shiro整理1-----介绍shiro的整体思路

最新推荐文章于 2024-04-25 13:56:39 发布
最新推荐文章于 2024-04-25 13:56:39 发布
阅读量421 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392273/article/details/124344393
版权

再回首,三年过去了,上次本来准备好好整理下,没想到疫情让工作发生了变化,就此暂停。

如今,依然是工作需要,接着整理一下多年前扔一边的知识点吧。

--------------------------------------------

一、整体介绍

Apache Shiro 是 Java 的一个安全框架。而且使用的人也越来越多,设计的API也很简单。用起来还是不错的。

基本功能来说:身份认证、权限认证、会话管理、加密管理。

这是shiro最核心的一些功能,对于一个后台系统来说,基本上也决定了一些逻辑架构的格式,很多小伙伴愿意或者不愿意使用shiro,其实都是这个结构影响的。个人觉得,习惯了这种逻辑表述以后,shiro还是非常不错了。

-----------------------------------------

除此之外,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。

二、shiro初视

从外部来看,shiro构建了一个黑盒子。

(1)包装

对于每一个进入系统大门的客人来说,shiro把他包装成一个Subject,翻译过来是主题的意思。其实,说的简单点,就是一个访问者。

所以,访问者的shiroAPI集合,就是Subject。

也就是说,一个访问者,如果要进入你系统,第一步就是利用shiro包装成Subject。

(2)控制

shiro的安全管理,是通过自己的安全管理器来完成的。

这个东西叫SecurityManager。这是shiro的核心,不过我们也不需要太深入研究源码。一切为了使用,为了理解思路。

(3)数据域

shiro的控制虽然是自己完成,但是如何控制的策略,始终是需要录入一些数据源的。

哪些人可以进入,可以进入做什么,这些都是需要配置进去的,这东西在shiro中就是域。

这部分shiro的思路也很简单,做了一个大方向上的解耦。

把控制本身和要控制的策略数据分开来做,对于控制本身,给我们做成黑盒子的,省去我们的研究,相当于控制引擎隔离出去了,其实也挺好的。

(4)总结

总结下,shiro其实就这么简单,包装–控制—数据域。

说来说去,也不过是走了这么个流程而已。

好了,后面有时间,在写写它的组件。但大体思路就是这的。

m0_67392273
关注
专栏目录
shiro授权设计的两种思路
05-03
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2434891
Apache Shiro系列四,概述 —— Shiro的架构
weixin_30843605的博客
12-06 138
Shiro的设计目标就是让应用程序的安全管理更简单、更直观。 软件系统一般是基于用户故事来做设计。也就是我们会基于一个客户如何与这个软件系统交互来设计用户界面和服务接口。比如,你可能会说:“如果用户登录了我们的系统,我就给他们显示一个按钮,点击之后可以查看他自己的账户信息。如果没有登录,我就给他显示一个注册按钮。” 上述应用程序在很大程度上是为了满足用户的需求而...
Shiro 框架-Shiro的简介和设计思想
Warkey1998的博客
08-18 653
Apache ShiroJava 的一个安全框架,相比较其他安全框架更简单容易上手,学习成本低。强大易用的shiro框架提供认证Authentication,授权Authorization,加密Encryption,会话管理Session Management,可以在JavaSE,JavaEE坏境下使用,一般用于JavaEE当中 Shiro 框架的优点 > 简单的身份认证...
shiro框架了解与入门
lxn1214的博客
08-14 259
安全框架之shiro 1.RBAC介绍 RBAC是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。 在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限. RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离,极
shiro框架基础--shiro框架概念及原理
m0_69745415的博客
05-10 349
authenticator:认证器,主体进行认证最终通过authenticator进行 authorizer:授权器,主体进行授权最终通过authorizer进行 sessionManager:web应用中一般是用web容器对session进行管理,shiro也提供了一套session管理方式 SessionDao:通过SessionDao管理session数据,以下是SessionDao的方法 public interface SessionDAO { /* 《一线大厂Java面试题解析+后端开发学习笔记
shiro 内存马_Tomcat 内存马检测
weixin_39637921的博客
12-22 1535
随着HW、攻防对抗的强度越来越高,各大厂商对于webshell的检测技术愈发成熟,对于攻击方来说,传统的文件落地webshell的生存空间越来越小,无文件webshell已经逐步成为新的研究趋势。三月底针对tomcat内存马的检测写了一个demo,但由于对Maven打包理解不深,整个项目结构比较糟糕。国庆前偶然发现LandGrey师傅的copagent项目,在该项目基础上进行了重构,并于本文中记录...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1383
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
2024全新Java学习路线图一条龙(视频+课件+源码资料)
最新发布
码农王也的博客
04-25 1688
互联网浩瀚无际,你能来到这里,是机遇也是缘分,机遇,就像我的标题一样,你找到了一份Java 360度无死角的 Java 学习路线,而缘分让我们相遇,注定给你的学习之路搭上一把手,送你一程。整条线路除了拥有后端整个技术体系外,还涵盖了前端、大数据、云计算、运维等各大领域。在这十八般武艺汇聚全身的同时,这条学习路线也拥有着独有的特色和着重点,比如加入了极为重要且业内稀缺的基本功修炼——六套计算机基础类课程。还有多套Java基础类课程,多维度讲解帮助学习者入门。
shiro 整理
chris
05-12 169
shiro进行权限控制的四种方式 URL拦截权限控制:基于filter过滤器实现 @Bean("shiroFilter") public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManag
Shiro(一):Shiro介绍及主要流程
weixin_34250709的博客
06-10 124
什么是Shiro Apache Shiro是一个强大且灵活的开源安全框架,易于使用且好理解,撇开了搭建安全框架时的复杂性。 Shiro可以帮助我们做以下几件事: 认证使用者的身份 提供用户的访问控制,比如: 决定一个用户是否被授予某个特定的安全角色 决定用户是否允许做某件事 可以在任何环境中使用Session API,不在局限于web或是EJB容器中 可以在认证,访问控制或是sessi...
小白的shiro学习路线
Ares_song的博客
09-11 1231
1.权限管理 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 用户身份认证 身份认证,就是判断一个用户是...
shiro笔记(一)shiro是什么,他的架构原理是什么,实现流程是什么
一天不写代码难受的博客
08-02 319
目录前提Shiro 简介Shiro官方解释核心功能Shiro 架构原理1第一行2Subject3Security Manager4Authenticator5Authorizer6Session Manager7Cache Manager8Session DAO9Realms解释以上的图shiro实现的流程 前提 Java代码+ rbac 的数据库思想 就可以实现不同角色,实现不同功能 Shiro 简介 目前市场上专门的Java权限框架有Apache Shiro 和 Spring Security。相较于
Shiro————核心设计思想
Morty的技术乐园
09-14 2万+
引言 以此篇博客为引,开启一个新的专栏分类——Shiro。 之前在工作中有比较快速的学习过Shiro安全框架,但经过一年的荒废,已经不是很熟悉了,通过这个系列,深入研究和学习Shiro的一些知识,填补安全管理方面的知识漏洞。使我们在web 开发领域更具竞争力,不做只会CRUD的程序员! 一、Shiro介绍 Shiro是一个Java安全框架,执行身份验证、授权、密码、会话管理。Shiro是A...
java 动态部署原理_Java服务器热部署的实现原理
weixin_36171927的博客
02-13 485
转自:http://blog.csdn.net/chenjie19891104/article/details/42807959在web应用开发或者游戏服务器开发的过程中,我们时时刻刻都在使用热部署。热部署的目的很简单,就是为了节省应用开发和发布的时间。比如,我们在使用Tomcat或者Jboss等应用服务器开发应用时,我们经常会开启热部署功能。热部署,简单点来说,就是我们将打包好的应用直接替换掉原...
Java高级工程师面试题整理
喜欢猪猪
06-11 6634
面试题: HashMap底层实现原理,红黑树,B+树,B树的结构原理,volatile关键字,CAS(比较与交换)实现原理 Spring的AOP和IOC是什么?使用场景有哪些?Spring事务,事务的属性,传播行为,数据库隔离级别 Spring和SpringMVC,MyBatis以及SpringBoot的注解分别有哪些?SpringMVC的工作原理,SpringBoot框架的优点,MyBatis框架的优点 SpringCould组件有哪些,他们的作用是什么?(说七八个)微服务的CAP是什么?B.
Shiro简单整理
Hugiee的博客
02-20 125
Subject: 代表当前登陆或者访问的用户; Realms:域,一般是指存储用户信息(用户名,密码,权限,角色)的数据库,也就是保存用户权限等信息的数据源; SecurityManager:shiro安全管理的顶级对象。它集合或者说调用所有其它相关组件,负责所有安全和权限相关处理过程,就像一个中央集权政府; SessionManager: 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中; 权限控制过滤器: anon为游客可访问, authc为需要登录之后才..
shiro原理及其运行流程介绍
热门推荐
mine_song的博客
03-12 6万+
shiro原理及其运行流程介绍
shiro将session认证改成token认证_Shiro 运行过程
weixin_42438410的博客
01-19 1459
什么是shiroshiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权、 shiro架构subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。securityManager:安全管理器,主体进行认证和授权都是通过securityManager进行。authenticator:认证器,主体进行认证最终通过authenticator...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值