Apache Shiro

最新推荐文章于 2024-04-07 04:16:05 发布
最新推荐文章于 2024-04-07 04:16:05 发布
阅读量313 收藏
点赞数
分类专栏: Shiro 文章标签: apache java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_BK9/article/details/126354703
版权

一、RBAC模型

        RBAC模型(Role-Based Access Control:基于角色的访问控制)

        组成:用户、角色和权限

        RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离,最终可以映射以下关系:

  • User(用户):每个用户都有唯一的UID识别,并被授予不同的角色

  • Role(角色):不同角色具有不同的权限

  • Permission(权限):访问权限

  • 用户-角色映射:用户和角色之间的映射关系

  • 角色-权限映射:角色和权限之间的映射

二、Apache Shiro

Java 安全框架 ,它执行身份验证、授权、加密和会话管理

Shiro 提供应用程序安全 API 来执行以下方面(我喜欢将这些称为应用程序安全的 4 个基石):

  • Authentication(认证):用户身份识别,通常被称为用户“登录”

  • Authorization(授权): 访问控制。比如某个用户是否具有某个操作的使用权限。

  • Session Management(会话管理): 特定于用户的会话管理,甚至在非web 或 EJB 应用程序。

  • Cryptography(加密): 在对数据源使用加密算法加密的同时,保证易于使用。

三、应用程序

1.pom.xml文件导入依赖包

shiro依赖

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.9.0</version>
        </dependency>

EhCache依赖

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>net.sf.ehcache</groupId>
            <artifactId>ehcache-core</artifactId>
            <version>2.5.3</version>
        </dependency>

2.创建 mybatis-config.xml 配置文件(链接数据库)

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE configuration
        PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>

    <environments default="development">
        <environment id="development">
            <transactionManager type="JDBC"/>
            <dataSource type="POOLED">
                <property name="driver" value="com.mysql.cj.jdbc.Driver"/>
                <property name="url" value="jdbc:mysql://localhost:3306/rbac?characterEncoding=utf8&amp;useSSL=false&amp;serverTimezone=UTC"/>
                <property name="username" value="root"/>
                <property name="password" value="root"/>
            </dataSource>
        </environment>
    </environments>
    <mappers>
        <mapper resource="mapper/SysUserMapper.xml"/>
    </mappers>
</configuration>

创建ehcache.xml文件(缓存)

<?xml version="1.0" encoding="UTF-8"?>
<ehcache >
    <defaultCache
            maxElementsInMemory="1000"
            maxElementsOnDisk="10000000"
            eternal="false"
            overflowToDisk="false"
            diskPersistent="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            diskExpiryThreadIntervalSeconds="120"
            memoryStoreEvictionPolicy="LRU">
    </defaultCache>
</ehcache>

3.建立各层

eg:

service层:

package com.wn.rbac.service.impl;

import com.wn.rbac.entity.SysUser;
import com.wn.rbac.mapper.SysUserMapper;
import com.wn.rbac.service.UserService;
import com.wn.rbac.util.DBTools;
import org.apache.ibatis.session.SqlSession;

import java.util.Set;

/**
 * @author :fengSir
 * @date :Created By 2022-06-12 15:18
 * @description :TODO
 */
public class UserServiceImpl implements UserService {
    @Override
    public SysUser getUserByTelephone(String telephone) {
        SqlSession sqlSession =  DBTools.getSession();
        SysUserMapper userMapper =  sqlSession.getMapper(SysUserMapper.class);
        SysUser user = userMapper.selectUserByPwd(telephone);
        sqlSession.commit();
        return user;
    }

    @Override
    public Set<String> getRolesByTelephone(String telephone) {
        SqlSession sqlSession =  DBTools.getSession();
        SysUserMapper userMapper =  sqlSession.getMapper(SysUserMapper.class);
        Set<String> set = userMapper.selectRolesByTelphone(telephone);
        sqlSession.commit();
        return set;
    }

    @Override
    public Set<String> getPersByTelephone(String telephone) {
        SqlSession sqlSession =  DBTools.getSession();
        SysUserMapper userMapper =  sqlSession.getMapper(SysUserMapper.class);
        Set<String> set = userMapper.selectPersByTelephone(telephone);
        sqlSession.commit();
        return set;
    }

    public static void main(String[] args) {
        System.out.println(new UserServiceImpl().getRolesByTelephone("13892845500"));
    }
}

工具类:

package com.wn.rbac.util;

import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;

import java.io.IOException;
import java.io.InputStream;

public class DBTools {
    private static SqlSessionFactory sqlSessionFactory;
    static{

        String resource = "mybatis-config.xml";
        InputStream inputStream=null;
        try {
            inputStream = Resources.getResourceAsStream(resource);
        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        sqlSessionFactory = new SqlSessionFactoryBuilder().build(inputStream);

    }
    public static SqlSession getSession(){
        return sqlSessionFactory.openSession();
    }
}

4.自定义Realm

package com.wnxy.myrealm.util;

import com.wnxy.myrealm.entity.SysUser;
import com.wnxy.myrealm.service.SysUserService;
import com.wnxy.myrealm.service.impl.SysUserServiceImpl;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import java.util.Set;

/**
 * @author Mrz
 * @date 2022/8/15 18:55
 */
public class MyRealm extends AuthorizingRealm {
    private SysUserService service = new SysUserServiceImpl();
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("负责验权");
        //获取tel
        String principal = (String) principalCollection.getPrimaryPrincipal();
        //访问后台数据库查询出对应的角色和权限
        Set<String> strings = service.selectRolesByTel(principal);
        Set<String> strings1 = service.selectPersByTel(principal);
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setRoles(strings);
        simpleAuthorizationInfo.setStringPermissions(strings1);
        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("负责认证");
        String tel = (String)authenticationToken.getPrincipal();
        SysUser sysUser = service.selectSysUserByTel(tel);
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(tel, sysUser.getPassword(), getName());
        //解盐(在已加入的算法“MD5”和迭代次数1024的基础上,加盐,最后得出用户输入的密码的加密结果,和数据库里的加密结果进行比对,最终返回true或false)
        simpleAuthenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(tel));
        return simpleAuthenticationInfo;
    }
}

5.测试(Shiro执行流程(包括加密和缓存))

@Test
    void testShiro(){
        //缓存配置
        EhCacheManager ehCacheManager = new EhCacheManager();
        ehCacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");
        //认证匹配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashIterations(1024);
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");
        //1、得到安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        //绑定缓存
        defaultSecurityManager.setCacheManager(ehCacheManager);
        //2、得到领域
        MyRealm myRealm = new MyRealm();
        //绑定认证匹配器
        myRealm.setCredentialsMatcher(hashedCredentialsMatcher);
        //3、将领域绑定到securityManager
        defaultSecurityManager.setRealm(myRealm);
        //4、得到安全管理工具
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //5、得到主体
        Subject subject = SecurityUtils.getSubject();
        //6、得到验证信息
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("13892845500", "123456");
        //验证
        try {
            subject.login(usernamePasswordToken);
            log.info("是否拥有管理角色:{}",subject.hasRole("管理员"));
            log.info("是否拥有权限管理权限:{}",subject.isPermitted("权限管理"));
            log.info("登录成功");
        }catch (UnknownAccountException uae) {
            log.info("未知账号");
        }catch (IncorrectCredentialsException ice) {
            log.info("密码错误");
        }catch (LockedAccountException lae){
            log.info("账户被锁");
        }catch (AuthenticationException e) {
            log.info("未知异常");
        }

    }

(显示加密结果)

@Test
    void testMD5(){
        SimpleHash md5 = new SimpleHash("MD5", "123456", "13892845500",1024);
        log.info(md5.toHex());
    }

Z_BK9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro介绍
FEEL的博客
05-02 218
简介 Apache ShiroJava的一个安全(权限)框架。Shiro可以非常容易的开发出足够好的应用,其不仅可以应用在JavaSE环境,也可以应用在JavaEE环境。 Shiro可以完成的功能:认证、授权、加密、会话管理、与Web集成、缓存等等。如下图: 其中: Authentication: 身份认证、登录,验证用户是不是拥有相应的身份 **Authorization:**授权,即权限验...
Apache Shiro教程
12-30
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等功能。这个教程将帮助你深入理解和有效地使用Shiro框架。在本文中,我们将详细探讨Shiro的核心概念、主要功能和常见用法...
什么是 Apache Shiro
web15085599741的博客
03-29 5713
什么是Apache Shiro Apache Shiro 是一种功能强大且易于使用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能,可用于保护任何应用程序的安全。 如: 命令行应用程序、移动应用程序、Web应用程序、企业级应用程序。从小到大到很大,Apache Shiro都会给你提供安全帮助。 Shiro 为你的应用程序提供如下API,帮助你更好的管理应用程序的安全。 身份验证 证明用户的身份。也就是所谓的用户的 “登录” 功能,验证访问的用户是否有权利登录系统或者访问后台接口。
Apache Shiro 安全框架
weixin_51715424的博客
10-24 1166
Apache Shiro 框架
解锁Apache Shiro:新手友好的安全框架指南(一)—,2024必看
最新发布
m0_61331407的博客
04-07 676
(分别是:开始身份认证前[2]、特定的Realm查询前[3]、特定的Realm实例查询完成后[6]、完成身份认证后[7] )。,对于支持提交的 AuthenticationToken 的每个 Realm,调用 Realm#getAuthenticationInfo 方法。这个最终的聚合 AuthenticationInfo 实例是由 Authenticator 实例返回的,Shiro 最终用它。收集了用户提交的 token 中的信息,并设置记住用户身份后,下一步是将 token 交给认证系统。
Apache Shiro 简介
web15085599741的博客
04-29 1143
Apache Shiro简介 什么是 Apache Shiro Apache Shiro 是一个强大并且灵活的开源的安全框架,它能很好的处理 authentication(认证), authorization(授权), enterprise session management(企业会话管理)和cryptography(密码加密)。 Apache Shiro最重要的目标就是易于使用和理解。安全有时候会非常的复杂,甚至是痛苦的,但是它并不一定如此的。一个框架屏蔽复杂性, 如有可能暴露一个干净,直观的API,简
Apache Shiro流量特征及漏洞利用
qq_53218512的博客
06-02 1269
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权和会话管理等功能。Shiro框架直观、易用,同时也能提供更健壮的安全性。
Apache Shiro(一)
qq_42847719的博客
01-01 1195
如同上面提到的,Realm 是 shiro 和你的应用程序安全数据之间的“桥”或“连接”,当实际要与安全相关的数据进行交互如用户执行身份认证(登录)和授权验证(访问控制)时,shiro 从程序配置的一个或多个Realm 中查找这些数据,你需要配置多少个 Realm 便可配置多少个 Realm(通常一个数据源一个),shiro 将会在认证和授权中协调它们。是不是需要所有方面的验证都成功?简单就是不同的角色用户只能访问指定的信息 ,我们需要知道用户有那些角色,用户有那些权限 ,包结构和之前的一致3-3。
Apache shiro 1.13.0源码
01-17
Apache shiro 1.13.0源码 https://shiro.apache.org/
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
shiro-site:Apache Shiro网站
04-28
Apache Shiro网站概述Apache Shiro网站是静态内容网站,可以从访问。 网站内容被创作为Markdown和HTML文件。 这些文件由工具扫描,该工具根据需要将页面模板应用于每个文件的内容,并将呈现的静态.html文件输出到...
Apache Shiro 使用手册(三) Shiro授权
09-15
Apache Shiro 是一款强大的安全管理框架,它提供了身份验证(Authentication)、授权(Authorization)和会话管理(Session Management)等功能。本篇文章将详细讲解 Shiro 的授权机制,即如何控制用户在应用程序中...
Apache Shiro教程(1)
醉代码的博客
01-09 524
*** 配置一个 SecurityManager安全管理器* @return} /*** 配置过滤器* 例如 什么可以进行访问,什么不可以进行访问等等* @return//配置用户登陆请求,如果需要进行登陆时, // shiro就会进入这个请求进入登陆页面 shiroFilterFactoryBean . setSecurityManager(securityManager);
Apache Shiro,这一篇就够了
大河之犬的博客
12-18 778
点击后会跳转到一个login.jsp页面,这个不是我们想要的效果,我们需要自己定义一个login页面!然后在 shiroFilterFactoryBean 中配置一个未授权的请求页面!我们再次启动测试一下,访问add,发现以下错误!在UserRealm 中添加授权的逻辑,增加授权的字符串!改造UserRealm,连接到数据库进行真实的操作!再次测试,成功的跳转到了我们指定的Login页面!编写实体类:(和数据库中的表字段要对应哦)使用shiro的过滤器来拦截请求即可!在前端修改对应的信息输出或者请求!
Shiro权限控制+整合shiro
热门推荐
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
1.Apache Shiro(认证,授权)基本介绍
相互学习 共同进步
06-15 2265
Apache Shiro(认证,授权)基本介绍 什么是Apache ShiroApache Shiro是一个功能强大且灵活的开源安全框架,可以干净地处理身份验证、授权、企业会话管理和加密,提供了一种直观,全面的身份验证、授权、加密和会话管理解决方案 Apache Shiro的首要目标是易于使用、理解。安全有时可能非常复杂,甚至会很痛苦,但这不是必须的。框架应尽可能掩盖复杂性,并公开简洁直观的API,以简化开发人员确保其应用程序安全的工作 官网:http://shiro.apache.org/ 同类的比
Apache shiro
08-13
Apache Shiro 是一个功能强大且易于使用的 Java 安全框架。它提供了身份验证、授权、加密和会话管理等常见的安全功能,可以帮助开发人员快速构建安全的应用程序。 Shiro 的核心概念包括 Subject、Realm、Session 和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值