Shiro架构的认证操作

最新推荐文章于 2023-04-17 09:29:03 发布
最新推荐文章于 2023-04-17 09:29:03 发布
阅读量132 收藏
点赞数
文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l775892226/article/details/94736416
版权

一、介绍

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、加密、会话管理、与 Web 集成、缓存等。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

体系结构
在这里插入图片描述
1、 Authentication 认证 ---- 用户登录
2、 Authorization 授权 — 用户具有哪些权限
3、 Cryptography 安全数据加密
4、 Session Management 会话管理
5、 Web Integration web系统集成
6、 Interations 集成其它应用,spring、缓存框架

二、准备

首先需要创建一个SpringBoot工程,使用Idea的快速创建即可,然后添加一下依赖。

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.1.6.RELEASE</version>
		<relativePath/> 
	</parent>
	<groupId>com.example</groupId>
	<artifactId>shirodemo</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>shirodemo</name>
	<description>Demo project for Spring Boot</description>

	<properties>
		<java.version>1.8</java.version>
		<!-- 修改thymeleaf的版本 -->
		<thymeleaf.version>3.0.11.RELEASE</thymeleaf.version>
		<thymeleaf-layout-dialect.version>2.1.1</thymeleaf-layout-dialect.version>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-thymeleaf</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		<!-- shiro与spring整合依赖 -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>
		<!-- 导入mybatis相关的依赖 -->
		<dependency>
			<groupId>com.alibaba</groupId>
			<artifactId>druid</artifactId>
			<version>1.0.9</version>
		</dependency>
		<!-- mysql -->
		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
		</dependency>
		<!-- SpringBoot的Mybatis启动器 -->
		<dependency>
			<groupId>org.mybatis.spring.boot</groupId>
			<artifactId>mybatis-spring-boot-starter</artifactId>
			<version>1.1.1</version>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>
</project>

其中使用到了Thymeleaf模块,测试模块有没有生效具体如下:
编写Controller类

@RequestMapping("/success")
    public String success() {
        return "success";
    }

编写success.html,具体位置如下
在这里插入图片描述
启动SpringBoot启动类,访问http://localhost:8080/success ,成功显示页面则生效。

三、认证操作

Shiro的核心Api

Subject: 用户主体(把操作交给SecurityManager)
SecurityManager:安全管理器(关联Realm)
Realm:Shiro连接数据的桥梁

1.编写Controller类的登录逻辑

    @RequestMapping("/login")
    public String login(String name, String password, Model model) {
        /**
         * 使用Shiro编写认证操作
         */
        //1.获取Subject
        Subject subject = SecurityUtils.getSubject();

        //2.封装用户数据
        UsernamePasswordToken token = new UsernamePasswordToken(name, password);

        //3.执行登录方法
        try {
            subject.login(token);
            //登录成功
            //跳转到test.html
            return "redirect:/success";
        } catch (UnknownAccountException e) {
            //e.printStackTrace();
            //登录失败:用户名不存在
            model.addAttribute("msg", "用户名不存在");
            return "login";
        } catch (IncorrectCredentialsException e) {
            //e.printStackTrace();
            //登录失败:密码错误
            model.addAttribute("msg", "密码错误");
            return "login";
        }
    }

2.自定义Realm类

public class UserRealm extends AuthorizingRealm{
   /**
    * 执行授权逻辑
    * 只要访问了需要权限的资源就会执行授权逻辑
    */
   @Override
   protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
       return null;
   }

   /**
    * 执行认证逻辑
    */
   @Override
   protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
       //假设数据库的用户名和密码
       String name = "eric";
       String password = "123456";
       //编写shiro判断逻辑,判断用户名和密码
       //1.判断用户名
       UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
       if(!token.getUsername().equals(name)){
           //用户名不存在
           return null;//shiro底层会抛出UnKnowAccountException
       }
       //2.判断密码
       return new SimpleAuthenticationInfo("",password,"");

   }
}

3.编写Shiro的配置类

/**
 * Shiro的配置类
 * @author leon
 */
@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
               ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //添加Shiro内置过滤器
        
        /**
         * Shiro内置过滤器,可以实现权限相关的拦截器
         *    常用的过滤器:
         *       anon: 无需认证(登录)可以访问
         *       authc: 必须认证才可以访问
         *       user: 如果使用rememberMe的功能可以直接访问
         *       perms: 该资源必须得到资源权限才可以访问
         *       role: 该资源必须得到角色权限才可以访问
         */
        Map<String,String> filterMap = new LinkedHashMap<>();
        //添加权限
        filterMap.put("/success", "anon");
        filterMap.put("/login", "anon");
        filterMap.put("/*", "authc");

        //修改调整的登录页面
        shiroFilterFactoryBean.setLoginUrl("/toLogin");
        
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        return shiroFilterFactoryBean;
    }

    /**
     * 创建DefaultWebSecurityManager
     */
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联realm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    @Bean(name="userRealm")
    public UserRealm getRealm(){
        return new UserRealm();
    }
}

GIt代码

摘星大师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
自定义Realm 认证 密码加密 自定义realm的授权功能
qq_55682798的博客
08-08 354
/什么时候执行该方法: 当你进行权限校验时会执行该方法//根据账号查询该用户具有哪些权限if(list!}}////1.根据token获取账号//2.根据账号查询用户信息if(user!=null){//从数据库中获取的密码}}}try {System.out.println("账号密码错误");}}}...
Apache Shiro 使用手册(一) Shiro架构介绍
09-15
Apache Shiro是一个全面的Java安全框架,专注于提供认证、授权、加密和会话管理功能,使得开发者能够轻松处理应用程序的安全需求。它的设计理念是简洁且易于理解,与其他复杂的安全框架相比,Shiro更适合初学者和...
Shiro认证操作(Java版)
Radom&7
04-25 135
maven坐标: &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-all&lt;/artifactId&gt; &lt;version&gt;1.3.2&lt;/version...
Shiro认证源码解析和工作原理
Ascend2015的博客
11-18 5320
先行回顾一下使用shiro的步骤: 1. 创建Subject实例对象currUser; 2. 判断当前currUser是否认证过; 3. 如果没有认证过,那么应当调用currUser的login(token)方法,token也就是令牌,用以封装用户输入的登录信息; 4. 实现自定义Realm,用以完成和数据库的交互,由Shiro底层来完成用户输入信息和数据库信息的比对,完成认证。 当然与
第九节 Shiro标签原理分析
大宇的博客,欢迎访问
01-31 1468
一、shiro的标签 首先,你需要知道的是,标签的实质其实是Java代码。你已经知道,JSP实质也是Java代码,更别说用在JSP中的标签了。 稍后你会在源码追踪环节了解到:Shiro标签执行了哪些Java代码。 标签的作用就是移除JSP页面中的Java代码。 OK,下面进入正题:Shiro标签。 最常见的Shiro标签有三个...
Shiro安全框架简介
最新发布
weixin_45934981的博客
04-17 1367
Shiro默认实用的是simpleCredentialsMatcher中的doCredentialsMatcher方法,这个方法使用的是equals的方式进行比较密码。调用subject中的isPermittedAll方法,参数为可变长参数(可以传一个或者多个)【如果是多个,那么这个主体需要拥有参数里面所有的权限字符串才能访问】在doGetAuthenticationInfo方法中获取用户的身份信息,然后校验是否和数据库中的一致。Shiro不依赖于WEB,即使是一个测试程序也能够使用Shiro中的功能。
ims_nacos_gateway+shiro完成认证权限、日志等-Nacos版.rar
06-09
2.spring-gateway作为网关,具备熔断,负载,限流,统一操作日志,认证权限拦截等功能 ; 3.shiro+redis作为认证授权服务 oaa,提供为网关feign接口,用来验证权限 。 注意: 1.nacos1.1.4的安装包和naocs的配置文件也...
java shiro权限认证demo
09-10
2. **Shiro架构** - **Subject**:Shiro的主要交互对象,代表了当前的用户,无论这个用户是已认证还是未认证。 - **Realms**:数据源,用于获取验证和授权信息,通常与数据库或其他持久化存储相关联。 - **...
ims_cloud_gateway+shiro完成认证权限、日志等-Euraka版.rar
06-09
开箱即用的微服务认证授权架构 Eureka作为注册中心; 方案一: spring-gateway作为网关,具备熔断,负载,限流,统一操作日志,认证权限拦截等功能 ,过滤器统一异常捕获; shiro+redis作为认证授权服务 oaa,提供为...
安全架构shiro手册说明
10-11
Apache Shiro 是一个全面且易于使用的Java安全框架,旨在简化应用程序的安全管理,包括认证、授权、加密和会话管理。它为各种类型的应用程序提供安全保障,无论是简单的命令行应用、移动应用还是复杂的大型企业系统...
Shiro权限框架深入浅出.pdf
05-09
Apache Shiro 是 Java 的一个安全框架。我们经常看到它被拿来和 Spring 的 Security 来对比。大部分人认为 Shiro 比 Security 要简单
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Shiro框架学习——代码+笔记
好看的皮囊千篇一律,有趣的灵魂万里挑一。
04-04 374
Shiro是Apache旗下的一个开源框架,它提供了一套通用的安全认证框架,可以快速地实现用户身份认证、权限授权、加密、会话管理等功能,并且可以运行在web应用、非web应用、集群分布式应用中。
Java初级面试一般问题
weixin_43511745的博客
08-20 727
java语言的基本特性? 面向对象、跨平台、多线程、异常处理机制、自动垃圾回收机制。 java程序的执行过程? 编译、运行—将java原码(.java文件)通过编译器(javac.exe)编译成JVM文件(.class文件) 将JVM文件通过java.exe执行输出结果。 java中的数据类型? 基本数据类型(byte、short、char、int、long、float、double、boolean)。 引用数据类型(类-class、接口-interface、数组-[])。 int 与In..
Shiro (2. Shiro 认证和授权的底层源码分析) 学习笔记
圆的博客
09-24 336
文章目录1. 源码分析2. 使用 1. 源码分析 在自定义 Realm 的时候,继承了一个类,``AuthorizingRealm·· 点进去,发现还继承了一个类 再进 这个类里有一个 获得凭证适配器的方法,这个就是配置加密的一个方法 点进该方法发返回值 发现这是一个接口,有需要实现类 默认的是SimpleCredentialsMatcher Debug 测试一下 在 UserRealm 中打个断点 可以看到这里的加密方式为简单的 2. 使用 ...
shiro配置及使用 整体流程
natural_的博客
06-15 5587
shiro的介绍网上很多,详细的有开涛的博客。因为开涛的博客文章较多,而项目又比较赶,所以博主是根据项目需要来搜资料的,当然了,获取资料最多的就是开涛的博客了。 当然了,使用一个东西最开始就应该就是导入它的包了,在官网上写了好多种包,但是shiro不是自己都说,好的项目不是什么都有,而是不能再少一点东西了,所以大家在导包 的时候尽量不要太贪心的全导入了,视项目的情况而定吧。 下面是maven的
Shiro:权限控制底层解析
青语的博客
11-19 490
前面: 正如之前写的认证的过程,说授权跟认证很相似,没有错,只是授权需要手动开启,Shiro才回去进行权限的查询和对比. 流程图: 如上图,需要手动开始认证,通过.hasRole(),或者isPermitted(),分别判断用户是否具有这个角色,这个权限.注意:权限里面的字符不是"角色"+"权限",而仅仅是权限表里面存储的字段。可以通过三种方法进行开启:(1)编程式,直接在在代码中调用Subj...
shiro原理及其运行流程介绍
热门推荐
mine_song的博客
03-12 6万+
shiro原理及其运行流程介绍
shiro框架的基本理解
明天
01-19 1万+
1.简介 shiro是一个安全框架,可以进行认证、授权、密码加密、会话管理 从外部来解析shiro框架: Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManage
基于 java EE .Java权限后台管理系统.pdf
07-11
6. **安全认证与集成**:用户的安全认证是信息系统的基石,确保只有授权的用户能够访问相应的资源,这对于任何信息系统来说都是至关重要的。 这份报告不仅提供了实际项目的开发过程和技术选型,还强调了在Java EE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值