万字讲述一天学完shiro安全框架

已于 2022-03-23 21:55:14 修改
阅读量336 收藏 1
点赞数 2
分类专栏: Spring 文章标签: spring java 后端 shiro
于 2022-03-23 21:53:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50210478/article/details/123697018
版权

代码地址

仓库地址

简单使用

概述

便捷并轻量级的安全框架。

主要功能包括 认证和授权,加密和会话。

shiro架构

  • subject 主体代表用户
  • security manager 安全管理
  • authenticator 认证
  • authorizer 授权
  • Session Manage 的管理
  • Cache Manage 管理

ini文件

文件格式
  • main
  • users 定义用户名密码和角色
  • roles 定义角色具有的权限
  • urls 定义控制器的路径的过滤器
例子
[main] 后续会讲

[users]
zs = role1,role2
[roles]
role1 = user:insert,select
role2 = select
[urls]
/login=anno

项目部署

环境配置

jdk8+,maven3.0.3+

依赖包
<!--        shiro核心-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.2</version>
        </dependency>
<!--        需要日志-->
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>

认证流程

登录
public class QuickStartApp {
    public static void main(String[] args) {
        //解析ini
        IniSecurityManagerFactory factory =
                new IniSecurityManagerFactory("classpath:shiro.ini");
//        获取SecurityManage实例
        SecurityManager securityManager = factory.getInstance();
//        securityManager放入SecurityUtils工具类
        SecurityUtils.setSecurityManager(securityManager);
//        工具类中取到主体对象
        Subject subject = SecurityUtils.getSubject();
//        为主体对象赋用户
        UsernamePasswordToken token = new UsernamePasswordToken("zs","123");
//        登录
        subject.login(token);
   }
异常信息

注意login()方法是一个返回类型为void的方法。通过异常来判断登录状态

        try{
            subject.login(token);
            System.out.println("登录成功");
        }catch (UnknownAccountException e) {
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            System.out.println("不正确的凭证(密码错误)");
        }catch (AuthenticationException e){
            System.out.println("认证失败");
        }

AuthenticationException 是认证的顶级异常。

角色权限认证

登录成功后根据角色来判断是否有角色:
登录成功后根据授权来判断该角色是否有权限:

subject.login(token);
            System.out.println("登录成功");
            /**授权
             * 1.判断是否具有某一个角色
             * 2.判断该角色是否有权限
             */
//            subject.hasRoles(); 判断是否具有当中角色中的一个
//            subject.hasAllRoles();只有用户有所有的角色才会返回true
            boolean b = subject.hasRole("role1");
            //判断当前用户具有某个角色,通过异常判断
            subject.checkRole("role1");
            System.out.println("是否具有该角色"+b);
            //判断权限是否有select
            boolean c = subject.isPermitted("select");
            // 和checkRole一样具有checkPermission

加密技术

shiro自带了许多加密算法此处只看md5:

    static public String saltPwd(String pwd){
        System.out.println(pwd);
        Md5Hash md5Hash = new Md5Hash(pwd);
        System.out.println(md5Hash.toHex());
        Md5Hash md5Hash1 = new Md5Hash(pwd,"123");
        System.out.println(md5Hash1.toHex());
        Md5Hash md5Hash2 = new Md5Hash(pwd,"123",3);//加密次数
        System.out.println(md5Hash2.toHex());
        return null;
    }

Releam

pojo对象:

public class UserInfo {
    private String id;
    private String pwd;
    private String salt;
        public String getId() {
        return id;
    }

    public void setId(String id) {
        this.id = id;
    }

    public String getPwd() {
        return pwd;
    }

    public void setPwd(String pwd) {
        this.pwd = pwd;
    }

    public String getSalt() {
        return salt;
    }

    public void setSalt(String salt) {
        this.salt = salt;
    }
}

ini文件配置:

[main]
md5=org.apache.shiro.authc.credential.Md5CredentialsMatcher
md5.hashIterations=1
myrealm=com.study.RealmApp
myrealm.credentialsMatcher=$md5
securityManager.realms=$myrealm

releam是用来与数据做交互的组件:此处为了简化代码我演示的时候赋给了userInfo三个值,注意正常情况需要从数据库取到。

public class RealmApp extends AuthenticatingRealm {
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //拿到用户输入的用户名
        //根据用户输入的名称去找
        String id = token.getPrincipal().toString();
        UserInfo userInfo = new UserInfo();
        userInfo.setId("zs");
        userInfo.setPwd("4297f44b13955235245b2497399d7a93");
        userInfo.setSalt("123");
        System.out.println("测试");
        if(userInfo!=null){
            ByteSource byteSource = ByteSource.Util.bytes(userInfo.getSalt());
//            1. 用户名 2. 查询到的密码 3.盐值可以没有 4.真实名称无用占位
            SimpleAuthenticationInfo info =
                    new SimpleAuthenticationInfo
                            (userInfo.getId(),userInfo.getPwd(),byteSource,"w");
            return info;
        }
        return null;
    }
}
多Realm策略
  • AtleastOneSuccessfulStrategy 满足至少一个不会短路
  • FirstSuccessfulStrategy 满足一个即可会短路
  • AllSuccessfullStrategy 所有都满足

SpringBoot整合shiro

依赖

    <dependencies>
        <!--        shiro核心-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.4.2</version>
        </dependency>
        <!--        需要日志-->
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.11</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.2</version>
        </dependency>
    </dependencies>

yml配置

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: 
    username: 
    password: 
shiro:
  loginUrl: http://www.baidu.com

shiro-loginUrl指的是如果该用户没有登录/没有权限跳转的网址。

MyReleam文件

package com.study.controller;

import com.study.pojo.UserInfo;
import com.study.service.UserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

@Component
public class MyRealm extends AuthenticatingRealm {
    @Autowired
    private UserService userService;
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String id = token.getPrincipal().toString();
        UserInfo userInfo = userService.login(id);
        ByteSource byteSource = ByteSource.Util.bytes(userInfo.getSalt());
        if(userInfo!=null){
            SimpleAuthenticationInfo w =
                    new SimpleAuthenticationInfo(userInfo.getId(), userInfo.getPwd(), byteSource, "w");
            return w;
        }
        return null;
    }
}

配置文件(重点!!!)

放一起了,过滤链,记住我,算法设置,认证授权,退出

package com.study.controller;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.Cookie;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;


@Configuration
public class ShiroConfig {
    @Autowired
    private MyRealm myRealm;
    @Bean
    public DefaultWebSecurityManager defaultWebSecurity(){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
/**       算法设置*/
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        matcher.setHashAlgorithmName("md5");
        matcher.setHashIterations(1);
        myRealm.setCredentialsMatcher(matcher);

/**        认证策略
        ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator();
        modularRealmAuthenticator.setAuthenticationStrategy(new FirstSuccessfulStrategy());
        defaultWebSecurityManager.setAuthenticator(modularRealmAuthenticator);
 */
        defaultWebSecurityManager.setRealm(myRealm);
        return defaultWebSecurityManager;
    }
    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition(){
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
//        顺序是由上到下
        chainDefinition.addPathDefinition("/login","anon");
        chainDefinition.addPathDefinition("/select","authc");
        chainDefinition.addPathDefinition("/select1","user");
        //退出只需要配置这个即可控制器都不需要 会自动删除cookie
        chainDefinition.addPathDefinition("/logout","logout");
        return chainDefinition;
    }
    //自定义 rememberMe
    public CookieRememberMeManager cookieRememberMeManager(){
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        Cookie cookie = new SimpleCookie("realm");
        cookie.setPath("/");
        cookie.setHttpOnly(true);
        cookie.setMaxAge(60*60*24);
        cookieRememberMeManager.setCookie(cookie);
        cookieRememberMeManager.setCipherKey("123".getBytes());
        return cookieRememberMeManager;
    }
}

Controller文件

package com.study.controller;


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
@ResponseBody
public class UserController {
    @GetMapping("/login/{id}/{pwd}")
    public String login(@PathVariable String id,@PathVariable String pwd){
        Subject subject = SecurityUtils.getSubject();
//        rememberMe
        UsernamePasswordToken token = new UsernamePasswordToken(id,pwd,true);
        try {
            subject.login(token);
            System.out.println(1);
            return "success1";
        }catch (AuthenticationException e){
            System.out.println(2);
            return "error";
        }
    }
    @GetMapping("/select")
    public String select(){
        System.out.println(4);
        return "<h1>select1</h1>";
    }
    @GetMapping("/select1")
    public String select1(){
        System.out.println(3);
        return "select2";
    }
}
史蒂夫.*
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全shiro安全框架基本原理及架构功能简析
等风来
05-25 1万+
本文为Shiro框架简介,无安全,不shiroshiro安全框架问世的意义在于提供了一种有效的解决方案,帮助开发者和企业更好地保护自己的系统和数据安全Shiro 可以与各种 Java 框架和应用程序进行集成,如Spring等。此外,Shiro 还可以与多个数据源集成,如JDBCLDAPNoSQL 数据库等,使得应用程序更加灵活。shiro 是一款非常流行的 Java 安全框架,它为企业级应用程序提供了身份验证、授权、会话管理和加密等安全支持功能。
shiro安全框架
琅枫的博客
08-20 257
一 常用的安全框架 1. apache shiro 较轻量级、入门简单,不依赖于Spring框架。一般用于传统的SSM项目较多。 2. springsecurity 较复杂、入门较难,属于Spring框架的模块。多用于Springboot+Springcloud分布式应用中。 二 什么是安全框架 1. 用户认证 登录 2. 权限管理 应用的资源的授权管理 三 shiro框架的结构 1. Subject 认证的主体 2. SecurityManger 安全管理器(容器) 3. A..
30分钟学会如何使用Shiro
weixin_30426879的博客
07-22 1121
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
Shiro安全框架入门学习
辰兮要努力
03-17 6231
Shiro安全框架入门学习
spring boot整合shiro安全框架过程解析
08-25
spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 首先,我们需要添加shiro的依赖项,包括...
基于Java的Apache Shiro安全框架设计源码
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
SpringBoot依赖之Spring Data Redis一有序集合Sorted Set
ahauedu的专栏
08-19 1013
​ 通过上述步骤,我们成功在 Spring Boot 项目中使用 Spring Data Redis 实现了对 Redis 有序集合(Sorted Set)类型的操作。您可以使用这些方法来处理排行榜、定时任务和延时队列的数据结构需求。​ 这是基本的有序集合Sorted Set相关操作,还是要结合具体的业务选择具体的存储类型,这样对于项目后期的迭代具有事半功倍的效果。所以项目前期的技术选型也很重要,不容忽视。可以关注我一起学习,一起为程序员职业生涯蓄能。
java springboot 集成activeMQ(保姆级别教程)
最新发布
m0_50641264的博客
08-23 112
java springboot 集成activeMQ(保姆级别教程)
SpringBoot MySQL BinLog 监听数据变化(多库多表)
掐指一算乀缺钱
08-19 610
SpringBoot MySQL BinLog 监听数据变化(多库多表) 库.表,库1.表1,库1.表2
用基础项目来理解spring的作用
weixin_64922330的博客
08-20 571
用基础项目来理解spring的作用
Springboot与easypoi
游王子的博客
08-20 675
ApiModel("用户实体类")@Data@ApiModelProperty("用户id")@Excel(name = "用户id", orderNum = "0")@ApiModelProperty("用户名")@Excel(name = "用户名", orderNum = "1")@ApiModelProperty("密码")@Excel(name = "密码", orderNum = "2")@ApiModelProperty("年龄")
Java--SpringBoot工厂模式
qq_56438516的博客
08-20 866
Spring Boot是一个基于Spring框架的快速开发框架,它提供了许多便利的功能来简化企业级应用的开发。在Spring Boot中,工厂模式是一种常用的设计模式,它用于创建对象,但是不需要指定将要创建的具体类。工厂模式隐藏了实例化对象的具体细节,并且允许系统在不修改客户端代码的情况下引入新的类。
linux使用nginx部署springboot + vue分离项目
技术分享
08-20 88
linux使用nginx部署springboot + vue分离项目。
Springboot-从服务器获取一个输入流,转成视频文件存到oss
兴趣是最好的老师
08-19 455
获取输入流:使用HTTP客户端(如RestTemplate或WebClient)从服务器获取输入流。本示例中使用了RestTemplate来获取输入流,也可以使用WebClient来实现相同的功能。设置阿里云OSS客户端:首先,你需要配置阿里云OSS客户端,以便能够上传文件到OSS。首先,你需要在Spring Boot项目中添加阿里云OSS的依赖,并配置OSS客户端。以上示例展示了如何从服务器获取视频流,并将其上传到阿里云OSS。上传到OSS:将视频文件上传到OSS。步骤 1: 配置阿里云OSS客户端。
Spring ioc简易代码实现过程
kkkkkkkok的博客
08-20 579
Spring是一个轻量级Java开发框架,最早有Rod Johnson创建,目的是为了解决企业级应用开发的业务逻辑层和其他各层的耦合问题。它是一个分层的JavaSE/JavaEE full-stack(一站式)轻量级开源框架,为开发Java应用程序提供全面的基础架构支持Spring负责基础架构,因此Java开发者可以专注于应用程序的开发。Spring最根本的使命是解决企业级应用开发的复杂性,即简化Java开发。
Shiro安全框架深度解析
Apache Shiro是一个强大且易用的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)和会话管理(Session Management)等功能,用于简化应用的安全实现。以下是对Shiro关键知识点的详细说明:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值