Apache Shiro 简介

最新推荐文章于 2024-04-21 23:14:09 发布
最新推荐文章于 2024-04-21 23:14:09 发布
阅读量219 收藏
点赞数
分类专栏: java 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46157986/article/details/107134183
版权

文章目录

1. 摘要

在这里插入图片描述

2. shiro 组件及介绍

  1. Authentication: 身份认证/登陆, 验证用户是否具有相应的身份;

  2. Authorization:授权,即权限认证,验证某个已经认证的用户是否具有某个权限。判断用户能做哪些事情,常见的如:验证用户是否拥有某个角色,或者细粒度的验证某个用户对某个资源是否具有某个具有某个权限。

  3. Session Manager: 会话管理,即用户登录就是一次回话,在没有退出之前,它的所有信息在会话中。会话可以是普通的JavaSE程序也可以是Web程序。

  4. Cryptography :加密,保护数据的安全性,如加密保存到数据库,而不是明文存储。

  5. Web Support : Web支持,可以非常容易的集成到web环境。

  6. Caching:缓存,比如用户登录后,其用户信息、拥有角色权限不必每次去查,这样可以提高效率。

  7. Concurrency: shiro 支持多线程应用的并发验证。

  8. Testing : 提供测试支持。

  9. Run As : 允许一个用户假装另一个用户(如果是被允许的)的身份进行访问。

  10. Remember Me : 记住我,这是一个常见的功能,即一次登录后,下次再来的话就不用登录的。

3. shiro架构的三个主要概念

  1. Subject : 访问系统的用户,主体是用户,程序等,进行认证的都是主体。
    • Subject 是一个安全术语,其基本意思是“当前的操作用户”。它是一个抽象概念,可以是人,也可以是第三方进程或其他类似的事物,如爬虫,robot等。
    • 在程序的任意位置: Subject currentUser = SecurityUtils.getSubject();获取shiro
    • 一旦获得subject,就可以立即获取shiro的权限控制,如登陆,登出,访问会话,执行授权检查等。
  2. SecurityManager : 安全管理器,它是shiro功能实现的核心,负责与后边介绍的其他组件(认证器,授权器,缓存控制器)进行交互,实现subject委托的各种功能。有点类似于springMVC中的DispatcherServlet。
  3. Realms:Reams充当了shiro与应用安全数据间的“桥梁”或“连接器”。可以把Reams看成DataSource,即安全数据源。执行认证(登陆)和授权(访问控制)时,shiro会从应用配置的Realm中查找相关的比对数据。以确认用户是否合法,操作是否合理。

4. 从架构的角度来看shiro

  1. subject: 主体,可以看到主体可以是任何能够与应用交互的“用户”。
  2. SecurityManager: 相当于SpringMVC中的DispatcherServlet,是shiro的心脏。所有具体的交互都是通过SecurityManager来进行控制的。它管理所有的subject、且负责进行认证授权、及会话、缓存的管理。
  3. Authenticator: 认证器,负责主体认证。这是一个扩展点,如果用户觉得shiro默认的不好,可以自定义实现。其需要指定认证策略(Authentication Strategy),也就是说在什么情况下才算是用户认证通过了。
  4. Authorizer: 授权器,或者访问控制器。用来决定主体是否有权进行响应的操作,控制着用户具体能访问到哪些功能。
  5. Realm:可以有一个或多个Realm,可以认为是安全实体的数据源,用于获取安全实体。可以是jdbc实现也可以是LDAP实现,或者内存实现等等,由用户提供。注意:shiro不知道你的用户/权限存储在哪及以何种方式存储,所以我们一般在应用中都需要实现自己的Realm。
  6. SessionManager: 如果写过servlet都知道session的概念,session需要有人去管理它的生命周期,这个组件就是Sessionmanager,而shiro并不仅仅可以用在web环境下,也可以用在普通的javaSE环境和EJB环境下;因此,shiro抽象了一个自己的session来管理主体和应用之间数据的交互。可以实现分布式会话管理。
  7. SessionDAO: DAO就是数据访问对象,用于会话的CURD,比如想把session保存到数据库,那么就需要实现自己的SessionDAO,通过jdbc写到数据库。也可以存储到redis中。另外sessionDAO可以使用cache进行缓存,以提高性能。
  8. CacheManager : 缓存控制器,用来管理用户、角色、权限等对象的缓存。这些数据基本上很少会被改变,放到缓存中可以提高访问性能。
  9. Cryptography: 密码模块,shiro提供了一些常见的加密/解密组件。

5. shiro认证过程

在这里插入图片描述

  1. 调用subject.login方法进行登录,器会自动委托给SecurityManager.login方法进行登录。
  2. SecurityManager通过Authenticator(认证器)进行认证。
  3. Authenticator 的实现ModularRealmAuthenticator调用realm从ini配置文件取真实账户和密码,这里使用的是IniRealm(shiro自带,相当于数据源)。
  4. IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModularRealmAuthenticator返回null,如果找到匹配密码,匹配密码成功则认证通过。
  5. 最后调用调用subject.logout进行注销操作。
theONLY24
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro介绍
FEEL的博客
05-02 217
简介 Apache Shiro是Java的一个安全(权限)框架。Shiro可以非常容易的开发出足够好的应用,其不仅可以应用在JavaSE环境,也可以应用在JavaEE环境。 Shiro可以完成的功能:认证、授权、加密、会话管理、与Web集成、缓存等等。如下图: 其中: Authentication: 身份认证、登录,验证用户是不是拥有相应的身份 **Authorization:**授权,即权限验...
Apache Shiro 框架简介
weixin_53105361的博客
12-03 464
一、什么是ShiroApache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。二、Shiro的架构介绍首先,来了解一下Shiro的三个核心组件:Subject, SecurityManager 和 Realms. 如下图:Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Ac
什么是 Apache Shiro
web15085599741的博客
03-29 5699
什么是Apache Shiro Apache Shiro 是一种功能强大且易于使用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能,可用于保护任何应用程序的安全。 如: 命令行应用程序、移动应用程序、Web应用程序、企业级应用程序。从小到大到很大,Apache Shiro都会给你提供安全帮助。 Shiro 为你的应用程序提供如下API,帮助你更好的管理应用程序的安全。 身份验证 证明用户的身份。也就是所谓的用户的 “登录” 功能,验证访问的用户是否有权利登录系统或者访问后台接口。
Apache Shiro 安全框架
weixin_51715424的博客
10-24 1156
Apache Shiro 框架
Shiro安全框架】核心概念、基本配置、整合Web项目
最新发布
m0_74187147的博客
04-21 1122
问题1:什么是shiro?它有什么用?​ 答:shiroapache公司推出的一款安全框架,主要在项目中进行权限控制。 shiro中的几个核心概念: 1、SecurityManager:安全管理器 作用:用于执行认证(登录)、授权(获得用户的访问权限) 2、Subject:主体 作用:它代表当前用户 3、Realm:领域对象 作用:它用于封装认证、授权的方法
Apache Shiro流量特征及漏洞利用
qq_53218512的博客
06-02 1242
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权和会话管理等功能。Shiro框架直观、易用,同时也能提供更健壮的安全性。
Apache Shiro(一)
qq_42847719的博客
01-01 1190
如同上面提到的,Realm 是 shiro 和你的应用程序安全数据之间的“桥”或“连接”,当实际要与安全相关的数据进行交互如用户执行身份认证(登录)和授权验证(访问控制)时,shiro 从程序配置的一个或多个Realm 中查找这些数据,你需要配置多少个 Realm 便可配置多少个 Realm(通常一个数据源一个),shiro 将会在认证和授权中协调它们。是不是需要所有方面的验证都成功?简单就是不同的角色用户只能访问指定的信息 ,我们需要知道用户有那些角色,用户有那些权限 ,包结构和之前的一致3-3。
Apache Shiro教程
12-30
Apache Shiro 是一个框架,可用于身份验证和授权。Apache Shiro的教程(PDF),相关jar包,源码等。
Apache shiro 1.13.0源码
01-17
Apache shiro 1.13.0源码 https://shiro.apache.org/
Apache shiro1.10.0依赖
10-25
Apache shiro1.10.0依赖
Apache Shiro教程(1)
醉代码的博客
01-09 522
*** 配置一个 SecurityManager安全管理器* @return} /*** 配置过滤器* 例如 什么可以进行访问,什么不可以进行访问等等* @return//配置用户登陆请求,如果需要进行登陆时, // shiro就会进入这个请求进入登陆页面 shiroFilterFactoryBean . setSecurityManager(securityManager);
Apache Shiro,这一篇就够了
大河之犬的博客
12-18 778
点击后会跳转到一个login.jsp页面,这个不是我们想要的效果,我们需要自己定义一个login页面!然后在 shiroFilterFactoryBean 中配置一个未授权的请求页面!我们再次启动测试一下,访问add,发现以下错误!在UserRealm 中添加授权的逻辑,增加授权的字符串!改造UserRealm,连接到数据库进行真实的操作!再次测试,成功的跳转到了我们指定的Login页面!编写实体类:(和数据库中的表字段要对应哦)使用shiro的过滤器来拦截请求即可!在前端修改对应的信息输出或者请求!
Shiro权限控制+整合shiro
热门推荐
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
1.Apache Shiro(认证,授权)基本介绍
相互学习 共同进步
06-15 2262
Apache Shiro(认证,授权)基本介绍 什么是Apache ShiroApache Shiro是一个功能强大且灵活的开源安全框架,可以干净地处理身份验证、授权、企业会话管理和加密,提供了一种直观,全面的身份验证、授权、加密和会话管理解决方案 Apache Shiro的首要目标是易于使用、理解。安全有时可能非常复杂,甚至会很痛苦,但这不是必须的。框架应尽可能掩盖复杂性,并公开简洁直观的API,以简化开发人员确保其应用程序安全的工作 官网:http://shiro.apache.org/ 同类的比
Apache shiro
08-13
Apache Shiro 是一个功能强大且易于使用的 Java 安全框架。它提供了身份验证、授权、加密和会话管理等常见的安全功能,可以帮助开发人员快速构建安全的应用程序。 Shiro 的核心概念包括 Subject、Realm、Session 和 SecurityManager。Subject 是指当前与应用程序交互的用户,可以进行身份验证和授权操作。Realm 是用于获取用户的安全信息和执行认证和授权的组件。Session 是用户会话的管理器,可以存储用户的状态信息。SecurityManager 是 Shiro 的核心组件,负责协调 Subject、Realm 和 Session 等对象的交互。 使用 Apache Shiro,开发人员可以通过简单的配置来实现身份验证和授权。Shiro 提供了一套易于理解和使用的 API,开发人员可以根据自己的需求进行定制。它还支持很多常见的安全特性,如密码哈希、角色和权限控制、RememberMe 功能等。 总的来说,Apache Shiro 是一个灵活且功能丰富的安全框架,可以帮助开发人员轻松地实现应用程序的安全需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值