shiro

最新推荐文章于 2024-04-13 23:23:20 发布
最新推荐文章于 2024-04-13 23:23:20 发布
阅读量129 收藏
点赞数
文章标签: 数据库 ldap java
原文链接:http://www.cnblogs.com/Mr24/p/10127939.html
版权

 

 

1. shiro概述

  Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
  shiro包含三个核心组件:Subject, SecurityManager 和 Realms。

 

2. shiro组件介绍

  2.1 Subject

  即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。
  Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。

  2.2 SecurityManager

  它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

  2.3 Realm

  Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
  从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
  Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。
 

 3. 使用实例

  3.1 认证Authentication

    public void addUser() {
        simpleAccountRealm = new SimpleAccountRealm();
        // 添加主体权限
        simpleAccountRealm.addAccount("Mr.24", "24");
    }

 

public void testAuthentication() {

    //1. 构建SecurityManager
    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    defaultSecurityManager.setRealm(simpleAccountRealm);

    // 2. 主体提交认证请求
    SecurityUtils.setSecurityManager(defaultSecurityManager);
    Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("Mr.24", "24");
    subject.login(token);

    System.out.println("isAuthenticated : " + subject.isAuthenticated());

    // 如果不是已经添加的账号密码,会抛出UnknownAccountException

    subject.logout();

    System.out.println("isAuthenticated : " + subject.isAuthenticated());
}

  

  

 

  3.2 授权Authorization

 

    public void addUser() {
        simpleAccountRealm = new SimpleAccountRealm();
        // 添加主体权限
        simpleAccountRealm.addAccount("Mr.24", "24", "admin", "user");
    }

  

public void testAuthorization() {

        //1. 构建SecurityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(simpleAccountRealm);

        // 2. 主体提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken("Mr.24", "24");
        subject.login(token);

        System.out.println("isAuthenticated : " + subject.isAuthenticated());

        // 校验主体权限
        subject.checkRoles("admin", "user");
    }

4. 自定义Realm

  4.1 内置Realm

    4.1.1 IniRealm

    首先新建user.ini文件,作为IniRealm的资源文件。

[users]
Mr.24=24,admin
[roles]
admin=user:delete,user:update

   针对IniRealm进行测试

 1   @Test
 2     public void testAuthentication() {
 3 
 4         IniRealm iniRealm = new IniRealm("classpath:user.ini");
 5 
 6         //1. 构建SecurityManager
 7         DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
 8         defaultSecurityManager.setRealm(iniRealm);
 9 
10         // 2. 主体提交认证请求
11         SecurityUtils.setSecurityManager(defaultSecurityManager);
12         Subject subject = SecurityUtils.getSubject();
13 
14         UsernamePasswordToken token = new UsernamePasswordToken("Mr.24", "24");
15 
16         // org.apache.shiro.authc.UnknownAccountException:
17         // Realm [org.apache.shiro.realm.text.IniRealm@523884b2] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken - Mr.214, rememberMe=false].
18         // UsernamePasswordToken tokenWithWrongName = new UsernamePasswordToken("Mr.23", "24");
19 
20         // org.apache.shiro.authc.IncorrectCredentialsException:
21         // Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - Mr.24, rememberMe=false] did not match the expected credentials.
22         //UsernamePasswordToken tokenWithWrongPasswd = new UsernamePasswordToken("Mr.24", "23");
23 
24         subject.login(token);
25 
26         System.out.println("isAuthenticated : " + subject.isAuthenticated());
27 
28         // 角色校验
29         subject.checkRole("admin");
30 
31         // 权限校验
32         subject.checkPermission("user:delete");
33         subject.checkPermission("user:update");
34     }

 

    4.1.2 JdbcRealm

 

 

转载于:https://www.cnblogs.com/Mr24/p/10127939.html

afa7666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro1.6版本
09-07
2020年8月17日,shiro发布了1.6.0版本,修复了绕过认证的bug。这里面包含1.1、1.6版本的jar包
Shiro
书启鸿蒙知秋枫
08-13 1534
一、权限控制 1、什么是权限管理 2、用户的认证 3、用户的授权 4、权限控制的实现方案 5、权限控制的数据库设计 二、Shiro基本概念 Shiro官网:http://shiro.apache.org/ 中文帮助文档:http://greycode.github.io/shiro/doc/reference.html 2.1 Shiro 介绍 Apache Shiro (发音为“shee-roh”,日语......
一篇适合小白的Shiro教程
热门推荐
潮汐先生的专栏
12-02 6万+
Shiro的基本使用Shiro简介什么是ShiroShiro核心架构SubjectSecurityManagerAuthenticatorAuthorizerRealmSessionManagerSessionDAOCacheManagerCryptographyShiro中的认证什么是认证三个概念SubjectPrincipalcredential认证的实现Shiro认证的源码分析Shiro使用自定义Relam实现认证CustomerRealmCustomerRealmAuthenticatorTest测
Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro
MinggeQingchun的博客
08-27 3万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
Shiro介绍
PinkCoder
02-12 1497
Shiro介绍
shiro1.5.3
05-11
最新shiro1.5.3全依赖jar包,里面包含shiro-core shiro-spring shiro-web 等等一系列
shiro1.7.1.zip
04-12
最新版shiro1.7.1.jar包,安全升级专用
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
Redis限流插件
ShiYueMemo37329的博客
04-13 313
同时对 redis.log 授权。
数据库事务使用
JavaEE菜鸟
04-11 407
框架提供得事务注解,相信这是许多人都知道的,但是在一些高性能场景下,是不建议使用的,推荐通过编程式事务来手动控制事务提交或者回滚,减少事务影响范围,因而提升性能。这里面有个问题,订单回滚方法里面其实只有 2、3、4 步骤是需要在一个事物里执行的,第 1 步其实可以放在事物外面来执行,以此缩小事物范围。批量写入场景里要不要启用事物,其实很多人都有自己的看法,这里我给出启用于不启用的利弊,可以看到采用编程式事务后,我们将查询逻辑排除在事务之外,这样也就减小了事物影响范围。使用编程式事务对其优化后,代码如下。
软考123-上午题-【软件工程】-系统设计
qq_31532983的博客
04-11 485
概要设计、详细设计
详解QActionGroup类的使用
简介
04-12 286
主要用于实现互斥选择(即单选)或多选(即复选)的行为,特别是在菜单、工具栏或上下文菜单中,当存在一系列相互排斥或相关联的操作选项时,使用。的非独占模式(默认状态),允许多个动作同时处于选中状态,类似复选框(check box)的行为。,可以确保同一时间内只有一个动作处于选中状态,类似单选按钮(radio button)的行为。设置为互斥选择模式,每次只能有一个颜色被选中,选择新的颜色会自动取消之前的选择。信号,分别在动作被触发(如点击菜单项)和鼠标悬停时发射,便于集中处理相关动作的行为。
Windows和Linux环境下忘记MySQL密码的解决办法
misakivv的博客
04-12 1582
Windows和Linux环境下忘记MySQL连接密码的解决办法
Java研学-RBAC权限控制(三)
zhlyxx的博客
04-12 979
删除分为硬删除(sql语句为delete,直接将数据从数据库中删除)与软删除(sql语句为update,表中含status字段,通过字段的值控制数据的展示,如默认值为1表示有效,改为0表示无效,查询时where条件增加status为1即可),用户确认删除前,应给与一定的提示,防止用户错误删除,这里可以使用。为完成数据回显而不查询数据库(查询数据库会造成性能消耗),我们需要在数据库添加新的字段,将每个对象的所有属性封装到一个字段中,通过get方法获取该字段就能拿到对应对象的所有属性。③ service接口。
【SQL】mysql数学函数功能介绍并举例
qq_41155596的博客
04-11 405
ABS(x): 返回 x 的绝对值。CEIL(x) 或 CEILING(x): 返回大于或等于 x 的最小整数。FLOOR(x): 返回小于或等于 x 的最大整数。ROUND(x, d): 返回 x 四舍五入到小数点后 d 位的值。POW(x, y) 或 POWER(x, y): 返回 x 的 y 次幂。SQRT(x): 返回 x 的平方根。
Day:007(4) | Python爬虫:高效数据抓取的编程技术(scrapy框架使用)
最新发布
m0_49547615的博客
04-13 1273
Python爬虫:高效数据抓取的编程技术(scrapy框架使用)--Scrapy 中 Downloader 设置UA、Scrapy 中 Downloader 设置代理、下载中间件实战-Scrapy与Selenium结合、Scrapy保存数据到多个数据库、Scrapy案例、爬虫的分布式思维与实现思路、爬虫分布式-搭建Main端Redis、爬虫分布式-搭建Slave端环境配置
基于Springboot的笔记记录分享网站(有报告)。Javaee项目,springboot项目。
XING的博客
04-11 747
基于Springboot的笔记记录分享网站(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
dubbo shiro
12-17
Dubbo Shiro是一种基于Dubbo和Shiro框架的权限管理解决方案。它可以帮助开发人员快速实现基于角色的访问控制和权限管理。下面是一个简单的演示: 1.在Dubbo服务提供者中配置Shiro过滤器链 ```java @Bean public ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值