shiro整理1-----介绍shiro的整体思路

已于 2022-02-17 10:47:09 修改
阅读量2.2k 收藏
点赞数
分类专栏: shiro 文章标签: 安全 shiro
于 2022-02-17 10:41:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lidongliangzhicai/article/details/122977629
版权

再回首,三年过去了,上次本来准备好好整理下,没想到疫情让工作发生了变化,就此暂停。

如今,依然是工作需要,接着整理一下多年前扔一边的知识点吧。

--------------------------------------------

一、整体介绍

Apache Shiro 是 Java 的一个安全框架。而且使用的人也越来越多,设计的API也很简单。用起来还是不错的。

基本功能来说:身份认证、权限认证、会话管理、加密管理。

这是shiro最核心的一些功能,对于一个后台系统来说,基本上也决定了一些逻辑架构的格式,很多小伙伴愿意或者不愿意使用shiro,其实都是这个结构影响的。个人觉得,习惯了这种逻辑表述以后,shiro还是非常不错了。

-----------------------------------------

除此之外,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。

二、shiro初视

从外部来看,shiro构建了一个黑盒子。

(1)包装

对于每一个进入系统大门的客人来说,shiro把他包装成一个Subject,翻译过来是主题的意思。其实,说的简单点,就是一个访问者。

所以,访问者的shiroAPI集合,就是Subject。

也就是说,一个访问者,如果要进入你系统,第一步就是利用shiro包装成Subject。

(2)控制

shiro的安全管理,是通过自己的安全管理器来完成的。

这个东西叫SecurityManager。这是shiro的核心,不过我们也不需要太深入研究源码。一切为了使用,为了理解思路。

(3)数据域

shiro的控制虽然是自己完成,但是如何控制的策略,始终是需要录入一些数据源的。

哪些人可以进入,可以进入做什么,这些都是需要配置进去的,这东西在shiro中就是域。

这部分shiro的思路也很简单,做了一个大方向上的解耦。

把控制本身和要控制的策略数据分开来做,对于控制本身,给我们做成黑盒子的,省去我们的研究,相当于控制引擎隔离出去了,其实也挺好的。

(4)总结

总结下,shiro其实就这么简单,包装--控制---数据域。

说来说去,也不过是走了这么个流程而已。

好了,后面有时间,在写写它的组件。但大体思路就是这的。

良之才-小良
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989)
weixin_50464560的博客
09-08 3293
Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989) Shiro这个框架,我相信各位经常挖洞的师傅都不会陌生,因为这个框架有着臭名昭著的反序列化漏洞(CVE-2016-4437),攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 但是,今天我们要讲的是Shiro身份验证绕过漏洞,这个漏洞已经出来大半年了,只是之前一直觉得作用并不明显(这是因为自己太菜了),最近正好遇到一次,遂之记录一下(开学前的最后一篇,开学后估计没时间
Shiro-认证思路分析及认证流程实现
qq_36722039的博客
12-13 356
1、获取当前的Subject。调用SecurityUtils.getSubject(); 2、测试当前的用户是否已经被认证。即是否已经登录。调用Subject的isAuthenticated() 3、若没有被认证,则把用户名和密码封装为UsernamePasswordToken对象     1)创建一个表单页面     2)把请求提交到SpringMVC的Handler     3)获取用户名和密...
SpringBoot集成Shiro思路以及代码过程
封玉书的博客
04-18 6661
模型假设存在用户(User)、角色(Role)、权限(Permission)3中模型。依赖关系如下:用户分配角色,角色分配权限。用户不直接参与权限的分配。SpringBoot集成Shiro流程demo的代码架构如下:创建IO模型User存在:1、唯一ID 2、用户名 3、密码 4、拥有的Rolepublic class User { private Integer uid; pri...
Shiro权限管理】6.Shiro认证思路分析
程序猿之洞
10-30 2262
下面来说一下Shiro的认证。 如何来做Shiro的认证呢?首先回顾一下之前剖析的Shiro的HelloWorld程序中有关认证的部分代码: //获取当前的Subject Subject currentUser = SecurityUtils.getSubject(); //测试当前用户是否已经被认证(即是否已经登录) if (!currentUser.isAuthenticated()) {
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
shiroshiro-all-1.8.0.jar)
03-21
shiroshiro-all-1.8.0.jar)
Shiro权限管理
ForFuture
05-28 441
⼀、Shiro 为什么要⽤shiro: 1.项⽬中的密码是否可以明⽂存储? 2.是否任意访客,⽆论是否登录都可以访问任何功能? 3.项⽬中的各种功能操作,是否是所有⽤户都可以随意使⽤? 综上,当项⽬中的某些功能被使⽤时,需要进⾏安全校验,进⽽保证整个系统的运⾏秩序。 1.1 Shiro是什么 Apache Shiro 是 Java 的⼀个安全(权限)框架。 Shiro 可以轻松的完成:身份认证、授权、加密、会话管理等功能 Shiro 可以⾮常容易的开发出⾜够好的应⽤,其不仅可以⽤在JavaSE 环境,也可
Shiro完整教程, 附带各种配置
热门推荐
wanliangsoft的博客
01-18 4万+
1.1 简介:可以略过 Apache Shiro 是 Java  的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存 等。  下载:http://shiro.apache.org/ 对比Spring Security,可能...
30分钟学会如何使用Shiro
weixin_30426879的博客
07-22 1096
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
CNCERT:关于汽车数据处理4项安全要求检测情况的通报 (第一批)
最新发布
南七小僧的学海无涯
04-30 681
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
Linux服务器安全基础 - 查看入侵痕迹
eagle89的专栏
04-30 606
Linux服务器安全基础 - 查看入侵痕迹
企业计算机服务器中了rmallox勒索病毒怎么办?Rmallox勒索病毒解密流程工具
M99W1230的博客
04-26 499
在网络飞速发展的时代,企业离不开网络,网络为企业的生产运营提供了极大便利,加快了企业进步的步伐,依靠网络可以开展各项工作业务,通过网络数据整合,可以更方便企业办公。Rmallox勒索病毒属于mallox勒索家族,属于早期的勒索病毒,随着网络技术的不断发展,mallox勒索病毒做过多次升级调整,而rmallox勒索病毒是近期新升级的勒索病毒,具有较强的攻击与加密能力,一旦被攻击很难自行破解恢复,经过云天数据恢复中心对rmallox勒索病毒的解密处理,为大家整理了以下有关该勒索病毒的相关信息。
网络安全实训Day16
Yisitelz的博客
04-26 685
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
百度安全多篇议题入选Blackhat Asia以硬技术发现“芯”问题
Baidu_Secrity的博客
04-24 786
因此,跨缓存攻击的效率直接决定了安卓上众多基于堆栈的漏洞利用成功率。结合这些漏洞,议题依次分析了四种威胁模型中的典型漏洞案例,并介绍了Netlink相关漏洞的验证和利用方法,最后为厂商使用Netlink提供了最前沿的安全建议。百度安全是百度公司旗下以AI为核心打造的安全品牌,基于百度各业务线全技术栈的安全实践总结,在基础安全、数据安全、业务安全、车与IoT安全打造四大产品矩阵,面向行业和合作伙伴输出安全产品与行业一体化解决方案,在智能制造、智慧能源、智慧政务、智慧金融、智能汽车等领域已有丰富实践。
保序加密技术:保护数据有序性的安全方案
jiamisoft的博客
04-30 355
保序加密技术是一种特殊的加密方式,它允许对加密数据进行特定的有序操作,同时保持数据的加密状态。与传统的加密技术不同,OPE允许用户在不解密的情况下,对加密的数据进行范围搜索和比较,因为加密后的数据保持了原始数据的顺序特性。
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

良之才-小良

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值