Apache Shiro

已于 2022-07-06 13:31:45 修改
阅读量105 收藏
点赞数
分类专栏: shiro 文章标签: apache java
于 2022-07-06 10:57:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49382941/article/details/125622797
版权

Shiro简介

什么是Shiro?

官网:https://shiro.apache.org/index.html
Apache Shiro™是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。

功能

验证
支持跨一个或多个可插入数据源(LDAP、JDBC、Active Directory…

授权
执行基于角色或细粒度权限的访问控制,也使用插件…

密码学
使用最简单的 Cryptography API 保护数据,为您提供…

会话管理
在任何环境中使用会话,甚至在 Web 或 EJB 容器之外。容易地…

网络集成
使用可轻松处理特定 Web 的创新方法节省开发时间…

集成
API 为您提供了超越 Java 默认提供的功能和简单性…

核心对象

Subject:当前公户(用户)
Shiro SecurityManage:管理所有Subjects。管理Subject(管理所有用户)
Realm:获得你的安全数据(链接数据)

基础操作

https://shiro.apache.org/10-minute-tutorial.html

// 获得当前用户
Subject currentUser = SecurityUtils.getSubject();

//拿到session
Session session = currentUser.getSession();
session.setAttribute( "someKey", "aValue" );

//判断当前用户是否被认证
currentUser.isAuthenticated() 

// 获得当前用户
currentUser.getPrincipal()

// 当前用户角色
currentUser.hasRole( "schwartz" )

// 当前用户是否有权限
currentUser.isPermitted( "lightsaber:wield" ) 

// 注销
currentUser.logout();

springboot整合shiro

1.导入依赖

   <!-- shiro权限依赖 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <!-- shiro ehcache -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.4.0</version>
        </dependency>
        
        <!-- https://mvnrepository.com/artifact/org.thymeleaf/thymeleaf-spring5 -->
        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
            <version>3.0.11.RELEASE</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-java8time -->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-java8time -->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

2.编写重点类UserRealm

UserRealm.java

import com.fxr.shirodemo.entity.User;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;

public class UserRealm extends AuthorizingRealm {
    // 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了=>授权doGetAuthorizationInfo");

        // 给用户授予权限
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermission("user:add");

        // 拿到当前登录用对象
        Subject subject = SecurityUtils.getSubject();

        //拿到user对象
        User currentUser = (User) subject.getPrincipal();

        // 设置当前用户的权限
        info.addStringPermission(currentUser.getRole());

        return info;
    }

    // 认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        // 用户名,密码 数据中取
        String username = "root";
        String password = "123";
        String role = "user:add";
        User user = new User(username,password,role);

        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken)authenticationToken;

        // 用户名认证 抛出异常UnknownAccountException
        if (!usernamePasswordToken.getUsername().equals(username)){
            return null;
        }

        // 密码认证 shiro做
        return new SimpleAuthenticationInfo(user,password,"");
    }
}

3.编写配置类ShiroConfig

ShiroConfig.java

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    // 创建 realm对象,需要自定义:1
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

    // DefaultWebSecurityManager:2
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager dwsm =  new DefaultWebSecurityManager();
        dwsm.setRealm(userRealm);
        return dwsm;
    }


    // ShiroFilterFactoryBean:3
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean sffb = new ShiroFilterFactoryBean();
        sffb.setSecurityManager(defaultWebSecurityManager);

        /*** 添加shiro的内置过滤器
        *   anon 无需认证就可以访问
        *   authc 必须认证才能访问
        *   user 必须拥有记住我功能才能用
        *   perms 拥有对某个资源的权限才能访问
        *   role 拥有某个角色权限才能访问
        * */
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // user用户必须有add权限 401错误 正常会跳转到未授权
        filterChainDefinitionMap.put("/add","perms[user:add]");
//        filterChainDefinitionMap.put("/update","authc");
        filterChainDefinitionMap.put("/update","perms[user:update]");

        sffb.setFilterChainDefinitionMap(filterChainDefinitionMap);

        //  被拦截的url后跳转到的请求地址
        sffb.setLoginUrl("/toLogin");
        // 未授权页面
        sffb.setUnauthorizedUrl("/noauth");
        return sffb;
    }

}

4.编写页面

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>首页</h1>
<p th:text="${msg}"></p>

<a th:href="@{/add}">add</a> |
<a th:href="@{/update}">update</a>

</body>
</html>

login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>首页</h1>
<p th:text="${msg}"></p>

<a th:href="@{/add}">add</a> |
<a th:href="@{/update}">update</a>

</body>
</html>

add.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <h1>add</h1>
</body>
</html>

update.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <h1>add</h1>
</body>
</html>

5.编写控制层类Controller

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class MyController {

    @RequestMapping("/")
    public String toIndex(Model model){
        model.addAttribute("msg","hello,shiro");
        return "index";
    }

    @RequestMapping("/add")
    public String add(){
        return "/add";
    }

    @RequestMapping("/update")
    public String update(){
        return "/update";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }


    @RequestMapping("/login")
    public String Login(String username,String password,Model model){

        // 获取当前的用户
        Subject subject = SecurityUtils.getSubject();

        //封装用户的登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);

        // 执行登录方法,如果没有异常就不行
        try {
            subject.login(token);
            return "index";
        } catch (UnknownAccountException e) { //用户名不存在
            model.addAttribute("msg","用户名不存在");
            return "login";
        }catch (IncorrectCredentialsException e){ //密码不存在
            model.addAttribute("msg","密码错误");
            return "login";
        }

    }

    @RequestMapping("/noauth")
    public String unauthorized(){
        return "error";
    }
}
cherry有点甜·
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro 框架简介
weixin_53105361的博客
12-03 477
一、什么是ShiroApache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。二、Shiro的架构介绍首先,来了解一下Shiro的三个核心组件:Subject, SecurityManager 和 Realms. 如下图:Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Ac
Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
什么是 Apache Shiro
热门推荐
崔二旦
03-30 1万+
Apache Shiro 学习记录
apache shiro 反序列化漏洞解决方案_apache shiro反序列化解决方法
2401_84159966的博客
04-09 792
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
apache shiro漏洞复现
赵花花08042的博客
12-13 706
Shiro框架下,用户登陆成功后会生成一个经过加密的Cookie。
Apache Shiro 漏洞复现
来日可期的博客
10-10 891
Apache Shiro 1.2.4及以前版本中,Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。在代码中全局搜索 “setCipherKey(Base64.decode(” 关键字,或者"setCipherKey"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。利用Shiro工具进行链接。
Apache shiro 漏洞总结
星落的博客
08-01 4600
Apache shiro 漏洞总结 Apache shiro是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、密码和会话管理。
Apache Shiro系列漏洞利用以及实战总结
m0_67401228的博客
08-13 1810
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。...
Apache Shiro简单介绍
m0_67401134的博客
08-13 1389
Shiroapache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。
Apache Shiro 配置
allway2的博客
09-25 429
默认值为 Base64,因为 Base64 编码需要较少的实际文本来表示值 - 它具有更大的编码字母表,这意味着您的标记更短(文本配置更好一点)。如果您不希望 [users] 部分密码为纯文本,您可以使用您喜欢的散列算法(MD5、Sha1、Sha256 等)加密它们,但您喜欢并使用生成的字符串作为密码值。如果您的应用程序不在内存受限的环境中运行,您会发现基于文本的配置更易于使用和阅读。令人惊讶的是,仅仅 3 行代码之后,您现在就拥有了一个适用于许多应用程序的功能齐全的 Shiro 环境。
Apache Shiro教程
12-30
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等功能。这个教程将帮助你深入理解和有效地使用Shiro框架。在本文中,我们将详细探讨Shiro的核心概念、主要功能和常见用法...
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache Shiro是一个全面的Java安全框架,用于处理应用程序的安全需求,包括身份验证、授权、密码管理和会话管理。它的核心功能之一是“RememberMe”服务,该服务允许用户在关闭浏览器后仍然保持登录状态,无需在下次...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
shiro-site:Apache Shiro网站
04-28
Apache Shiro网站概述Apache Shiro网站是静态内容网站,可以从访问。 网站内容被创作为Markdown和HTML文件。 这些文件由工具扫描,该工具根据需要将页面模板应用于每个文件的内容,并将呈现的静态.html文件输出到...
Apache shiro1.10.0依赖
10-25
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。Shiro 1.10.0 版本是该框架的一个稳定版本,包含了自上个版本以来的一些改进和新特性。...
Apache Shiro 使用手册(三) Shiro授权
09-15
Apache Shiro 是一款强大的安全管理框架,它提供了身份验证(Authentication)、授权(Authorization)和会话管理(Session Management)等功能。本篇文章将详细讲解 Shiro 的授权机制,即如何控制用户在应用程序中...
SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统
04-28
采用SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统(附带权限管理),是搭建博客、网站的不二之选。 技术栈:Spring Boot、Apache Shiro、MyBatis-Plus、Alibaba Druid、Redis、MySQL、...
apache shiro
最新发布
08-02
Apache Shiro是一个强大的开源身份与访问管理(IAM)库,用于简化Web应用的安全性。要开始使用Shiro,首先需要确保你的Java环境支持1.5及以上版本。推荐使用Maven作为构建工具,不过也可以选择其他方式集成Shiro Jars...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值