Shiro基础教程

最新推荐文章于 2024-10-01 09:31:13 发布
最新推荐文章于 2024-10-01 09:31:13 发布
阅读量2.3k 收藏 13
点赞数 2
分类专栏: 基础篇 文章标签: Shiro教程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i_no_dream/article/details/92799372
版权

什么Shiro?

  1. Apache的强大灵活的开源安全框架
  2. 提供, 认证, 授权, 企业会话管理, 安全加密, 缓存管理

一般我们使用Shiro能够快捷方便的完成项目里的权限管理模块开发

Shiro与Spring Security

Apache ShiroSpring Security
简单,灵活,轻量级复杂,笨重,重量级
可脱离Spring不可脱离Spring
粒度较粗粒度更细

我个人更喜欢用Shiro, 主要因为它比较简单, 灵活, 有些没有的功能我们可以自己去拓展. 权限粒度较粗这一块, 因为我们基本上是基于资源去做权限控制. 如果我们要做数据权限的话, 一定会和我们业务代码耦合, 所以Spring Security的控制粒度更细也没有体现出来, 或者说没有体现的很明显. 而且Spring的官网它也是用的Shiro做安全管理.

Shiro整体架构

在这里插入图片描述

  • 首页最上面浅黄的部分可以理解为当前的----操作用户

Security Manager部分是我们Shiro的核心. 我们来看一下它的组件

  • Authenticator(认证器)管理我们的登陆, 登出
  • Authorizer(授权器) 赋予我们主体的权限
  • SessionManager(会话管理器)可以不在不借助任何web容器下使用Session
  • SessionDAO(会话操作)提供了Session的操作, 主要是有增删改查
  • CacheManager(缓存管理器)利用缓存管理器可以缓存我们的角色数据和权限数据
  • PluggableRealms(插接式连接器)Shiro获取认证信息, 权限数据, 角色数据, 连接数据库
  • Cryptography(加密器)可以使用它, 非常快捷便利的行进加密

用户提交请求到SecurityManager, SecurityManager调用认证器去做一个认证, 而认证器是通过插接式连接器, 从数据库中查询获取到认证信息. 授权器同样如此.

Shiro认证

  1. 创建SecurityManager对象, 构建SecurityManager的环境
  2. 主体提交认证(也就是上图中的最上面部分,操作用户)到SecurityManager进行认证
  3. SecurityManager调用Authenticator(认证器)进行认证, 进行认证的时候需要使用PluggableRealms(插接式连接器)获取认证数据, 然后再进行认证.

认证小demo(可以改一下不正确的角色认证试试看会有什么效果)

SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();

    @Before
    public void addUser(){
        //添加一个用户
        simpleAccountRealm.addAccount("ljj","123");
    }

    @Test
    public void testAuthentication(){
        //1. 构建SecurityManager环境
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(simpleAccountRealm);//设置Realm环境

        //2. 主体提交认证请求
        SecurityUtils.setSecurityManager(manager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ljj","123");//存放验证数据
        subject.login(token);//进行验证

        //是否认证成功
        System.out.println(subject.isAuthenticated());

        //登出
        subject.logout();

        System.out.println(subject.isAuthenticated());
    }

Shiro授权

shiro授权和基本一致, 只不过是将Authenticator(认证器)更换成了Authorizer(授权器)

授权小demo (可以改一下不正确的角色权限试试看会有什么效果)

	@Before
    public void addUser(){
        //添加一个用户, 并赋予角色权限,可以有多个角色
        simpleAccountRealm.addAccount("ljj","123","admin","user");
    }

	@Test
    public void testAuthentication(){
        //1. 构建SecurityManager环境
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(simpleAccountRealm);//设置Realm环境

        //2. 主体提交认证请求
        SecurityUtils.setSecurityManager(manager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ljj","123");//存放验证数据
        subject.login(token);//进行验证

        //是否认证成功
        System.out.println(subject.isAuthenticated());

        //权限认证, 单个是checkRole, 多个才要加 s
        subject.checkRoles("admin","user");
    }

Shiro—IniRealm

首页我们得在resources文件夹下创建一个*.ini文件
在这里插入图片描述
内容如下

[users]    //认证信息, 角色权限
ljj=123,admin
[roles]   //角色权限限制
admin=user:delete,user:update

java代码

@Test
    public void testAuthentication(){
		//创建IniRealm对象
        IniRealm iniRealm = new IniRealm("classpath:user.ini");

        //1. 构建SecurityManager环境
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(iniRealm);//设置Realm环境
        //2. 主体提交认证请求
        SecurityUtils.setSecurityManager(manager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ljj","123");//存放验证数据
        subject.login(token);//进行验证

        //是否认证成功
        System.out.println(subject.isAuthenticated());

        subject.checkRole("admin");

        //判断是否具有对应操作的权限
        subject.checkPermission("user:update");
    }

大家可以尝试认证错误信息以及错误权限看看会发生什么情况

Shiro----jdbcRealm

感谢大家的关注, 关于连接数据库进行认证与授权的教程我将在Shiro实战教程中去编写, 点个赞支持一下作者.

Shiro—自定义

自定义Realm需要继承于AuthorizingRealm, 并且实现它的两个方法, 如下

	/**
     * 授权
     * @param principalCollection 授权信息
     * @return
     */
	@Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

	/**
     * 认证
     * @param authenticationToken 认证信息
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        return null;
    }

如注释所描述一样, 在其方法中便可进行认证与授权了.

认证

public class CustomRealm extends AuthorizingRealm {

    Map<String, String> userMap = new HashMap<>();
    {
        userMap.put("ljj","123");
        //realmName可以随意取名
        super.setName("customRealm");
    }

    /**
     * 认证
     * @param authenticationToken 认证信息
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //1.从主体传过来的认证信息中,获取用户名
        String userName = (String) authenticationToken.getPrincipal();

        //2.通过用户名到数据库中获取凭证
        String password = getPasswordByUserName(userName);
        //如果不存在
        if (password == null) {
            return null;
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                "ljj",password,"customRealm");
        return authenticationInfo;
    }

    /**
     * 模拟数据库查询凭证
     * 一般我们需要在这里连接数据进行验证, 由于我这只是一个小demo就直接写了一个map
     * 大家可以去连接数据库进行验证
     * @param userName
     * @return
     */
    private String getPasswordByUserName(String userName){
        return userMap.get(userName);
    }

测试类

	@Test
    public void testAuthentication(){

        CustomRealm customRealm = new CustomRealm();

        //1. 构建SecurityManager环境
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(customRealm);//配置环境
        //2. 主体提交认证请求
        SecurityUtils.setSecurityManager(manager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ljj","123");//存放验证数据
        subject.login(token);//进行验证

        //是否认证成功
        System.out.println(subject.isAuthenticated());

授权:

	/**
     * 授权
     *
     * @param principalCollection 授权信息
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        String userName = (String) principalCollection.getPrimaryPrincipal();
        //从数据库或者缓存中获取角色数据
        Set<String> roles = getRolesByUserName(userName);
        //从数据库或者缓存中获取权限数据
        Set<String> permissions = getPermissionsByUserName(userName);
        //创建SimpleAuthorizationInfo对象, 返回得到的数据
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //设置权限
        simpleAuthorizationInfo.setStringPermissions(permissions);
        //设置角色
        simpleAuthorizationInfo.setRoles(roles);
        return simpleAuthorizationInfo;
    }

    /**
     * 模拟数据库查询权限
     * @param userName
     * @return
     */
    private Set<String> getPermissionsByUserName(String userName) {
        Set<String> sets = new HashSet<>();
        sets.add("user:delete");
        sets.add("user:add");
        return sets;
    }

    /**
     * 模拟数据库查询授权
     * 这里和getPasswordByUserName一样
     *
     * @param userName
     * @return
     */
    private Set<String> getRolesByUserName(String userName) {
        Set<String> sets = new HashSet<>();
        sets.add("admin");
        sets.add("user");
        return sets;
    }

测试类
在认证测试类中加上这两句, 同样,大家可以尝试一下错误的认证与授权, 看看会发生什么情况

	//判断是否具有此角色信息
	subject.checkRole("admin");
     //判断是否具有对应操作的权限
    subject.checkPermissions("user:add","user:delete");

Shiro加密

Shiro散列配置

  • HashedCredentialsMatcher
  • 自定义Realm中使用散列
  • 盐的使用

首先我们先要创建一个HashedCredentialsMatcher工具类

	@Test
    public void testAuthentication(){

        CustomRealm customRealm = new CustomRealm();

        //1. 构建SecurityManager环境
        DefaultSecurityManager manager = new DefaultSecurityManager();
        manager.setRealm(customRealm);//配置环境

        //创建工具类
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //设置加密的名称,加密方式
        matcher.setHashAlgorithmName("md5");
        //设置加密的次数
        matcher.setHashIterations(1);
        //在自定义的Realm中配置HashedCredentialsMatcher对象
        customRealm.setCredentialsMatcher(matcher);


        //2. 主体提交认证请求
        SecurityUtils.setSecurityManager(manager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ljj","123");//存放验证数据
        subject.login(token);//进行验证

        //是否认证成功
        System.out.println(subject.isAuthenticated());

//        subject.checkRole("admin");
//
//        //判断是否具有对应操作的权限
//        subject.checkPermissions("user:add","user:delete");
    }

在自定义类中创建main方法, 使用md5获得加密后的密码

		public static void main(String[] args) {
        //得到加密数据
        Md5Hash md5Hash = new Md5Hash("123");
        System.out.println(md5Hash.toString());
   	 }

更改map里的密码为加密后的数据(数据库里的密码都是经过加密的只不过我这里的map是用来模拟)

但是由于密码只进行了一次加密, 安全级别还是达不到我们所需要的级别, 所以我们需要进行加盐.
获得加盐数据

 public static void main(String[] args) {
        //得到加盐数据
        Md5Hash md5Hash = new Md5Hash("123","ljj");
        System.out.println(md5Hash.toString());
    }

更改map里面的密码
我们还需要在认证方法中添加这样一句代码
authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(“ljj”)); 需要把所加的盐设置进SimpleAuthenticationInfo

	 /**
     * 认证
     *
     * @param authenticationToken 认证信息
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //1.从主体传过来的认证信息中,获取用户名
        String userName = (String) authenticationToken.getPrincipal();

        //2.通过用户名到数据库中获取凭证
        String password = getPasswordByUserName(userName);
        //如果不存在
        if (password == null) {
            return null;
        }
        //创建SimpleAuthenticationInfo,返回数据
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                "ljj", password, "customRealm");
        //需要把所加的盐设置进来               直接将字符串转换成ByteSource对象
        authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes("ljj"));
        return authenticationInfo;
    }

在下一篇博客中, 我将带着大家从数据库和缓存中获取数据, 跟真实的项目完全一致, 谢谢大家的关注

springBoot整合Shiro实战教程

https://blog.csdn.net/I_No_dream/article/details/93227335

菜鸟想飞的很高
关注
专栏目录
shiro简介及入门
qq_44847231的博客
10-13 606
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiro与web容器的集成 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
shiro教程 跟我学Shiro教程
10-28
本资源包含: Apache_Shiro参考手册中文版.pdf; Shiro教程.pdf; shrio-example.rar; 跟我学Shiro教程.zip
Shiro使用教程
苝花向暖丨楠枝向寒
10-15 1521
Shiro使用教程 入门使用加完整源码 链接: 点击进入. 该原文中最后面项目源码下载需要30积分,如果你有CSDN会员直接下载即可,还是要尊重原创。 如果真不舍得花钱开会员就从从github上下载吧 git@github.com:zzh546934282/shiro.git 关于何时执行shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGet...
shiro学习教程
最新发布
alankuo的专栏
10-01 438
Apache Shiro是一个强大且易用的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。Shiro的设计理念是简单易用,同时又能满足复杂的安全需求,可以轻松地集成到各种Java应用程序中,如Web应用、命令行应用、移动应用等。// 用于身份验证@Override// 假设从数据库获取用户信息进行验证// 这里应该查询数据库验证用户信息} else {throw new AuthenticationException("用户名或密码错误");// 用于授权。
Shiro 基础教程
weixin_30715523的博客
12-27 262
原文地址:Shiro 基础教程 博客地址:http://www.extlight.com 一、前言 Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 二、介绍 2.1 功能特点 Shiro 包含 10 个内容,如下图: 1) Authentication:身份认证/登录,验证...
Shiro 入门教程
让我们荡起双桨的博客
06-07 2259
一、名词解释 1、Subject:即" 当前操作用户 "。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 2、SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。 3、Realm:Realm充当了Shiro与应用安全
Shiro完整教程
m0_67402564的博客
03-28 1693
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro 要简单的多。 Shiro简介 Shiro身份验证 Shiro授权 Shiro授权方式 Shiro授权的访问控制 Shiro 的Permission字符串通配符权限 Shiro授权流程 Shiro InI配置 Shiro编码加密 Shiro Realm Shiro 的AuthenticationToken和A
Shiro基础教程:从入门到精通
"Shiro基础教程-跟着开哥学Shiro" Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可用于构建安全的Web和独立应用程序。本教程将带你逐步了解Shiro的核心概念和实际应用。 ...
Java安全框架Apache Shiro基础教程
"Shiro简介-pdr+gps融合导航" Apache Shiro是一个轻量级的Java安全框架,专注于提供身份认证、授权、加密以及会话管理等功能。它以其简单易用的特点,成为许多开发者的选择,特别是在不需要过于复杂的安全管理场景...
Shiro 教程
weixin_33860722的博客
04-13 71
Shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。 我在业余草网站上整理过相关的Shiro教程...
java shiro教程_shiro教程1(HelloWorld)
weixin_30388691的博客
02-16 194
shiro简介Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。框架图说明从外部查看shiro框架>应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subjectapi说明Subject主体,代表当前...
Shiro
余笙的博客
05-02 426
一、Shiro概述 1、什么是Shiro Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 2、为什么要学Shiro shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快...
shiro基础教程
feinifi的博客
03-25 674
shiro作为一个安全框架,可以很好的在javaee项目中使用,他可以不依赖于spring单独使用。也可以和spring框架一起使用。现在的springboot开发中也越来越多的使用shiro来做安全验证。 shiro框架的三大核心组件:SecurityManager,Realm,Subject。三者构成了安全框架的主要组成部分。 SecurityManager:管理shiro内部组件,负责管...
shiro权限框架简单快速入门
dong_pongkk999的专栏
03-19 594
声明本文只适合初学者,本人也是刚接触而已,经过一段时间的研究小有收获,特来分享下希望和大家互相交流学习。 首先配置我们的web.xml代码如下,固定格式,记死就成           shiroFilter                        org.springframework.web.filter.DelegatingFilterProxy              
Shiro的架构介绍
weixin_34320724的博客
05-02 103
【摘录自 Apache shiro使用手册】 首先,来了解一下Shiro的三个核心组件:Subject, SecurityManager和 Realms. 如下图: Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交...
Shiro入门教程
weixin_34217773的博客
06-14 120
简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。 Shiro是一个有许多特性的全面的安全框架,下面这幅图可以了解Shiro的特性: image.png 可以看出shiro除了基本的认证,授权...
二、了解shiro架构 (10 Minute Tutorial on Apache Shiro
Mr丶Yang
07-12 536
10 Minute Tutorial on Apache Shiro教程:https://shiro.apache.org/10-minute-tutorial.html#overview文档:https://shiro.apache.org/reference.htmlshiro: https://github.com/apache/shiro/blob/master/samples/quick...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值