Shiro入门基础

最新推荐文章于 2024-07-20 23:59:39 发布
最新推荐文章于 2024-07-20 23:59:39 发布
阅读量196 收藏
点赞数
分类专栏: shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zero_uou/article/details/105662653
版权

Shiro的体系结构具有三个主要概念-Subject,SecurityManager和Realm。

Subject: “现在在与软件交互的东西”,这个东西可能是你是我,可能是第三方进程。说白了就是穿了马甲的用户类,负责存储与修改当前用户的信息和状态。
之后你会看到,使用 Shiro 实现我们所设计的各种功能,实际上就是在调用 Subject 的 API。

取得主题
import org.apache.shiro.subject.Subject;
import org.apache.shiro.SecurityUtils;
Subject currentUser = SecurityUtils.getSubject();

SecurityManager: Subject 背后的女人,安全相关的操作实际上是由她管理的。只用在项目中配置一次,就可以忘掉她了。
默认的SecurityManager实现是POJO,并且可以使用任何与POJO兼容的配置机制-普通的Java代码,Spring XML,YAML,.properties和.ini文件等进行配置

//加载配置文件,并获取工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//获取安全管理者实例
SecurityManager sm = factory.getInstance();
//将安全管理者放入全局对象
SecurityUtils.setSecurityManager(sm);
//全局对象通过安全管理者生成Subject对象
Subject subject = SecurityUtils.getSubject();

Realm: 是 Shiro 和安全相关数据(比如用户信息)的桥梁,也就是说,Realm 负责从数据源中获取数据并加工后传给 SecurityManager。
域本质上是特定于安全性的DAO,真正进行用户认证和授权的关键地方
在配置Shiro时,您必须至少指定一个领域用于身份验证和/或授权。可以配置多个Realm,但至少需要一个。

Shiro 为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的 API:

  • 认证 - 用户身份识别,常被称为用户“登录”;
  • 授权 - 访问控制;
  • 密码加密 - 保护或隐藏数据防止被偷窥;
  • 会话管理 - 每用户相关的时间敏感的状态。
  •  

(1) Authentication:认证 - 用户身份识别,常被称为用户“登录“

AuthenticationToken token = new UsernamePasswordToken(username, password);
Subject currentUser = SecurityUtils.getSubject();
currentUser.login(token);

(2)Authorization:授权 - 访问控制

1.角色校验

if ( subject.hasRole(“administrator”) ) {
    //show the ‘Create User’ button
} else {
    //grey-out the button?
}

2.权限校验

if ( subject.isPermitted(“user:create”) ) {
    //show the ‘Create User’ button
} else {
    //grey-out the button?
}

3.实例级权限校验

if(subject.isPermitted(“ user:delete:jsmith”))){ 
    //删除'jsmith'用户
} else { 
    //不要删除'jsmith' 
}

(3)Session Management 会话管理 - 每用户相关的时间敏感的状态

Session session = subject.getSession();

(4)密码加密 - 保护或隐藏数据防止被偷窥(hash(哈希变换),字节变换)

1.使用JDK的MessageDigest类
try {
    MessageDigest md = MessageDigest.getInstance("MD5");
    md.digest(bytes);
    byte[] hashed = md.digest();
} catch (NoSuchAlgorithmException e) {
    e.printStackTrace();
} 

2.shiro的MD5加密
String hex = new Md5Hash(myFile).toHex(); 
shiro的SHA-512 hashing and Base64-encoding
String encodedPassword = new Sha512Hash(password, salt, count).toBase64();


3.MD5+盐(一次哈希可能会出现哈希碰撞,虽然MD5不可逆或非对称性,理论上用穷举法可破解)
String password = "123";
String salt = new SecureRandomNumberGenerator().nextBytes().toString();
int times = 2;
String algorithmName = "md5";	
String encodedPassword = new SimpleHash(algorithmName,password,salt,times).toString();
System.out.printf("原始密码是 %s , 盐是: %s, 运算次数是: %d, 运算出来的密文是:%s ",password,salt,times,encodedPassword);

 

keli_Jun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro入门
trasewell的博客
09-25 848
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro用户加密默认方式_004--Shiro的MD5加密,SHA1加密方式
weixin_36295010的博客
01-13 326
2.使用说明在Demo中使用了MD5加密,SHA1两种加密方式,在application.xml中可以直接进行配置文件的切换在MD5加密中又分为不加密,MD5加密,加盐的三种操作,注释掉对应的代码既可以使用main方法,模拟真实的数据验证,我们自己设置密码在main方法中进行转码后加到相对应的判断中3.核心操作代码public class SecondRealm extends Authentic...
004--Shiro的MD5加密,SHA1加密方式
weixin_42288943的博客
08-08 477
1.Demo下载地址:http://pan.baidu.com/s/1geDNeYf 2.使用说明 在Demo中使用了MD5加密,SHA1两种加密方式,在application.xml中可以直接进行配置文件的切换 在MD5加密中又分为不加密,MD5加密,加盐的三种操作,注释掉对应的代码既可以使用 main方法,模拟真实的数据验证,我们自己设置密码在ma...
Shiro之加密方式-yellowcong
12-17 1万+
Shiro加密验证,是通过自身的方式来进行验证的。有无加密和加密的两种验证方式。在密码的生成方面,我们可以通过`SimpleHash`来生成密码。
Shiro入门.rar
06-12
在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一、Shiro基本概念** 1. **认证**:也称为身份验证,是确认用户身份的过程,通常通过用户名和密码进行验证。 2. **授权**:也称为...
Shiro入门实例
03-28
在这个"Shiro入门实例"中,我们将探讨Shiro基础知识和如何在项目中进行实战应用。 **1. 认证与授权** Shiro 的核心概念包括主体(Subject)、安全管理者(SecurityManager)、身份验证(Authentication)、授权...
Shiro入门到精通
06-26
总的来说,“Shiro入门到精通”课程覆盖了从基础概念到高级特性的全面内容,结合源码分析和Spring Security的对比,将使你对Shiro有深入的理解,能够在实际项目中灵活运用。无论你是初学者还是有经验的开发者,都能...
shiro入门教程
08-11
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、...`shiro-example-master`这个压缩包很可能是包含了一个完整的Shiro入门示例项目,你可以下载后进行学习和调试,更好地理解Shiro的工作原理和实际应用。
shiro 入门 hello world
02-01
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、...通过查看和运行这个项目,你可以更好地理解Shiro框架的基础概念和实际应用。在实际开发中,Shiro还可以与Spring等框架结合使用,提供更强大的安全支持。
关于shiro混合加密,我来说一下
AinUser的博客
05-06 303
由于原来写项目的时候,也是用网上一些方案,采用的嵌套md5加密算法 现在呢,先采用混合加密算法(比如:sha(md5(xxx)))这种方式 上午追了一上午的源码,通过入口 subject.login 一直追踪到密码匹配,因为我想找到用户传递过来的密码,shiro拦截后进行加密后,我再进行一层加密 于是乎,追踪到下面的方法 这是判断:加密后的密码与数据库保存的加密密码是否一致 我...
shiro 密码加密和解密
笨鸟快飞的专栏
08-15 2万+
前言:对于登录的密码信息加密,增加密码破解难度。在密码使用Shiro的hash加密方法和自定义方法加密算法。 步骤 1.告诉shiro密码使用何种加密方法 2.告诉shiro如何验证加密密码是否正确 1.告诉shiro密码使用何种加密方法 通过Credentials 和 CredentialsMatcher告诉shiro什么加密和密码校验 在配置文件
shiro 加密 java sha-256
lv842586821的博客
09-15 2365
shiro.xml配置:默认有base64,配置时没有 salt //加密名称 //散列次数 //默认base64 java:  加密方式:sha-256 加密字符:123456 salt:无/null 散列次数:1024次  第一种: String shaStr1 = new Sha256Hash("123456",null,1024).toBas
关于密码加密方式----sha512
无约而来
07-04 1894
关于密码加密方式----sha512 在linux系统自动部署时 ks.cfg配置文件中rootpw密码可以使用明文,也可以使用加密过的值。 比如的我密码是:123456,对应加密后的密码是:111passwd$IGXXeEDreLiwIBs8UcxqD0 但是这个密码怎么生成呢,其实和生成linux系统的密码shadow一样,命令如下 perl -e 'print crypt("123456",q($1$password)),"\n"' PS:当使用特殊字符时,例如@$符时需要在前面加上\,例:@$,否
linux密码暴力破解之SHA-512破解
热门推荐
Key_book(句芒安全实验室)
05-24 2万+
linux密码暴力破解 由于MD5加密已经发展了很多年,现在市面上已经积累了大量的MD5数据,这样,MD5的安全性也就受到了威胁,所以,从centos6.x版本开始,系统密码开始采用SHA-512加密,与MD5加密相比,SHA-512加密后长度更长,也就意味着SHA-512相比MD5更加安全. 密码加密原理 在我们进行密码破解前,我们首先需要了解linux系统密码加密的原理: 1. 密...
apache shiro中SHA512使用salt并迭代N次进行加密对应C#的加密方法
ITRider的专栏
10-18 2308
项目需求:      在java web项目中使用apache shiro来进行安全保护,并使用shiro提供的加密方法来对密码进行加密。      在另外一个c#项目中,需要对接这个java web项目,并且验证的密码是shiro进行加密的。      这个时候就需要对C#端的加密方式稍作修改,才能达到java和c#的加密结果的一致性     注:如果shiro跟springmvc集成了
Shiro再理解
Life And Code
06-13 644
文章目录1.权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权2.什么是shiro3.shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography4. shiro中的认证4.1 认证4.2 shiro中认证的关键对象4.3 认证流程4.4 认证的开发1. 创建项
在eclipse中导入本地的jar包配置Junit环境步骤(包含Junit中的方法一直标红的解决方法)
最新发布
weixin_70987470的博客
07-20 193
从本地导入Junit
Shiro入门教程:从基础到实战
"Shiro入门指导教程全集" Apache Shiro 是一个强大的Java安全框架,用于处理认证(身份验证)、授权(访问控制)、会话管理和加密等安全需求。本教程旨在帮助初学者全面理解并掌握Shiro的核心概念和用法。 1. **...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值