【springboot::】集成shiro 笔记+demo

最新推荐文章于 2023-03-29 00:00:00 发布
最新推荐文章于 2023-03-29 00:00:00 发布
阅读量239 收藏
点赞数
分类专栏: spring/springBoot框架整合 文章标签: shiro springboot集成shiro demo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lining_s/article/details/85957083
版权

一、
1.Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。
2.SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。然而,一旦 SecurityManager协调完毕,SecurityManager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作.
3.Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如LDAP数据源的JndiLdapRealm,JDBC数据源的JdbcRealm,ini文件数据源的IniRealm,properties文件数据源的PropertiesRealm,等等。我们也可以插入自己的 Realm实现来代表自定义的数据源。 像其他组件一样,Realms也是由SecurityManager控制.

二、

  • Subject(org.apache.shiro.subject.Subject):
    简称用户

  • SecurityManager(org.apache.shiro.mgt.SecurityManager)
    如上所述,SecurityManager是shiro的核心,协调shiro的各个组件

  • Authenticator(org.apache.shiro.authc.Authenticator): Authentication Strategy
    (org.apache.shiro.authc.pam.AuthenticationStrategy)
    登录控制
    ①、如果存在多个realm,则接口AuthenticationStrategy会确定什么样算是登录成功(例如,如果一个Realm成功,而其他的均失败,是否登录成功?。

    答:①SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm进行验证,验证规则通过AuthenticationStrategy接口指定,默认提供的实现:
    ②.FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略;
    ③.AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证成功的认证信息;
    ④.AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了。

  • Authorizer(org.apache.shiro.authz.Authorizer) :
    决定subject能拥有什么样角色或者权限

  • SessionManager(org.apache.shiro.session.SessionManager) :
    创建和管理用户session。通过设置这个管理器,shiro可以在任何环境下使用session

  • CacheManager(org.apahce.shiro.cache.CacheManager) :
    缓存管理器,可以减少不必要的后台访问。提高应用效率,增加用户体验。

  • Cryptography(org.apache.shiro.crypto.*) :
    Shiro的api大幅度简化java api中繁琐的密码加密。

  • Realms(org.apache.shiro.realm.Realm) :
    程序与安全数据的桥梁

  • Spring security 与apache shiro 差别:
    shiro配置更加容易理解,容易上手;security配置相对比较难懂。
    在spring的环境下,security整合性更好。Shiro对很多其他的框架兼容性更好,号称是无缝集成。
    shiro 不仅仅可以使用在web中,它可以工作在任何应用环境中。
    在集群会话时Shiro最重要的一个好处或许就是它的会话是独立于容器的。
    Shiro提供的密码加密使用起来非常方便
    三、

  • shiro 的 认证过程

 public class DemoApplicationTests {
       
     SimpleAccountRealm accountRealm = new SimpleAccountRealm();
        
        	@Before
        	public void addUser(){
        		accountRealm.addAccount("nigl","123456");
        	}
        	
        	@Test
        	public void testAuthticator(){
        		//构建环境
        		DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        		defaultSecurityManager.setRealm(accountRealm);
        		//提交主体认证
        		SecurityUtils.setSecurityManager(defaultSecurityManager);
        		Subject subject =SecurityUtils.getSubject();
        
        		UsernamePasswordToken token = new UsernamePasswordToken("nigl","123456");
        		//登录
        		subject.login(token);
        		System.out.println("isAuthenticatedss:"+subject.isAuthenticated());
        		//退出
        		subject.logout();
        		System.out.println("isAuthenticated:"+subject.isAuthenticated());
        
        	    }
        	}
  • shiro 授权过程
    首先构建环境,提交主体授权–> securityManager授权–>authorizer授权(授权器)–>Realm获取角色权限数据
 public class DemoApplicationTests {
    
    	SimpleAccountRealm accountRealm = new SimpleAccountRealm();
    
    	@Before
    	public void addUser(){
    	//添加账户 和 角色权限
    		accountRealm.addAccount("nigl","123456");
    	}
    	
    	@Test
    	public void testAuthticator(){
    		//构建环境
    		DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    		defaultSecurityManager.setRealm(accountRealm);
    		//提交主体认证
    		SecurityUtils.setSecurityManager(defaultSecurityManager);
    		Subject subject =SecurityUtils.getSubject();
    
    		UsernamePasswordToken token = new UsernamePasswordToken("nigl","123456","admin","user");
    		//登录
    		subject.login(token);
    		System.out.println("isAuthenticatedss:"+subject.isAuthenticated());
    		try {
    			subject.checkRole("admin","user");
    		}catch (Exception e){
    			e.printStackTrace();
    			//会提示:org.apache.shiro.authz.UnauthorizedException: Subject does not have role [admin]
    		}
    
    	    }
    
    	}
  • shiro 的Realm,内置的Realm 有 IniRealm 和 JdbcRealm;
public class IniRealmTest {

@Test
public void testAuthticator(){
    //构建环境
    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

    IniRealm iniRealm = new IniRealm("classpath:user.ini");
    defaultSecurityManager.setRealm(iniRealm);
    //提交主体认证
    SecurityUtils.setSecurityManager(defaultSecurityManager);
    Subject subject =SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("nigl","123456");
    //登录
    subject.login(token);
    System.out.println("isAuthenticatedss:"+subject.isAuthenticated());
    try {
        subject.checkRoles("admin");
        subject.checkPermissions("user:delete");

    }catch (Exception e){
        e.printStackTrace();
        如果无权限: Subject does not have permission [user:delete1]
	    }
	}
}

user.ini 的配置文件内容

    [users]
	nigl=123456,admin
	[roles]
	admin=user:delete,user:add

四、

  • shiro 过滤器
    内置的有
    认证相关:anon(不需要认证),authc(需要认证后才可以访问),authBasic(http 认证),logout(退出),user(当前存在用户才可以访问)
    授权相关:perms[],roles[] (指定需要授权的角色),ssl,port(授权的端口)
    shiro 自定义过滤器
    五、
  • 会话管理 -->shiro Session 管理
    用户登录之后,3分钟之内可自动登录,之后需要重新登陆,下面是设置session的过期时间代码
@RequestMapping("/loginUser")
    public String loginUser(@RequestParam("username") String username,
                            @RequestParam("password") String password) {

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);


        Subject subject = SecurityUtils.getSubject();
        //import org.apache.shiro.session.Session;
        Session session=subject.getSession();
        //设置session 过期时间 为 180000ms == 3 分钟
        session.setTimeout(180000);
        try {
            System.out.println("获取到信息,开始验证!!");
            subject.login(token);//登陆成功的话,放到session中
            User user = (User) subject.getPrincipal();
            session.setAttribute("user", user);
            return "redirect:index";
        } catch (Exception e) {
            e.printStackTrace();
            return "redirect:login";
        }
    }

SessionManager管理 以及 sessionDao
redis 实现共享==> 重写其增删改查等一些方法
demo 地址:https://download.csdn.net/download/lining_s/10899671
源码:https://github.com/ningL32/springbootShiro

HelloKittyn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器文档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
springboot结合shirodemo
龙泉诗
03-12 152
项目结构 如图所示,项目一共分为6层,分别是: common公共层:主要是放置一些公共的模块 controller层:数据的表示层,俗称vo dao层: 用于操作数据库,增删改查 Exception异常层:定义一些全局的异常,方便维护 model层: 数据库表的映射 shiro层:主要是配置shiro的授权和认证 认证过程 // LoginController.java @PostMappi...
springboot集成shiro demo
老照片
04-13 730
@TOC shiro architecture 摘自apache官网:https://shiro.apache.org/architecture.html Subject (org.apache.shiro.subject.Subject) A security-specific ‘view’ of the entity (user, 3rd-party service, cron job, etc) currently interacting with the software. Security
SpringBoot+shirodemo
Vamps
11-25 226
前言 SpringBoot整合shiro,需要写一个配置类和一个Realm即可,这里只讲实现功能,不讲原理。 1.引入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId...
shiro+springboot使用demo小案例
qq_38316726的博客
05-10 2526
shiro+springboot使用 1、什么是shiro shiro一款java安全框架,提供认证、授权、会话管理、加密等功能。 2、核心组件 subject:表示当前操作用户(包含用户、第三方进程、后台账户);代表了当前用户的安全操作 SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过该组件来管理内部组件实例,并通过它来提供安全管理...
SpringBoot整合Shiro学习DEMO
qq_43157085的博客
07-06 151
SpringBoot整合Shiro学习DEMO ​ 什么是ShiroShiro是一款主流的Java安全框架,它不依赖任何容器,可以运行在JavaSE还有JavaEE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。 1、Shiro主要的组件 ​ 在Shiro中 有角色(role)、权限(perms) 会给角色赋予权限,在给用户赋予角色 1、UsernamePasswordToken:Shiro用来封装用户的登录信息,使用用户的登录信息来创建Token。 2、SecurityM
SpringMyBatisShiro:SpringBoot + MyBatis + Shiro + Redis + MySQL
04-30
SpringBoot整合A.CTable 本项目配合Angular 2+ ,实现SPA(single page applications)的CROS认证控制 启动环境 安装mysql 5.7.x community server cd C:\software\mysql-5.7.22-winx64\ mysqld --initialize mysqld ...
springboot_mybatisplus:springboot + shiro + web + jsp
05-15
项目功能的具体实现,本人个人博客中都有学习记录。本人博客每周更新学习内容。 博客地址 : stable_version分支是可以保证...5.shiro的整合,详见springBoot+shiro学习之系列博文。实现的功能如下: Shiro 初始权限
springboot:spring boot+shiro+redis研究性项目+图形验证码
05-13
Shiro 需要引入的依赖 <groupId>org.apache.shiro <artifactId>shiro-core <version>1.4.0 <groupId>org.apache.shiro <artifactId>shiro-spring <version>1.4.0 创建ShiroRealm类并...
基于 SpringBoot + Mybatis Plus + Shiro + mysql + redis构建的智慧云智能教育平台
04-20
基于 SpringBoot + Mybatis Plus + Shiro + mysql + redis构建的智慧云智能教育平台。架构上使用完全前后端分离。 支持多种题型:选择题、多选题、判断题、填空题、综合题以及数学公式。支持在线考试,教师在线批改...
springboot+shiro代码demo
09-12
资源分数不能设置为0,没有分的可以直接进我博客看代码。新手程序员根据网上学习写的小demo,我都能看懂基本上所有人都差不多能看懂吧。对应博客https://blog.csdn.net/qq_32786139/article/details/82658197也可直接进入俺的个人博客进行查看。
springboot+jpa+shiro基础权限管理系统Demo
03-16
springboot+jap+shiro 实现了用户、 角色、模块三个表的权限管理。增加对druid的数据监控,swagger ui的嵌入, 第一次优先把resources下的test数据库导入, 不然不能登录看到效果。 直接运行Application类即可启动。
springboot+shiro最简单的demo
01-17
springboot+shiro+mybatis+thymeleaf整合的最简单的demo,并且注释齐全
springboot 完美整合shiro脚手架demo
02-20
本项目采用 springboot mybatis 整合shiro脚手架demo,非常适合零基础学习shiro框架的人学习,入门级demo简单易懂
springboot demo-shiro
01-17
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>(); // 配置不会被拦截的链接 顺序判断 filterChainDefinitionMap.put("/static/**", "anon"); filterChainDefinitionMap.put("/public/**", "anon"); filterChainDefinitionMap.put("/ajaxLogin", "anon"); filterChainDefinitionMap.put("/login", "anon");
SpringBoot+Shiro框架整合实现前后端分离的权限管理基础Demo
蚂蚁舞
03-29 2307
记录一下使用SpringBoot集成Shiro框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro,前端使用vue+elementUI,达到前后端使用token来进行交互的应用,这种方式通常叫做无状态,后端只需要使用Shiro框架根据前端传来的token信息授权访问相应资源。
springboot+shiro(学习demo的搭建)
萝卜坑
07-22 585
springboot+shiro(java安全框架学习使用) 1、认识Shiro Apache Shiro提供了一个强大而灵活的安全框架,可以为任何应用提供安全保障。用于认证和访问授权:满足对用户、角色、权限(操作权限)、资源(url),即用户分配角色,角色定义权限,访问授权时支持角色或者权限,并且支持多级的权限定义。 Shiro主要有三个核心组件:Subject、SecurityManager、...
SpringBoot整合shiro——简单的demo
Lifetime的博客
08-10 350
第一步:导入依赖 <!-- 导入shiro整合spring的包 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency> <!-- thyme
采用技术为: 后端:Springboot+mybatis+shiro+druid+mysql+ecache 前端:html+layui+css+js+JQuery的好处
最新发布
06-08
采用技术为后端:Springboot+mybatis+shiro+druid+mysql+ecache,前端:html+layui+css+js+JQuery,可以带来以下好处: 1. Springboot框架可以极大地简化开发流程,提高开发效率;Mybatis提供了强大的ORM功能,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值