Shrio入门到“精通”

最新推荐文章于 2023-05-30 12:59:54 发布
最新推荐文章于 2023-05-30 12:59:54 发布
阅读量103 收藏
点赞数 2
分类专栏: SpringBoot 文章标签: shiro java spring
原文链接:https://blog.csdn.net/weixin_49092628/article/details/115440049
版权
  • 什么是Shrio?—一个NB的安全框架!号称世界上最火的企业级别安全框架(我编的)!
  • 可以干什么?—可以完成,认证,授权,加密,会话管理,Web集成,缓存等.说人话:就是过滤器封装版本及扩展版!有了它之后,什么繁琐的登录验证啊,拦截器啊都可以托管了,关键shrio运用AOP思想,横切代码,让你的源码受不到一点伤害!

What can shrio do ?

  • 三个核心组件:Subject, SecurityManager 和 Realms.

*Subject*: 即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm(真男人): Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。

How to use ?

0、导入依赖

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.1</version>
        </dependency>
  • 搭配springboot食用更佳!
     <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>
        或者
         <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
        </dependency>

不过前者用的多

1、编写Realm类继承AuthorizingRealm

public class UserRealm extends AuthorizingRealm {
    @Autowired
    //这里写你项目用到的service
    UserService userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权");

        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();

        //info.addStringPermission("user:add");
        //拿到当前用户登陆对象
        Subject subject= SecurityUtils.getSubject();
        User currentUser= (User) subject.getPrincipal();//拿到User对象
        info.addStringPermission(currentUser.getPerms());//设置当前用户对象

        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了认证");

        //用户名,密码,数据库中获取

        UsernamePasswordToken userToken=(UsernamePasswordToken) authenticationToken;

        User user=userService.queryUserByName(userToken.getUsername());//获取用户名

        String name=user.getName();
        String password=user.getPwd();
        if(user==null){//说明查无此人
            return null;
        }

        //密码认证,shiro做
        return new SimpleAuthenticationInfo(user,password,"");//放入User对象

    }

2、编写配置类ShrioConfig

@Configuration
public class ShiroConfig {

    //shiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);

        //添加shiro的内置过滤器
        /*
            anon: 无需认证就可访问
            authc:必须认证才能访问
            user:必须拥有记住我功能才能访问
            perms: 拥有对某个资源的权限才能访问
            role:拥有某个角色权限才能访问
       */

        Map<String, String> filterMap = new LinkedHashMap<>();
//
//        //授权
//        filterMap.put("/user/add","perms[user:add]");
//        filterMap.put("/user/update","perms[user:update]");
        //授权
        filterMap.put("/user/**", "roles[user]");
        filterMap.put("/admin/**", "roles[admin]");
        //过滤请求
        filterMap.put("/error/**", "anon");
        filterMap.put("/", "anon");
        filterMap.put("/index.html", "anon");
        filterMap.put("/toregister.html", "anon");
        filterMap.put("/login/**", "anon");
        filterMap.put("/asserts/**", "anon");
        filterMap.put("/bootstrap/**", "anon");
        filterMap.put("/images/**", "anon");
        filterMap.put("/lyear/**", "anon");
        filterMap.put("/js/**", "anon");
        //对所有请求认证
        //主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截
        filterMap.put("/**", "authc");
//        filterMap.put("/user/*", "authc");
//        filterMap.put("/admin/*", "authc");
        //设置登出
        //filterMap.put("/logout", "logout");
        bean.setFilterChainDefinitionMap(filterMap);
        //设置登录请求(认证界面)
        bean.setLoginUrl("/");
//        //设置未授权页面
//        bean.setUnauthorizedUrl("/noauth");
        return bean;
    }
    // DafaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(userRealm);

        return securityManager;
    }
    //创建realm对象 ,需要自定义
    @Bean(name = "userRealm")
    public UserRealm userRealm() {
        return new UserRealm();
    }
    //整合thymeleaf
    @Bean
    public ShiroDialect getShiroDialect() {
        return new ShiroDialect();
    }
}
  • 特别注意授权顺序问题,

就这?

就这
项目遇到的是后直接拷过去改改就行

猿华
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro入门
trasewell的博客
09-25 826
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2704
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Shiro框架
2301_78021017的博客
05-30 253
求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自。对于细颗粒度的授权不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务。理称为粗颗粒度权限控。,即只控制到菜单、按。、方法,粗粒度的例子。
Shiro框架总结
cxmengxin的博客
07-08 1062
Shiro框架总结 一、Shrio框架 1、Shiro介绍 (1)RBAC Shiro是一款基于资源的访问控制框架即RBAC(Resource-Based Access Control),其将安全认证等相关功能全部提取出来抽象成了一个框架,使用Shiro能够轻松方便的完成认证、授权、加密等功能的开发。 (2)角色(roles)与权限(Permission) 角色与权限是Shiro认证授权的核心概念。在用户登录时,Shiro对用户进行认证,并授予其相应的角色,而角色也有其对应的权限,根据角色所具有的权限从而可
shiro(一)
遥是此间桃花庵
11-29 164
文章目录1.shiro的简介:2.在应用程序角度来观察如何使用Shiro完成工作3.shiro架构Shiro入门案例 1.shiro的简介: shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于s...
Shiro入门精通
06-26
尚硅谷shiro入门精通源码讲解,与spring security对比
Shiro入门.rar
06-12
笔记(pdf + md格式) + 源码
shiro入门demo
04-18
shiro学习入门程序
Shiro入门项目
08-31
Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理,如同 spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和...
shiro入门学习.ppt
06-15
shiro入门学习.ppt
Shiro 权限框架使用总结
11-24
Shiro 权限框架使用总结,shiro入门级的文档资料。
权限管理框架Shiro简介
weixin_38526781的博客
09-01 2181
权限管理框架shiro
Shiro原理及源码分析
lipengyao2010的专栏
07-16 1851
安全管理器的创建是依赖于认证、授权,缓存、数据源等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
菜鸟的shiro学习总结
最强菜鸟
09-03 814
菜鸟的shiro学习总结说明一、入门系列(1)单机应用下是shiro 说明 更新时间:2020/8/22 18:28,更新了缓存相关内容 本文主要对shiro的学习总结,本文会持续更新,不断地扩充 本文仅为记录学习轨迹,如有侵权,联系删除 一、入门系列 (1)单机应用下是shiro .........
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3985
一、Shiro框架简单介绍 Apache ShiroJava的一个安全框架,旨在简化身份验证和授权。ShiroJavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
SpringMVC集成shiro权限(附源码)
千寻啊千寻
04-26 4809
springMVC框架这里就不多说了,下面是在springMVC框架上面直接集成shiro代码步骤下面是我项目结构: 1、web.xml添加Shiro Filter<filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.Delegatin
Shiro源码分析----授权流程
云原生之家
01-14 1206
在一个用户登录后,即身份认证通过,只能证明该登录身份是合法的,至于具体能访问系统中的什么资源,需要通过授权来控制。一般系统中都是通过用户关联角色、角色再关联权限来实现判断一个用户是否有某资源的使用权限,Shiro也提供了相应的实现权限控制。 Shiro中的权限控制也是通过Filter来实现的,在前面认证流程中讲到,Shiro的DefaultFilterChainManager类会创建
Shiro源码----加载
lwgzj的博客
05-31 497
之前的项目的授权框架用的是spring-sercet,其实Shiro和它类似,都是用于用户认证,授权。所以看Shiro的源码理解起来不是很费劲,如果你之前没有阅读过有关权限框架的,或者没有接触过的话,可以先去了解下内部过程。 此篇主要分析下Shiro的加载过程。 老规矩,从web.xml入手,因为这种类似的权限框架大多是通过Filter来实行过滤的。 1. web.xml <!...
shiro 入门案例
最新发布
09-06
关于 Shiro入门案例,你可以尝试以下步骤来理解 Shiro 的基本用法: 1. 导入 Shiro 依赖:在你的项目中添加 Shiro 的相关依赖,可以使用 Maven、Gradle 或直接下载 jar 包引入。 2. 创建 Shiro 配置文件:在你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值