shiro框架java使用

最新推荐文章于 2024-04-30 16:38:31 发布
最新推荐文章于 2024-04-30 16:38:31 发布
阅读量334 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67401606/article/details/124344666
版权

大纲

Shiro****简介及架构图讲解

ini****配置文件讲解

Shiro****搭建及简单认证实现

加密及凭证匹配器

Spring整合Shiro完成登录功能.

知识点详解

一、Shiro简介

1.Shiro一个Java权限框架.

1.1在项目中把涉及到权限的业务提出来用shiro完成.

2.Shiro架构图

2.1 Subject 主体.对应一个用户,用户所有的信息都存放在Subject中.无论什么编程语言只要有Subject都可以使用Shiro框架.

2.2 Cryptography: Shiro密码管理功能.

2.2.1 密码加密,加盐,迭代等等.

2.3 Security Manager: 权限管理器.Shiro核心内容.所有Shiro功能都封装到Security Manager

2.4 Authenticator: 认证器. 例如登录注册等功能就属性认证功能.

2.5 Authorizer:授权器. 例如:判断用户是否具有某个角色,判断用户是否有某个权限,判断用户可以访问的菜单.

2.6 Session Manager : Session管理器.使用Shiro后,shiro会禁用HttpSession,使用Shiiro自己的Session管理器.

2.7 Cache Manager : 缓存管理. 支持Cookie的缓存(remember me),支持Redis的缓存.

2.8 Realm: 域.作用是当Shiro希望访问数据库时,通过Realm组件完成的.

二、Shiro.ini文件

1.ini (InitializationFile) 初始文件.Window系统文件扩展名.

2.Shiro 使用时可以连接数据库,也可以不连接数据库.

2.1 如果不连接数据库,可以在shiro.ini中配置静态数据.

3. Shiro.ini文件组成部分

3.1[main] :定义全局变量

3.1.1 内置securityManager对象.

3.1.2 操作内置对象时,在[main]里面写东西

[main]

securityManager.属性=值

myobj=com.bjsxt.lei

securityManager.对象属性=$myobj

3.2[users] :定义用户名和密码

[users]

# 定义用户名为zhangsan 密码为zs

zhangsan=zs

# 定义用户名lisi密码为lisi同时具有role1和role2两个角色

lisi=lisi,role1,role2

3.3[roles]: 定义角色

[roles]

role1=权限名1,权限名2

role2=权限3,权限4

3.4[urls] : 定义哪些内置urls生效.在web应用时使用.

[urls]

url地址=内置filter或自定义filter

# 访问时出现/login的url必须去认证.支持authc对应的Filter

/login=authc

# 任意的url都不需要进行认证等功能.

/** = anon

# 所有的内容都必须保证用户已经登录.

/**=user

# url abc 访问时必须保证用户具有role1和role2角色.

/abc=roles[“role1,role2”]

三、Shiro 环境搭建实现认证

认证流程

实现步骤

2.1 在pom.xml中导入jar

<dependencies>

<dependency>

<groupId>org.apache.shiro</groupId>

<artifactId>shiro-core</artifactId>

<version>1.3.2</version>

</dependency>

</dependencies>

2.2 在src /java/resources下新建shiro.ini文件

[users]

zhangsan=zs

2.3 编写代码,实现认证

// SecurityManager JDK也有这个类,在java.lang包

Factory factory = new IniSecurityManagerFactory(“classpath:shiro.ini”);

SecurityManager sm = factory.getInstance();

// 只要线程不变,Subject不变

SecurityUtils.setSecurityManager(sm);

Subject subject = SecurityUtils.getSubject();

// Subject subject = (new Subject.Builder()).buildSubject();

// 客户端传递过来的用户名和密码

UsernamePasswordToken token = new UsernamePasswordToken(“zhangsan”, “zs”);

try {

subject.login(token);

System.out.println(“登录成功”);

} catch (UnknownAccountException e) {

System.out.println(“账户不存在”);

} catch (IncorrectCredentialsException e) {

System.out.println(“密码错误”);

}

四、实现授权

1.流程图

2.常用api

2.1 subject.hasRole(“”); 判断是否有角色

2.2 subject.hashRoles(List);分别判断用户是否具有List中每个内容

2.3 subject.hasAllRoles(Collection);返回boolean,要求参数中所有角色用户都需要具有.

2.4 subject.isPermitted(“”);判断是否具有权限.

五、自定义Realm

1. Principal:身份

1.1 用户名可以是身份

1.2 邮箱可以是身份.

1.3 手机可以是身份.

1.4 用户对象也可以是身份.

2.Credentials:凭证.

2.1 密码可以是凭证

2.2 证书也是可以是凭证.

3. SecurityManager接口只有一个普通java类DefaultSecurityManager

4. 实现步骤:

4.1 新建类继承AuthorizingRealm

4.2 在doGetAuthenticationInfo实现认证过程.

4.3 代码

public class MyRealm extends AuthorizingRealm{

//执行授权方法

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

// TODO Auto-generated method stub

return null;

}

//执行认证

//当subject.login()时自动调用该方法

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

Object obj = token.getPrincipal();

System.out.println(“principal:”+obj);

Object obj2 = token.getCredentials();

new String((char[])obj2);

System.out.println(“credentials:”+new String((char[])obj2));

//如果方法返回值为null,shiro认为用户名不存在.

//如果返回值不是null,判断AuthenticationInfo中凭证和subject.login时凭证是否匹配

//第一个参数: 第一个参数写什么以后登录这个用户的身份就是什么.

//第二个参数是从数据库中取出的凭证信息,判断这个信息和subject.login()第二个参数是否匹配.

//第三个参数:都是用户主键值.

SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(obj, “zs”, “myrealm”);

return info;

}

}

4.4 在shiro.ini中配置自定义Realm

[main]

myrealm=com.bjsxt.realm.MyRealm

securityManager.realms=$myrealm

4.5 执行subject.login()调用doGetAuthenticationInfo

六. 凭证匹配器

1. 保证数据库中密码是加密的密码

2.在shiro.ini中配置凭证匹配器

[main]

myrealm=com.bjsxt.realm.MyRealm

# 定义凭证匹配器类

credentialsMatcher =org.apache.shiro.authc.credential.HashedCredentialsMatcher

# 设置加密算法

credentialsMatcher.hashAlgorithmName=md5

# 迭代次数

credentialsMatcher.hashIterations=2

# 引用凭证匹配器

myrealm.credentialsMatcher=$credentialsMatcher

securityManager.realms=$myrealm

3.在自定义realm中

3.1 第三个参数:加盐值. 类型是ByteSource类型,bytes()跟字符串类型,不能使用Long

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(token.getPrincipal(),rs.getObject(“password”),

ByteSource.Util.bytes(rs.getObject(“id”).toString()) ,“key:”+rs.getObject(“id”));

七、自定义Realm中-doGetAuthorizationInfo()

1.该方法被执行情况

  1. java中hasRole() , isPermitted();
  2. 使用注解

@RequiresRoles(“role1”)

@RequiresPermissions(“”)

2.在jsp中标签

<%@ taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %>

<shiro:hasRole name=“role1”>

abc

</shiro:hasRole>

<shiro:hasPermission name=“quanxian”>

jqk

</shiro:hasPermission>

m0_67401606
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java---Shiro框架
weixin_67224308的博客
07-31 1330
Apache Shiro 是一个功能强大且易于使用Java 安全(权限)框架Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。下载地址。
java之路 —— Shiro与Springboot整合开发
m0_68987535的博客
06-29 1129
在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 3968
Shiro入门概述与基本使用
基于Javashiro框架介绍和使用
小蜜蜂vs码农
04-30 242
基于Javashiro框架介绍和使用
JAVAWEB开发之权限管理(二)——shiro入门详解以及使用方法、shiro认证与shiro授权
m0_54850825的博客
08-17 1050
上边的程序中使用的是Shiro自带的iniRealm。iniRealm从配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义Realm。// 设置Realm的名称@Override}// 支持UsernamePasswordToken@Override}// 用于认证@Override// token是用户输入的// 第一步从token中取出身份信息// 第二步:根据用户输入的usercode从数据库查询// 如果查询不到返回null。...
Shiro的配置及使用
qq_45733154的博客
10-21 2797
Shiro,Springboot整合Shiro,Shiro实现登录拦截,Shiro实现用户认证,用户授权,Shiro整合Thymeleaf
java集成shiro框架shiro.rar
09-13
java集成shiro框架,全jar 包,java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架
Java安全框架Shiro电子书
04-07
Apache ShiroJava 的一个安全框架。目前,使用Apache Shiro 的人越来越多,因为它相 当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以...
基于Java的Apache Shiro安全框架设计源码
最新发布
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
基于Extjs4和ShiroJava权限管理框架设计源码
04-04
本设计源码提供了一个基于Extjs4和ShiroJava权限管理框架。项目包含2062个文件,主要使用JavaScript、Java和CSS编程语言。文件类型包括1598个GIF图片文件、281个PNG图片文件、50个JavaScript脚本文件、44个Java源...
Apache Shiro 框架简介
01-11
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:  认证 – 用户身份识别,常被称为用户“登录”; 授权 – 访问控制; 密码加密 – 保护或隐藏数据防止被偷窥; ...
Shiro最全基础教程
思月行云
10-18 2362
以下引自百度百科shirojava安全框架)_百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(一)主要功能三个核心组件:Subject,SecurityManager 和 Realms。
java shiro_shiro的入门级使用(纯java应用)
weixin_40001309的博客
02-12 333
1. 创建一个新的java应用(maven)在pom文件中引入如下依赖:org.apache.shiroshiro-core1.4.0org.slf4jslf4j-log4j121.7.2commons-loggingcommons-logging1.2工程结构如下图:2. 通过配置文件的方式使用shiro(1)在resources文件夹下新增TestShiro.ini配置文件,内容如下:#[ma...
一个Java的权限框架-Shiro
奔走的王木木Sir的博客
06-14 3271
Shiro可以做什么?可以完成认证、授权、加密、会话管理等
shirojavaweb中最简单的使用
炎溟墨的博客
07-08 1163
项目的搭建 1.使用maven的webapp模板搭建一个javaweb项目. 2.将目录结构设置成如下截图: 3.在pom.xml中导入如下依赖: 4.在resources文件夹中写一个shiro.ini的配置文件,文件内容如下: 5.为了证明我们的shiro.ini能用,我们在java文件夹下建一个测试用的包my.shiro.test.,在里面写一个test.java ...
shiro基本配置
m0_67393413的博客
08-24 280
”.equals(password)){if(hexpassword.equals(user.getPassword())){System.out.println(“验证成功”);
Android APP安全测试Checklist
热门推荐
Adam的博客
12-08 7万+
前言此文档旨在大家提供Android平台APP安全风险与漏洞相关的一般性Checklist,保障安全评估测试的基础质量与效率。配置安全发布状态检查该类漏洞的审查场景:发布的代码未启用代码混淆、未关闭调试模式、未关闭不必要的日志输出、或者含有内网IP地址等信息漏洞类型说明:发布状态检查:如果APP未启用代码混淆或者其他抵抗分析的机制,或者在AndroidManifest.xml中定义了android...
java web网站中使用shiro实现前后台登录功能
三郎的博客
03-29 1万+
年前公司网站需要重新开发一个新版本,在架构设计上废了一些劲,我项目架构大概是这样:Spring作为容器,Mybatis做数据持久层,SpringMVC做控制层,Shiro做为安全框架,页面使用tomdjs引擎,大概是这样,由于是功能型网站,需要有前后台登录,后台需要审核以及数据统计和分析等等,所以涉及到了两端登录,这里不多说,直接上关键代码: <bean id="defineModularRea
Java spring 使用shiro框架
08-20
### 回答1: Java Spring 框架可以使用 Apache Shiro 框架来实现身份验证、授权、加密和会话管理功能。...无论是保护敏感数据,还是实现多角色权限管理,使用Java Spring与Shiro框架都可以提供一种优雅的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值