Apache Shiro的运行流程和权限控制方式分析

最新推荐文章于 2023-06-02 09:36:11 发布
最新推荐文章于 2023-06-02 09:36:11 发布
阅读量2k 收藏 1
点赞数
分类专栏: 后台编程 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a772304419/article/details/78992406
版权

Apache Shiro的运行流程和权限控制方式分析

Shiro的架构有3个主要的概念:

Subject

SecurityManager

Realms

下面的关系图是关于这些组件是如何交互的高级概述。

我们接下来讨论下每一个概念。

Subjects:Subject实质上是一个当前执行用户的特定的安全“视图”。鉴于”User”一词通常意味着一个人,而一个Subject可以是一个人,也可以代表第三方服务,或者其他类似的任何东西–基本上是当前正在与软件进行交互的任何东西。所有Subject实例都被绑定到一个SecurityManager上,当你与一个Subject交互时,那些交互作用转化为与SecurityManager交互的特定subject的交互作用。

SecurityManager:SucerityManager是Shiro架构的心脏,并作为一种“保护伞”对象来协调内部的安全组件共同构成一个对象图。然而,一旦SecurityManager和它的内置对象图已经配置给一个应用程序,那么它单独留下来,且应用程序开发人员几乎使用他们所有的时间来处理Subject API.当你真该与一个Subject进行交互时,实质上是幕后的SecurityManager处理着所有 繁重的Subject安全操作。

Realms:Realms担当Shiro和你的应用程序的安全数据之间的“桥梁”或“连接器”。当它实际上与安全相关的数据,如用来执行身份验证(登录)及授权(访问控制)的用户账户交互时,Shiro从一个或多个为应用程序配置的Realm中寻找许多这样的东西。在这个意义上说,Realm本质上是一个特定安全的DAO:它封装了数据源的连接详细信息,使Shiro所需的相关的数据可用。当配置Shiro时,你必须指定至少一个Realm用来进行身份验证或授权。SecurityManager可以配置多个Realms,但至少有一个是必须的。

Application Code:也就是用户编写的代码。
用简明扼要的话总结一下:

Subject就是Shiro管理的用户;SecurityManager是安全管理器,是Shiro权限控制核心对象,在编程时,只需要操作Subject方法,底层会调用SecurityManager方法,无需直接变成操作SecurityManager;Realm是应用程序和安全数据之间的连接器。 应用程序要进行权限控制,就 需要读取数据表中的数据,也许数据并不是存储在数据表中,可能存储在文件或 网络上,但不管怎样,都是需要读取数据的,那么就一定需要通过Realms对象来读取这些安全数据。以用户登录流程为例,应用程序首先是去调用Subject,Subject去调用SecurtyManager安全管理器 ,SecurtyManager去调用Realm,Realm再去读取安全数据。

Shiro进行权限控制

主要有四种主要的方式:

在程序中,通过Subject以编程方式进行权限控制。

通过配置Filter,实现URL级别粗粒度的权限控制 。

通过配置代理,基于注解实现细粒度的权限控制。

在页面中使用shiro自定义标签实现页面显示的权限控制。

学亮编程手记
关注
专栏目录
shiro的实现权限管理的流程(详细)
qq_42664961的博客
06-19 1188
shiro的实现权限管理的流程 一、登录认证 发起请求之后:会经过doFilter判断需要哪些权限,在复习shiro之前需要对springMvc有一定了解 ,根据debug顺便复习一下MVC的处理流程—根据递归调用栈: 首先根据Httpservlet判断是post还是Get请求 根据servlet中的request携带的的路径以及参数信息交给前端控制器处理分发 DispatcherServlet前端控制器将请求信息转发给RequestMappingHandlerAdapter映射处理器进程处
jwt结合shiro实现认证和权限控制,非常详细
热门推荐
zhuzi的博客
07-30 1万+
文章目录前期准备1. 导入依赖2. 编写JwtUtil类3. 封装token4. 编写JWT的过滤器5. 编写shiro的自定义Realm对象6. 编写shiro配置文件7. 捕获shiro异常8. 编写controller1.登录接口2.用户接口9.测试结果 前期准备 jwt,我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性。为什么不适用Session? 原理是,登录之后客户端和服务端各自保存一个相应的SessionId,每次客户端发起请求的时候就得携带
shiro的执行流程
qq_41782949的博客
06-27 873
一、web.xml 中配置: <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <async-s...
SHIRO运行流程
MorePowerful的博客
06-05 329
主体提交请求,到Security Manager,它会掉Authenticator来做认证,紧接着,Authenticator通过relams来获取认证信息,从数据库中获取,然后和主体提交过来的认证信息来做比对。权限也一样。 Security Manager是用来提供安全服务的,首先要进行创建 ...
Shiro权限控制流程
csdn_chaoping的博客
11-22 284
软件研发,权限控制是每个软件必备的功能,shiro权限控制框架比较成熟,控制流程看下图:
shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6328
1、shiro架构图 shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
Apache Shiro教程
12-30
- **授权实现**:通过Role和Permission进行权限控制,可以定义角色并分配权限,然后在Controller或Service层检查Subject是否有执行操作的权限。 - **会话管理**:Shiro可以处理会话的创建、读取、更新、删除和超时...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许在运行时根据用户角色动态分配和更新权限。 **SpringBoot** 是一个简化Spring应用初始搭建以及开发过程的框架,它...
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
它可以通过配置或编程方式轻松集成到SpringBoot应用中,实现对用户角色和权限控制。 1. **身份验证**:Shiro提供了RememberMe、验证码、多因素认证等多种认证方式,确保用户的身份合法性。 2. **授权**:Shiro...
第一章 Shiro简介——《跟我学Shiro
jinnianshilongnian的专栏
02-19 3422
  扫一扫,关注我的公众号    我的新书 购买地址   目录贴: 跟我学Shiro目录贴   1.1  简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的...
shiro执行流程
散步的博客
11-06 828
1、通过ini配置文件创建securityManager 2、调用subject.login方法主体提交认证,提交的token 3、securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证。 4、ModularRealmAuthenticator调用IniRealm(给realm传入token) 去ini配置文件中查
shiroshiro整合JWT——3.执行流程
最新发布
kevin的博客
06-02 1484
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。上一篇中,主要讲如何在shiro框架中配置Jwt,以及token执行的流程。该篇主要梳理整个代码的执行流程。ps:本文主要以记录核心思路为主,以下都是个人理解,有问题请各位大佬指导一下。登录获取token携带token请求。
Shior的执行流程
weixin_68107783的博客
03-14 604
主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;即控制着用户能访问应用中的哪些功能;
Shiro登录认证代码执行流程简单分析
iwlnner的博客
07-10 309
暂时先记录下来,以后有时间再进行分析
shiro权限执行逻辑流程
健康平安的活着的专栏
06-20 279
一 认证和授权的流程 详情见:https://blog.csdn.net/u011066470/article/details/117402297 二 shiro权限执行的流程
权限控制_shiro_验证流程
燃烧的梦
10-20 441
Shiro Authorization ( 授权)
shiroWeb项目-授权(十一)
weixin_30919571的博客
07-29 129
使用PermissionsAuthorizationFilter 在applicationContext-shiro.xml中配置url所对应的权限。 测试流程: 1、在applicationContext-shiro.xml中配置filter规则 <!--商品查询需要商品查询权限 --> /items/queryItems.action...
shiro从入门到精通之认证执行流程
weixin_39516931的博客
04-07 445
架构图如下:代码如下:认证代码// 用户登陆、用户退出 @Test public void testLoginLogout() { // 构建SecurityManager工厂,IniSecurityManagerFactory可以从ini文件中初始化SecurityManager环境 Factory&lt;SecurityManager&gt; factory = new IniSecuri...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学亮编程手记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值