Shiro验证框架

最新推荐文章于 2024-09-08 21:56:57 发布
最新推荐文章于 2024-09-08 21:56:57 发布
阅读量182 收藏
点赞数 1
分类专栏: 验证框架 文章标签: shiro 权限验证 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_d_a123/article/details/83090546
版权

文章目录

shiro是什么

在使用Shiro 之前,大家做登录,权限什么的都是五花八门,各种花里胡哨的代码,不同系统的做法很有可能千差万别。
但是使用 Shiro 这个安全框架之后,大家做权限的方式都一致化了,这样的好处就是你的代码我看起来容易,我的代码你也好理解。
Shiro 也比较成熟,基本上能满足大部分的权限需要。

运行效果

在这里插入图片描述

Jar包支持

我这里使用的是shiro-all-1.3.2,slf4j-api-1.7.24

在这里插入图片描述

配置shiro.ini 文件

在src目录下新建 shiro.ini

#用户名,密码,角色
[users]
zhang3 = 12345, admin 
li4 = abcde,productManager
#角色:管理员有所有权限,产品经理只能做产品管理
[roles]
admin = *
productManager = 
addProduct,deleteProduct,editProduct,updateProduct,listProduct

User类

public class User {
	
	private String name;
	private String password;
	//省略getter、setter方法及构造函数
	}

测试

准备3个用户,前两个能在 shiro.ini 中找到,第3个不存在

		//添加用户到List集合
		List<User> users = new ArrayList<>();
    	User zhang3 = new User("zhang3","12345");
    	User li4 = new User("li4","abcde");
    	User wang5 = new User("wang5","wrongpassword");
    	users.add(zhang3);
    	users.add(li4);
    	users.add(wang5);

准备两个角色:admain 、productManager

		//添加角色到List集合
    	List<String> roles = new ArrayList<>();
    	String roleAdmin = "admin";
    	String roleProductManager ="productManager";
    	roles.add(roleAdmin);
    	roles.add(roleProductManager);

准备两个权限addProduct、addOrder

		//添加权限到List集合
    	List<String> permits = new ArrayList<>();
    	String permitAddProduct = "addProduct";
    	String permitAddOrder = "addOrder";
    	permits.add(permitAddProduct);
    	permits.add(permitAddOrder);

login(User)找出可登录的用户

private static boolean login(User user) {
	Subject subject= getSubject(user);
	//如果已经登录过了,退出
	if(subject.isAuthenticated())
		subject.logout();
		//封装用户的数据
	UsernamePasswordToken token = new UsernamePasswordToken(user.getName(),user.getPassword());
	try {
		//将用户的数据token 最终传递到Realm中进行对比
		subject.login(token);
		} catch (AuthenticationException e) {
		  	//验证错误
			return false;
		}				
		return subject.isAuthenticated();
	}

测试登录

for (User user : users) {
	if(login(user)) 
    	System.out.printf("%s \t成功登陆,用的密码是 %s\t %n",user.getName(),user.getPassword());
    else 
   		System.out.printf("%s \t成功失败,用的密码是 %s\t %n",user.getName(),user.getPassword());
		}

测试能够登录的用户是否包含角色

for (User user : users) {
	for (String role : roles) {
    	if(login(user)) {
	    	if(hasRole(user, role)) 
	    		System.out.printf("%s\t 拥有角色: %s\t%n",user.getName(),role);
	    	else
	    		System.out.printf("%s\t 不拥有角色: %s\t%n",user.getName(),role);
    			}
    		}	
		}

判断能够登录的用户,是否拥有某种权限

//判断能够登录的用户,是否拥有某种权限
for (User user : users) {
	for (String permit : permits) {
		if(login(user)) {
			if(isPermitted(user, permit)) 
				System.out.printf("%s\t 拥有权限: %s\t%n",user.getName(),permit);
			else
				System.out.printf("%s\t 不拥有权限: %s\t%n",user.getName(),permit);
    	}
    }	
}

判断用户是否有roles 中的角色

private static boolean hasRole(User user, String role) {
	Subject subject = getSubject(user);
	//Subject对象调用hasRole方法
	return subject.hasRole(role);
}

判断用户是否有permits 中的权限

private static boolean isPermitted(User user, String permit) {
	Subject subject = getSubject(user);
	//Subject对象调用hasRole方法
	return subject.isPermitted(permit);
}

获取Subject对象,加载shiro.ini文件

//Subject对象理解为一个用户,可以使用验证的用户
private static Subject getSubject(User user) {
	//加载配置文件,并获取工厂
	Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
	//获取安全管理者实例
	SecurityManager sm = factory.getInstance();
	//将安全管理者放入全局对象
	SecurityUtils.setSecurityManager(sm);
	//全局对象通过安全管理者生成Subject对象
	Subject subject = SecurityUtils.getSubject();
	return subject;
}

判断用户是否已登录

private static boolean login(User user) {
	Subject subject= getSubject(user);
	//如果已经登录过了,退出
	if(subject.isAuthenticated())
		subject.logout();
	//封装用户的数据
	UsernamePasswordToken token = new UsernamePasswordToken(user.getName(), user.getPassword());
	try {
		//将用户的数据token 最终传递到Realm中进行对比
		subject.login(token);
	} catch (AuthenticationException e) {
		//验证错误
		return false;
	}				
	return subject.isAuthenticated();
	}

项目资料

shiro源码 密码:lwmi

第一次写帖子,还请大家多多批评指正 ,不吝赐教 O(∩_∩)O~

敲bug的冰~
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限验证框架Shiro使用详解
想作会飞的鱼的博客
06-08 6100
一、简介Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如CS程序。 可以使
Shiro框架 02(之认证)
m0_67094505的博客
08-26 742
【代码】Shiro框架 02(之认证)
shiro权限验证框架
诺花雨的博客
03-06 2196
shiro权限验证框架 1.什么是Shiro?     Shiro 是一个用 Java 语言实现的框架,通过一个简单易用的 API 提供身份验证和授权。使用 Shiro,您就能够为您的应用程序提供安全性而又无需从头编写所有代码。 2.为什么要用Shiro?     shiro在大多数的企业级系统中,我们一般都是采用角色关联资源,然后对用户指定一些角色,这样用户就拥有了一些url,菜
shiro验证框架
Thinking
12-25 362
http://jinnianshilongnian.iteye.com/blog/2018936
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 1894
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
end的python学习shiro检测
qq_45781155的博客
04-05 442
识别SHIRO框架: 请求包里面发送:RememberMe= 响应头里面出现cookie rememberme 代码检测是否使用SHIRO框架: import requests import urllib3 urllib3.disable_warnings() header={ 'cookie':'rememberMe=1' } def check_shiro(url): res=requests.get(url,verify=False,headers=header) if
另类又不另类的shiro检测方式
m0_67265464的博客
08-28 508
先随便唠叨几句,当碰到某个漏洞的时候,我们用工具直接去打,成功了就成功了,没成功我们也不知道为啥,即使是问出来为啥,可能不理解其中的含义也不知道说的啥。同事说我的文章都是别人写过的文章,然后截个图就完事了。我想说的是整个反序列化系列都是我跟随前人的步伐一步一步踏过来的,脚印很扎实。正所谓知其然不知其所以然,连探索精神都没有,我觉得那只能堕落,沉沦,灭亡。下面我们说文章。...
Shiro_Demo 一个简单的Shiro验证框架实例
04-07
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、加密和会话管理功能,使得开发者能够轻松地实现安全控制。在这个名为"Shiro_Demo"的简单示例中,我们将深入理解如何将Shiro与Spring和SpringMVC集成...
Apache Shiro权限框架实战+项目案例视频课程
06-09
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。本课程旨在通过实战演练和项目案例,帮助学习者深入理解...
spring boot整合shiro安全框架过程解析
08-25
然后,我们需要自定义一个realm域,realm域是shiro框架中的一个核心概念,它相当于一个数据源,shiro从realm中获取一些数据,验证用户的认证和授权。在这个例子中,我们定义了一个UserMapper接口,用于查询用户数据...
Shiro权限框架由浅入深讲解教程课件
01-07
Apache Shiro 是一个轻量级的 Java 安全框架,主要负责身份验证、授权、加密以及会话管理。它的设计目标是简化应用安全的实现,让开发者能够快速地为各种类型的程序添加安全特性,从简单的命令行应用到复杂的 web ...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
Shiro框架漏洞分析与复现
未完成的歌~的博客
05-15 4121
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
Shiro漏洞检测
weixin_43554548的博客
05-10 9284
关于Shiro漏洞检测工具的使用说明Shiro-550反序列化漏洞简介漏洞检测工具工具一:ShiroExploit工具二:shiro_attack-2.2补充说明 Shiro-550反序列化漏洞简介 漏洞简介: Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户
Shiro1.2.4反序列化漏洞检测与复现
qq_45396375的博客
12-20 1505
用户勾选RememberMe登录后,shiro框架将用户信息进行序列化,序列化的内容进行AES加密,再使用base64编码,最后给用户返回一个rememberMe的cookie。 而AES加密采用了一个固定的key kPH+bIxk5D2deZiIxcaaaA==,因此攻击者可以构造恶意的代码,将恶意代码进行序列化,再通过固定key对恶意代码进行AES加密,再base64编码 攻击者将这段恶意数据替换为正常的cookie值,这段cookie值发到后台后,shiro框架会将这段加密数据进行base64解码,
Shiro 框架总结】8 RememberMe
FullStackDeveloper0的博客
04-17 385
一、概述 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并 保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的;...
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3991
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
自己测试使用shiro安全框架
duanduan339的博客
03-24 587
今天学了一下shiro安全框架根据别人的文章实验成功 特地记录一下 原文转自:https://www.jianshu.com/p/7f724bec3dc3 我用的是springboot框架集成的 1 项目架构 2 导入依赖 <!-- shiro安全框架--> <dependency> <groupId>...
24下半年学习计划
最新发布
2301_80336512的博客
09-08 817
上课的时候认真听,不要以为提前了解一些知识就认为不重要,不听也要坚持看书,不要被外界吸引。我以后大概率走后端方向,对于后端的一些技术栈目前只是跟着网上的教程学,网上的教程大部分。只适合入门,对其原理背后的实行的机制还是需要看一些经典书籍,因此在这一学期除了完成实验。《设计模式之美》,提高自己编写代码的规范性,了解设计原理,养成良好的写代码习惯。,数据库对于后端开发者来说十分重要,这一部分知识要熟悉掌握。早睡早起,少熬夜,最好是每天早晨记10个单词,晚上睡前复习。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值