Apache Shiro之快速入门

最新推荐文章于 2024-09-28 00:27:49 发布
最新推荐文章于 2024-09-28 00:27:49 发布
阅读量219 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangwenjuno/article/details/117224475
版权

Apache Shiro: Simple Java Security

官方文档: 传送门
中文文档:传送门
推荐学习视频: 传送门

概念:

在这里插入图片描述

备注:

该图来源官方文档,官网有详细解释 [传送门]

  • Realm
    领域是可以访问特定于应用程序的安全性数据(例如用户,角色和权限)的组件。可以将其视为特定于安全性的 DAO(数据访问对象)。 Realm 将此特定于应用程序的数据转换为 Shiro 可以理解的格式,因此 Shiro 可以反过来提供单个易于理解的 Subject 编程 API,无论存在多少数据源或您的数据有多少特定于应用程序。
  • SecurityManager
    是Shiro架构的核心。它主要是一个“伞形”对象,用于协调其托管组件以确保它们顺利地协同工作。它还管理Shiro对每个应用程序用户的视图,因此它知道如何对每个用户执行安全操作。
  • Session
    会话是与一段时间内与软件系统进行交互的单个用户/主题关联的有状态数据上下文。当主题使用应用程序时,可以在会话中添加/读取/删除数据,并且以后应用程序可以在必要时使用此数据。当用户/主题退出应用程序或由于不活动而超时时,会话将终止。
  • Cryptography
    密码学是一种通过隐藏信息或将其转换为废话来保护信息免遭不希望的访问的做法,其他人都无法阅读。 Shiro 专注于密码学的两个核心要素:使用公钥或私钥对诸如电子邮件之类的数据进行加密的密码,以及不可逆地对诸如密码之类的数据进行加密的哈希(即消息摘要)。
  • Subject
    只是花哨的安全性术语,它基本上表示应用程序用户的特定于安全性的“视图”。不过,主题不一定总是需要反映一个人-它可以代表调用您的应用程序的外部进程,也可以代表在一段时间内间歇执行某项任务的守护程序系统帐户(例如 cron 作业)。它基本上是任何正在对应用程序执行操作的实体的表示。

快速开始

  • 导入依赖
		<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.5.3</version>
        </dependency>
  • 简单测试
/**
 * @ClassName TestAuthencitaor
 * @author: fangwenjun
 * @date: Created in 2021/5/24 14:19
 * @description:
 * @version: 1.0
 */
public class TestAuthenticator {

    public static void main(String[] args) {

        // 获取默认的安全管理器
        DefaultSecurityManager manager = new DefaultSecurityManager();

        // 设置认证信息来源
        manager.setRealm(new IniRealm("classpath:shiro.ini"));

        // 使用安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(manager);

        // 获取当前需要认证的主体(用户)
        Subject subject = SecurityUtils.getSubject();
        
        // 封装用户信息,获取token
        UsernamePasswordToken token = new UsernamePasswordToken("fangwenjun", "1234");
        System.out.println("认证状态:"+subject.isAuthenticated());
        try {
            // 进行登录, 失败则抛出对应异常
            subject.login(token);
            System.out.println("认证状态:"+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            System.out.println("用户名不存在");
        }catch (IncorrectCredentialsException e){
            System.out.println("密码错误");
        }

    }
}
// 以下信息是认证信息来源,在项目资源路径下创建以.ini结尾的文件,该文件只在单独学习时使用,节省了读取数据库获取用户信息的操作
[users]
fangwenjun=1234

Shiro认证流程源码

登录方法进行登录
登录方法进行登录
在这里插入图片描述
实际使用的还是安全管理器的登录方法
在这里插入图片描述
获取Realm(可以将其视为特定于安全性的 DAO(数据访问对象))
在这里插入图片描述
先从缓存管理器中获取认证信息,没有缓存则是第一次登录,使用Realm进行认证,然后进行缓存
在这里插入图片描述
进行身份认证,解析传入的参数token与数据库中的真实信息进行比较,然后返回
在这里插入图片描述
身份认证完成后,会自动进行密码的校验, 最终不论是用户名还是密码错误,login方法都会抛出对应的异常,通过自定义继承AuthorizingRealm类, 重写doGetAuthenticationInfo方法和doGetAuthorizationInfo方法,对用户进行身份认证及授权

自定义CustomRealm继承AuthorizingRealm,实现身份认证

/**
 * @ClassName CustomRealm
 * @author: fangwenjun
 * @date: Created in 2021/5/24 16:23
 * @description:
 * @version: 1.0
 */
public class CustomRealm extends AuthorizingRealm {
	//授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
	//认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String) token.getPrincipal();

        if ("fangwenjun".equals(principal)){
            return new SimpleAuthenticationInfo("fangwenjun", "1234", this.getName());
        }
        return null;
    }
}

/**
 * @ClassName TestCustomRealm
 * @author: fangwenjun
 * @date: Created in 2021/5/24 16:26
 * @description:
 * @version: 1.0
 */
public class TestCustomRealm {

    public static void main(String[] args) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        // 使用自定义的Realm进行认证
        securityManager.setRealm(new CustomRealm());
        SecurityUtils.setSecurityManager(securityManager);

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("fangwenjun", "123");
        try {
            System.out.println("认证状态:"+subject.isAuthenticated());
            subject.login(token);
            System.out.println("认证状态:"+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            System.out.println("用户名不存在");
        }catch (IncorrectCredentialsException e){
            System.out.println("密码错误");
        }
    }
}

结合上面的自定义方式使用MD5 + Salt + Hash 方式进行身份认证

/**
 * @ClassName CustomeMD5Realm
 * @author: fangwenjun
 * @date: Created in 2021/5/25 8:35
 * @description:
 * @version: 1.0
 */
public class CustomerMd5Realm  extends AuthorizingRealm {
	//授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
	//认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String) token.getPrincipal();

        if ("fangwenjun".equals(principal)){
            // 模拟注册时加密密码 加密方式使用 md5 + salt + hash散列
            Md5Hash md5Hash = new Md5Hash("1234","123",1024);
            // 参数1: 用户名 参数2: 注册时加密后的密码, 参数3:该密码使用的盐, 参数4:realm的名称
            // 返回加密后的密码和salt shiro会自动匹配密码
            return new SimpleAuthenticationInfo("fangwenjun",md5Hash.toHex(),ByteSource.Util.bytes("123"),this.getName());
        }
        return null;
    }
}
/**
 * @ClassName TestCustomRealm
 * @author: fangwenjun
 * @date: Created in 2021/5/24 16:26
 * @description:
 * @version: 1.0
 */
public class TestCustomRealm {

    public static void main(String[] args) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        // 使用自定义的Realm进行认证
        CustomerMd5Realm realm = new CustomerMd5Realm();
        // 使用hash方式设置md5加密 + 1024次hash
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        matcher.setHashAlgorithmName("md5");
        matcher.setHashIterations(1024);
        realm.setCredentialsMatcher(matcher);

        securityManager.setRealm(realm);
        SecurityUtils.setSecurityManager(securityManager);

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("fangwenjun", "1234");
        try {
            System.out.println("认证状态:"+subject.isAuthenticated());
            subject.login(token);
            System.out.println("认证状态:"+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            System.out.println("用户名不存在");
        }catch (IncorrectCredentialsException e){
            System.out.println("密码错误");
        }
    }
}

授权

授权方式:

  • 基于角色的访问控制RBAC(Role-Based Access Control)
  • 基于资源的访问控制RBAC(Resource-Based Access Control)
Shiro中权限字符串

权限字符串的规则是资源标识符:操作:资源实例标识符,对那个资源的那个实例具有什么操作,权限可以精确到每个实例,也可以使用*作为通配符

shiro在代码授权方式:

  • 代码中直接判断权限
  • 使用注解方式
  • 标签方式
基于用户认证成功后对用户的权限进行授权
/**
 * @ClassName CustomeMD5Realm
 * @author: fangwenjun
 * @date: Created in 2021/5/25 8:35
 * @description:
 * @version: 1.0
 */
public class CustomerMd5Realm  extends AuthorizingRealm {
    /**
     * 授权
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 获取用户名
        String primaryPrincipal = (String) principals.getPrimaryPrincipal();

        System.out.println("身份信息:"+primaryPrincipal);
        if ("fangwenjun".equals(primaryPrincipal)){

            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            // 模拟从DB获取角色和权限数据
            info.addRole("admin");
            info.addRole("user");

            info.addStringPermission("user:add:01");
            info.addStringPermission("user:update:01");
            return info;
        }
        return null;
    }

    /**
     * 认证
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String) token.getPrincipal();

        if ("fangwenjun".equals(principal)){
            // 模拟注册时加密密码 加密方式使用 md5 + salt + hash散列
            Md5Hash md5Hash = new Md5Hash("1234","123",1024);
            // 参数1: 用户名 参数2: 注册时加密后的密码, 参数3:该密码使用的盐, 参数4:realm的名称
            // 返回加密后的密码和salt shiro会自动匹配密码
            return new SimpleAuthenticationInfo("fangwenjun",md5Hash.toHex(),ByteSource.Util.bytes("123"),this.getName());
        }
        return null;
    }
}

/**
 * @ClassName TestCustomRealm
 * @author: fangwenjun
 * @date: Created in 2021/5/24 16:26
 * @description:
 * @version: 1.0
 */
public class TestCustomRealm {

    public static void main(String[] args) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        // 使用自定义的Realm进行认证
        CustomerMd5Realm realm = new CustomerMd5Realm();
        // 使用hash方式设置md5加密 + 1024次hash
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        matcher.setHashAlgorithmName("md5");
        matcher.setHashIterations(1024);
        realm.setCredentialsMatcher(matcher);

        securityManager.setRealm(realm);
        SecurityUtils.setSecurityManager(securityManager);

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("fangwenjun", "1234");
        try {
            // 进行登录
            subject.login(token);

            // 判断认证状态
            if (subject.isAuthenticated()){
                // 根据角色访问控制
                // 判断当前主体是否具有某个角色
                System.out.println(subject.hasRole("admin"));
                // 判断当前主体是否同时具有多个角色
                System.out.println(subject.hasAllRoles(Arrays.asList("admin","user","super")));

                // 根据资源访问控制
                // 判断当前主体是否具有某个权限
                System.out.println(subject.isPermitted("user:add:01"));
                // 判断当前主体是否同时具有多个权限
                System.out.println(subject.isPermittedAll("user:add:01","user:update:*"));
            }

        }catch (UnknownAccountException e){
            System.out.println("用户名不存在");
        }catch (IncorrectCredentialsException e){
            System.out.println("密码错误");
        }
    }
}
SpringBoot整合Apache Shiro极简入门实例.zip
11-04
SpringBoot整合Shiro,实现菜单权限控制入门简单实例;用户菜单权限来自数据库,简单起见,user用户表中同事配置了用户菜单权限,感兴趣的小伙伴可以自行使用RBAC方案扩展数据库表设计进行完善。 运行环境 jdk8+...
什么是 Apache Shiro
web15085599741的博客
03-29 5836
什么是Apache Shiro Apache Shiro 是一种功能强大且易于使用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能,可用于保护任何应用程序的安全。 如: 命令行应用程序、移动应用程序、Web应用程序、企业级应用程序。从小到大到很大,Apache Shiro都会给你提供安全帮助。 Shiro 为你的应用程序提供如下API,帮助你更好的管理应用程序的安全。 身份验证 证明用户的身份。也就是所谓的用户的 “登录” 功能,验证访问的用户是否有权利登录系统或者访问后台接口。
Apache Shiro 安全框架
weixin_51715424的博客
10-24 1736
Apache Shiro 框架
Shiro安全框架
最新发布
qq_35485206的博客
09-28 646
什么是ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但...
Apache Shiro 简介
web15085599741的博客
04-29 1380
Apache Shiro简介 什么是 Apache Shiro Apache Shiro 是一个强大并且灵活的开源的安全框架,它能很好的处理 authentication(认证), authorization(授权), enterprise session management(企业会话管理)和cryptography(密码加密)。 Apache Shiro最重要的目标就是易于使用和理解。安全有时候会非常的复杂,甚至是痛苦的,但是它并不一定如此的。一个框架屏蔽复杂性, 如有可能暴露一个干净,直观的API,简
Apache Shiro
tiantiantbtb的博客
06-12 945
Apache Shiro是一个Java的安全(权限)框架.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSe环境,也可以用在JavaEE环境Shiro可以完成,认证,授权,加密,会话管理,Web集成官网:https://shiro.apache.org 里面有Shiro 在gitee的下载地址什么的,看不懂,1分钟就解决了建议好好读一下:三个核心组件:Subject, SecurityManager 和 Realms.Subject:即“当前操作用户”。但是,在Shiro中,Subjec
Shiro安全框架【快速入门
03-01
cryptography,andsessionmanagement.WithShiro’seasy-to-understandAPI,youcanquicklyandeasilysecureanyapplication–fromthesmallestmobileapplicationstothelargestwebandenterpriseapplications.Apache
apache_shiro入门实例
10-27
总之,Apache Shiro 提供了一套完整的安全解决方案,通过简单的配置和编程接口,可以帮助开发者快速实现权限管理功能。结合 Spring,可以更方便地集成到现有的企业级应用中,提高开发效率。本文提供的入门实例是一个...
Shiro入门.rar
06-12
在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一、Shiro基本概念** 1. **认证**:也称为身份验证,是确认用户身份的过程,通常通过用户名和密码进行验证。 2. **授权**:也称为...
快速入门Shiro代码
06-01
在这个"快速入门Shiro代码"的项目中,我们可以深入理解Shiro的基本用法以及如何在Spring Boot环境中集成Shiro。 首先,让我们了解Shiro的核心组件: 1. **Authentication(认证)**:这是验证用户身份的过程,通常...
Apache Shiro流量特征及漏洞利用
qq_53218512的博客
06-02 1454
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权和会话管理等功能。Shiro框架直观、易用,同时也能提供更健壮的安全性。
Apache Shiro(一)
qq_42847719的博客
01-01 1227
如同上面提到的,Realm 是 shiro 和你的应用程序安全数据之间的“桥”或“连接”,当实际要与安全相关的数据进行交互如用户执行身份认证(登录)和授权验证(访问控制)时,shiro 从程序配置的一个或多个Realm 中查找这些数据,你需要配置多少个 Realm 便可配置多少个 Realm(通常一个数据源一个),shiro 将会在认证和授权中协调它们。是不是需要所有方面的验证都成功?简单就是不同的角色用户只能访问指定的信息 ,我们需要知道用户有那些角色,用户有那些权限 ,包结构和之前的一致3-3。
Apache Shiro教程(1)
醉代码的博客
01-09 557
*** 配置一个 SecurityManager安全管理器* @return} /*** 配置过滤器* 例如 什么可以进行访问,什么不可以进行访问等等* @return//配置用户登陆请求,如果需要进行登陆时, // shiro就会进入这个请求进入登陆页面 shiroFilterFactoryBean . setSecurityManager(securityManager);
Shiro权限控制+整合shiro
热门推荐
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Apache Shiro,这一篇就够了
大河之犬的博客
12-18 824
点击后会跳转到一个login.jsp页面,这个不是我们想要的效果,我们需要自己定义一个login页面!然后在 shiroFilterFactoryBean 中配置一个未授权的请求页面!我们再次启动测试一下,访问add,发现以下错误!在UserRealm 中添加授权的逻辑,增加授权的字符串!改造UserRealm,连接到数据库进行真实的操作!再次测试,成功的跳转到了我们指定的Login页面!编写实体类:(和数据库中的表字段要对应哦)使用shiro的过滤器来拦截请求即可!在前端修改对应的信息输出或者请求!
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 5858
Shiro入门概述与基本使用
1.Apache Shiro(认证,授权)基本介绍
相互学习 共同进步
06-15 2311
Apache Shiro(认证,授权)基本介绍 什么是Apache ShiroApache Shiro是一个功能强大且灵活的开源安全框架,可以干净地处理身份验证、授权、企业会话管理和加密,提供了一种直观,全面的身份验证、授权、加密和会话管理解决方案 Apache Shiro的首要目标是易于使用、理解。安全有时可能非常复杂,甚至会很痛苦,但这不是必须的。框架应尽可能掩盖复杂性,并公开简洁直观的API,以简化开发人员确保其应用程序安全的工作 官网:http://shiro.apache.org/ 同类的比
Java安全框架Apache Shiro快速入门指南
"Apache Shiro是一个强大的Java安全框架,专注于身份验证、授权、加密和会话管理,适合从小型移动应用到大型企业系统。其API设计简单易懂,使得安全集成变得快捷简便。Shiro提供了用户身份验证、权限控制、会话管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值