Shiro认证和鉴权的流程

已于 2022-02-16 11:20:49 修改
阅读量2.7k 收藏 16
点赞数 2
文章标签: 面试 java spring shiro
于 2021-09-04 21:45:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cwwlzm/article/details/120106172
版权

1.Shiro的作用
    Shiro是一个权限管理框架.提供了身份认证、授权、密码加密和回话管理.
 

2.Shiro中Subject、SecurityManager、Realm的作用.
Subject:主体,代表了当前“用户”,表示要和应用交互的东西. 
SecurityManager: 安全管理器. Shiro中所有的操作都是通过安全管理器操作的.
                             内部会把Subject发出的请求转发到对应的内部组件中完成具体功能
Realm: 域,shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作(通常我们使用自定义的Realm)

3. Shiro认证的流程.(Subject,SecurityManager,Authenticator,Realm做了哪些事情)
    1.将需要登录的账号和密码封装成UsernamePasswordToken
     2.然后从SecurityUtils中获取Subject对象,然后调用login方法,把token作为参数传入.
     3.调用subject.login()之后,会交给SecurityManager进行请求的处理.
     4.安全管理器SecurityManager会把请求转发给认证器Authenticator
     5.认证器Authenticator会调用Realm中的方法并把token作为参数传入
     6.我们需要在Realm中根据用户名从数据库中查询用户信息并封装成认证信息对象SimpleAuthenticationInfo
     7.如果返回的SimpleAuthenticationInfo对象为空会抛出异常
     8.认证器Authenticator会拿到传入token中的password和返回认证信息对象SimpleAuthenticationInfo中的password进行比对,如果不一致则抛出异常.

4.Shiro鉴权的流程.(Subject,SecurityManager,Realm做了哪些事情)
    1.会先判断用户是否已经登录,如果没登录返回false,登录继续后续流程
    2.然后会通过安全管理器securityManager判断当前登录用户是否有该权限.   
    3.安全管理器securityManager会调用Realm中的方法获取当前用户拥有的角色/权限集合
    4.然后判断用户的角色/权限集合中是否包含当前判断的权限,如果包含返回true,否则返回false.

Kayton
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot+shiro+redis+jwt .zip
01-03
这个项目实例将帮助开发者理解如何在`SpringBoot`中集成`Shiro`、`JWT`和`Redis`,实现一套完整的鉴权流程。通过对这些组件的实践,开发者可以更深入地掌握Web安全管理和分布式系统中的身份验证策略。
Shiro认证流程鉴权流程
qq_35987642的博客
09-01 656
1> 将需要登陆的账号和密码封装成UsernamePasswordToken 2> 从SecurityUtils中获取Subject对象,然后调用login方法,然后把token作为参数传入 3> 调用subject.login()之后,会交给SecurityManager进行请求的处理 4> 安全管理器SecurityManager会把请求转发给认证器Authenticator 5> 认证器 Authenticator 会调用Realm中的方法并把token...
Shiro安全框架——【快速入门、登录拦截、用户认证、请求授权】
2401_83329718的博客
04-17 444
由于文案过于长,在此就不一一介绍了,这份Java后端架构进阶笔记内容包括:Java集合,JVM、Java并发、微服务、SpringNetty与 RPC 、网络、日志 、Zookeeper 、Kafka 、RabbitMQ 、Hbase 、MongoDB、Cassandra 、Java基础、负载均衡、数据库、一致性算法、Java算法、数据结构、分布式缓存等等知识详解。本知识体系适合于所有Java程序员学习,关于以上目录中的知识点都有详细的讲解及介绍,掌握该知识点的所有内容对你会有一个质的提升,
Springsecurity的认证流程鉴权流程流程绝对清晰)
qq_60264381的博客
06-14 1241
我们知道在SpringSecurity中,usernamePassword会拦截登录请求,同时调用ProviderManager。ProviderManager内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制也就是说,ProviderManager会决定调用具体AuthenticationProvider实现类来进行认证
shiro认证鉴权
qq_41617261的博客
08-10 1115
shiro框架 shiro:强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”; SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心 脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会 话、缓存的管理。 Authenticator:认证器,负
Shiro鉴权方式
不忘初心,方能始终。
02-25 1万+
一、 怎么用 Shiro 支持三种方式的授权 编程式:通过写 if/else 授权代码块完成: Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 } 注解式:通过在执行的 Java 方法上放置相应的注解完成: @Require...
11、Shiro入门学习
执手天涯@的博客
03-14 287
认证授权加密会话管理与web集成缓存User类UserMapper类static {} /*** 根据用户名返回user对象* @param username 用户名} }UserRealm类// 授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8526
文章目录一、前情提要二、整合Shiro与JWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 ShiroJava的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
基于Shiro, JWT实现微信小程序登录完整例子
01-27
调用我们需要认证的接口,并携带该token进行鉴权,获取到返回信息 : 使用运行本例的前提注意以下几点 : 本例是一个基于Shiro和JWT实现自定义登陆态的完整例子,你需要了解的技术栈 : Shiro,JWT,SpringBoot,JPA,Redis ...
java的实现权限控制shiro jwt.docx
07-02
Apache Shiro是一个强大且易用的Java安全框架,提供认证、授权、加密和会话管理功能,简化了处理安全需求的过程。在结合JSON Web Tokens(JWT)的情况下,可以创建一种无状态的身份验证机制,使得在分布式系统中更...
Java中基于Shiro,JWT实现微信小程序登录完整例子及实现过程
08-26
Shiro配置中,我们需要定义 Realm(域)来处理用户的认证和授权。 Realm 将连接到我们的数据库,并根据提供的用户名和密码(或在此案例中的token)来验证用户。接下来,我们将实现JWT的生成和验证逻辑,这通常通过...
互联网架构权限认证ApacheShiro零基础到高级实战 视频教程 下载因为太大存百度云盘3.zip
最新发布
06-23
│ 4-3Shiro认证和授权流程和常用API梳理下集.mp4 │ ├─第5章-详细讲解ApacheShirorealm实战 │ 5-1Shiro安全数据来源之Realm讲解.mp4 │ 5-2快速上手之Shiro内置IniRealm实操.mp4 │ 5-3快速上手之Shiro...
鉴权的4种基本方法
热门推荐
刘炳全的博客
10-21 1万+
一、基于服务器常出现的问题 Seesions: 每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。 可扩展性: 由于sessions存放在服务器内存中,伴随而来的是可扩展性问题。当我们想要增加服务器来解决负载问题时,session里的关键性信息会限制我们的扩展。 CORS(跨域资源共享): 当我们扩展应用程序,让数据能够从不同设备上访问时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源时(移动端访问我们的API服务器),
Shiro框架:Shiro用户访问控制鉴权流程-内置过滤器方式源码解析
博客园
01-18 1430
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,上篇文章已对Shiro用户登录认证流程进行了源码跟踪,本篇文章继续对下一个核心流程---用户访问控制鉴权流程进行源码解析;
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
07-12 761
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
shiro认证、授权和鉴权
qq_37697436的博客
08-09 301
SecurityManager是Shiro的核心组件,负责管理所有的Subject,以及执行认证和授权的操作。在上面的示例中,我们首先创建了一个SecurityManager,并设置了一个Realm用于认证。在Shiro中,可以使用不同的方式进行鉴权,例如基于URL的鉴权、基于方法的鉴权等。在Shiro中,可以使用不同的方式进行授权,例如基于角色的授权、基于权限的授权等。在Shiro中,可以使用不同的方式进行认证,例如基于用户名和密码的认证、基于证书的认证等。首先,让我们来了解一下Shiro的基本概念。
Spring 整合Shiro鉴权授权
weixin_52633911的博客
01-17 1046
主要讲述了在java中如何整合shiro
【应用】SpringBoot -- Shiro 实现认证鉴权
情绪瓜皮皮丶的学习之路
09-24 1209
SpringBoot 中使用 Shiro 框架实现账号认证与权限鉴别
shiro 认证流程
07-30
Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。下面是Shiro认证的基本流程: 1. 创建SecurityManager:首先,你需要创建一个SecurityManager对象,它是Shiro的核心组件之一。SecurityManager负责协调整个认证和授权过程。 2. 创建Subject:Subject代表当前操作的用户。你可以通过Subject工具类获取当前用户的实例。 3. 提交认证:用户提交自己的身份信息,比如用户名和密码。一般情况下,你可以把用户输入的身份信息封装成一个UsernamePasswordToken对象。***
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值