【shiro】shiro总结

最新推荐文章于 2023-08-23 19:09:36 发布
最新推荐文章于 2023-08-23 19:09:36 发布
阅读量758 收藏 4
点赞数 1
分类专栏: 【框架】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boniesunshine/article/details/81569767
版权

前言

4大模块

1.身份验证
2.授权
三种方法:编程,注解,jsp
3.加密
4.会话管理
这里写图片描述

3大对象

1.subject 用户
2.securityManager
安全管理器 是shiro的核心就行dispacher servlet 是 springmvc的核心
3.realm 域
shiro从realm获取安全数据(用户,角色,权限),类似数据源
shiro不能自己维护用户,角色等信息,是通过realm让程序员自己注入。
这里写图片描述

登录验证授权调用过程

1.先从servlet开始

public class LoginServlet extends HttpServlet{
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        System.out.println("login doget");
        req.getRequestDispatcher("login.jsp").forward(req,resp);
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        System.out.println("login dopost");
        String userName = req.getParameter("userName");
        String password = req.getParameter("password");
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token= new UsernamePasswordToken(userName,password);

        try{
            subject.login(token);
            Session session= subject.getSession();
            System.out.println(session.getId());
            System.out.println(session.getHost());
            System.out.println(session.getTimeout());
            resp.sendRedirect("success.jsp");
        }catch (Exception e){
            e.printStackTrace();
            req.setAttribute("errorInfo","用户名密码错误");
            req.getRequestDispatcher("login.jsp").forward(req,resp);
        }

    }
}

~1 从request中获得登录名和密码
~2 用用户名密码生成token
~3 从SecurityUtils中获得用户,SecurityUtils比securityManager要大
~4 可以用subject,token登录 subject.login(token); subject的login是shiro框架里的,不用自己写。
~5 可以用subject获取session

2.login方法会跳到realm域中 realm调dao层,其中用到了数据库的连接

public class MyRealm extends AuthorizingRealm{

    private UserDao userDao = new UserDao();
    private DbUtil dbUtil = new DbUtil();

    //为登录用户授权  第7讲20分钟
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String userName = (String) principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        Connection con = null;
        try{
            con=dbUtil.getCon();
            //设置角色
            authorizationInfo.setRoles(userDao.getRoles(con,userName));
            //设置权限
            authorizationInfo.setStringPermissions(userDao.getPermission(con,userName));

        }catch (Exception e){
            e.printStackTrace();
        }finally {
            try {
                dbUtil.closeCon(con);
            } catch (Exception e) {
                e.printStackTrace();
            }
        }

        return null;
    }

//    验证当前登录用户
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userName = (String) token.getPrincipal();
        Connection con = null;
        try{
            con=dbUtil.getCon();
            User user = userDao.getByUserName(con,userName);
            if(user != null){
                AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user.getUserName(),user.getPassWord(),"xx");
                return authcInfo;
            }
            else{
                return  null;
            }
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            try{
                dbUtil.closeCon(con);
            }catch (Exception e){
                e.printStackTrace();}
        }
        return null;
    }
}

@1 登录
~1token中获得subject的userName
~2 dbUtil获得数据库连接
~3 用连接和userName访问dao
~4 获得身份验证AuthenticationInfo

@2 授权
~1 用连接和userName从dao中查到角色赋给授权info AuthorizationInfo
~2 用连接和userName从dao中查到权限赋给授权info AuthorizationInfo

  1. DAO
public class UserDao {
    public User getByUserName(Connection con, String userName) throws Exception{
        User resultUser = null;
        String sql = "select * from t_user where userName = ?";
        PreparedStatement pstmt = con.prepareStatement(sql);
        pstmt.setString(1,userName);
        ResultSet rs = pstmt.executeQuery();
        if(rs.next()){
            resultUser = new User();
            resultUser.setId(rs.getInt("id"));
            resultUser.setUserName(rs.getString("userName"));
            resultUser.setPassWord(rs.getString("passWord"));
        }
        return  resultUser;
    }
}

~1 连接和sql结合生产PreparedStatement
~2 给PreparedStatement设置参数
~3 PreparedStatement执行查询executeQuery()
4. dbUtil 连接数据库

public class DbUtil {

    public Connection getCon()throws Exception{
        Class.forName("com.mysql.jdbc.Driver");
        Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/relationship","root","123");
        return con;

    }

    public  void closeCon(Connection con) throws Exception{
       con.close();
    }

~1 映射获得jdbcDriver的类
~2 DriverManager用驱动管理器连接的,参数传入数据库连接地址,用户名,密码

小结

逻辑和一般应用的差不多,从servlet开始,拿着参数查询数据库对比是否一致或赋值。但是好多方法都是框架的,特色比如realm,还有数据库的连接方式等。
shiro可以实现单点登录,用户访问数量的控制。

韩丽萍
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 个人总结
02-25
.shiro 个人总结 Shiro 是一个功能强大且灵活的 Java 安全框架,提供了身份验证、授权、加密和会话管理等功能。本总结将从 Shiro 的基本概念、验证和授权过程、加密方式和 JSP 标签等方面进行总结。 一、基本概念 ...
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
Shiro框架总结
cxmengxin的博客
07-08 1086
Shiro框架总结 一、Shrio框架 1、Shiro介绍 (1)RBAC Shiro是一款基于资源的访问控制框架即RBAC(Resource-Based Access Control),其将安全认证等相关功能全部提取出来抽象成了一个框架,使用Shiro能够轻松方便的完成认证、授权、加密等功能的开发。 (2)角色(roles)与权限(Permission) 角色与权限是Shiro认证授权的核心概念。在用户登录时,Shiro对用户进行认证,并授予其相应的角色,而角色也有其对应的权限,根据角色所具有的权限从而可
Shiro-全面详解(学习总结---从入门到深化)
12-01 1643
身份认证/登录。权限验证,即判断用户是否能在系统中做某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。提供测试支持。
Shiro学习总结
最新发布
精神小伙的博客
08-23 280
shiro是一个Java安全框架,可以完成:认证、授权、加密、会话管理、与web集成、缓存...
菜鸟的shiro学习总结
最强菜鸟
09-03 828
菜鸟的shiro学习总结说明一、入门系列(1)单机应用下是shiro 说明 更新时间:2020/8/22 18:28,更新了缓存相关内容 本文主要对shiro的学习总结,本文会持续更新,不断地扩充 本文仅为记录学习轨迹,如有侵权,联系删除 一、入门系列 (1)单机应用下是shiro .........
Shiro相关知识点总结
qq_41943011的博客
05-09 380
Shiro 一、基本功能 **Authentication:**身份认证/登录,用于验证用户是不是拥有相应的身份。 **Authorization:**授权,验证某个已认证的用户是否拥有某个权限。 **Session Manager:**会话管理,既用户登录后就是一次会话,没有退出之前,所有的信息都在会话中。会话管理所包含的功能有: Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储。 Web Support:Web支持,可以非常容易的集成到Web环境。 Cachi
shiro1.7.1.zip
04-12
在使用Shiro 1.7.1时,开发者可以根据具体需求选择合适的模块进行集成,例如,Web应用可能会主要依赖`shiro-core`、`shiro-web`和`shiro-spring`,而需要进行复杂加密操作的应用可能需要`shiro-crypto-hash`和`shiro...
shiro1.6版本
09-07
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,简化了企业级应用的安全实现。在本文中,我们将深入探讨Apache Shiro 1.6版本的重要更新,以及它如何修复了一个绕过认证...
shiro1.5.3
05-11
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。你提到的 "shiro1.5.3" 是Shiro框架的一个特定版本,包含了该版本的所有核心组件和相关...
Shiro 权限框架使用总结
11-24
Shiro 权限框架使用总结shiro入门级的文档资料。
吴天雄--shiro个人总结笔记.doc
04-30
本文章共计90页,将近20000多字,共分为十二讲内容。第一讲了解shiro(什么是shiroshiro的结构体系、核心功能、shiro的架构、shiro的工作流程、RBAC模型),第二讲 用户认证和授权(demo练习),第三讲 JdbcRealm及认证策略,第四讲 与Web集成(shiro+SpringMVC),第五讲 shiro标签,第六讲 自定义Realm(加入整合spring和MyBatis), 第七讲 加密(加密算法、加密过程、加密实现代码),第八讲 记住我,第九讲 缓存管理(代码实现),第十讲 会话管理(session的监听和检测、环境配置),第十一讲 注解开发(简化配置文件),第十二讲 汇总SSM+shiro
shiro总结
qq_41595149的博客
04-07 3333
shiro主要内容: 1:SecurityUtils:shiro的工具类,主要作用是获取 SecurityManager和Subject public abstract class SecurityUtils { private static SecurityManager securityManager; //获取Subject public static Subject getSubject() { Subject subject = ThreadContex
Shiro总结-简介
我翱翔的天空
07-30 692
一、简介 Apache Shiro 是Java的一个安全(权限)框架。 Shiro可以非常容易地开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与Web集成、缓存等。 下载:http://shiro.apache.org/ 二、功能 Authentication:身份认证/登录,验证用户是
Shiro 的学习总结
Eaphy's Blog
04-28 3171
一个简单的shiro应用流程,就是通过Subject来进行认证和授权,而Subject又委托给SecurityManager,然后向SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。 Subject :包含 principals(身份)、credentials(凭证)两部分;SecurityManager :它管理着所有Subject
Shiro 基本使用总结
Heqianqian的博客
05-25 4411
1.简介Apache Shiro是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码学和会话管理。 认证、授权:认证简单的说,就是登录的时候判断你的用户名和密码是否完全匹配,就是证明你是你。授权,是在认证的基础之上,进行角色和权限的授予。权限决定了一个用户可以进行怎样的操作。角色、权限:权限定义了一个用户是否可以执行某个操作。角色就是一组权限的集合。我们通常是把一组权限绑定到一种角色上,
Shiro总结
qq_41699954的博客
08-22 163
一、Shiro使用基本步骤 <一> 在web.xml中配置Shiro过滤器: <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targe
Apache Shiro 安全框架教程
Apache Shiro 教程 Apache Shiro 是一个 Java 安全框架,目前越来越多的人使用它,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值