Shiro原理流程,代码示例

于 2021-06-02 22:21:53 发布
阅读量152 收藏
点赞数
分类专栏: 框架依赖 文章标签: shiro
无想的一刀,斩断浮世——很高兴能帮到你,开心就点个赞~啦啦啦啦啦~
本文链接:https://blog.csdn.net/UnicornRe/article/details/117481290
版权

文章目录

Shiro组成流程图解

功能介绍:
主要实现用户身份认证,权限授权、加密、会话管理。
组成:
在这里插入图片描述
解释:

  1. Subject(主体):与软件交互的一个特定的实体(用户、第三方服务等)。
  2. SecurityManager(安全管理器) :Shiro 的核心,用来协调管理组件工作。
  3. Authenticator(认证管理器):负责执行认证操作。
  4. Authorizer(授权管理器):负责授权检测。
  5. SessionManager(会话管理):负责创建并管理用户 Session 生命周期,提供一
    个强有力的 Session 体验。
  6. SessionDAO:代表 SessionManager 执行 Session 持久(CRUD)动作,它允
    许任何存储的数据挂接到 session 管理基础上。
  7. CacheManager(缓存管理器):提供创建缓存实例和管理缓存生命周期的功能,对Session和授权数据进行缓存。
  8. Cryptography(加密管理器):提供了加密方式的设计及管理。
  9. Realms(领域对象):是 shiro 和你的应用程序安全数据之间的桥梁,Realm存储授权和认证的逻辑。
    主要工作流程:
    在这里插入图片描述

代码示例

依赖

<dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-spring</artifactId>
 <version>1.5.3</version>
</dependency>

核心配置

import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.cache.MemoryConstrainedCacheManager;
import org.apache.shiro.mgt.RememberMeManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;

@Configuration
public class SpringShiroConfig {
    @Bean
    public SecurityManager securityManager(Realm realm,CacheManager cacheManager,RememberMeManager rememberMeManager,SessionManager sessionManager){
        //web应用中,这个接口的具体实现建议DefaultWebSecurityManager
        //DefaultSecurityManager不一样
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        securityManager.setCacheManager(cacheManager);
        securityManager.setRememberMeManager(rememberMeManager);
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }
    //配置认证过滤规则,哪些资源需要认证访问,哪些资源可以匿名访问
    //规则我们来定义,规则的检验是在shiro框架中借助大量过滤器(Filter)去实现。
    //shiro提供了过滤类型,但是基于类型创建其实例需要通过过滤器工厂
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean filterFactoryBean=new ShiroFilterFactoryBean();
        LinkedHashMap<String,String> map=new LinkedHashMap<>();
        //存储规则key为资源名,value为规则
        map.put("/bower_components/**","anno" );//anno为匿名访问,shiro定义字符串
        map.put("/build/**","anno" );
        map.put("/dist/**","anno" );
        map.put("/plugins/**","anno" );
        map.put("/user/doLogin","anno" );
        map.put("/doLogout","logout" );//退出时会自动回到登陆界面
        //除了以上资源,后续所有资源都要认证访问
        map.put("/**","authc" );//authc表示需要认证

        //map.put("/**","user" );//表示可以从客户端获取信息
        //如何判定访问这个资源时是否已经认证过了呢?
        filterFactoryBean.setSecurityManager(securityManager);
        //假如访问时还没有通过认证?跳转到指定认证页面
        filterFactoryBean.setLoginUrl("/doLoginUI");
        filterFactoryBean.setFilterChainDefinitionMap(map);
        return filterFactoryBean;
    }
    //顾问对象
    //负责找到类中使用此注解@RequiresPermissions描述的方法,
    //这些方法为授权访问切入点方法,当执行这些方法时会由通知(Advice)对象
    //调用一个对象(securityManager)完成权限检测及授权
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor a=new AuthorizationAttributeSourceAdvisor();
        a.setSecurityManager(securityManager);
        return a;
    }
    @Bean
    //缓存管理器,频繁访问数据库
    public CacheManager shirocachemanager(){
        return new MemoryConstrainedCacheManager();
    }

    public RememberMeManager rememberMeManager(){
        CookieRememberMeManager rememberMeManager=
                new CookieRememberMeManager();
        SimpleCookie cookie=new SimpleCookie("rememberMe");
        cookie.setMaxAge(7*24*60*60);
        rememberMeManager.setCookie(cookie);
        return rememberMeManager;
    }

    public SessionManager sessionManager(){
        DefaultWebSessionManager sessionManager=
                new DefaultWebSessionManager();
        sessionManager.setGlobalSessionTimeout(1800000L*2);//1 hour
        //服务器重启丢掉用户cookie
        sessionManager.setSessionIdUrlRewritingEnabled(false);//不想要用false
        return sessionManager;
    }
}

认证授权

import org.apache.shiro.authc.*;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import java.util.HashSet;
import java.util.Set;

@Service
public class ShiroUserRealm extends AuthorizingRealm {
    //继承AuthorizingRealm授权和认证
    //继承AuthenticatingRealm(只认证)
    //Realm可获取认证数据信息和授权数据信息
    @Autowired
    private SysUserDao sysUserDao;//自定义的接口
    @Override
    //用于获取用户的权限信息并封装
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取登陆用户
        SysUser user=(SysUser)principalCollection.getPrimaryPrincipal();
        //获取登陆用户的角色权限数据
        List<String> perssion=sysMenuDao.findPermisisin(user.getId());
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        Set<String> setPerssion=new HashSet<>();
       	for(String per:perssion){
       		if(!StringUtils.isEmpty(per)){
 				set.add(per);
 			}
       	}
       	info.setStringPermissions(setPerssion);
        //封装数据并返回,交给securityManager
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取登陆时输入的用户名
        UsernamePasswordToken upt=(UsernamePasswordToken)authenticationToken;
        String username=upt.getUsername();
        //基于用户名查找数据库信息
        SysUser sysUser=sysUserDao.findUserByUsername(username);
        //校验用户是否已被禁用
        if(sysUser==null){
            throw new UnknownAccountException();
        }
        if(sysUser.getValid()==0){
            throw new LockedAccountException();
        }
        //封装用户信息,交给securityManager进行认证
        ByteSource credentialsSalt=ByteSource.Util.bytes(sysUser.getSalt());
        SimpleAuthenticationInfo info=
                new SimpleAuthenticationInfo(sysUser,
                        sysUser.getPassword(),
                        credentialsSalt,getName());
        return info;
    }
	//get和set选一个就行
    //@Override
    //public CredentialsMatcher getCredentialsMatcher() {
       // HashedCredentialsMatcher credentialsMatcher=new HashedCredentialsMatcher("MD5");
        //credentialsMatcher.setHashIterations(1);
        //return credentialsMatcher;
    //}
    @Override
	public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
		//构建凭证匹配对象
		HashedCredentialsMatcher cMatcher=new HashedCredentialsMatcher();
		//设置加密算法
		cMatcher.setHashAlgorithmName("MD5");
		//设置加密次数
		cMatcher.setHashIterations(1);
		super.setCredentialsMatcher(cMatcher);
	}
}

用户登录记录令牌

//controller层
 public JsonResult doLogin(String name,String password){
        //获取用户名,aop里记录日志可以用
		//(SysUser)SecurityUtils.getSubject().getPrincipal();
        UsernamePasswordToken token = new UsernamePasswordToken(name,password);
        Subject subject = SecurityUtils.getSubject();
        subject.login(token);
        return new JsonResult("login ok");
 }

service层标识权限

 //授权访问切入点方法,标识在service层的类或方法上
 @RequiresPermissions(value = "sys:user:update")
可——叹——落叶飘零
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一个简单的shiro例子
10-29
一个简单的SSM框架,基于IDEA IDE开发,可以直接运行,里面加入了shiro,前端用bootstrap展现
Shiro —— 从一个简单的例子开始
weixin_30908649的博客
09-19 104
一、Shiro是用来做权限的。 二、权限 1.基本概念: (1)安全实体:要保护的数据。 (2)权限:是否有能力去操作(查看、修改、删除 )保护的数据。 2、权限的两个特性 (1)权限的继承性:A 包含 B,B无权限,但A有权限,此时B 的权限即为 A 的权限。如大厦里有公共厕所,进出大厦需要门禁,所以公共厕所的权限就是大厦的门禁权限。 (2)最近路劲匹配:如大厦某层有卫生间,要想到...
shiro、SpringMVC权限控制
小Z
10-27 275
什么是权限呢?举个简单的例子: 我有一个论坛,注册的用户分为normal用户,manager用户。 对论坛的帖子的操作有这些: 添加,删除,更新,查看,回复 我们规定: normal用户只能:添加,查看,回复 manager用户可以:删除,更新 normal,manager对应的是角色(role) 添加,删除,更新等对应的是权限(permission) 我们采用下面的逻辑
Shiro代码
qq_42570684的博客
09-04 257
ShiroConfig package com.yhj.sbm.config; import at.pollux.thymeleaf.shiro.dialect.ShiroDialect; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.spring.LifecycleBeanPostProcessor; ...
shiro权限代码
04-08
有自动数据生成的数据库,所以不用感到懵逼,里面有关于shiro的认证授权等相关代码,欢迎大家下载,有写不好的地方请指正,谢谢。
shiro学习示例
02-07
"shiro_test"很可能包含了实现Shiro认证和授权的代码示例,可能包括: - 登录接口实现,如`login()`方法,使用Shiro进行身份验证。 - 权限控制,如`checkPermission()`方法,确保用户有执行特定操作的权限。 - ...
shiro学习代码
03-22
Apache Shiro 是一个强大且...通过学习这些示例,你可以更好地理解Shiro的工作原理,以及如何将其集成到你的Java应用中,提升应用的安全性。同时,注释可以帮助你理解每一步的目的和背后的逻辑,使学习过程更加高效。
shiro的全流程demo,世界shiro在spring中认证、授权流程,自定义授权类型,分布式session、授权缓存的实现
最新发布
09-11
本项目是一个基于 Spring Boot 的 Shiro流程示例,涵盖了从用户登录认证到权限控制的完整流程,并实现了自定义授权类型、分布式 session 和授权缓存。 首先,我们来看 Shiro 的认证过程。在 Spring Boot 应用中...
shiro安全权限框架 实战应用技术
01-03
通过这些示例,开发者可以更好地理解Shiro的工作原理,学习如何配置和使用Shiro进行安全控制。 6. **文档和流程**:文档对于理解Shiro的使用至关重要,它详细解释了每个组件的功能、配置选项以及如何在项目中实施。...
shiro视频教程
02-12
### Apache Shiro 视频教程知识点概述 #### 一、Apache Shiro 概述 1. **Apache Shiro 的定义**: ...通过深入理解 Shiro 的架构和工作原理,开发者能够更加灵活地运用 Shiro 解决复杂的权限管理问题。
shiro案例 demo
12-01
shiro 框架的案例,用于学习研究。 用户名 admin 密码 sojson
Shiro非常详细的实例
09-09
Shiro非常详细的实例,入门的详细资料
跟我学shiro代码
04-11
Apache Shiro 是一个框架,可用于身份验证和授权,是一个简单易学的框架,跟我学shiro详细讲解了shiro的开发,这里是该书的全部源代码
shiro实现代码
10-27
nutz基于shiro实现身份认证和权限认证博客源代码
shiro测试代码
11-16
shiro与spring的整合,shiro与spring的整合,shiro与spring的整合
shiro:简单实例
Java
09-18 646
shiro 简单实例
shiro :入门(简单的shiro代码
qq_39162772的博客
07-11 273
1、建立一个maven项目‘’‘命名为shirotest,在pom.xml文件中导入shiro依赖如下图所示: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2....
shiro写一个简单的例子(一)
Q酱的专栏
09-26 427
参考:https://www.iteye.com/blog/jinnianshilongnian-2049092 首先,我们先用shiro写一个简单的例子 配置pom <dependencies> <dependency> <groupId>junit</groupId> &lt...
Shiro学习和代码实战
weixin_43821679的博客
08-27 502
Shiro学习和代码实战1.Shrio简介2.Shrio+SpringBoot+Thymeleaf+mybatis完成用户登录验证和角色权限管理3.用户登录整体流程 1.Shrio简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。附shrio官网:shrio 主要功能 : 三个核心组件:Subject, SecurityManager 和
Apache Shiro代码示例
05-30
以下是一个简单的Apache Shiro代码示例,包括如何创建Shiro安全管理器,如何配置Shiro的认证和授权策略,以及如何使用Shiro进行认证和授权。 1. 创建Shiro安全管理器 ```java DefaultSecurityManager securityManager = new DefaultSecurityManager(); ``` 2. 配置Shiro的认证和授权策略 ```java // 配置认证策略 HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher("SHA-256"); credentialsMatcher.setHashIterations(2); MyRealm realm = new MyRealm(); realm.setCredentialsMatcher(credentialsMatcher); securityManager.setRealm(realm); // 配置授权策略 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.addRole("admin"); authorizationInfo.addStringPermission("user:create"); authorizationInfo.addStringPermission("user:update"); authorizationInfo.addStringPermission("user:delete"); securityManager.setAuthorizationInfo(authorizationInfo); ``` 3. 实现Shiro的Realm接口 ```java public class MyRealm extends AuthorizingRealm { // 实现认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); String password = getPasswordByUsername(username); if (password == null) { throw new UnknownAccountException("用户名不存在!"); } SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName()); return authenticationInfo; } // 实现授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { String username = (String) principals.getPrimaryPrincipal(); SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.setRoles(getRolesByUsername(username)); authorizationInfo.setStringPermissions(getPermissionsByUsername(username)); return authorizationInfo; } // 模拟数据库查询用户密码 private String getPasswordByUsername(String username) { return "123456"; } // 模拟数据库查询用户角色 private Set<String> getRolesByUsername(String username) { Set<String> roles = new HashSet<>(); roles.add("admin"); return roles; } // 模拟数据库查询用户权限 private Set<String> getPermissionsByUsername(String username) { Set<String> permissions = new HashSet<>(); permissions.add("user:create"); permissions.add("user:update"); permissions.add("user:delete"); return permissions; } } ``` 4. 使用Shiro进行认证和授权 ```java // 创建Subject对象 Subject subject = SecurityUtils.getSubject(); // 创建认证Token UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456"); // 进行认证 subject.login(token); // 进行授权 boolean hasRole = subject.hasRole("admin"); boolean hasPermission = subject.isPermitted("user:create"); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

可——叹——落叶飘零

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值