Shrio入门到“精通”

最新推荐文章于 2022-04-01 09:11:33 发布
最新推荐文章于 2022-04-01 09:11:33 发布
阅读量126 收藏
点赞数 2
分类专栏: SpringBoot 文章标签: shiro java spring
原文链接:https://blog.csdn.net/weixin_49092628/article/details/115440049
版权
  • 什么是Shrio?—一个NB的安全框架!号称世界上最火的企业级别安全框架(我编的)!
  • 可以干什么?—可以完成,认证,授权,加密,会话管理,Web集成,缓存等.说人话:就是过滤器封装版本及扩展版!有了它之后,什么繁琐的登录验证啊,拦截器啊都可以托管了,关键shrio运用AOP思想,横切代码,让你的源码受不到一点伤害!

What can shrio do ?

  • 三个核心组件:Subject, SecurityManager 和 Realms.

*Subject*: 即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm(真男人): Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。

How to use ?

0、导入依赖

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.1</version>
        </dependency>
  • 搭配springboot食用更佳!
     <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>
        或者
         <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
        </dependency>

不过前者用的多

1、编写Realm类继承AuthorizingRealm

public class UserRealm extends AuthorizingRealm {
    @Autowired
    //这里写你项目用到的service
    UserService userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权");

        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();

        //info.addStringPermission("user:add");
        //拿到当前用户登陆对象
        Subject subject= SecurityUtils.getSubject();
        User currentUser= (User) subject.getPrincipal();//拿到User对象
        info.addStringPermission(currentUser.getPerms());//设置当前用户对象

        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了认证");

        //用户名,密码,数据库中获取

        UsernamePasswordToken userToken=(UsernamePasswordToken) authenticationToken;

        User user=userService.queryUserByName(userToken.getUsername());//获取用户名

        String name=user.getName();
        String password=user.getPwd();
        if(user==null){//说明查无此人
            return null;
        }

        //密码认证,shiro做
        return new SimpleAuthenticationInfo(user,password,"");//放入User对象

    }

2、编写配置类ShrioConfig

@Configuration
public class ShiroConfig {

    //shiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);

        //添加shiro的内置过滤器
        /*
            anon: 无需认证就可访问
            authc:必须认证才能访问
            user:必须拥有记住我功能才能访问
            perms: 拥有对某个资源的权限才能访问
            role:拥有某个角色权限才能访问
       */

        Map<String, String> filterMap = new LinkedHashMap<>();
//
//        //授权
//        filterMap.put("/user/add","perms[user:add]");
//        filterMap.put("/user/update","perms[user:update]");
        //授权
        filterMap.put("/user/**", "roles[user]");
        filterMap.put("/admin/**", "roles[admin]");
        //过滤请求
        filterMap.put("/error/**", "anon");
        filterMap.put("/", "anon");
        filterMap.put("/index.html", "anon");
        filterMap.put("/toregister.html", "anon");
        filterMap.put("/login/**", "anon");
        filterMap.put("/asserts/**", "anon");
        filterMap.put("/bootstrap/**", "anon");
        filterMap.put("/images/**", "anon");
        filterMap.put("/lyear/**", "anon");
        filterMap.put("/js/**", "anon");
        //对所有请求认证
        //主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截
        filterMap.put("/**", "authc");
//        filterMap.put("/user/*", "authc");
//        filterMap.put("/admin/*", "authc");
        //设置登出
        //filterMap.put("/logout", "logout");
        bean.setFilterChainDefinitionMap(filterMap);
        //设置登录请求(认证界面)
        bean.setLoginUrl("/");
//        //设置未授权页面
//        bean.setUnauthorizedUrl("/noauth");
        return bean;
    }
    // DafaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(userRealm);

        return securityManager;
    }
    //创建realm对象 ,需要自定义
    @Bean(name = "userRealm")
    public UserRealm userRealm() {
        return new UserRealm();
    }
    //整合thymeleaf
    @Bean
    public ShiroDialect getShiroDialect() {
        return new ShiroDialect();
    }
}
  • 特别注意授权顺序问题,

就这?

就这
项目遇到的是后直接拷过去改改就行

猿华
关注
专栏目录
Shiro权限框架完整源码
06-30
这个源码很详细 可以配合之前我上传的shiro框架技术的pdf文档结合起来参考学习
浅谈Shiro框架及源码分析
微滑低的博客
04-05 191
浅谈Shiro框架 1.什么是Shiro? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话 管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的 移动应用程序到最大的网络和企业应用程序。 2.具有哪些功能? 3.架构组成(外部)–三大核心功能 Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“
shiro框架源码:
Z_passionate的博客
04-18 495
实现登录认证: 首先要知道:subject真正的实现类: subject = (newSubject.Builder()).buildSubject(); SecurityManager:是一个接口,需要找到对应的实现类: 接口是什么,就是一种规范,这种规范使得框架可以嵌入到其他框架、软件中的一个规则 SecurityManager 的实现类是Defa...
Shiro使用和源码分析---1
conansonic的博客
11-01 8457
FormAuthenticationFilter使用和原理分析—1网上有很多介绍shiro框架的文章,但是没有讲解shiro如何和web spring框架相结合的文章。由于实际项目的需要,这里首先顺带分析一下shiro中FormAuthenticationFilter的源码。先看一段Spring中applicationContext.xml的配置。 <bean id="shiroFilter"
shiro安全框架实现源码
08-01
描述: 下面实现例子,实现简单,权限只控制到模块,模块勾选,模块下的功能全部通过。 其实要控制到方法,只需要添加一些标记字符即可。 详情查看博客: https://blog.csdn.net/qq_36015716/article/details/81304276
Shiro入门精通
06-26
本课程“Shiro入门精通”旨在帮助开发者全面理解和掌握Shiro的使用,通过与Spring Security的对比,进一步突出Shiro在实际开发中的优势和适用场景。 首先,我们来探讨Shiro的基础知识。Shiro的核心组件包括...
Shiro入门精通教程
11. **与Spring集成**:Shiro可以无缝集成到Spring应用中,无论是在Java SE应用还是Web应用中,都能通过Spring配置来使用Shiro。此外,Shiro还提供了权限注解,使得权限控制更加便捷。 这本书详细讲解了上述各个...
Shiro入门精通:身份验证、授权与集成详解
- **第五章**:深入到编码和加密层面,介绍编码/解码、散列算法以及 PASSWORDSERVICE/CREDENTIALSMATCHER的使用。 - **第六章**:详细分析REALM及相关对象,如AUTHENTICATIONTOKEN、AUTHENTICATIONINFO、...
Shiro入门精通:身份验证、授权与集成教程
- 探讨了授权的方式,比如PERMISSION(权限),并详细解释了授权流程,涉及到AUTHORIZER、PERMISSIONRESOLVER和ROLEPERMISSIONRESOLVER等核心组件。 5. **第四章:INI配置** - 讲述了如何通过INI配置文件来管理和...
Apache Shiro入门精通教程:身份验证、授权与集成
Apache Shiro 是一个强大的开源安全框架,用于简化 Java 和 Web 应用程序的身份验证、授权和会话管理。本教程提供了一个详尽的指南,适合初学者和进阶开发者学习和实践。教程分为多个章节,涵盖了 Shiro 的基础概念...
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
Shiro源码解析
qq_31856061的博客
04-01 1402
获取主体、生成认证token Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken( user.getUserName(), user.getPassword() ); 进行登录验证 subject.login(usernamePasswordToken); 类:DelegatingSubject 代理主体 里面有 lo
Shiro的源码分析
会写Bug的攻城狮
11-17 579
Shiro的源码分析 一、 Token相关类 1)、接口类 package org.apache.shiro.authc; import java.io.Serializable; //AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码) public interface AuthenticationToken extends Serializable { //得到主体subject进行身份认证的标识,标识具有唯一性 Object getPrin
shiro入门
lxxiaocaiji的博客
02-18 243
shiro spring security 1. 什么是shiro    shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。    spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。    shiro不依赖于springshiro不仅可以实现 web应用的权限管理,还可...
shiro框架
mhfaaa的博客
06-30 318
shiro框架 什么是shiro shiro是apache旗下一个Java安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权、加密,会话管理等功能的开发,可为任何应用提供安全保障,降低系统成本 基础RBAC Shiro功能 登录/身份认证,登录失败次数限制 对用户执行访问控制,如: 判断用户是否拥有角色admin,判断用户是否拥有访问的权限 在任何环境下使用Session API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值