一文总结 Shiro 实战教程

最新推荐文章于 2024-05-17 13:43:01 发布
最新推荐文章于 2024-05-17 13:43:01 发布
阅读量504 收藏 11
点赞数 19
分类专栏: 程序员 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74932057/article/details/138274606
版权 
    defaultSecurityManager.setRealm(iniRealm);
    //将安全管理器注入安全工具类 用于获取认证的主体
    SecurityUtils.setSecurityManager(defaultSecurityManager);
    //获取认证的主体
    Subject subject = SecurityUtils.getSubject();
    //创建令牌
    UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("mosin", "1234");

    try {
        //认证 通过没有任何的异常
        subject.login(usernamePasswordToken);
        //验证是否通过
        boolean authenticated = subject.isAuthenticated();
        System.out.println("认证通过:"+authenticated);
    } catch (UnknownAccountException e) {
        e.printStackTrace();
        System.out.println("用户名错误!");
    }catch (IncorrectCredentialsException e){
        e.printStackTrace();
        System.out.println("密码错误!");
    }

}

}


* DisabledAccountException(帐号被禁用)
* LockedAccountException(帐号被锁定)
* ExcessiveAttemptsException(登录失败次数过多)
* ExpiredCredentialsException(凭证过期)等




---


#### 4.5 自定义Realm


上边的程序使用的是Shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。


###### 1.shiro提供的Realm


![在这里插入图片描述](https://img-blog.csdnimg.cn/a6acaff1809a47cc956b209ff9af4b29.png#pic_center)


###### 2.根据认证源码认证使用的是SimpleAccountRealm


![在这里插入图片描述](https://img-blog.csdnimg.cn/529bfd09ea274db4aace4ebdb6e15297.png#pic_center)


`SimpleAccountRealm的部分源码中有两个方法一个是 认证 一个是 授权`,

public class SimpleAccountRealm extends AuthorizingRealm {
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
SimpleAccount account = getUser(upToken.getUsername());

    if (account != null) {

        if (account.isLocked()) {
            throw new LockedAccountException("Account [" + account + "] is locked.");
        }
        if (account.isCredentialsExpired()) {
            String msg = "The credentials for account [" + account + "] are expired";
            throw new ExpiredCredentialsException(msg);
        }

    }

    return account;
}

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    String username = getUsername(principals);
    USERS_LOCK.readLock().lock();
    try {
        return this.users.get(username);
    } finally {
        USERS_LOCK.readLock().unlock();
    }
}

}


###### 3.自定义realm

/**
* 自定义realm
*/
public class CustomerRealm extends AuthorizingRealm {
//认证方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
return null;
}

//授权方法
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    String principal = (String) token.getPrincipal();
    if("mosin".equals(principal)){
        return new SimpleAuthenticationInfo(principal,"123",this.getName());
    }
    return null;
}

}


###### 4.使用自定义Realm认证

public class TestAuthenticatorCustomerRealm {
public static void main(String[] args) {
//创建securityManager
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
//IniRealm realm = new IniRealm(“classpath:realm.ini”);
//设置为自定义realm获取认证数据
defaultSecurityManager.setRealm(new CustomerRealm());
//将安装工具类中设置默认安全管理器
SecurityUtils.setSecurityManager(defaultSecurityManager);
//获取主体对象
Subject subject = SecurityUtils.getSubject();
//创建token令牌
UsernamePasswordToken token = new UsernamePasswordToken(“mosin”, “1234”);
try {
subject.login(token);//用户登录
System.out.println(“登录成功”);
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println(“用户名错误!!”);
}catch (IncorrectCredentialsException e){
e.printStackTrace();
System.out.println(“密码错误!!!”);
}

}

}


#### 4.6 使用MD5和Salt



> 
> 实际应用是将盐和散列后的值存在数据库中,自动realm从数据库取出盐和加密后的值由shiro完成密码校验。
> 
> 
> 


###### 1.自定义md5+salt的realm

/**
* 自定义md5+salt realm
*/
public class CustomerMD5Realm extends AuthorizingRealm {

//授权
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    return null;
}
//认证
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

    String principal = (String) token.getPrincipal();
    //根据用户名查询数据库
    if("mosin".equals(principal)){
        // 参数1:用户名 参数2:密码 参数3:盐 参数4:自定义realm的名字
        System.out.println(this.getName());
        return new SimpleAuthenticationInfo(principal, "800d63a19662b2ba95bc2ffa01ab4804", ByteSource.Util.bytes("mosin"),this.getName());
    }
    return null;
}

}


###### 2.使用md5 + salt 认证

public class CustomerMD5RealmTest {

public static void main(String[] args) {

    //创建安全管理器
    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    //创建自定义MD5Realm对象
    CustomerMD5Realm customerMD5Realm = new CustomerMD5Realm();
    //创建密码认证匹配器对象
    HashedCredentialsMatcher md5 = new HashedCredentialsMatcher("MD5");
    //设置散列的次数
    md5.setHashIterations(1024);
    //设置密码认证匹配器对象
    customerMD5Realm.setCredentialsMatcher(md5);
    //设置安全管理器的 认证安全数据源
    defaultSecurityManager.setRealm(customerMD5Realm);
    //设置安全工具类的安全管理器
    SecurityUtils.setSecurityManager(defaultSecurityManager);
    //获取认证的主体
    Subject subject = SecurityUtils.getSubject();
    //创建令牌
    UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("mosi", "12345");

    //登录认证
    try {
        subject.login(usernamePasswordToken);
        System.out.println("认证通过:"+subject.isAuthenticated());
    } catch (UnknownAccountException e) {
        e.printStackTrace();
        System.out.println("用户名错误");
    }catch (IncorrectCredentialsException e){
        e.printStackTrace();
        System.out.println("密码错误!!!");
    }

}

}




---


### 5. shiro中的授权


#### 5.1 授权


授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。


#### 5.2 关键对象


**授权可简单理解为who对what(which)进行How操作:**


`Who,即主体(Subject)`,主体需要访问系统中的资源。


`What,即资源(Resource)`,如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括`资源类型`和`资源实例`,比如`商品信息为资源类型`,类型为t01的商品为`资源实例`,编号为001的商品信息也属于资源实例。


`How,权限/许可(Permission)`,规定了主体对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等,通过权限可知主体对哪些资源都有哪些操作许可。


#### 5.3 授权流程


![在这里插入图片描述](https://img-blog.csdnimg.cn/05f82d5f28764cee9e9a1e55503e9b8f.png#pic_center)


#### 5.4 授权方式


* **基于角色的访问控制**


	+ RBAC基于角色的访问控制(Role-Based Access Control)是以角色为中心进行访问控制
	
	 
	```
	if(subject.hasRole("admin")){
	   //操作什么资源
	}
	
	```
* **基于资源的访问控制**


	+ RBAC基于资源的访问控制(Resource-Based Access Control)是以资源为中心进行访问控制
	
	 
	```
	if(subject.isPermission("user:update:01")){ //资源实例
	  //对01用户进行修改
	}
	if(subject.isPermission("user:update:\*")){  //资源类型
	  //对01用户进行修改
	}
	
	```


#### 5.5 权限字符串


​ 权限字符串的规则是:**资源标识符:操作:资源实例标识符**,意思是对哪个资源的哪个实例具有什么操作,“:”是资源/操作/实例的分割符,权限字符串也可以使用\*通配符。


例子:


* 用户创建权限:user:create,或user:create:\*
* 用户修改实例001的权限:user:update:001
* 用户实例001的所有权限:user:\*:001


#### 5.6 shiro中授权编程实现方式


* **编程式**

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有权限
} else {
//无权限
}

* **注解式**

@RequiresRoles(“admin”)
public void hello() {
//有权限
}

* **标签式**

JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:
<shiro:hasRole name=“admin”>
<!— 有权限—>
</shiro:hasRole>
注意: Thymeleaf 中使用shiro需要额外集成!

* 


#### 5.7 开发授权


###### 1.realm的实现

public class CustomerRealm extends AuthorizingRealm {
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String primaryPrincipal = (String) principals.getPrimaryPrincipal();
System.out.println("primaryPrincipal = " + primaryPrincipal);

    SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
    simpleAuthorizationInfo.addRole("admin");

    simpleAuthorizationInfo.addStringPermission("user:update:\*");
    simpleAuthorizationInfo.addStringPermission("product:\*:\*");


    return simpleAuthorizationInfo;
}

//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    String principal = (String) token.getPrincipal();
    if("xiaochen".equals(principal)){
        String password = "3c88b338102c1a343bcb88cd3878758e";
        String salt = "Q4F%";
        return new SimpleAuthenticationInfo(principal,password, 
                                            ByteSource.Util.bytes(salt),this.getName());
    }
    return null;
}

}


###### 2.授权

public class CustomerMD5RealmTest {

public static void main(String[] args) {

    //创建安全管理器
    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    //创建自定义MD5Realm对象
    CustomerMD5Realm customerMD5Realm = new CustomerMD5Realm();
    //创建密码认证匹配器对象
    HashedCredentialsMatcher md5 = new HashedCredentialsMatcher("md5");
    //设置加密的次数
    md5.setHashIterations(1024);
    //设置密码认证匹配器对象
    customerMD5Realm.setCredentialsMatcher(md5);
    //设置安全管理器的 认证安全数据源
    defaultSecurityManager.setRealm(customerMD5Realm);
    //设置安全工具类的安全管理器
    SecurityUtils.setSecurityManager(defaultSecurityManager);

    //获取认证的主体
    Subject subject = SecurityUtils.getSubject();
    //创建令牌
    UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("mosin", "12345");

    //登录认证
    try {
        subject.login(usernamePasswordToken);
        System.out.println("认证通过:"+subject.isAuthenticated());
    } catch (UnknownAccountException e) {
        e.printStackTrace();
        System.out.println("用户名错误");
    }catch (IncorrectCredentialsException e){
        e.printStackTrace();
        System.out.println("密码错误!!!");
    }

    //基于角色的控制
    //单角色控制
    System.out.println("========hasRole==========");
    boolean admin = subject.hasRole("admin");
    System.out.println("hash admin role:"+admin);

    //多角色控制
    System.out.println("========hasAllRoles==========");
    List<String> roles = Arrays.asList("admin", "user");
    boolean booleans = subject.hasAllRoles(roles);
    System.out.println("booleans = " + booleans);

    // 基于任意角色的控制
    System.out.println("========hasRoles==========");
    boolean[] booleans1 = subject.hasRoles(roles);
    for (boolean b : booleans1) {
        System.out.println("b = " + b);
    }

    //基于权限字符串的权限控制
    System.out.println("========isPermitted==========");

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

s1) {
System.out.println("b = " + b);
}

    //基于权限字符串的权限控制
    System.out.println("========isPermitted==========");

[外链图片转存中…(img-6aRwlpS4-1714280377218)]
[外链图片转存中…(img-Xszy3qrd-1714280377218)]

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

m0_74932057
关注
  • 19
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro实战教程资料.zip
06-11
shiro实战教程资料,对应B战编程不良人的shiro的资料
Shiro 实战教程.md
02-25
Shiro 实战教程.md
大数据最新一总结 Shiro 实战教程
2401_84181626的博客
05-04 958
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。
搞定 Spring Boot & Shiro 实战
Java技术栈,分享最主流的Java技术
07-17 666
Spring Boot集成Shiro权限验证框架,可参考: https://shiro.apache.org/spring-boot.html 引入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.4.0</versio
【权限管理框架】一看懂Shiro权限管理框架!
互联网小阿祥
11-03 2219
看懂Shiro权限管理框架!
springboot+shiro实现权限校验及shiro讲解
baoaibao的博客
05-12 1040
背景 笔者在学习了张开涛老师讲解的shiro课程后,对其述内容做了自己的总结。由于张开涛–跟我学shiro中利用shiro配置件简单的写了一个小Demo,所以笔者结合自己的理解采用springboot+mybatis+shiro的框写了一个单系统下、前后端分离的Demo。如有理解错误的地方,欢迎大家指正。 shiro简介 shiro是Apache旗下提供的一套JAVA安全框架,主要用于权限校验。其实spring也提供了一套权限架构即:Spring Security。在实际开发项目中,shiro所提供的
【Java】一带你快速入门Shiro权限框架
当下的快乐永远最简单!
11-04 1164
与案例相结合,细致讲解Java中火热的权限框架之一[Shiro框架]
Shiro源码研究之构建Subject实例
夫礼者的专栏
12-16 4444
接上一篇博客Shiro源码研究之处理一次完整的请求,其中的第二小节中的这样一行代码final Subject subject = createSubject(request, response);直接略过了。这篇章就专门来对这段代码后面所发生的事情进行一下探讨。
Java知识体系最强总结(2021版)
热门推荐
ThinkWon的博客
12-18 109万+
更新于2019-12-15 10:38:00 本人从事Java开发已多年,平时有记录问题解决方案和总结知识点的习惯,整理了一些有关Java的知识体系,这不是最终版,会不定期的更新。也算是记录自己在从事编程工作的成长足迹,通过博客可以促进博主与阅读者的共同进步,结交更多志同道合的朋友。特此分享给大家,本人见识有限,写的博客难免有错误或者疏忽的地方,还望各位大佬指点,在此表示感激不尽。 章目录...
30 分钟学会如何使用 Shiro
公众号-老炮说Java
05-22 241
点击上方蓝色字体,选择“标星公众号”优质章,第一时间送达99套Java企业级实战项目4000G架构师资料作者:冷豪www.cnblogs.com/learnhow/p/5694876....
Java知识体系最强总结(2020版)
寂夜了无痕的博客
06-01 428
本人从事Java开发已多年,平时有记录问题解决方案和总结知识点的习惯,整理了一些有关Java的知识体系,这不是最终版,会不定期的更新。也算是记录自己在从事编程工作的成长足迹,通过博客可以促进博主与阅读者的共同进步,结交更多志同道合的朋友。特此分享给大家,本人见识有限,写的博客难免有错误或者疏忽的地方,还望各位大佬指点,在此表示感激不尽。 整理的Java知识体系主要包括基础知识,工具,并发编程,数据结构与算法,数据库,JVM,架构设计,应用框架,中间件,微服务架构,分布式架构,程序员的一些思考,项目管理,运
最新硅谷Shiro实战视频教程
12-24
Apache Shiro是一个强大且易用的Java安全框架,执行身份...使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。所有学好shiro在java学习中还是很有帮助的。
Shiro视频教程
07-05
Shiro是Apache推出的,并且是现在最流行的一套开发框架,利用Shiro可以方便的实现用户的认证以及角色认证的操作处理,在所有的项目开发之中都会被大量的采用。
jar包增量更新分析
junlaiyan的专栏
05-16 245
借助jdeps分析出jar包的增量
java实现拼图小游戏
monkey108的博客
05-16 611
主要提供用java实现的拼图小游戏源代码。
c【语言】了解指针,爱上指针(1)
yzqy_的博客
05-16 896
在计算机中,数据是存储在内存中的,cpu从内存中读取数据,为了方便读取数据,内存又被划分为了一个个的内存单元,一个内存单元的大小就是一字节,一字节等于8bit位,我们给内存进行编号,这个编号就是地址,在c语言中给这个地址起了个名字。是的,亲爱的读者你肯定发现了,&a、p和pc输出的地址是一样的,但&a+1与p+1输出的地址是一样的00EFF940,一次都跳过了4字节,而pc+1输出的却是00EFF93D,一次只跳过一个字节。但是硬件与硬件之间是相互独立的,这该如何实现数据传输呢?”答案当然是否定的。
命令执行漏洞(二)
XLbb的博客
05-15 896
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
java数据结构与算法(验证二叉搜索树)
最新发布
磐门的博客
05-17 243
节点返回空为ture,节点的值不在对应数据大小范围内返回false。将验证二叉搜索树计算同样可以转换为相同子问题,所以比较适合用递归。node为root的左节点时,max更新为root.val。node为root的右节点时,min更新为root.val。
spring rbac shiro 视频教程
10-26
Spring RBAC Shiro 视频教程是一种教学视频,主要介绍了在Spring框架中如何使用RBAC(基于角色的访问控制)和Shiro(一个强大而灵活的Java安全框架)来实现应用程序的权限管理和安全控制。以下是对该视频教程的回答...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值