shiro框架的基本理解

最新推荐文章于 2023-01-02 16:40:31 发布
最新推荐文章于 2023-01-02 16:40:31 发布
阅读量636 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67402341/article/details/124344769
版权
1.简介

shiro是一个安全框架,可以进行认证、授权、密码加密、会话管理

从外部来解析shiro框架:

**Subject:**主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

**SecurityManager:**安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

**Realm:**域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

1.1功能:

**Authentication:**身份认证/登录,验证用户是不是拥有相应的身份;

**Authorization:**授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

**Session Manager:**会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

**Cryptography:**加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

**Web Support:**Web支持,可以非常容易的集成到Web环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

**Concurrency:**shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

**Testing:**提供测试支持;

**Run As:**允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

**Remember Me:**记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了

2.如何搭建shiro

2. 1web. xml 配置

使得shiro配置能够生效

  </filter-mapping>
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

2.2 spring-shiro.xml

注意配置信息的","分隔都是以并且的关系

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://www.springframework.org/schema/beans   
                        http://www.springframework.org/schema/beans/spring-beans-3.1.xsd"  
    > 
    <!-- 安全管理者 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
        <property name="realm" ref="shiroDbRealm" />  
        <property name="cacheManager" ref="cacheManager" />  
    </bean>  
  
    <!-- 項目自定义的Realm 继承AuthorizingRealm类  用来获取数据库信息-->  
    <bean id="shiroDbRealm" class="com.bypx.shiro.ShiroRealm">  
        <property name="cacheManager" ref="cacheManager" />  
    </bean>  
    <!-- Shiro Filter -->  
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
        <property name="securityManager" ref="securityManager" /> 
         <property name="loginUrl" value="/login.jsp" />  
        <property name="successUrl" value="/view/index.jsp" />  
        <property name="unauthorizedUrl" value="/error/error.jsp" />  
        <property name="filterChainDefinitions">  
            <value>  
            	<!-- 
            		anon  不需要认证
            		authc   需要认证
            		 /view/* 只包括子路进,子路进之下的就不起效
            		 /**  所有子孙路径

3 简单使用

3.1 如何调用

    UsernamePasswordToken token =new UsernamePasswordToken(name,password);
    Subject subject=SecurityUtils.getSubject();
    System.out.println(name);
    try {
        subject.login(token);//会调用Reaml的认证的内容
      /*  返回成功页面  */
    } catch (Exception e) {
       /*  返回失败页面  */
        }

3.2 Reaml部分

public class ShiroRealm extends AuthorizingRealm{
?? ?@Autowired
?? ?private UserDao dao;
?? ?//授权方法
?? ?protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
?? ??? ?System.out.println("------授权------");
?? ??? ?String name=(String)arg0.getPrimaryPrincipal();
?? ??? ?User user=dao.getByAccount(name);
?? ??? ?SimpleAuthorizationInfo? info=new SimpleAuthorizationInfo();
?? ??? ?List<Role> roleList=user.getRoles();
?? ??? ?//获取所有的角色和权限信息存入info 
?? ??? ?for(int i=0;i<roleList.size();i++){
?? ??? ??? ?info.addRole(roleList.get(i).getFlag());
?? ??? ??? ?List<Permission> perList=roleList.get(i).getPermissions();
?? ??? ??? ?for (int j = 0; j <perList.size(); j++) {
?? ??? ??? ??? ?info.addStringPermission(perList.get(j).getFlag());
?? ??? ??? ?}
?? ??? ?}
?? ??? ?return info;
?? ?}
?? ?//认证方法
?? ?protected AuthenticationInfo doGetAuthenticationInfo(
?? ??? ??? ?AuthenticationToken arg0) throws AuthenticationException {
?? ??? ??? ?System.out.println("------认证------");
?? ??? ??? ?UsernamePasswordToken token=(UsernamePasswordToken)arg0;
?? ??? ??? ?token.setRememberMe(true);//设置添加cookie
?? ??? ??? ?Subject subject=SecurityUtils.getSubject();//SecurityUtils以获取到我们的全局的资源,和当前的线程相关的
?? ??? ??? ?String name=token.getUsername();//获取登陆的用户名
?? ??? ??? ?User user=dao.getByAccount(name);//查询是否有这个用户
?? ??? ??? ?if (user==null) {
?? ??? ??? ??? ?new AuthenticationException();//没有则抛出一个异常
?? ??? ??? ?}
//若有这个用户在进行密码的对比
??? ??? ??? ?SimpleAuthenticationInfo info=new? SimpleAuthenticationInfo(name,user.getPassword(),getName());// 此处数据库密码并没有加密
?? ??? ??? ?return info;
?? ?}

}

4. shiro标签使用

新建jsp页面,引入shiro标签 <%@ taglib prefix=“shiro” uri=“http://shiro.apache.org/tags”%>

4.1认证标签

<form action="login.do" >
用户名<input type="text" name="name">
密码<input type="password" name="password" >
<input type="submit">
</form>

对于用户分为以下的三种<br>
游客<br>
未登录用户<br>
登陆用户<br>
guest<shiro:guest>游客</shiro:guest><br>
user<shiro:user>用户</shiro:user><!--有cookie 或是Session --><br>
authenticated<shiro:authenticated>登陆用户</shiro:authenticated><br>
notAuthenticated<shiro:notAuthenticated>未登录用户</shiro:notAuthenticated><br>
principal<shiro:principal>输出当前用户信息,通常为登录帐号信息</shiro:principal>

4.2权限标签

hasRole 验证当前用户是否属于该角色

lacksRole 与hasRole标签逻辑相反,当用户不属于该角色时验证通过

hasAnyRole 验证当前用户是否属于以下任意一个角色。
hasPermission 验证当前用户是否拥有指定权限

lacksPermission 与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过。

	<shiro:hasAnyRoles name="admin,manager">
	<br> 个人办公
	</shiro:hasAnyRoles>
	<br>
	<shiro:hasRole name="admin">
	<br> 公文管理
	</shiro:hasRole>
	<br>
	<shiro:lacksRole name="manager">
	<br> 行政办公
	</shiro:lacksRole>
	<br>
	<shiro:hasPermission name="p1">
	<br> 公共信息
	</shiro:hasPermission>
	<br>
	<shiro:lacksPermission name="p2">
	<br> 权限管理
	</shiro:lacksPermission>
	<br>
	<br>

5其他

5.1注销功能

Subject subject=SecurityUtils.getSubject();

subject.logout();//调用注销功能 可以清除cookie内容

5.2会话功能

可以使用subject获取Session

Session session=SecurityUtils.getSubject().getSession();

session.setAttribute(“name”, “459”);//存入你想存放在Session的数据

m0_67402341
关注
专栏目录
shiro权限鉴定框架
yu_kang的博客
08-07 1402
如果你看到这篇文章,你一定知道shiro是干嘛用的,如果真的真的不知道。。。 那么请先移步:shiro 。 。 。 好了,聪明的你现在一定知道shiro是干嘛用的了,你应该知道,shiro不是web框架,所有你要先搭建好一个web项目,我这里用的是ssm,你也可以用比好好玩的jFianl或者nutz。那么怎么去用呢。 maven示例 springMVC配置文件 web.xml ...
Shiro框架详解
最新发布
qq_39756007的博客
02-21 852
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
shiro 框架认识过程
leeta的博客
08-06 414
关键对象: Subject:主体:访问系统的用户,进行认证的都称为主体; Principal:身份信息:是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。 credential:凭证信息:是只有主体自己知道的安全信息,如密码、证书等。 主体(Subject),主体需要访问系统中的资源。 资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如
认识Shiro框架
宇宙浪子
04-09 2183
Shiro三大组件: Subject:Subject一般来说代表当前登录的用户,我们可以在自己的代码中很容易的获取到Subject对象 SecurityManager:它是shiro框架的核心。Subject代表某一个用户,而SecurityManager就是对这些Subject进行管理的对象,在web项目中使用shiro的时候,我们通常在xml文件中配置好SecurityManager
Shiro】初步认识Shiro安全框架
源僧
12-11 435
Apache Shiro一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。
shiro框架教程
07-17
Shiro框架的设计理念是简单易用,它提供了易于理解和操作的API,使其在Java项目中广泛应用。与Spring Security相比,Shiro虽然功能相对简单,但它更加轻量级,适用于不需要过于复杂安全功能的应用。 Shiro框架的...
公司培训的shiro框架 可以下载看一下
12-01
Apache Shiro一个强大的Java安全框架,它提供了身份验证、授权(权限控制)、会话管理和加密服务等功能,使得在开发过程中可以轻松地实现安全控制。...记得动手实践,理论结合实际,才能更好地掌握Shiro框架
Shiro框架从入门到实战
06-09
本教程"Shiro框架从入门到实战"将带你全面了解和掌握这个框架,以实现高效的Web网站权限管理。 首先,我们要理解Shiro基本概念: 1. **身份验证(Authentication)**:这是用户身份确认的过程,通常涉及用户名和...
初学Shiro框架项目
12-23
初学者在接触Shiro框架时,可能会遇到各种概念和配置,本项目旨在帮助新手理解如何利用Shiro来实现权限管理,特别是针对不同角色显示不同菜单的功能。 首先,Shiro的核心组件包括Subject、Realm、Session管理和...
浅析Shiro安全框架
qq_42499816的博客
01-15 371
浅析Shiro安全框架 Shiro功能介绍 下面介绍一下各功能点的意思: **Authentication:**身份认证/登录,验证用户是不是拥有相应的身份; **Authorization:**授权,即权限验证,验证某个已认证的用户是否拥有某个权限;就是说判断这个用户是否能做事情,例如:细粒度的验证某个用户对某个资源是否具有某个权限。 **Session Management:**回话管理,即...
shiro框架了解与入门
lxn1214的博客
08-14 256
安全框架shiro 1.RBAC介绍 RBAC是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。 在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限. RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离,极
Shiro框架总结
cxmengxin的博客
07-08 1131
Shiro框架总结 一、Shrio框架 1、Shiro介绍 (1)RBAC Shiro是一款基于资源的访问控制框架即RBAC(Resource-Based Access Control),其将安全认证等相关功能全部提取出来抽象成了一个框架,使用Shiro能够轻松方便的完成认证、授权、加密等功能的开发。 (2)角色(roles)与权限(Permission) 角色与权限是Shiro认证授权的核心概念。在用户登录时,Shiro对用户进行认证,并授予其相应的角色,而角色也有其对应的权限,根据角色所具有的权限从而可
Shiro框架 (原理分析与简单实现)
weixin_30497527的博客
10-23 363
Shiro框架(原理分析与简单实现) 有兴趣的同学也可以阅读我之前分享的:Java权限管理(授权与认证)CRM权限管理 (PS : 这篇博客里面的实现方式没有使用框架,完全是手写的授权与认证,可以帮助理解Shiro框架) https://www.cnblogs.com/yly-blog/p/7283541.html 如果发现分享的内容有不合理或者的不对地方,请留言,我会及时定位分析,...
Shiro框架基本知识及应用
Forever Young
07-29 7585
1. Shiro 基本知识 1. 目前市面主流的安全框架shiro:轻量级的,使用很方便,灵活,是apache提供的,在任何框架的 SpringSecurity:是Spring家族的一部分,很多项目中会使用spring全家桶,相对与shiro来说,springSecurity更重量级,必须要求spring环境;相对shiro而言,功能更强大 2. 什么是Shiro? Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功
二十三、shiro安全框架详解(一)
kejizhentan的博客
01-02 1395
shiro权限框架详解第一部分
apache shiro框架
魔法革1996
07-12 566
官网:shiro.apache.org下载文件:    (1)shiro框架的核心功能:    认证        授权            会话管理                加密(2)shiro框架的认证流程        Application Code:应用程序代码,由开发人员负责开发的    Subject:框架提供的接口,代表当前用户对象    SecurityManager:框...
Shiro安全框架最全面解析
S_mengyong的博客
06-28 1316
Shiro 一、权限框架介绍 1. 什么是权限管理 权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值