自学Shiro框架笔记

最新推荐文章于 2023-06-01 11:44:57 发布
最新推荐文章于 2023-06-01 11:44:57 发布
阅读量218 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67403073/article/details/124488306
版权

Shiro框架入门

一、Shiro概述

1.1 什么是Shiro


  Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。
  对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。

1.2 shiro特性

在这里插入图片描述

  • Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;
  • Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限。如:验证某个用户是否拥有某个角色,或者细粒度的验证某个用户对某个资源是否具有某个权限。
  • Session Management:会话管理。用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中。会话可以是普通 JavaSE 环境,也可以是 Web 环境。
  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
  • Web Support:Web 支持,可以非常容易的集成到 Web 环境;
  • Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
  • Concurrency:多线程应用的并发验证,如在一个线程中开启另一个线程,能把权限自动传播过去;
  • Testing:提供测试支持;
  • Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
  • Remember Me:记住我,即一次登录后,下次再来的话不用登录了。

1.3 shiro三层架构

在这里插入图片描述

Subject:当前用户;SecurityManager:管理所有用户; Realm:连接数据。

  1. Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 - Subject 认为是一个门面;SecurityManager 才是实际的执行者;
  2. SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行交互,如果学习过 SpringMVC,你可以把它看成 DispatcherServlet 前端控制器;
  3. Realm:域,Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。

二、Shiro快速开始

1.添加依赖
2.配置resources
3.配置Java类:Quickstart.java

// 获取当前用户对象Subject
Subject currentUser = SecurityUtils.getSubject();
// 通过当前用户获取Sessiion
Session session = currentUser.getSession();
currentUser.isAuthenticated()   // 判断当前的用户是否被认证
currentUser.getPrincipal()      // 获取当前用户角色
currentUser.hasRole("schwartz") //判断当前用户是否有"schwartz"角色
currentUser.isPermitted("lightsaber:wield")       //判断是否有"lightsaber:wield"权限,粗粒度
currentUser.isPermitted("winnebago:drive:eagle5") //判断是否有"lightsaber:wield"权限,细粒度
currentUser.logout()            //注销

三、SpringBoot整合Shiro

  1. 导入依赖

    org.projectlombok lombok org.springframework.boot spring-boot-starter-thymeleaf org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-starter-test test mysql mysql-connector-java 8.0.28 log4j log4j 1.2.17 com.alibaba druid 1.2.8 org.mybatis.spring.boot mybatis-spring-boot-starter 2.2.2 org.apache.shiro shiro-spring-boot-web-starter 1.8.0 com.github.theborakompanioni thymeleaf-extras-shiro 2.1.0

  2. MyBatis配置文件

    spring:
    datasource:
    username: root
    password: root
    url: jdbc:mysql://localhost:3306/oa?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=utf-8
    driver-class-name: com.mysql.jdbc.Driver
    type: com.alibaba.druid.pool.DruidDataSource #使用Druid连接池
    #Druid数据源专有配置
    initialSize: 5
    minIdle: 5
    maxActive: 20
    maxWait: 60000
    mybatis:
    type-aliases-package: com.myapps.springdata.pojo
    mapper-locations: classpath:mapper/*.xml

  3. MyBatis数据层(pojo、dao=mapper、service)

    //1.pojo类
    @Data
    @AllArgsConstructor
    @NoArgsConstructor
    public class User {
    private String username;
    private String password;
    private String right;
    }
    //2.mapper接口(dao层)
    @Repository
    @Mapper
    public interface IUserMapper {
    User findByName(String username);
    }
    //3.mapper.xml文件

    <?xml version="1.0" encoding="UTF-8" ?> select * from USER_INFO where USERNAME = #{username} //4.service层 public interface IUserService { User findByName(String username); } @Service public class UserService implements IUserService{ @Resource private IUserMapper userMapper; @Override public User findByName(String username) { return userMapper.findByName(username); } }

  4. controller层

    @Controller
    public class IndexController {
    @RequestMapping({“/”,“/index”,“index.html”})
    public String toIndex(Model model){
    model.addAttribute(“msg”,“Springboot整合shiro”);
    return “index”;
    }
    @RequestMapping(“/add”)
    public String toAdd(){
    return “user/add”;
    }
    @RequestMapping(“/update”)
    public String toUpdate(){
    return “user/update”;
    }
    @RequestMapping(“/toLogin”)
    public String toLogin(){
    return “login”;
    }
    @RequestMapping(“/login”)
    public String login(String username,String password,Model model){
    Subject currentUser = SecurityUtils.getSubject(); //获取当前用户
    UsernamePasswordToken token = new UsernamePasswordToken(username,password);//封装用户登录数据
    try {
    currentUser.login(token); //执行了登录
    return “index”;
    } catch (UnknownAccountException e) {
    model.addAttribute(“msg”,“用户名不存在!”);
    return “login”;
    } catch (IncorrectCredentialsException e) {
    model.addAttribute(“msg”,“密码不正确!”);
    return “login”;
    }
    }
    @RequestMapping(“/unAuth”)
    @ResponseBody
    public String unAuth(){
    return “对不起,您无权访问,请先开通会员!”;
    }
    }

  5. 登录拦截ShiroConfig

    @Configuration
    public class ShiroConfig {
    //ShiroFilterFactoryBean:Subject 登录拦截
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier(“manager”) DefaultWebSecurityManager manager){
    ShiroFilterFactoryBean been = new ShiroFilterFactoryBean();
    been.setSecurityManager(manager);//设置SecurityManager
    //添加Shiro内置过滤器 anno:无需认证 authc:必须认证 user:必须有“记住我”功能 perms[]:拥有某个资源的权限 roles:拥有某个角色权限
    Map<String, String> filterMap = new LinkedHashMap<>();
    //有权限时正常打开页面,无权限时跳到未授权页面
    filterMap.put(“/add”, “perms[user:add]”);
    filterMap.put(“/update”, “perms[user:update]”);
    been.setFilterChainDefinitionMap(filterMap);
    been.setLoginUrl(“/toLogin”); //认证失败跳转到登录页
    been.setLoginUrl(“/unAuth”); //无权限时跳到未授权页面
    return been;
    }
    //DefaultWebSecurityManager:SecurityManager
    @Bean(name=“manager”)
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier(“realm”) UserRealm realm){
    DefaultWebSecurityManager manager= new DefaultWebSecurityManager();
    manager.setRealm(realm); //关联Realm
    return manager;
    }
    //创建realm对象:Realm
    @Bean(name=“realm”)
    public UserRealm userRealm(){
    return new UserRealm();
    }
    //Thymeleaf整合Shiro
    @Bean
    public ShiroDialect getShiroDialect(){
    return new ShiroDialect();
    }
    }

  6. 登录认证与用户授权

    public class UserRealm extends AuthorizingRealm {
    @Resource
    private IUserService userService;
    //登录认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    System.out.println(“正在登录认证…”);
    UsernamePasswordToken userToken = (UsernamePasswordToken)authenticationToken; //将参数中的authenticationToken转换为封装的Token类型
    //获取数据库用户(service层)
    User user = userService.findByName(userToken.getUsername());
    if(user == null){
    return null;
    }
    //登录成功后将用户保存在Shiro Session中,供html使用
    Subject subject = SecurityUtils.getSubject();
    Session session = subject.getSession();
    session.setAttribute(“loginUser”, user);
    //参数:1.将user传递给用户授权使用(可为“”) 2.将密码传递给Shiro底层做验证 3.为“”
    return new SimpleAuthenticationInfo(user,user.getPassword(),“”);
    }
    //用户授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    System.out.println(“正在授权…”);
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); //授权对象
    Subject subject = SecurityUtils.getSubject(); //获取Subject
    User currentUser = (User) subject.getPrincipal();//获取登录认证中传入的参数user
    info.addStringPermission(currentUser.getRight());//获取当前用户的权限给授权对象
    return info;
    }
    }

  7. HTML页面

    Index

    首页

    //未登录显示登录按钮 登录
    //有user:add权限才会显示 add
    //有user:update权限才会显示 update
    用户名:
    密码:
m0_67403073
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro表结构设计_权限框架Shiro学习之表结构设计
weixin_31256083的博客
12-24 416
权限框架Shiro学习之表结构设计Shiro是一款优秀的开源安全框架,学习Shiro大家可以参考张开涛老师的博客:跟我学Shiro,当然也可参考我之前的笔记Shiro实现身份认证、Shiro实现授权。在学习完基础的Shiro入门知识,我们可以动手写一个小Demo了,这次我们将以一个用户-角色-权限管理的Demo来进一步学习Shiro。起步表设计开发用户-角色-权限管理系统,首先我们需要知道用户-...
Springboot整合shiro_springboot shiro,程序人生
最新发布
m0_60567881的博客
04-18 473
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统中的个体,可以被授予一个或多个角色。
shiro过滤器详解分析
weixin_34177064的博客
03-11 1233
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
shiro配置路径为anno,但请求还是拦截下来了
3k油:知道的越多,不知道的越多
10-25 4074
踩坑点: 没留意到ShiroFilterFactoryBean中配置的过滤认证规则是有序的,这个有序是指Map容器中的存储顺序。 shiro进行过滤认证时是根据配置的容器存储顺序进行处理的。因此容器应该使用LinkedHashMap。 一、问题描述 在shiroShiroFilterFactoryBean中配置了(“/web/index",“anon”),但请求还是被拦截下来进行认证了。 二、分析流程 容器使用的是HashMap存储,对比存储不同个数的元素发现了问题所在。 图一:存储12个元素,”/
shiro进行登录认证和授权
shenhy95的博客
04-15 6501
1.Shiro核心架构 三个常用过滤器 anno:不需要任何权限即可访问资源 authc:需要登录的权限才可以访问资源 perms:需要指定的权限才能访问目标资源
Shiro 过滤器 anno 配置未生效,请求仍被拦截
weixin_40559666的博客
06-01 1283
项目Springboot +shiro +Gateway。
shiro奇怪问题之anno不起作用
YYZhQ的专栏
08-12 3698
在权限管理中,用的是shiro,但因为要提供一些http协议的json数据供客户端ajax调用,所以提供这些数据的action 便不能使用shiro限制,否则获取不到数据。于是在shiro的配置文件中将其设置为:anno如下: /web/** = anon 但是奇了怪了,每次访问这个action,还是会跳转到登录页面。 然而在另一个项目中,同样的配置,却是可以访问。 查看控制台,有几个查...
Shiro自学笔记
02-09
Apache Shiro是一个全面的Java安全框架,主要用于处理身份认证、授权、加密以及会话管理等核心安全性问题。它提供了一套简洁且易于理解的API,使得开发者能够在各种类型的项目中快速实现安全功能,无论是小型的桌面...
狂神说springboot笔记以及代码
01-29
自学的过程中,小生不才,整理了一点狂神的笔记同大家分享,这是狂神说SpringBoot的全部笔记及代码,之前已经将SSM框架的都已经整理上传了,需要的伙伴可以自行下载,也有整套笔记在主页!后续还会有mybatis-puls...
springboot+jwt+shiro+vue+elementUI+axios+redis+mysql完成一个前后端分离的博客项目(笔记,帮填坑)
web18224617243的博客
08-02 965
后端的一个骨架基本完成然后开始我们的前端开发接下来,我们来完成vueblog前端的部分功能。可能会使用的到技术如下vueelement-uiaxios。
spring boot shiro anno不启作用
yjjhk的专栏
03-15 2062
shiro做我的权限控制框架时,经常会自定义权限过滤器,并且给不需要权限控制的url加上anno标记,例如: @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean...
Spring boot Shiro anno不启作用问题分析
News777的博客
10-10 872
Spring boot Shiro anno不启作用问题分析
shiro权限管理框架(二)——整合JWT
weixin_44179782的博客
09-02 471
1、多realm配置 2、重写ModularRealmAuthenticator 3、自定义token 4、shiro的过滤器 5、自定义JWT过滤器
有关shiro的权限参数anno,authc和拦截器
weixin_34352449的博客
02-14 4672
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro权限管理】17.Shiro权限注解
程序猿之洞
12-10 9542
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 前面我们讲解了Shiro的标签属性,下面我们来讲解Shiro的有关权限的注解属性。 Shiro的注解是使用在相应的Java类的方法上,当用户不满足注解的要求时,是无法执行 方法内部逻辑的。这相当于在代码层做了权限校验。 Shiro的注解可以放置在Controller层对应的方法上,也可以放置在Service层对应的方法
shiro 中的filterChainDefinitions详解
热门推荐
bug_404的博客
05-27 4万+
springrain使用shiro
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
详解登录认证及授权--Shiro系列(一)
李秀才的博客
06-03 3万+
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 所做的事情: 验证用户来核实他们的身份 对用户执行访问控制,如: 判断用户是否被分配了一个确定的安全角色。 判断用户是否被允许做某事。 在任何
Shiro入门(2)Shiro提供的验证模块
小9的专栏
08-14 2万+
Shiro为web应用提供的验证模块的使用及如何扩展验证模块。
Shiro权限管理框架学习笔记
Apache Shiro 是一个强大且易用的Java安全框架,主要用于身份验证、授权、会话管理和加密等安全相关功能。在学习Shiro的过程中,我们可以了解到它的一些核心概念和常见应用场景。 首先,Shiro提供了一种简单的方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值