8-6Shiro安全验证

最新推荐文章于 2020-05-18 12:38:51 发布
最新推荐文章于 2020-05-18 12:38:51 发布
阅读量152 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lianzhangsiqi/article/details/98667008
版权
本文介绍了Apache Shiro,一个轻量级的安全框架,用于实现身份验证、授权、密码加密和会话管理。文章详细讲解了Shiro与Spring的集成,以及Authentication和Authorizing的核心概念,并提供了配置和 Realm 自定义的实践指导。
摘要由CSDN通过智能技术生成

1. 课程介绍
1. Shiro简介;(了解)
2. Shiro入门;(了解)
3. Shrio集成Spring;(掌握)
4. Authentication身份认证;(掌握)
5. Authorizing授权;(掌握)

一,shiro

Apache Shiro是一个强大且易用的架,有身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Spring security 重量级安全框架Java安全框
Apache Shiro轻量级安全框架
Shiro:是一个apache的安全框架,还有spring security;
Shiro:能做:身份认证(登录)authentication,授权authorization,密码学,会话管理。
应用–》Subject(当前用户)—》Security Mananger管理–》Realm----》db
导入jar

<dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.4.0</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.12</version>
    </dependency>
</dependencies>

[users]
# 用户 'root' 密码是 'secret' and the 'admin' 角色
root = secret, admin
# 用户 'guest' 密码 'guest' 和'guest'角色
guest = guest, guest
# user 'presidentskroob' with password '12345' ("That's the same combination on
# my luggage!!!" ;)), and role 'president'
presidentskroob = 12345, president
# 用户 'darkhelmet' with password 'ludicrousspeed' and 角色 'darklord' and 'schwartz'
darkhelmet = 123, darklord, schwartz
# 用户 'lonestarr' 密码 'vespa' and roles 'goodguy' and 'schwartz'
lonestarr = vespa, goodguy, schwartz

[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# 这个 'schwartz' 角色 能干lightsaber下面的所有事情:
schwartz = lightsaber:*
# goodguy这个角色 能干winnebago下面的drive权限,操作eagle5这个资源 user:delete:5
goodguy = winnebago:drive:eagle5

测试

 @Test
    public void test() throws Exception{
        //填入路径到工厂对象中去
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //得到SecutiryManager 核心对象
        SecurityManager securityManager = factory.getInstance();
        //设置到shiro环境中去
        SecurityUtils.setSecurityManager(securityManager);
        //获得主体
        Subject subject = SecurityUtils.getSubject();
        //创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("darkhelmet", "123");
        try {
            subject.login(token);
            System.out.println("登陆成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("该账号不存在");
        }catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误");
        }catch (AuthenticationException e) {
            e.printStackTrace();
            System.out.println("其他认证错误");
        }
        //角色判断
        if (subject.hasRole("admin")){
            System.out.println("这个角色有admin");
        }else{
            System.out.println("没有该角色");
        }
        //权限判断
        if (subject.isPermitted("lightsaber:*")){
            System.out.println("该角色有lightsaber权限");
        }else{
            System.out.println("没有权限");
        }
    }

自定义Realm

public class MyRealm extends AuthorizingRealm {
    //授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //得到用户名
        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();
        //拿到权限去数据库查询
        Set<String> role = getRoleByPrincipal(primaryPrincipal);
        //拿到角色去数据库查询
        Set<String> permission = getPermissionByPrincipal(primaryPrincipal);


        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //设置角色
        simpleAuthorizationInfo.setRoles(role);
        //设置权限
        simpleAuthorizationInfo.setStringPermissions(permission);

        return simpleAuthorizationInfo;
    }

    //通过用户拿到角色
    private Set<String> getRoleByPrincipal(String primaryPrincipal){
        Set<String> roles = new HashSet<String>();
        if("gongji".equals(primaryPrincipal)){
            roles.add("admin");
            return roles;
        }else{
            return null;
        }
    }
    //通过用户获取权限
    private Set<String> getPermissionByPrincipal(String primaryPrincipal){
        Set<String> permissions = new HashSet<String>();
        if("gongji".equals(primaryPrincipal)){
            permissions.add("admin");
            return permissions;
        }else{
            return null;
        }
    }

    //身份认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //得到令牌
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //主体
        Object principal = token.getPrincipal();
        System.out.println(principal);

        //获取用户名 zhangsan
        String username = token.getUsername();
        System.out.println(username);

        //通过用户名 去数据库查询数据 -- 查询用户的信息
        // 没有加密返回 String dbpwd= getPwdByUsername(username);
        String md5Pwd = getMD5PwdByUsername(username);
        //处理用户名问题 用户名是否存在的问题
        if(md5Pwd==null){
            //用户不存在
            return null;
        }
        //ByteSource
        ByteSource salt = ByteSource.Util.bytes("itsource");
        //下面进行密码的比对  shiro 底层它会自动进行比对 -- 处理密码问题
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, md5Pwd,salt, getName());

        return simpleAuthenticationInfo;
    }

    //通过用户名去拿到密码
    public String getPwdByUsername(String username){
        if("gongji".equals(username)){
            return "123";
        }else{
            return null;
        }
    }
    //加密返回密码
    public String getMD5PwdByUsername(String username){
        if("gongji".equals(username)){
            return "d5a3fedf6c59c2ecbe7f7a6c1a22da37";
        }else{
            return null;
        }
    }

    public static void main(String[] args) {
        //MD5 本身是不可破解 ..不可逆  网上看到破解方式 都是穷举把
        //(1)普通加密+202cb962ac59075b964b07152d234b70 -123
        SimpleHash simpleHash = new SimpleHash("MD5","123" );
        //(2)加密+加次数
        SimpleHash simpleHash1 = new SimpleHash("MD5","123",null,10 );
        //5371007260db2b98e3f7402395c45f28
        //(3)加密123 加盐 + itsource +加次数 --d5a3fedf6c59c2ecbe7f7a6c1a22da37 -- 最安全
        SimpleHash simpleHash2 = new SimpleHash("MD5","123","itsource",10 );
        System.out.println(simpleHash.toString());
        System.out.println(simpleHash1.toString());
        System.out.println(simpleHash2.toString());
    }
}

Shiro中密码加密

 @Test
    public void testDiyRealm() throws Exception{

        //创建自定义myRealm
        MyRealm myRealm  = new MyRealm();
        //得到SecutiryManager 核心对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        securityManager.setRealm(myRealm);
        //设置到shiro的环境里面 才能运行
        SecurityUtils.setSecurityManager(securityManager);
        //密码匹配器
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        matcher.setHashAlgorithmName("MD5");
        matcher.setHashIterations(10);
        //在realm设置匹配器
        myRealm.setCredentialsMatcher(matcher);

        //完成一些认证 拿到主体 -- 游客
        Subject subject = SecurityUtils.getSubject();

        //创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("gongji","123");
        try {
            subject.login(token);
            System.out.println("登陆成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户不存在");
        }catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误..");
        }catch (AuthenticationException e) {
            e.printStackTrace();
            System.out.println("其他认证错误");
        }
        System.out.println(subject);
        //判断角色 --shiro底层 自动找到myRealm 返回AuthorizationInfo 信息 进行判断比较
        if(subject.hasRole("admin")){
            System.out.println("豪哥有:admin角色");
        }
        //判断主题是否有权限
        if(subject.isPermitted("driver:xx")){
            System.out.println("公鸡可以开车");
        }



        subject.logout();//退出


    }

二,Shiro集成Spring

配置导包

<!-- shiro的支持包 -->
 <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-all</artifactId>
    <version>1.4.0</version>
    <type>pom</type>
</dependency>
  <!-- shiro与Spring的集成包 -->
  <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
  </dependency>

<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <init-param>
    <param-name>targetFilterLifecycle</param-name>
    <param-value>true</param-value>
  </init-param>
</filter>

<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

三,Authentication(身份认证)和Authorizing(授权)

public class MyRealm extends AuthorizingRealm {

    //登陆认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
       
        //身份 username
        Object username = authenticationToken.getPrincipal();
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username1 = token.getUsername();

        //通过用户名得到密码
        String pwd = getPwdByUsername(username1);
        if(pwd == null){
            return null;
        }
        //添加颜值
        ByteSource salt = ByteSource.Util.bytes("itsource");
        //得到simpleAuthenticationInfo
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username,pwd,salt,getName());


        return simpleAuthenticationInfo;
    }

    public String getPwdByUsername(String username){
        if("bb".equals(username)){
            return "607ca42819a4452f620bf721b7558c18";
        }else{
            return null;
        }
    }

    public static void main(String[] args) {
        SimpleHash simpleHash = new SimpleHash("MD5", "520520", "itsource", 10);
        System.out.println(simpleHash);
    }

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //得到主体/用户
        String username =(String)principalCollection.getPrimaryPrincipal();
        //根据用户 从数据库去拿到权限 加入到shiro里面
        Set<String> permissions = new HashSet<>();
        if(username.equals("bb")){
            permissions.add("user:*");
            permissions.add("employee:*");
        }

        SimpleAuthorizationInfo simpleAuthorizationInfo  = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addStringPermissions(permissions);

        //返回到shiro里面 就会进行权限的判断
        return simpleAuthorizationInfo;
    }
}

授权数据库查询

public class AisellFilterChainDefinitionMapBuilder {


    public Map buildFilterChaiDefinitionMap(){
        //map要顺序要求
        /**
         */

        Map mp = new LinkedHashMap();
        mp.put("/s/login.jsp","anon");
        mp.put("/login","anon");
        mp.put("/s/permission.jsp","perms[user:*]");
        mp.put("/**","authc");
        return mp;


    }
}
忘掉过去丿
关注
安全认证框架之Shiro详解
weixin_46178852的博客
05-14 2834
1. RBAC权限设计模型1.1. RBAC模型关键元素1.1.1. 权限1.1.2. 用户1.1.3. 角色1.1.4. 组1.2. 关键元素关系图1.3. 设计权限表结构1.3.1. RBAC权限设计(传统5张表) 1. RBAC权限设计模型         基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。\
Shiro安全框架入门
DennisDing的专栏
08-29 708
Shiro框架中,有3个重要的概念 1.
Spring Shiro 入门必看
weixin_30851867的博客
08-12 85
Shiro简介:Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解,通过Shiro易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序最大的网络和企业应用程序。 Shiro架构图 Authentication:身份认证/登录 ...
Shiro框架:认证和授权原理
目不识丁
05-18 896
前言 Shiro作为解决权限问题的常用框架,常用于解决认证、授权、加密、会话管理等场景。本文将对Shiro的认证和授权原理进行介绍: Shiro可以做什么? Shiro是由什么组成的? 举个Shiro的例子呗? Shiro认证的原理是咋样的? Shiro授权的原理是咋样的? 1. Shiro可以做什么? 在构建一个网络应用的时候,权限检验管理作为非常重要的安全措施,需要包含以下几点: 用户认证 — 用户身份识别。得知道来的人是谁; 用户授权 — 用户权限访问控制。得知道来的人有...
Shiro教程--Authorization 授权及权限验证(四)
小波的博客
07-18 7871
      权限认证 也就是访问控制,即在应用中控制谁能访问哪些资源。 在权限认证中,最核心的三个要素是: 1-角色role,是权限的集合,一种角色可以被很多个用户拥有,一种角色可以包含多种权限;【多对多】 2-用户user,在 Shiro 中,代表访问系统的用户,被封装成 安全主体Subject对象; 3-权限permission,即操作资源的权利,比如访问某个页面,以及...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
SpringMVC-Mybatis-Shiro-redis-master
01-18
在Web应用中,Shiro可以帮助控制用户的访问权限,实现用户登录、权限验证以及安全相关的操作。例如,它可以限制未登录用户访问特定页面,或者根据用户角色分配不同的操作权限。 **Redis** 是一个高性能的键值存储...
SpringMVC-Mybatis-Shiro-redis
02-23
在SpringMVC-Mybatis-Shiro-Redis体系中,Shiro负责用户登录验证、权限控制和会话管理。开发者可以方便地定义角色和权限,实现细粒度的访问控制,保障系统的安全性。 Redis则作为一个高性能的键值存储系统,常用于...
吴天雄--shiro个人总结笔记.doc
04-30
Apache Shiro 是一款Java安全框架,它提供了身份认证、授权、加密和会话管理功能,适用于Java SE和Java EE环境,甚至能在分布式集群环境中运行。Shiro因其简单易用而受到青睐,相比于依赖Spring的Spring Security,...
安全认证框架Shiro(三)- 源码角度解析shiro的权限验证
陈袁的博客
11-16 1475
安全认证框架Shiro(三)- 源码角度解析shiro的权限验证 安全认证框架Shiro三- 源码角度解析shiro的权限验证 第一前言 第二走下去 shiro没配置权限验证的Url怎么处理 结论第一:前言承接上篇文章安全认证框架Shiro (二)- shiro过滤器工作原理 权限验证,一直是个难点,看起来是个很高大尚的概念,其实我理解的权限其实就是字符串,把它当成字符串,只要和用户对应的字符串匹
shiro学习
weixin_34113237的博客
12-25 172
简介: Apache Shiro 是 Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其基本功能点如下图所示: Authenticat...
shiro身份验证实验
cjy_lean的博客
04-30 295
shiro身份验证 1. 验证程序 Apache Shiro官网:http://shiro.apache.org/ 我们可以通过源代码中例子来学习Shiro 1)pom.xml依赖 <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-simple</ar...
Shiro笔记(二)----shiro源码与默认提供的示例
fendo
07-09 1905
一、源码下载 Shiro官网地址为:http://shiro.apache.org/ 点击Download进行下载页面 往下滑选择源码进行下载 下载下来之后解压结构如下 二、默认示例 在Sample目录下提供了一些示例 打开Eclipse选择导入Ma
安全认证框架Shiro (二)- shiro过滤器工作原理
热门推荐
陈袁的博客
11-15 2万+
安全认证框架Shiro (二)- shiro过滤器工作原理 安全认证框架Shiro 二- shiro过滤器工作原理 第一前言 第二ShiroFilterFactoryBean入口 第三请求到来解析过程 第四过滤器执行原理 第五总结第一:前言由于工作原因,写上篇文章安全认证框架Shiro (一)- ini配置文件过了好久,这里补上Shiro的后续学习经历。第二:ShiroFilterFactoryBe
【超强组合】基于淘金优化算法GRO-BP-Adaboost的数据分类预测算法Matlab实现.rar
最新发布
10-08
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
VMware Workstation Pro 和 VMware Fusion 安装与配置指南
10-08
内容概要:本文档详细指导了如何在不同的主机环境下,通过 VMWare 的两款产品——Workstation Pro 和 Fusion 进行新虚拟机的构建流程以及具体的操作要点说明。 适用人群:希望在单一机器上部署多操作系统的工作环境或学习测试场景的技术人员和学生。 使用场景及目标:旨在帮助初学者搭建属于自己的虚拟机实验平台,从而方便进行软件测试或者研究操作系统相关的新特性等任务,同时也有利于团队间的协作和资源调配。 注意事项:文中涉及的具体操作如下载源文件、配置网络参数时要注意版权合法性问题和技术安全防范。此外还需依据各自电脑的软硬件条件适当增减虚拟机的资源设定。
科研经费管理系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS).zip
10-08
科研经费管理系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS) 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
使用Python Matplotlib进行图形输出与保存详解(包含详细的完整的程序和数据)
10-08
内容概要:本文详细介绍了使用 Python 的 Matplotlib 库来输出和保存图形的方法。不仅涉及了基本流程,如生成图表并将之导出成PNG、PDF和SVG等不同格式的内容,还包括高级话题如设置透明度、分辨率以及制作包含图形元素的HTML页面等。文章通过一个具体的示例代码讲解了各个环节的关键细节和技术要点。 适用人群:对数据可视化有兴趣的初学者及具有一定基础想要深入学习 Matplotlib 使用技巧的技术人员。 使用场景及目标:适用于需要掌握 Matplotlib 不同输出选项及其特点的应用场合,尤其是当需要生成用于打印或网页展示的高质量、可自定义外观的图形时。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值