面的安全模型,其核心组件包括 Realm(域)、Subject(当前安全主体)、Session Manager(会话管理器)和 Cache Manager(缓存管理器)。Realm 是连接应用程序与安全数据源的...
Shiro教程_原版_带目录_开涛
06-15
一、Shiro 概述 Apache Shiro 不仅仅是一个简单的权限控制库,它还提供了用户认证(Authentication)、授权(Authorization)、加密(Cryptography)和会话管理(Session Management)等全面的安全管理功能。它的...
shiro_demo
02-18
Apache Shiro 不仅仅是一个安全框架,它更是一个简单易用的工具,可以帮助开发者快速实现应用的安全性。Shiro 提供了用户认证(验证用户身份)、授权(决定用户可以访问哪些资源)、会话管理(维护用户会话状态)...
shiro-demo
03-28
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了身份认证、授权、加密以及会话管理功能,可以非常方便地应用于各种项目中。"shiro-demo" 演示了如何在实际开发中使用 Apache Shiro实现用户权限的控制。 ...
shiro-root-1.2.2-source-release.zip
10-22
总之,"shiro-root-1.2.2-source-release.zip" 文件对于想要深入了解和定制Apache Shiro的开发者而言是一份宝贵的学习资料。通过阅读源码,你可以更好地理解Shiro的工作机制,并能根据自己的需求进行扩展和优化。
jfinal3.4集成shiro,有建表sql,欢迎jfinal萌新
10-18
- 配合JFinal的拦截器,可以进一步优化权限控制的实现。 总之,JFinal与Shiro的结合能够为你的Web应用提供强大而灵活的安全管理能力。通过学习和实践,你可以掌握一套完整的权限管理解决方案,为你的项目保驾护航...
Shiro简介
qq_45554909的博客
02-02 344
1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 下载地址:http://shiro.apache.org/ 2、有哪些功能 Authentication: 身份认证、登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有
shiro 拦截未登录的ajax_Shiro是如何拦截未登录请求的(一)
weixin_39625429的博客
12-19 1144
问题描述之前在公司搭项目平台的时候权限框架采用的是shiro,由于系统主要面向的是APP端的用户,PC端仅仅是公司内部人员在使用,而且考虑到系统的可用性和扩展性,服务端首先基于shiro做了一些改造以支持多数据源认证和分布式会话(关于分布式session可查看{% post_link SpringBoot集成Shiro实现多数据源认证授权与分布式会话(一)%}).我们知道在web环境下http是一...
java中 shiro过滤器设置接口过滤权限
m0_54850467的博客
08-17 701
今天遇到一个需求,要求后台接口不验证权限也能请求成功,由于我们的后台框架是nacos微服务,所以想到直接去改nacos中该微服务的shiro配置,我们打开shiro-common.yml文件,内容如下。我们在filterChainDefinitionMap里面增加一条记录/getSysinfoConfig:anon,修改后如下。然后重启该接口所在的微服务,这样请求该接口就不会被拦截了。anon是匿名访问anonymous的简称。修改后,我们发布配置。...
shiro匿名访问如何拦截url
04-22
Shiro提供了一种称为拦截器的机制,可以在请求被处理之前或之后执行...对于shiro匿名访问,可以使用AnonymousFilter来拦截URL,该过滤器会检查用户是否已经认证,如果未认证,则将请求重定向到指定的URL或登录页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值