Shiro安全框架

已于 2024-08-19 11:33:26 修改
阅读量168 收藏 1
点赞数 4
分类专栏: java 文章标签: java
于 2024-05-17 19:25:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74220886/article/details/138978704
版权

目录

什么是Shiro

Shiro核心组件

Shiro的运行机制

案例

导入依赖

自定义Realm

配置类

控制层

什么是Shiro

Shiro是一款Java安全框架,他不依赖任何容器,主要功能是对访问的用户进行身份认证、授权、会话管理、加密等操作。

Shiro核心组件

授权一般分用户、角色、权限

权限赋给角色,角色赋给用户

  1. UsernamePasswordToken,这是Shiro用来封装用户的登录信息,使用用户的登陆的信息来创建令牌Token。
  2. SecurityManager,Shiro的核心部分,负责安全认证和授权。
  3. Subject,Shiro的一个抽象的概念,包含用户信息。
  4. Realm,开发者根据项目需求自定义的模块,验证,授权的逻辑全部写在Realm中。
  5. Authenticationinfo,用户的角色信息集合,认证时使用。
  6. Authorzationinfo,角色的权限信息集合,授权时使用。
  7. DefaultWebSecurityManager,安全管理器,开发者定义的Realm要注入到安全管理器中才能使用。
  8. ShiroFilterFactoryBean,过滤器工厂,Shiro的基本运行机制时开发者定制规则,Shiro去执行,具体的执行操作是过滤器工厂创建的Filter对象完成的。

Shiro的运行机制

  1. 首先用户先登录拿到Token(Shiro通过UsernamePasswordToken创建Token)
  2. Token需要拿到Subject(包含用户信息)验证信息
  3. SecurityManager通过Authenticationinfo和Authorzationinfo读取自定义的Realm的具体操作。

案例

导入依赖

<dependencies>
    <!--Shiro核心包-->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.10.0</version>
    </dependency>
    <!--日志相关包-->
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>jcl-over-slf4j</artifactId>
        <version>2.0.0-alpha2</version>
    </dependency>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>2.0.0-alpha2</version>
    </dependency>
    <dependency>
        <groupId>log4j</groupId>
        <artifactId>log4j</artifactId>
        <version>1.2.17</version>
    </dependency>
</dependencies>

自定义Realm

public class AccoutRealm extends AuthorizingRealm {

    @Autowired
    private AccountService accountService;

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取当前登录的用户信息
        Subject subject = SecurityUtils.getSubject();
        Account account = (Account) subject.getPrincipal();

        //设置角色,使用set是因为set不可重复
        Set<String> roles = new HashSet<>();
        roles.add(account.getRole());
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);

        //设置权限
        info.addStringPermission(account.getPerms());
        return info;
    }


    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        Account account = accountService.findByUsername(token.getUsername());
        if(account != null){
            return new SimpleAuthenticationInfo(account,account.getPassword(),getName());
        }
        return null;
    }
}

配置类

需要将Realm注入进安全管理器,然后将安全管理器注入给工厂类才能使用。

anon:无需认证。

authc:必须认证。

authcBasic:需要通过 HTTPBasic 认证。

user:不一定通过认证,只要曾经被 Shiro 记录即可,比如:记住我。

@Configuration
public class ShiroConfig {


    @Bean
    public AccoutRealm accoutRealm(){
        return new AccoutRealm();
    }

    @Bean
    public DefaultWebSecurityManager securityManager(@Qualifier("accoutRealm") AccoutRealm accoutRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(accoutRealm);
        return manager;
    }

       @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(securityManager);
        //权限设置
        Map<String,String> map = new Hashtable<>();
        map.put("/main","authc");
        map.put("/manage","perms[manage]");
        map.put("/administrator","roles[administrator]");
        factoryBean.setFilterChainDefinitionMap(map);
        //设置登录页面
        factoryBean.setLoginUrl("/login");
        //设置未授权页面
        factoryBean.setUnauthorizedUrl("/unauth");
        return factoryBean;
    }

 
}

控制层

  @PostMapping("/login")
    public String login(String username, String password, Model model){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        try {
            //subject.login自动调用Realm中的认证方法
            subject.login(token);
            Account account = (Account) subject.getPrincipal();
            subject.getSession().setAttribute("account",account);
            return "index";
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            model.addAttribute("msg","用户名错误!");
            return "login";
        } catch (IncorrectCredentialsException e){
            model.addAttribute("msg","密码错误!");
            e.printStackTrace();
            return "login";
        }
    }

骑鱼的自行车
关注
专栏目录
shiro安全框架
qq_50896786的博客
08-03 3692
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。...
Shiro安全框架基础入门使用
lx5210521的博客
01-02 932
获取当前登录用户的角色、权限信息,返回给shiro用来进行授权认证myRealm继承AuthorizingRealm并重写doGetAuthorizationInfo(PrincipalCollection principalCollection)方法创建对象,封装当前登录用户的角色、权限信息获取当前用户的身份信息调用业务层从数据库查询用户的角色信息调用业务层从数据库查询用户的角色信息存储角色存储权限返回信息@Autowired。
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
在本教程中,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证与授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
Java-网络
2301_81543552的博客
09-14 706
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
Android Studio 2024与2022 解决Read timed out和connect timed out的问题
2301_80035882的博客
09-14 633
如果在新建Android项目时报错:Read timed out或者connect timed out。
自动生成不重复的订单id
ClaireCheney的博客
09-13 287
【代码】自动生成不重复的订单id。
【学习笔记】手写 Tomcat 三
LearnTech_123的博客
09-12 1149
响应动态资源不需要写文件名了,只需要写功能的名称即可。比如登录功能,可以定义名称为 doLogin
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
weixin_43860634的博客
09-14 729
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
记录开发一个英语听力训练网站
业余程序员Blue的博客
09-14 664
目前只导入了雅思历年真题的听力音频,作为我日常练习英语听力的素材足够了。网站的主要功能其实就是英语句子精听,核心目的就是反复听每一句话,直到听懂为止,我觉得听力训练也没有太多技巧可言,就是老老实实地坚持去听,所谓网上经常说的“磨耳朵”吧。基于此,听力页面主要功能有:播放/暂停、上一句/下一句、播放次数选择、播放倍速选择、字体大小选择、是否显示原文、是否显示译文、是否自动播放下一句。而这些功能,基本上都是页面js操作。
Gradle
xiaocaij_icai的博客
09-15 195
");
Java8的Optional简介
最新发布
duke_ding2的博客
09-17 531
Java8的Optional简介
Java wrapperr打包springboot项目到linux和Windows
欢迎查阅
09-14 981
测试启动就是点击App.bat 就会有信息的输出 installApp就是注册为一个windows上的一个服务。上图文件复制的地方 全部复制过去 保留自己需要的 然后去掉后缀.in。下载:linux的目前免费的 windows 64位的好像收费的。前提: 一定要有Java环境(我使用的是jdk1.8)解压的目录,然后我们新建自己的项目目录java-jsw。前面是你解压的原文件 后边是你自己建的目录路径。步骤和上面的一样 不过复制的文件不一样。下载一个社区版本的应该就够用了。需要注意的点 有Java环境。
高性能微服务架构:Spring Boot 集成 gRPC 实现用户与订单服务即时交互
weixin_48278764的博客
09-14 1213
高性能微服务架构:Spring Boot 集成 gRPC 实现用户与订单服务即时交互
Shiro安全框架深度解析
"这篇文档是关于Apache Shiro安全框架的全程讲解,涵盖了从基础到高级的各种功能,包括身份验证、授权、配置、Web集成、拦截器机制、JSP标签、会话管理和缓存机制,以及如何与Spring框架进行集成。" Apache Shiro是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值