微服务安全与权限-shiro

已于 2024-01-12 20:50:50 修改
阅读量541 收藏
点赞数
文章标签: 微服务 安全 前端 web安全 网络安全
于 2023-02-13 20:04:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59598029/article/details/129015790
版权

shiro

什么是shiro

apach shiro是一个Java的安全框架

可以完成认证,授权,加密,会话管理,Web集成,缓存

功能

Authentication:身份认证/登录,验证用户是不是拥有相应的身份;

Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用 户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用 户对某个资源是否具有某个权限;

Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信 息都在会话中;会话可以是普通 JavaSE 环境的,也可以是 Web 环境的; Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web Support:Web 支持,可以非常容易的集成到 Web 环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能 把权限自动传播过去;

Testing:提供测试支持;

Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录 记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过 相应的接口注入给 Shiro 即可

核心

Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。

SecurityManager管理所有Subject

  • Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。* SecurityManager:它是Shiro框架的_核心_,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。* RealmRealm充当了**Shiro与应用安全数据间的“桥梁”或者“连接器”**。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。 > 架构

Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;

SecurityManager : 相 当 于 SpringMVC 中 的 DispatcherServlet ,是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的不好,可以自定义实 现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;

Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的 哪些功能;

Realm:可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是 JDBC 实现, 也可以是 LDAP 实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种 格式存储;所以我们一般在应用中都需要实现自己的 Realm;

SessionManager:管理session的生命周期.而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境、EJB 等环境;所有呢,Shiro 就抽象了一个自己的 Session来管理主体与应用之间交互的数据;这样的话,比如我们在 Web 环境用,刚开始是一台Web 服务器;接着又上了台 EJB 服务器;这时想把两台服务器的会话数据放到一个地方, 这个时候就可以实现自己的分布式会话(如把数据放到 Memcached 服务器);

SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD,比如我们想把 Session保存到数据库,那 么可以实现自己的 SessionDAO,通过如 JDBC 写到数据库;比如想把Session 放到 Memcached 中,可以实 现自己的 Memcached SessionDAO;另外 SessionDAO中可以使用 Cache 进行缓存,以提高性能;

CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本 上很少去改变,放到缓存中后可以提高访问的性能

Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密

网络安全成长路线图

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:

# 网络安全学习方法

​ 上面介绍了技术分类和学习路线,这里来谈一下学习方法:
​ ## 视频学习

​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

教IT的小强
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring Boot、Spring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
Shrio 微服务权限控制方案,完美实现!
架构文摘
03-10 1006
来自:blog.csdn.net/to10086/article/details/109573948一、微服务权限设计先说下为什么写这篇文章,因为实际项目需要,需要对我们现在项目页面小到每个部件都要做权限控制,然后查了下网上常用的权限框架,一个是shrio,一个是spring security,看了下对比,都说shrio比较轻量,比较好用。本文我们也选择了shrio来做整个项目的权限框架,同时结合...
3万字《SpringBoot微服务开发——Shiro(安全)》_springboot shiro 微服务
最新发布
2401_84615622的博客
04-26 968
​ Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro可以非常容易的开发出足够好的应用,不仅可以用在JavaSE环境,也可以用在JavaEE环境。下载地址: http://shiro.apache.org/
微服务环境认证和SSO以及Springboot整合JWT+Shiro
郑某某的博客
09-29 1629
微服务环境认证和SSO以及Springboot整合JWT+Shiro
【万字长文】微服务整合Shiro+Jwt,源码分析鉴权实战
qq_47027235的博客
08-02 449
Shiro是什么,我这里就不多介绍了,全网也有好多是介绍ShiroJwt整合的教程,我想要写这篇文章,是因为有好多的内容,基本上都是类似的,自己想要的效果,我并没有找到合适的解决方案。支持RBAC通过JWT生成token,做到无状态能够动态的根据用户角色对当前请求路径进行鉴权,而不是使用Shiro提供的注解,把角色,权限等信息写死对Shiro的异常进行统一捕获和处理Subject(主题):当前“用户”是谁,这个“用户”并不是我们现实世界中的人类,你可以这样理解,向Shiro发起操作的就是一个。
38集19年Shiro视频教程Springboot教程整合Shiro 权限教程微服务教程
07-22
<p><img src="https://img-bss.csdnimg.cn/202102040340365057.png" alt="" /></p> <p><img src="https://img-bss.csdnimg.cn/202102040340429666.png" alt="" /></p> <p><img src="https://img-bss.csdnimg.cn/202102040340502764.png" alt="" /></p> <p><img src="https://img-bss.csdnimg.cn/202102040340594151.png" alt="" /></p>
FEBS-Shiro-2.0.zip
06-04
febs 微服务权限管理系统,包含所有的模板,模块
ims_nacos_gateway+shiro完成认证权限、日志等-Nacos版.rar
06-09
开箱即用的微服务认证授权框架 基本功能: ...3.shiro+redis作为认证授权服务 oaa,提供为网关feign接口,用来验证权限 。 注意: 1.nacos1.1.4的安装包和naocs的配置文件也在压缩包内; 2.项目中有建表sql;
ims_cloud_gateway+shiro完成认证权限、日志等-Euraka版.rar
06-09
开箱即用的微服务认证授权架构 Eureka作为注册中心; 方案一: spring-gateway作为网关,具备熔断,负载,限流,统一操作日志,认证权限拦截等功能 ,过滤器统一异常捕获; shiro+redis作为认证授权服务 oaa,提供为...
SpringBoot与Shiro整合-权限管理实战-课堂笔记.docx
11-14
【SpringBoot与Shiro整合-权限管理实战】的课程主要关注如何将Spring Boot与Apache Shiro框架结合起来,实现高效的安全管理。Spring Boot是Spring框架的一个简化版本,旨在提高开发效率,减少配置工作,同时提供了很...
【重点】springcloud分布式中gateway+shiro+jwt认证流程(思路)
HD243608836的博客
03-06 2647
---> userService查询userInfo,放入上下文中SimpleAuthenticationInfo(便于ShiroUtils.getProfile()获取当前登录的用户信息),返回。----> 去验证(username,password) + accountService.generateToken()---> userService查询role,role查询permission,返回。--> 其它不需要登录的业务模块。--> 不合法已过期,重新登录。--> 合法未过期,放过。
Shiro
Pig-pig-pig的博客
11-19 252
Shiro 1.1简介 Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本的 Shiro 使用,不会过多分析源码等,重在使用。 Shiro 可以非常容易的开发出足够好的应用,其
全网最全面的『分布式微服务权限设计』
犬小哈
07-10 226
一、微服务权限设计先说下为什么写这篇文章,因为实际项目需要,需要对我们现在项目页面小到每个部件都要做权限控制,然后查了下网上常用的权限框架,一个是shrio,一个是spring security。看了下对比,都说shrio比较轻量,比较好用,然后我也就选择了shrio来做整个项目的权限框架,同时结合网上大佬做过的一些spring boot+shrio整合案例。只能说大家图都画的挺好的…,看着大家的...
在JAVA微服务项目中使用shiro全局拦截
ZHOU_0522的博客
02-18 323
微服务项目中使用 Shiro 进行全局拦截时,可以采用以下几种服务架构设计思路:网关层拦截:集中式微服务调用:分布式拦截器模式:基于注解的权限控制:
手把手教你集成spring cloud + shiro微服务框架
11-08 5839
背景 假设我们有很多java实现的项目,认证授权用的是shiro框架,可能还有一个sso单点登录平台 突然有一天,你的项目经理说要做微服务 然后,你就给了你领导很多建议,什么dubbo、什么spring cloud等等;涉及的内容可能方方面面 但是! ???? 该项目经理说:小明,你晚上加加班,花点时间来改造一下现有的项目就好了,我们现有的项目改造起来也不是很麻烦,另外,项目改造微服务不能影响原有的项目计划进度哦 ???? 此时,你的心里万马奔腾 目标 总的来说一句话:用最少的工作量,改造基于s
shiro实现身份验证_微服务中的身份验证和授权如何实现
weixin_26711867的博客
10-13 1442
shiro实现身份验证When moving to microservices, you will come to the conclusion that securing the microservices needs to be tackled in a different way compared to a monolithic application.转向微服务时,您将得出结论,与单片应用...
Shiro学习笔记(四):Shiro中的授权
m0_67402731的博客
08-24 240
授权:即访问控制,控制谁能够访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于没有授权的资源则是无法访问的。
史上最全的微服务权限控制方案
m0_73311735的博客
12-31 1757
1、将shrio和网关gateway放在同一个服务中,但是这就带来一个问题,众所周知,shrio的数据中心realm需要用到用户服务当中的数据(查询用户、角色、权限之间的关系及数据),因此这里shrio就需要使用服务发现组件(我这里用的dubbo)去发现用户服务,但是用户服务中的登录又需要用到shrio的认证,到这里可能有人要说了,可以在用户服务中再去远程调用shrio服务啊,如果这种方法可以的话大家就可以用这种方法就不用往下看了…所以这就造成两个服务耦合在一块儿去了,这种方法直接pass掉。
微服务网关和shiro区别
09-01
shiro可以与各种应用进行集成,可以用于传统的单体应用,也可以用于微服务架构中的每个微服务,实现微服务内的安全控制。 因此,微服务网关和shiro的区别主要体现在两个方面。 首先,在功能上,微服务网关主要用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值