关于Shiro身份认证与授权的一知半解

最新推荐文章于 2024-03-28 09:31:04 发布
最新推荐文章于 2024-03-28 09:31:04 发布
阅读量469 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liujianwd/article/details/77479196
版权

Shiro框架的整体结构

Authentication:身份认证/登录,验证用户是不是拥有相应的身份;

Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web Support:Web支持,可以非常容易的集成到Web环境;



Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

Testing:提供测试支持;

Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

首先,我们从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图:

 

可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

 

也就是说对于我们而言,最简单的一个Shiro应用:

1、应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManager;

2、我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。


 身份认证流程

流程如下:

1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;

2SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;

3Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;

4Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;

5Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

授权流程


流程如下:

1、首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;

2、Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;

3、在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;

4、Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。

 

ModularRealmAuthorizer进行多Realm匹配流程:

1、首先检查相应的Realm是否实现了实现了Authorizer;

2、如果实现了Authorizer,那么接着调用其相应的isPermitted*/hasRole*接口进行匹配;

3、如果有一个Realm匹配那么将返回true,否则返回false。


Realm

可以自定义多个Realm,如下为Realm的一个示例,Realm用于验证subject是否有相应的身份及权限,返回AutorizationInfo和AuthenticationInfo 

public class MyShiroRealm extends AuthorizingRealm {
	@Autowired
	private SysUserService sysUserService;
	@Autowired
	private SysRoleService sysRoleService;

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		System.out.println("权限认证方法:MyShiroRealm.doGetAuthenticationInfo()");
		SysUser sysUser = (SysUser) SecurityUtils.getSubject().getPrincipal();
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		// 根据角色信息,放入到Authorization里。
		Set<String> roleSet = new HashSet<String>();
		roleSet.add(sysUser.getSysRole().getName());
		info.setRoles(roleSet);
		// 根据角色ID查询权限(permission),放入到Authorization里。
		Set<SysPermission> sysPermissions = sysRoleService.getSysPermissionsBySysRoleId(sysUser.getSysRole().getId());
		
		Set<String> permissionSet = new HashSet<String>();
		for (SysPermission sysPermission : sysPermissions) {
			permissionSet.add(sysPermission.getName());
		}
		info.setStringPermissions(permissionSet);
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken uptoken = (UsernamePasswordToken) token;
		SysUser sysUser = null;
		// 从数据库获取对应用户名密码的用户
		List<SysUser> sysUserList = sysUserService.querySysUserByNameAndPwd(uptoken.getUsername(),
				String.valueOf(uptoken.getPassword()));
		if (sysUserList.size() != 0) {
			sysUser = sysUserList.get(0);
		}
		if (null == sysUser) {
			throw new AccountException("帐号或密码不正确!");
		}
		return new SimpleAuthenticationInfo(sysUser, sysUser.getPassword(), getName());
	}

}
与SpringMVC集成后采用注解编程 

        @RequiresAuthentication
	@RequestMapping("/addSysUser")
	@RequiresPermissions(value = { "系统用户:新增"} )
	public Map<String, Object> addSysUser(@RequestParam String username, @RequestParam String password,
			@RequestParam String email,
			@RequestParam Long roleId) throws BussinessException {
		// TODO by liusj check param
		if (StringUtils.isEmpty(username)) {

			throw new ParamCheckException(CodeConstant.P1001);
		}
		sysUserService.addSysUser(username, password, email,roleId);
		return sucess();
	}

上面的方法通过注解标定该方法需要登陆后并且有相应的权限才能操作。




梅溪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro安全框架——【快速入门、登录拦截、用户认证、请求授权
2401_83329718的博客
04-17 416
由于文案过于长,在此就不一一介绍了,这份Java后端架构进阶笔记内容包括:Java集合,JVM、Java并发、微服务、SpringNetty与 RPC 、网络、日志 、Zookeeper 、Kafka 、RabbitMQ 、Hbase 、MongoDB、Cassandra 、Java基础、负载均衡、数据库、一致性算法、Java算法、数据结构、分布式缓存等等知识详解。本知识体系适合于所有Java程序员学习,关于以上目录中的知识点都有详细的讲解及介绍,掌握该知识点的所有内容对你会有一个质的提升,
shiro获取当前登录用户
pyd1040201698的博客
10-24 5897
第一种 SysUser sysUser = (SysUser) SecurityUtils.getSubject().getPrincipal(); 第二种 SysUser user = ShiroUtils.getSysUser();
基于javaweb+springboot的学生学科竞赛管理管理系统设计和实现(java+springboot+ssm+maven)
m0_68414353的博客
04-22 767
基于javaweb+springboot的学生学科竞赛管理管理系统设计和实现(java+springboot+ssm+maven) 主要技术、spring、 springmvc、 springboot、 mybatis 、 jquery 、 layUI、md5 、bootstarp.js tomcat、、拦截器等项目 主要功能:登录、用户、菜单管理、角色管理、权限管理、立项申请、报名、结、经费管理、审核、统计等 用户登录:输入账号密码和验证码登录登录、登陆后根据用户权限显示不同菜单、角色灵活控制。
探索 SpringBoot-Shiro:一体化的身份认证授权解决方案
最新发布
gitblog_00059的博客
03-28 314
探索 SpringBoot-Shiro:一体化的身份认证授权解决方案 项目地址:https://gitcode.com/zhangyd-c/springboot-shiro 在开发 web 应用程序时,安全问题始终是不可忽视的重点。Spring Boot 和 Apache Shiro 是两个强大的框架,前者简化了 Java 应用的启动和配置,后者则专注于身份验证和授权。现在,让我们一起深入了解一...
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
Shiro 身份验证、授权、密码和会话管理
05-07
使用Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序
Shiro身份认证授权的基本应用
06-26
Shiro身份认证授权的基本应用
shiro身份验证、授权
04-22
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理.本资源用于简单的登录验证及授权功能,有配置文件、先关jar包及工具类
spring+shiro实现身份认证授权
09-07
spring+shiro实现身份认证授权,拿过去就可以跑,bb+123456登陆,也可用PasswordHelper类自己改账号及密码 spring+shiro实现身份认证授权,拿过去就可以跑,bb+123456登陆,也可用PasswordHelper类自己改账号及密码
Springboot shiro认证授权实现原理及实例
08-19
Shiro 的认证机制主要通过 Realm 来实现,Realm 是一个身份验证和授权的接口。Spring Boot 中,我们可以使用 Shiro 的 Realm 来实现自定义的认证逻辑。在上面的示例代码中,我们定义了一个 LoginRealm 类,继承自 ...
shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
Shiro的认证与授权
编程小白养成手记
08-12 479
shiro实战教程 一、权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源,用户首先经过身份认证通过后,如果该用户有访问这个资源的权限才可以继续访问。 1.2用户身份认证 概念 所谓的身份认真就是判断一个用户是否是合法用户的过程。最常见的就是通过用户输入用户名和密码来校验,看
菜鸟的shiro学习总结
最强菜鸟
09-03 819
菜鸟的shiro学习总结说明一、入门系列(1)单机应用下是shiro 说明 更新时间:2020/8/22 18:28,更新了缓存相关内容 本文主要对shiro的学习总结,本文会持续更新,不断地扩充 本文仅为记录学习轨迹,如有侵权,联系删除 一、入门系列 (1)单机应用下是shiro .........
Shiro认证流程和授权流程
Emma_Joans的博客
10-12 1万+
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals
java安全框架Apache Shiro 简介
12-05 415
Apache Shiro 是一个框架,可用于身份验证和授权。本文提供了几个示例用来展示如何在 Java™ 应用程序中使用 Shiro 并给出了如何在一个 Grails web 应用程序中使用它的概述。为了从本文中最大限度地受益,您应该习惯于创建 Java 应用程序并安装了如下的几个组件: Java 1.6 JDK Grails(用来运行这些 web 应用程序示例) 常用缩略词
shiro授权和认证(一)
weixin_46403305的博客
10-28 484
shiro是什么 shiro一个授权和认证的这样一个框架 简单的给你说、就是以前咋们认证和授权的所有代码、shiro都给咋们写好了、而且封装好了、我们只需要按照这个框架提供的API来简单的集成到咋们的项目中就可以了 1、shiro能干什么 认证、授权、Cache的管理、Session的管理、rememberMe功能的实现、登陆、退出… 2、shiro的整体架构是什么 3、shiro的第一个helloworld程序 3.1、导包 <!--导入shiro的包--> <de
采用shiro实现登录认证与权限授权管理
水中加点糖
06-24 3万+
Shiro 是Shiro 是一个 Apache 下的一开源项目项目,旨在简化身份验证和授权。 本文中记录的是一次使用shiro实现登录认证与权限授权的过程。 本文中主要用的技术有: spring,springMVC,maven,shiroshiro的配置,通过maven加入shiro相关jar包 org.apache.shiro shiro-c
shiro实现身份验证_微服务中的身份验证和授权如何实现
weixin_26711867的博客
10-13 1439
shiro实现身份验证When moving to microservices, you will come to the conclusion that securing the microservices needs to be tackled in a different way compared to a monolithic application.转向微服务时,您将得出结论,与单片应用...
springboot+shiro,实现身份认证授权认证系统的应用背景知识文档
02-01
Shiro 是一个功能强大的开源安全框架,它提供了身份认证授权访问控制和会话管理等功能。 身份认证授权认证是现代应用程序中不可或缺的一部分。身份认证是确认用户的身份,确保用户有权访问系统内的资源。而授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值