shiro知识汇总

最新推荐文章于 2021-05-09 09:58:20 发布
最新推荐文章于 2021-05-09 09:58:20 发布
阅读量333 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_job/article/details/78826456
版权

一、身份认证

       1、身份认证流程:

            1)、调用subject.login( token ),自动委托给Securityanager,调用需通过SecurityUtils.setSecurityManager()绑定SercurityManager(全局设置执行一次即可);

            2)、SecurityManager负责真正的身份认证逻辑,会委托给Authenticator进行身份认证;

            3)、Authentitor为Shiro API核心身份认证入口(此处可以插入自定义实现);

            4)、Authentitor委托给AuthenticationStrategy(认证策略)进行多Realm身份认证(默认ModularRealmAuthenticator调用AuthenticationStrategy进行认证);

            5)、Authenticator将token传入Realm,从realm中获取身份认证信息,若没有返回、抛出异常就表示身份认证失败

       2、SecurityManager集成Authenticator,另外还有个实现ModularRealmAuthenticator,其委托Realm进行认证,认证策略有AuthenticationStrategy接口指定,

             默认提供了以下三个实现:

            1)、FirstSuccessfulStrategy

            2)、AtLeastIneSuccessfulStrategy

            3)、AllSuccessfulStrategy

       3、配置

             

       4、Realm继承图

             

二、授权

       1、Shiro支持粗粒度权限(以角色为单位)、细粒度权限(以资源为单位)

       2、授权流程:

             1)、首先调用subject.isPermitted/hasRole,自动委托给securityManager,接着委托给Authorizer;

             2)、Authorizer是真正的授权者,当我们调用isPermited( “user:view” )时会通过PermissionResolver将字符窜转换成Permission实例;            

             3)、进行授权前,会调用相应的realm获取subject相应的角色/群贤用于匹配传入的角色/权限;

             4)、Authorizer判断Realm中的角色/权限是否与传入的角色/权限匹配,若有多个Realm,则委托给ModularRealmAutorizer循环判断

       3、ModularRealmAuthorizer进行多Realm匹配流程:

             1)、首先检查realm是否实现Authorizer;

             2)、若实现Authorizer则调用其相应的isPermitted/hasRole;

             3)、如果有一个匹配则返回true,否则返回false;

       4、实现AuthorizreRealm的realm进行授权流程: 

             1)、如果调用hasRole,则直接获取AuthorizationInfo.getRoles()与传入的角色进行匹配即可;

             2)、如果调用isPermited( “user:view” ),则:

                    a)、通过PermissionResolver(默认使用WildcardPermissionResolver)将字符串转换成Permission(默认为WildcardPermission);

                    b)、获取用户Permission实例集合

                                  方式一:AuthorizationInfo.getObjectPermissions( )

                                  方式二:AuthorizationInfo.getStringPermissions( )

                    c)、获取用户角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自定义)

                    d)、调用Permission.implies( Permission p)逐个与传入的权限比较,有匹配上则返回true,否则返回false;

       5、配置:

             

三、编码与加密

       1、编码/解码方式:

            1)、Base64

            2)、Hex

            3)、MD5

            4)、SHA-1

//Base64
String base64Encoded = Base64.encodeToString("admin".getBytes()); //编码
String base64Decoded = Base64.decodeToString(base64Encoded)       //解码
//Hex
Stirng hexEncoded = Hex.encodeToString("admin".getBytes());          //编码
String hexDecoded = new String(Hex.decode(hexEncoded.getBytes()));   //解码
//MD5
String md5 = new MD5Hash(str,salt)toString();
//SHA-1
String sha1Hash  = new SimpleHash("SHA-1",str,salt).toString();

            5)、为了方便,shiro提供了HashService(默认实现:DefaultHashService)

                   

       2、DefaultPasswordService+PasswordMatcher实现加解密

            1)、自定义Realm

public class MyRealm extends AuthorizingRealm {

    private PasswordService passwordService;

    public void setPasswordService(PasswordService passwordService) {
        this.passwordService = passwordService;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        。。。
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        return new SimpleAuthenticationInfo(
                "wu",
		//实际为存进数据库中的加密密文
                passwordService.encryptPassword("123"),
                getName());
    }
}

            2)、配置

[main]
   passwordService=org.apache.shiro.authc.credential.DefaultPasswordService
   hashService=org.apache.shiro.crypto.hash.DefaultHashService
   passwordService.hashService=$hashService
   hashFormat=org.apache.shiro.crypto.hash.format.Shiro1CryptFormat
   passwordService.hashFormat=$hashFormat
   hashFormatFactory=org.apache.shiro.crypto.hash.format.DefaultHashFormatFactory
   passwordService.hashFormatFactory=$hashFormatFactory
   
   passwordMatcher=org.apache.shiro.authc.credential.PasswordMatcher
   passwordMatcher.passwordService=$passwordService
 
   myRealm=com.github.zhangkaitao.shiro.chapter5.hash.realm.MyRealm
   myRealm.passwordService=$passwordService
   myRealm.credentialsMatcher=$passwordMatcher
   securityManager.realms=$myRealm

                图解:

                    

       3、MD5+HashedCredentialsMatcher实现加解密

             1)、生成密码散列值

String algorithmName = "md5";
String userName = "admin";
String password = "admin";
String salt1 = username;
String salt2 = new SecureRandomNumberGenerator().nextBytes().toHex();
String salt = salt1 + salt2;
int hashIterations = 2;

SimpleHash hash = new SimpleHash(algorithmName,password,salt,hashIterations)

             2)、自定义realm

public class MyRealm2 extends AuthorizingRealm {
    ...

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = "liu"; 
        String password = "be320beca57748ab9632c4121ccac0db"; //加密后的密码
        SimpleAuthenticationInfo ai = new SimpleAuthenticationInfo(username, password, getName());
	String salt = username + salt2;
        ai.setCredentialsSalt(ByteSource.Util.bytes(salt)); //盐是用户名+随机数
        return ai;
    }
}

             3)、配置

[main]
   credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
   credentialsMatcher.hashAlgorithmName=md5
   credentialsMatcher.hashIterations=2
   credentialsMatcher.storedCredentialsHexEncoded=true

   myRealm=com.github.zhangkaitao.shiro.chapter5.hash.realm.MyRealm2
   myRealm.credentialsMatcher=$credentialsMatcher
   securityManager.realms=$myRealm

                   图解:

                    

       4、继承图

            

                  


一只想要飞上天的小菜鸟
关注
Shiro认证+盐加密
qq_44271884的博客
10-14 247
Shiro认证 Pom依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </dependency> &...
吴天雄--shiro个人总结笔记.doc
04-30
Apache Shiro 是一款Java安全框架,它提供了身份认证、授权、加密和会话...对于面试和学习来说,掌握Shiro的基本概念、架构以及核心功能,可以帮助开发者构建安全的Java应用,并且在面试时展现出扎实的安全管理知识
shiro
wxzyzydd的博客
01-19 691
简介Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。本教程只介绍基本的 Shir
Shiro基础知识
NEWCIH的博客
07-21 504
授权流程 首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例 在进行授权之前,其
shiro汇总
夕时明月
10-14 281
springboot整合shiro-登录认证和权限管理:  springboot+shiro+redis项目整合:   SpringBoot 整合 Shiro 过程中遇到奇怪的类型转换问题:  在前后端分离的SpringBoot项目中集成Shiro权限框架: 后台使用shiro框架时,怎样使用它的会话管理系统(session),从而实现权限控制: ...
Shiro相关知识点总结
qq_41943011的博客
05-09 390
Shiro 一、基本功能 **Authentication:**身份认证/登录,用于验证用户是不是拥有相应的身份。 **Authorization:**授权,验证某个已认证的用户是否拥有某个权限。 **Session Manager:**会话管理,既用户登录后就是一次会话,没有退出之前,所有的信息都在会话中。会话管理所包含的功能有: Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储。 Web Support:Web支持,可以非常容易的集成到Web环境。 Cachi
Shiro_学习总结.zip
最新发布
11-08
这个“Shiro_学习总结.zip”文件包含了一个 PDF 文档,很可能是对 Shiro 框架核心概念、功能以及使用方法的详尽总结。 在 Shiro 中,主要涉及以下几个核心组件: 1. **认证(Authentication)**:这是验证用户身份...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
本文介绍了 Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制的方法和相关知识点。通过 Shiro+Cas,可以实现基于角色的访问控制和细粒度的权限控制,从而提高应用程序的安全性和可用性。
shiro视频教程
02-12
### Apache Shiro 视频教程知识点概述 #### 一、Apache Shiro 概述 1. **Apache Shiro 的定义**: - Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常容易地开发...
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
总结来说,"springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_"项目是一个使用Spring Boot作为基础框架,结合Shiro进行权限控制,借助MyBatis Plus简化数据库操作的示例。通过这个项目,开发者可以学习到如何...
shiro知识点整理
互联网叫兽
08-16 595
一、 什么是shiro shiro是一个强大易用的安全框架,提供了认证、授权、加密、会话管理、与web集成、缓存等功能,对于任何一个应用程序,都可以提供全面的安全服务,相比其他安全框架,shiro要简单的多。 三个核心组件:Subject, SecurityManager 和 Realms 1、subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在s
shiro学习一(shiro基本知识点)
bird_tp的博客
07-07 420
一、什么是Shiro Shiro是一套是Java的一个安全框架,实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   其主要功能为用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 二、Shiro和Spring Security比较 (1)Shiro比Spring更容易使用,实现和最重要的理解 (2)Spring Security更加知名的唯一原因是因为品牌名称...
shiroshiro总结
韩丽萍
08-10 770
前言 4大模块 1.身份验证 2.授权 三种方法:编程,注解,jsp 3.加密 4.会话管理 3大对象 1.subject 用户 2.securityManager 安全管理器 是shiro的核心就行dispacher servlet 是 springmvc的核心 3.realm 域 shiro从realm获取安全数据(用户,角色,权限),类似数据源...
Shiro相关知识
liduote的博客
10-31 567
shiro相关知识shiro获取登录名在Servlet,Action或者Controller中的代码 java Subject subject = SecurityUtils.getSubject(); String username = (String) subject.getPrincipal(); shiro检查用户是否包含角色Subject subject
shiro总结
qq_34609370的博客
10-31 135
一、Shiro核心知识点(RBAC设计框架:基于角色的访问控制) 1、认证:用户名与密码校验 2、授权:用户查询角色,角色拥有的权限 3、Session管理:会话管理 4、加解密: 加密 加盐 解密 》其他:缓存管理、Realm等 二、shiro之Realm(shiro 的数据源) 1、iniRealm – 内置配置 2、jdbcRealm – jdbc访问数据库 3、自定义Reaml - 继承...
Shiro知识复习
oppoppoppo的专栏
12-02 612
1.获取subject和SecurityManager 通过静态工厂类SecurityUtils来获取 2.login逻辑 login是通过表单认证FormAuthenticationFilter,对用户名和密码从request中获取,然后封装成Token传入Realm中进行验证,验证通过则不需要处理验证不通过需要处理逻辑,FormAuthenticationFilter会在request域
shiro基本知识
ksj_j的博客
01-20 1720
什么是shiroShiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 shiro使用广泛,shiro可以运行在web应 用,非web应用,集群分
史上最全的Shiro学习整理-yellowcong
01-10 2143
这些文章,都是我对shiro的人事精华,里面又很全的shiro案例,对于后期的shiro权限管理和开发又很大的好处。 shiro组件 Shiro之加密方式-yellowcong Shiro之多Realm的认证及认证策略-yellowcong Shiro之拦截器的使用-yellowcong Shiro之授权管理与授权的三种方式(1、编程方式,2、注解方式,3、jsp标签)-yel...
跟我学Shiro:从入门到精通
以下是对各个章节核心知识点的总结: 1. **SHIRO简介** - Shiro提供了一个简单易用的API,帮助开发者快速实现应用的安全控制。 - 它不局限于Web应用,也可以在JavaSE环境中使用。 2. **身份验证** - 环境准备:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值