Shiro入门之基本概念

最新推荐文章于 2022-08-26 09:59:43 发布
最新推荐文章于 2022-08-26 09:59:43 发布
阅读量151 收藏
点赞数
分类专栏: shiro 文章标签: 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57806252/article/details/121227153
版权

核心架构图:

        1.Subject
                Suject即主体,外部应用与subject进行交互,subject记录额当前操作用户,将用户的概念理解当前可操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授权相关的方法,外部程序通过subject 进行认证授权,而subject 是通过SecurityManager 安全管理器进行认证授权的!

        2.SecurityManager
                SecurityManager即安全管理器,对全部的subject 进行安全管理,他是shiro 的核心,负责对所有的subject 进行安全管理。通过SecurityManager 可以完成subject的认证,授权等,实质上SecurityManager 是通过Authenticator进行认证的,通过Authorizer进行授权的,通过SessionManager进行会话管理的!

        3.Authenticator
                Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticato基本上可以满足大多数需求,也可以自定义认证器

        4.Authorizer
                Authorizer即授权器,用户通过Authenticator认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限

        5.Realm
                Realm即领域,相当于datasource数据源,SecurityManager进行安全认证后需要通过Realm获取用户权限的领域,比如,如果用户身份数据在数据库那么Realm就需要从数据库中获取用户身份信息

        - 注意: 不要把Realm 理解成只是从数据库中获取数据源,在realm中还是认证授权校验的相关操作

shiro中热证的关键对象

        1.Subject:主体
                访问系统的用户,主体可以是用户、程序等,进行认证的都称之为主体

        2.Principal:身份信息
                是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)

        3.credential:凭证信息
                只有主体自己知道的安全信息,如密码、证书等。

 认证流程

自定义realm:

        通过Reaml 类可以看到如下的类关系:

        源码查看

package org.apache.shiro.realm;



public class SimpleAccountRealm extends AuthorizingRealm {
    
    // 授权
    protected AuthenticationInfo doGetAuthenticationInfo(
                AuthenticationToken token) throws AuthenticationException {

        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        SimpleAccount account = getUser(upToken.getUsername());

        if (account != null) {

            if (account.isLocked()) {
                throw new LockedAccountException("Account [" + account + "] is locked.");
            }
            if (account.isCredentialsExpired()) {
                String msg = "The credentials for account [" + account + "] are expired";
                throw new ExpiredCredentialsException(msg);
            }

        }

        return account;
    }

    // 认证
    protected AuthorizationInfo doGetAuthorizationInfo(
                 PrincipalCollection principals) {

        String username = getUsername(principals);
        USERS_LOCK.readLock().lock();
        try {
            return this.users.get(username);
        } finally {
            USERS_LOCK.readLock().unlock();
        }
    }
}

        自定义realm

                我们从源码中可以观察到,当我们需要自己去写realm时,只需要重写doGetAuthenticationInfo() 和doGetAuthorizationInfo() 方法即可

        

package com.any.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * CustomerRealm
 *
 * @author nni
 * @date 8:23 2021/11/10
 */
public class CustomerRealm extends AuthorizingRealm {
    /**
     * 授权
     * @param principals
     * @return org.apache.shiro.authz.AuthorizationInfo
     * @throws
     * @update 2021-11-10 08:23 by 15821
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    /**
     * 认证
     * @param token
     * @return org.apache.shiro.authc.AuthenticationInfo
     * @throws
     * @update 2021-11-10 08:24 by 15821
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) 
    throws AuthenticationException {
        //在token中获取 用户名
        String principal = (String) token.getPrincipal();
        System.out.println(principal);
        //实际开发中应当 根据身份信息使用jdbc mybatis查询相关数据库
        //在这里只做简单的演示
        //假设username,password是从数据库获得的信息
        String username = "admin";
        String password = "admin";
        if(username.equals(principal)){
            //参数1:返回数据库中正确的用户名
            //参数2:返回数据库中正确密码
            //参数3:提供当前realm的名字 this.getName();
            SimpleAuthenticationInfo simpleAuthenticationInfo = 
                    new SimpleAuthenticationInfo(principal,password,this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

        测试自定义realm

package com.any.test;

import com.any.realm.CustomerRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.junit.jupiter.api.Test;

/**
 * TestCustomerRealm
 *
 * @author nni
 * @date 8:31 2021/11/10
 */
public class TestCustomerRealm {

    @Test
    public void testCustomerRealm(){
        // 1.创建安全管理器
        DefaultSecurityManager securityManager = new DefaultSecurityManager();

        // 安全管理器添加 自定义的realm
        securityManager.setRealm(new CustomerRealm());

        // 3.SecurityUtils 给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);

        // 4.获取主题对象
        Subject subject = SecurityUtils.getSubject();

        // 5.创建token 令牌
        UsernamePasswordToken token = new UsernamePasswordToken("admin","admin");
        try {
            // 用户验证
            subject.login(token);
            System.out.println("登录成功");
        }catch (UnknownAccountException unknownAccountException){
            unknownAccountException.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException credentialsException){
            credentialsException.printStackTrace();
            System.out.println("密码错误");
        }
    }
}

MD5        Salt        Hash 

        测试 shiro提供的Md5Hash类

    @Test
    public void testMD5(){

        String val = "admin";    // 原始密码
        String salt = "admin";    // 加盐
        int hashNum = 10;    // hash 次数

        // 1.不加盐 hash一次
        Md5Hash valMd5 = new Md5Hash(val);
        System.out.println(valMd5);

        // 2.加盐 hash一次
        Md5Hash valMd5Salt = new Md5Hash(val,salt);
        System.out.println(valMd5Salt);

        // 2.加盐 hash十次
        Md5Hash valMd5SaltHash = new Md5Hash(val,salt,hashNum);
        System.out.println(valMd5SaltHash);

    }


执行结果:

21232f297a57a5a743894a0e4a801fc3
2fb8253776cbe5e37696bc64642d9db7
d4328904ed141eab1e18d653a6aa89e1

        更改自定义realm

package com.any.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * CustomerRealm
 *
 * @author nni
 * @date 8:23 2021/11/10
 */
public class CustomerRealm extends AuthorizingRealm {
    /**
     * 授权
     * @param principals
     * @return org.apache.shiro.authz.AuthorizationInfo
     * @throws
     * @update 2021-11-10 08:23 by 15821
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    /**
     * 认证
     * @param token
     * @return org.apache.shiro.authc.AuthenticationInfo
     * @throws
     * @update 2021-11-10 08:24 by 15821
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) 
    throws AuthenticationException {
        //在token中获取 用户名
        String principal = (String) token.getPrincipal();
        System.out.println(principal);
        //实际开发中应当 根据身份信息使用jdbc mybatis查询相关数据库
        //在这里只做简单的演示
        //假设username,password是从数据库获得的信息
        String username = "admin";
        String password = "d4328904ed141eab1e18d653a6aa89e1";
        if(username.equals(principal)){
            //参数1:返回数据库中正确的用户名
            //参数2:返回数据库中正确密码
            //参数3:提供当前realm的名字 this.getName();
            SimpleAuthenticationInfo simpleAuthenticationInfo = 
                    new SimpleAuthenticationInfo(
                        principal
                        ,password
                        , ByteSource.Util.bytes("admin")    // 所加的盐
                        ,this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

测试修改后的realm

@Test
    public void testCustomerRealm(){
        // 1.创建安全管理器
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        CustomerRealm customerRealm = new CustomerRealm();

        // 2.设置realm使用hash凭证匹配器
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        matcher.setHashAlgorithmName("md5");
        matcher.setHashIterations(hashNum);

        // 3.安全管理器添加 自定义的realm
        customerRealm.setCredentialsMatcher(matcher);
        securityManager.setRealm(customerRealm);

        // 3.SecurityUtils 给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);

        // 4.获取主题对象
        Subject subject = SecurityUtils.getSubject();

        // 5.创建token 令牌
        UsernamePasswordToken token = new UsernamePasswordToken("admin","admin");
        try {
            // 用户验证
            subject.login(token);
            System.out.println("登录成功");
        }catch (UnknownAccountException unknownAccountException){
            unknownAccountException.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException credentialsException){
            credentialsException.printStackTrace();
            System.out.println("密码错误");
        }
    }

Shiro 中的授权

        概述:               

                 授权,即访问控制,控制访问者能够使用哪些资源,主体认证后,只能访问已经授权的资源,对于未授权的资源无法访问

        关键对象:              

                 授权可简单理解为 who what(which) 进行how 操作
                who 即主体(Subject):主体需要访问系统的资源
                what 即资源(Resource):  如系统菜单、页面、按钮、类方法、系统商品信息。
                how 即权限,许可(permission): 规定了主体对资源的操作许可,权限离开资源没有意义。如用户查询权限、用户添加权限、某个类方法的调用权限等等;

         授权流程

         授权方式

                基于角色的访问控制
                        RBAC基于角色的访问控制(Role-Based Access Control) 是以角色为中心进行访问控制的

if(subject.hasRole("admin")){
   //操作什么资源
}

                基于资源的访问控制
                        RBAC基于资源的访问控制(Resource-Based Access Control) 是以资源为中心进行访问控制

if(subject.isPermission("user:update:01")){ //资源实例
  //对资源01用户具有修改的权限
}

        权限字符串

                权限字符串的规则是:资源标识符:操作:资源实例标识符,意思是对哪个资源的哪个实例具有什么操作,“:”是资源/操作/实例的分割符,权限字符串也可以使用*通配符。

例子:

  • 用户创建权限:user:create,或user:create:*
  • 用户修改实例001的权限:user:update:001
  • 用户实例001的所有权限:user:*:001

        代码实例

package com.any.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * CustomerRealm
 *
 * @author nni
 * @date 8:23 2021/11/10
 */
public class CustomerRealm extends AuthorizingRealm {
    /**
     * 授权
     * @param principals
     * @return org.apache.shiro.authz.AuthorizationInfo
     * @throws
     * @update 2021-11-10 08:23 by 15821
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("------------doGetAuthorizationInfo------------");
        String primaryPrincipal = (String) principals.getPrimaryPrincipal();
        System.out.println("【用户身份信息】"+primaryPrincipal);
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addRole("admin");
        authorizationInfo.addRole("user");
        return authorizationInfo;
    }

    /**
     * 认证
     * @param token
     * @return org.apache.shiro.authc.AuthenticationInfo
     * @throws
     * @update 2021-11-10 08:24 by 15821
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) 
    throws AuthenticationException {
        //在token中获取 用户名
        String principal = (String) token.getPrincipal();
        System.out.println(principal);
        //实际开发中应当 根据身份信息使用jdbc mybatis查询相关数据库
        //在这里只做简单的演示
        //假设username,password是从数据库获得的信息
        String username = "admin";
        String password = "d4328904ed141eab1e18d653a6aa89e1";
        if(username.equals(principal)){
            //参数1:返回数据库中正确的用户名
            //参数2:返回数据库中正确密码
            //参数3:提供当前realm的名字 this.getName();
            SimpleAuthenticationInfo simpleAuthenticationInfo = 
                    new SimpleAuthenticationInfo(
                        principal
                        ,password
                        , ByteSource.Util.bytes("admin")    // 所加的盐
                        ,this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

倪家李子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro中自定义Realm的认证和授权信息
qq_31162311的博客
05-08 530
继承AuthorizingRealm 然后模拟数据库获取用户信息,和角色与权限信息 /** * 模拟数据库或者缓存中用户信息 */ Map<String, String> userMap = new HashMap<>(16); { userMap.put("wenzewen", "521314"); super.setName(...
Shiro入门.rar
06-12
笔记(pdf + md格式) + 源码
Shiro安全框架入门
秃头哥编程
10-09 335
一、Shiro的介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否...
[开发框架]-shiro-入门
Pacifica_的博客
09-19 272
shiro,一款安全框架
Shiro 架构
mengxianglong123的博客
10-17 270
架构图: 1.1 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过Secu...
使用shiro拦截器链实现权限管理
m0_67392811的博客
04-28 705
在开篇之前,先介绍一下shiro,那么 什么是shiro呢? Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 -每
shiro入门demo
04-18
shiro学习入门程序
shiro入门学习.ppt
06-15
shiro入门学习.ppt
Shiro入门项目
08-31
Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理,如同 spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和...
Shiro入门实例
03-28
Shiro入门实例
Shiro实战Demo
我要,我要,我还要
11-15 544
Shiro 使用 hello shiro 首先创建Maven项目并引入最新的shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.0</version> <
复习步骤6-获取权限数据CustomRealm提供subject桥梁 - 用集合用户权限角色等信息-shiro加密密码和盐存入数据库或map
香帅的博客
03-28 326
项目结构如下: Md5CustomerRealm.java package com.xiangshuai.shiro.realmPasswordMatcher; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org...
复习步骤5-获取权限数据CustomRealm提供subject桥梁 - 用集合用户权限角色等信息
香帅的博客
03-28 421
项目结构如下: CustomRealm.java package com.xiangshuai.shiro.realm; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro....
【学习笔记】Shiro安全框架入门(二)完结
qq_36149079的博客
08-26 882
认证过程——获取需要认证的信息 ,模拟从数据库取出用户账号,进行对比,如果对比通过则说明该用户存在,继续对比密码:将传入的密码进行加密与数据库存入的密码进行对比。——其中Md5Hash传入三个参数,可以直接只传密码,但是简单的密码容易被穷举出来,于是有了参数二:盐值(利用随机盐值与密码一起加密);授权过程——首先获取用户信息 认证,模拟从数据库中获取该用户的角色和操作权限,加入该用户中。4.SecurityUtils给全局安全工具类设安全管理器。6.获取登录用户的令牌(账号密码)......
复习步骤7-获取权限数据CustomRealm提供subject桥梁,集成spring - 数据库获取用户权限角色等信息-shiro加密密码和盐存入数据库
香帅的博客
03-28 216
项目目录结构 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaL...
shiro之前后端分离(基于jwt的token安全认证)
weixin_45390688的博客
12-25 5903
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。 @Component public class JwtUtil {
Shiro学习笔记(四)--- CustomRealm
EndTheme_Xin的博客
11-08 1353
一、简介 CustomRealm(自定义Realm)是通过仿造JdbcRealm,继承AuthrizingRealm, 重写doGetAuthenticationInfo(AuthenticationToken token)【认证】和 doGetAuthorizationInfo(PrincipalCollection principalCollection)【授权】方法 二、理解 自定义...
自定义Realm与加盐操作
ck784101777的博客
01-19 419
1.创建一个自定义的Realm类 该类继承AuthorizingRealm类,共实现两个方法,分别是授权方法doGetAuthorizationInfo和用户认证方法doGetAuthenticationInfo。 使用Map模拟数据库环境,提供三个方法分别获取用户信息,用户角色信息,用户权限信息。 import org.apache.shiro.authc.AuthenticationE...
Shiro自定义权限验证
w_xy999的博客
11-17 993
/api/permission/find/{id} 和 /api/permission/find/1进行匹配
shiro 入门案例
最新发布
09-06
关于 Shiro入门案例,你可以尝试以下步骤来理解 Shiro基本用法: 1. 导入 Shiro 依赖:在你的项目中添加 Shiro 的相关依赖,可以使用 Maven、Gradle 或直接下载 jar 包引入。 2. 创建 Shiro 配置文件:在你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

倪家李子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值