shiro框架学习

已于 2022-08-26 14:49:17 修改
阅读量1.4k 收藏
点赞数 1
文章标签: 学习 安全
于 2022-05-02 17:49:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baozaoderenlei/article/details/124541615
版权

1.登录

// 1 从Shiro框架中,获取一个Subject对象,代表当前会话的用户比如(com.shkj.financial.service.shiro.realm.ShiroAuthorizingRealm_0)
Subject subject = SecurityUtils.getSubject();
// 2 认证subject的身份
// 2.1 封装要认证的身份信息(用前端传来的用户名和密码封装成AuthenticationToken,在下面会说为什么) 
AuthenticationToken token = new UsernamePasswordToken(account.getUsername(), 
EncryptUtil.getMD5Str(account.getPassword()));
// 2.2 认证:当前会话对象调用login方法
subject.login(token);

调用subject.login(token);最后会进入AuthorizingRealm 的doGetAuthenticationInfo方法中进行登录认证,在上面的token中封装的username就在下面用到了。

@Component("shiroRealm")
public class ShiroAuthorizingRealm extends AuthorizingRealm {
    //注入自己的service层
    @Autowired
    private IUserService userService;
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //从authenticationToken也就是登录用UsernamePasswordToken封装的token中拿出
        //前端传来的用户名 可以点authenticationToken进入UsernamePasswordToken源码中了解为什么可以拿到
        String username = authenticationToken.getPrincipal().toString();
        //根据用户名查询该用户的信息
        AuthSysUser user = this.userService.findByUserName(username);
        // 用AuthenticationInfo对象,封装username和password
        ShiroUser shiroUser = new ShiroUser();
        String password = user.getUrPassword();
        shiroUser.setId(user.getUrId());
        shiroUser.setUserName(user.getUrUserName());
        shiroUser.setAuthCacheKey(user.getUrUserName() + user.getUrId());
        shiroUser.setPassword(password);
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(shiroUser, password, this.getName());
       //return时会触发密码验证
        return info;       
    }
}

想了解密码是何时怎样校验的可以看这位博主shiro密码校验

在登录校验成功之后会进行获取身份信息

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) 
      {
        //授权资源检查
        // 获取主身份
        String username = principalCollection.getPrimaryPrincipal().toString();
        ShiroUser shiroUser = (ShiroUser) principalCollection.getPrimaryPrincipal();
        //获取数据库中的用户角色对应的权限
        String username = shiroUser.getUserName();
        List<String> permissionList = this.userService.getUserPermssions(username);
        //创建授权对象
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //将当前用户权限设置给授权对象  permissionList放置的是order/create/*
        simpleAuthorizationInfo.addStringPermissions(permissionList);
        return simpleAuthorizationInfo;
    }

细粒度权限控制

         注解式的权限控制需要配置两个Bean,第一个是AdvisorAutoProxyCreator,代理生成器,需要借助SpringAOP来扫描@RequiresRoles和@RequiresPermissions等注解,生成代理类实现功能增强,从而实现权限控制。需要配合AuthorizationAttributeSourceAdvisor一起使用,否则权限注解无效,配置的DefaultAdvisorAutoProxyCreator相当于一个切面,下面这个类就相当于切点了,两个一起才能实现注解权限控制

   @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
@Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator autoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        autoProxyCreator.setProxyTargetClass(true);
        return autoProxyCreator;
    }

权限注解 

@RequiresAuthentication

表示当前 Subject 已经通过 login 进行了身份验证;即 Subject.isAuthenticated() 返回 true。

@RequiresUser

表示当前 Subject 已经身份验证或者通过记住我登录的。

@RequiresGuest

表示当前 Subject 没有身份验证或通过记住我登录过,即是游客身份。

@RequiresRoles(value={“admin”, “user”}, logical= Logical.AND) logical是枚举类 有and和or

表示当前 Subject 需要角色 admin 和 user。

@RequiresPermissions (value={"sys:user:list", "sys:role:list"}, logical= Logical.OR)

表示当前 Subject 需要权限 sys:user:list或 sys:role:list(资源访问权限可以和后端访问路径完美匹配)可以将用户权限做缓存。

数据库表设计

为了简单化前后端的细粒度的权限控制将权限表和资源表进行合并 将权限直接定义为sys:user:list类型

  基于源码的登录流程在shiro框架中获取到subject对象后调用subject的login方法需要传入AuthenticationToken,UsernamePasswordToken实现了AuthenticationToken,调用UsernamePasswordToken的构造方法传入账号和加密后的密码,DelegatingSubject实现了Subject

实现了login方法调用securityManager中的login方法,最后在AbstractAuthenticator的authenticate

方法,然后调用ModularRealmAuthenticator的doAuthenticate,会根据你AuthenticatingRealm的Realms的数量判断是简单登录还是复杂登录,AuthorizingRealm(授权) AuthenticatingRealm(认证)

AuthorizingRealm extends AuthenticatingRealm 所以我们自定义实现AuthorizingRealm中的doGetAuthorizationInfo(授权)和doGetAuthenticationInfo(认证) 就可以完成自己的认证和授权。

shiro中出现的问题

前后端分离后用shiro自定义的session,前端是获取不到的需要自定义DefaultWebSessionManager用其getSessionId方法将sessionid拿出来重写放到response请求头上。

方法一 自定义DefaultWebSessionManager解决

前端获取不到session

方法二 跨域方式解决问题

前后端分离项目,前端cookie获取不到的解决方案

跨域解决的两种方式

解决跨域的方式 和问题解决

baozaoderenlei
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro入门
trasewell的博客
09-25 849
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
菜鸟学习shiro之实现自定义的Realm,从而实现登录验证,身份验证和权限验证4
保持愤怒
07-28 800
讲了那么多使用的内置的类从而实现四郎,现在讲自定义的境界 首先行家的依赖依然是第一篇的那个依赖 下边是自定义的境界: import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Au...
Spring-shiro源码陶冶-AuthorizingRealm用户认证以及授权
weixin_30822451的博客
05-04 583
阅读源码有助于陶冶情操,本文旨在简单的分析shiro在Spring中的使用 简单介绍 Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能 AuthorizingRealm的继承关系 Realm->CachingRealm->AuthenticatingRealm->AuthorizingRealm 本文只针对以上关系进行讲解,其余的实现类...
springboot集成shiros自定义md5加密自定义token认证
最新发布
a360284634的博客
06-18 823
spring boot 集成 shiroshiro介绍,shiro与springSecurity区别,shiro优缺点
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2840
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Shiro框架
2301_78021017的博客
05-30 260
求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自。对于细颗粒度的授权不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务。理称为粗颗粒度权限控。,即只控制到菜单、按。、方法,粗粒度的例子。
Shiro框架学习代码
05-03
在这个“Shiro框架学习代码”压缩包中,我们可以看到一些基本的学习资源,用于理解和实践 Shiro 的核心功能。 1. **认证**: 认证是验证用户身份的过程。在 Shiro 中,这一过程通过 `AuthenticationInfo` 类来实现...
shiro框架学习心得
06-27
学习Shiro框架的过程中,首先需要理解它的核心概念: 1. **认证**:这是验证用户身份的过程。Shiro 提供了多种方式来实现用户登录,如基于用户名和密码的登录。用户信息通常存储在 Realm(域)中,Shiro 通过与 ...
shiro框架学习视频以及文档和源码
03-13
Shiro框架的核心概念主要有三个:身份(Identity)、会话(Session)和权限(Permission)。 1. **身份认证(Authentication)**:这是确认用户身份的过程,通常涉及用户输入用户名和密码,Shiro通过比较这些信息与...
shiro框架的基础学习
02-02
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、会话管理和缓存管理等核心功能。...在深入学习 Shiro 的同时,也要注意与 Spring、Spring Boot 等其他框架的集成,以充分利用其功能。
Shiro框架总结
cxmengxin的博客
07-08 1087
Shiro框架总结 一、Shrio框架 1、Shiro介绍 (1)RBAC Shiro是一款基于资源的访问控制框架即RBAC(Resource-Based Access Control),其将安全认证等相关功能全部提取出来抽象成了一个框架,使用Shiro能够轻松方便的完成认证、授权、加密等功能的开发。 (2)角色(roles)与权限(Permission) 角色与权限是Shiro认证授权的核心概念。在用户登录时,Shiro对用户进行认证,并授予其相应的角色,而角色也有其对应的权限,根据角色所具有的权限从而可
shiro(一)
遥是此间桃花庵
11-29 168
文章目录1.shiro的简介:2.在应用程序角度来观察如何使用Shiro完成工作3.shiro架构Shiro入门案例 1.shiro的简介: shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于s...
权限管理框架Shiro简介
weixin_38526781的博客
09-01 2201
权限管理框架shiro
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 4949
Shiro入门概述与基本使用
Shiro安全框架——【快速入门、登录拦截、用户认证、请求授权】
2401_83817843的博客
04-18 616
做任何事情都要用心,要非常关注细节。看起来不起眼的、繁琐的工作做透了会有意想不到的价值。当然要想成为一个技术大牛也需要一定的思想格局,思想决定未来你要往哪个方向去走, 建议多看一些人生规划方面的书籍,多学习名人的思想格局,未来你的路会走的更远。更多的技术点思维导图我已经做了一个整理,涵盖了当下互联网最流行99%的技术点,在这里我将这份导图分享出来,以及为金九银十准备的一整套面试体系,上到集合,下到分布式微服务《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
shiro角色配置
web15286201346的博客
08-24 397
为防止转化成json时出现循环,ManyToMany配置是只在依赖方配置,即只在user端进行配置。此例子比较简单,没有涉及到权限permission。如果涉及到权限则需要建立权限表及对应的POJO。- permission:权限表。
Shiro开发框架
01-01
Shiro是Apache推出的,并且是现在流行的一套开发框架,利用Shiro可以方便的实现用户的认证以及角色认证的操作处理,在所有的项目开发之中都会被大量的采用。官方QQ群:612148723。
shiro 的5个权限注解
weixin_43564627的博客
03-19 274
shiro注解权限控制-5个权限注解 Shiro共有5个注解,接下来我们就详细说说吧 RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时, 当前Subject必须在当前session中已经过认证。 RequiresGuest: 使用该注解标注的类,实例,方法在访问或调用时, 当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。 RequiresPermissions: 当前Subject需要拥有某些特定的权限时,才能执行
Apache Shiro 安全框架学习指南
Apache Shiro 安全框架详解 Apache Shiro 是一个 Java 的安全框架,提供了一种简单、灵活的安全解决方案。Shiro 框架的出现为 Java 开发者提供了一种轻便、灵活的安全解决方案,满足了大多数 Java 应用程序的安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值