shiro基础教程

最新推荐文章于 2023-12-17 15:33:59 发布
最新推荐文章于 2023-12-17 15:33:59 发布
阅读量655 收藏 1
点赞数
分类专栏: java 文章标签: shiro securityManager realm subject
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feinifi/article/details/88795205
版权

shiro作为一个安全框架,可以很好的在javaee项目中使用,他可以不依赖于spring单独使用。也可以和spring框架一起使用。现在的springboot开发中也越来越多的使用shiro来做安全验证。

shiro框架的三大核心组件:SecurityManager,Realm,Subject。三者构成了安全框架的主要组成部分。

SecurityManager:管理shiro内部组件,负责管理Subject,Session,Cache,验证,授权。

Realm:为shiro验证用户是否存在或者是否有相关权限提供数据支持。

Subject:主体,当前操作的用户。

shiro入门,一般从最简单的登录验证开始。我们构建maven工程,引入依赖:

<dependencies>
<dependency>
  <groupId>junit</groupId>
  <artifactId>junit</artifactId>
  <version>4.11</version>
  <scope>test</scope>
</dependency>
<dependency>
  <groupId>commons-logging</groupId>
  <artifactId>commons-logging</artifactId>
  <version>1.1.3</version>
</dependency>
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.4.0</version>
</dependency>
<dependency>
  <groupId>com.zaxxer</groupId>
  <artifactId>HikariCP</artifactId>
  <version>2.7.9</version>
</dependency>
<dependency>
  <groupId>mysql</groupId>
  <artifactId>mysql-connector-java</artifactId>
  <version>5.1.46</version>
</dependency>
</dependencies>

从最简单的iniRealm开始,我们准备一个shiro-user.ini 的配置文件,内容如下:

[users]
admin=123456,admin
[roles]
admin=*

直接利用单元测试测试登录:

@Test
public void initTest() {
	Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-user.ini");
	SecurityManager securityManager = factory.getInstance();
	SecurityUtils.setSecurityManager(securityManager);
	Subject subject = SecurityUtils.getSubject();
	UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");
	try {
		subject.login(token);
	} catch (Exception e) {
		e.printStackTrace();
	}
	if(subject.isAuthenticated()) {
		System.out.println(subject.getPrincipal().toString()+" login successfully.");
	}
}

单元测试成功,打印:admin login successfully.

这个示例的过程大致是先创建SecurityManager,然后创建Subject,最后登录。 这个示例的数据来源于ini配置文件,看不出来自Realm。下面开始另一个示例,构建一个SimpleAccountRealm:

SimpleAccountRealm realm = new SimpleAccountRealm();
@Before
public void before() {
	realm.addAccount("admin", "123456");
}

@Test
public void simpleRealmTest() {
	DefaultSecurityManager securityManager = new DefaultSecurityManager();
	securityManager.setRealm(realm);
	SecurityUtils.setSecurityManager(securityManager);
	Subject subject = SecurityUtils.getSubject();
	UsernamePasswordToken token = new UsernamePasswordToken("admin","123456");
	try {
		subject.login(token);
	} catch (Exception e) {
		e.printStackTrace();
	}	
	if(subject.isAuthenticated()) {
		System.out.println(subject.getPrincipal().toString()+" login successfully.");
	}
}

同样测试会成功。打印和第一个示例一样的信息。这个示例很好的说明了Realm为shiro提供了验证用户和用户是否拥有权限数据支持。我们也可以自定义Realm,让他实现类似的功能。

CustomRealm.java

package com.xxx.shirodemo.realm;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class CustomRealm extends AuthorizingRealm {

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		String username = (String) token.getPrincipal();
		if(!"admin".equals(username)) {
			return null;
		}
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username,"123456",getName());
		return info;
	}

}

单元测试方法:

@Test
public void customRealmTest() {
	DefaultSecurityManager securityManager = new DefaultSecurityManager();
	CustomRealm realm = new CustomRealm();
	securityManager.setRealm(realm);
	SecurityUtils.setSecurityManager(securityManager);
	Subject subject = SecurityUtils.getSubject();
	UsernamePasswordToken token = new UsernamePasswordToken("admin","123456");
	try {
		subject.login(token);
	} catch (Exception e) {
		e.printStackTrace();
	}	
	if(subject.isAuthenticated()) {
		System.out.println(subject.getPrincipal().toString()+" login successfully.");
	}
}

这种方式和第二种方式也类似,只不过使用了自定义的Realm。数据还是来源于内存设置,我们可以利用JdbcRealm来实现数据来源于数据库。这里要用到HikariCP数据源。还需要准备一个mysql数据库webapp,然后准备一张表users至少包含username,password两个字段。

@Test
public void jdbcRealmTest() {
	String jdbcUrl = "jdbc:mysql:///webapp?useUnicode=true&useSSL=false";
	String driverClassName = "com.mysql.jdbc.Driver";
	Properties properties = new Properties();
	String username = "hadoop";
	String password="hadoop";
	DriverDataSource dataSource = new DriverDataSource(jdbcUrl, driverClassName, properties, username, password);
	JdbcRealm realm = new JdbcRealm();
	realm.setDataSource(dataSource);
	CredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher("md5");
	realm.setCredentialsMatcher(credentialsMatcher);
	
	DefaultSecurityManager securityManager = new DefaultSecurityManager();
	securityManager.setRealm(realm);
	SecurityUtils.setSecurityManager(securityManager);
	Subject subject = SecurityUtils.getSubject();
	UsernamePasswordToken token = new UsernamePasswordToken("admin","123456");
	try {
		subject.login(token);
	} catch (Exception e) {
		e.printStackTrace();
	}
	if(subject.isAuthenticated()) {
		System.out.println(subject.getPrincipal().toString()+" login successfully.");
	}
}

这里我的数据库中的用户密码经过了md5加密:

mysql> select * from users;
+----+----------+----------------------------------+
| id | username | password                         |
+----+----------+----------------------------------+
|  1 | admin    | e10adc3949ba59abbe56e057f20f883e |
+----+----------+----------------------------------+
1 row in set

JdbcRealm需要设置credentialsMatcher,其中credentialsMatcher的加密方法采用MD5。这样整个示例就可以测试通过了。 

 几个单元测试下来,我们基本搞清楚了shiro登录验证的基本流程,创建securityManager->创建Subject->登录验证login。这里面需要我们注意的就是如何构建securityManager,是否使用自定义的Realm,用户密码是否加密等。

如果用户名不存在,报错:

org.apache.shiro.authc.UnknownAccountException: Realm [com.xxx.shirodemo.realm.CustomRealm@5577140b] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken - admin1, rememberMe=false]

如果密码不正确,报错:

org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - admin, rememberMe=false] did not match the expected credentials.

在web项目中,我们可以根据不同的异常类型,返回页面不同的提示语,用户名不存在,密码错误等。

luffy5459
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro权限框架视频教程共计四套.txt
11-27
第一套shiro企业级权限整合spring 第二套基于springboot权限shiro框架 第三套套shiro基于ssm框架整合 第四套实战简单shiro权限管理系统项目案例实战
关于shirosubject.getPrincipal()方法
热门推荐
依木前行的博客
11-23 6万+
1、说明上一篇文章说明了 principal,而subject.getPrincipal();是用来干嘛的,他就是来获取你存储的principal,内部是怎么获取的那,多个principal怎么指定获取哪一个那。2、解释1)subject.getPrincipal();最后调用的是下面这个方法public Object getPrimaryPrincipal() { if (isEm
第六章 Realm及相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 979
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即...
shiro,getPrincipals()为null的问题
鹏的博客
11-30 3470
记录登录日志的切面, Subject currentUser = SecurityUtils.getSubject(); ShiroUser shiroUser = null; shiroUser = (ShiroUser) currentUser.getPrincipals().getPrimaryPrincipal(); getPrincipals()这个方法怎么获取都是空, 但是token还获取成功了,也登录成功了,就是获取不到。 最后发现 token是生成了不假,但是下面的login方法当时是漏
shiro
weixin_45527690的博客
10-09 147
1.shrio简介 Apache Shiro是一个强大且易用的Java安全框架,有身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 1.1 shrio与Spring security的比较 Spring security 重量级安全框架(配置很麻烦 做的比较细) Apache Shiro ...
Shiro全面教程
09-16
Apache Shiro 是一个强大且易用的...通过这个全面教程,你不仅可以掌握 Shiro 的基础,还能深入了解其在实际项目中的应用,为你的应用安全提供有力保障。学习并熟练运用 Shiro,能够让你在处理安全问题时更加得心应手。
shiro视频教程
12-18
**一、Shiro基础** 1. **认证(Authentication)**:这是验证用户身份的过程。Shiro提供了一套完整的认证流程,包括凭证匹配、身份验证等,使得开发者能够方便地进行用户登录验证。 2. **授权(Authorization)**...
Shiro-pdf教程
11-17
通过这个教程,你可以了解到Shiro的基本概念和API,为后续更深入的学习打下基础。 总结来说,Apache Shiro 是一个全面的安全框架,能够满足各种类型应用程序的安全需求,提供简洁的API来处理复杂的安全问题。无论是...
shiro技术大讲堂.rar_highergck_shiro_shiro教程
09-20
8. **最佳实践**:除了基础使用方法,教程还可能涵盖了Shiro的高级特性,比如安全管理的设计模式、性能优化以及常见问题的解决策略。 通过这个"shiro技术大讲堂",学习者不仅可以掌握Shiro的基本用法,还能了解到...
【关于shiro getPrincipal方法的小说明】
老照片
04-14 1091
shiro获取到的principal为null, SecurityUtils.getSubject().getPrincipal()
Shiro会话管理/前后分离身份鉴别原理
weixin_43367550的博客
11-19 952
目录问题1. SecurityUtils.getSubject().getPrincipal()返回类型;问题2. Shiro如何利用session保持会话 我们常用 SecurityUtils.getSubject().getPrincipal();获取当前登录用户信息,但是这个方法是如何获得用户信息的?Shiro又是如何区分不同用户的身份的? 问题1. SecurityUtils.getSubject().getPrincipal()返回类型; 查看源码得知它是Object,但是实际上,他的返回类型由
使用shiro中 工具类方法SecurityUtils.getSubject()和方法subject.getPrincipal()获取当前登录用户
最新发布
weixin_52654493的博客
12-17 2070
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
shiro SecurityUtils.getSubject().getPrincipal()得到null 的解决方法
qq_43851684的博客
08-14 9164
1 问题的由来 自定义的Realm 继承 AuthorizingRealm ,本想在doGetAuthenticationInfo 认证方法中通过Object o = SecurityUtils.getSubject().getPrincipal() 得到前端传来的信息的,然后通过instanceof 判断 o 的到底是什么类,来判断到底是用户登录还是管理员登录。 结果发现SecurityUtils.getSubject().getPrincipal() 得到的是null 2 解决方法 采用装饰类的思路解决
Shiro框架-史上详解
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
shiro第一天
我的博客
12-02 170
Shiro-day1Shiro-day1shiro介绍:使用shiroshiro流程入门案例shiro从数据库中读取数据自定义数据源Realm实现 Realm接口web整合shiroshiro整合spring mvc Shiro-day1 shiro介绍:   Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以
shiro获取当前登录用户subject.getPrincipal()报null空指针
iijik55的博客
08-24 2355
SecurityUtils.getSubject().getPrincipal()为空,网上查了一堆复制粘贴的文章都是说配置加载顺序问题,我遇到的并不是这样的问题,我是偶尔一个报空,其他的正常.既然是这个参数报空,那就找到代码的这里,发现原来代码的逻辑是从redis中拿,并且把如果redis没有就去查数据库的代码给注释掉了.恢复注释即可.自定义realm–》doGetAuthenticationInfo–》
Shiro学习之认证机制(一)
a3060858469的博客
06-18 539
认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。 一、Shiro认证过程 1、收集实体/凭据信息 UsernamePasswordToken token = new UsernamePasswordToken(username, password...
shiro(三)
键盘哥的博客
03-18 239
一,shiro架构     1)subject            Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subjectshiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过Securit...
Shiro基础教程:从入门到精通
"Shiro基础教程-跟着开哥学Shiro" Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可用于构建安全的Web和独立应用程序。本教程将带你逐步了解Shiro的核心概念和实际应用。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

luffy5459

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值