ssm+shiro

最新推荐文章于 2023-11-11 14:13:52 发布
最新推荐文章于 2023-11-11 14:13:52 发布
阅读量366 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengyong1108/article/details/77281271
版权

shiro原理

框架解释: 

subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。

securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。

authenticator:认证器,主体进行认证最终通过authenticator进行的。 

authorizer:授权器,主体进行授权最终通过authorizer进行的。

 sessionManagerweb应用中一般是用web容器对session进行管理,shiro也提供一套session管理的方式。可以实现单点登录。

SessionDao  通过SessionDao管理session数据,针对个性化的session数据存储需要使用sessionDao

cache Manager:缓存管理器,主要对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和ehcache整合对缓存数据进行管理。

 realm:域,领域,相当于数据源,通过realm存取认证、授权相关数据。(它的主要目的是与数据库打交道,查询数据库中的认证的信息(比如用户名和密码),查询授权的信息(比如权限的code等,所以这里可以理解为调用数据库查询一系列的信息,一般情况下在项目中采用自定义的realm,因为不同的业务需求不一样))

注意:在realm中存储授权和认证的逻辑。

cryptography:密码管理,提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

比如 md5散列算法。

2shiro介绍

shiroapache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。

spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。

shiro不依赖于springshiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro

使用shiro实现系统 的权限管理,有效提高开发效率,从而降低开发成本。

3、认证原理:

1、通过ini配置文件创建securityManager

2、调用subject.login方法主体提交认证,提交的token

3securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证。

4ModularRealmAuthenticator调用IniRealm(realm传入token) ini配置文件中查询用户信息

5IniRealm根据输入的tokenUsernamePasswordToken,即这里的token是用户从页面输入的信息)从 shiro-first.ini查询用户信息(这里是测试阶段,后面都是查询的数据库,注入service,调用dao),根据账号查询用户信息(账号和密码)

         如果查询到用户信息,就给ModularRealmAuthenticator返回用户信息(账号和密码)

         如果查询不到,就给ModularRealmAuthenticator返回null

6ModularRealmAuthenticator接收IniRealm返回Authentication认证信息

         如果返回的认证信息是nullModularRealmAuthenticator抛出异常(org.apache.shiro.authc.UnknownAccountException

         如果返回的认证信息不是null(说明inirealm找到了用户),对IniRealm返回用户密码 (在ini文件中存在)和 token中的密码 进行对比,如果不一致抛出异常(org.apache.shiro.authc.IncorrectCredentialsException

小结:

ModularRealmAuthenticator作用进行认证,需要调用realm查询用户信息(在数据库中存在用户信息)

ModularRealmAuthenticator进行密码对比(认证过程)。

        

realm:需要根据token中的身份信息去查询数据库(入门程序使用ini配置文件),如果查到用户返回认证信息,如果查询不到返回null

4、 散列算法:

通常需要对密码 进行散列,常用的有md5sha

shiro的散列加密是这样子的:

建议对md5进行散列时加salt(盐),进行加密相当 于对原始密码+盐进行散列。

md5+salt(这个盐一般是随机盐,即开发人员给定义随机的字符串或者数字即可)+散列次数

这里的md5是原始的md5的加密了一次的密码+随机盐,然后对这个新的密码password=md5+salt,进行散列:如何进行散列呢:就是多次md5加密md5(md5(md5(md5(password)))),这是4次散列,每次密码的破解的难度都加大。

正常使用时散列方法:

在程序中对原始密码+盐进行散列,将散列值存储到数据库中,并且还要将盐也要存储在数据库中。

如果进行密码对比时,使用相同 方法,将原始密码+盐进行散列,进行比对。

5、授权原理

1、对subject进行授权,调用方法isPermitted"permission"

2SecurityManager执行授权,通过ModularRealmAuthorizer执行授权

3ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据

         调用realm的授权方法:doGetAuthorizationInfo

4realm从数据库查询权限数据,返回ModularRealmAuthorizer

5ModularRealmAuthorizer调用PermissionResolver进行权限串比对

6、如果比对后,isPermitted"permission"realm查询到权限数据中,说明用户访问permission串有权限,否则 没有权限,抛出异常。

shiro的授权方式有三种:

1)—— 编程式:通过写if/else 授权代码块完成:(这种比较少用,一般在项目中采用后两种)

Subject subject = SecurityUtils.getSubject();

if(subject.hasRole(admin)) {//有权限} else {//无权限}

2)——  注解式:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")public void hello() {//有权限}

3)——  JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:

jsp页面导入shiro的标签既可以使用shiro的标签来进行权限的判断:

Jsp页面添加:<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>

标签名称 标签条件(均是显示标签内容)

<shiro:authenticated> 登录之后

<shiro:notAuthenticated> 不在登录状态时

<shiro:guest> 用户在没有RememberMe

<shiro:user> 用户在RememberMe

<shiro:hasAnyRoles name="abc,123" > 在有abc或者123角色时

<shiro:hasRole name="abc"> 拥有角色abc

<shiro:lacksRole name="abc"> 没有角色abc

<shiro:hasPermission name="abc"> 拥有权限资源abc

<shiro:lacksPermission name="abc"> 没有abc权限资源

<shiro:principal> 显示用户身份名称

 <shiro:principal property="username"/>     显示用户身份中的属性值

<shiro:hasRole name="admin">

<!— 有权限—></shiro:hasRole>

6、shiro与项目的整合

7、配置文件:在web.xml中配置filter:在web系统中,shiro也通过filter进行拦截。filter拦截后将操作权交给spring中配置的filterChain(过虑链儿)

8、shiro提供很多filter web.xml中配置filter

spring的整合交由spring的容器管理:security manager realmfilter都交由spring整合

<context:component-scan base-package="com.test"/>
<mvc:annotation-driven>
    <mvc:message-converters>
        <bean  class="com.alibaba.fastjson.support.

spring.FastJsonHttpMessageConverter">
   <property name="supportedMediaTypes">
            <list><value>text/html;charset=utf-8</value>
               <value>application/json</value> </list>
            </property></bean>
    </mvc:message-converters>
</mvc:annotation-driven>
    <!--视图解析器--><bean  class="org.springframework.web.servlet. view.InternalResourceViewResolver">
        <property name="prefix" value="/"></property>
        <property name="suffix" value=".jsp"></property> </bea

  <!--连接池--><bean id="ds" class="com.alibaba.druid.pool.DruidDataSource">
    <property name="driverClassName" value="com.mysql.jdbc.Driver"></property>
        <property name="url" value="jdbc:mysql://localhost:3306/sh"></property>
        <property name="username" value="root"></property>
        <property name="password" value="123456"></property></bean>
  <!--创建会话工厂--><bean class="org.mybatis.spring.SqlSessionFactoryBean">
   <property name="dataSource" ref="ds"></property>
    <property name="mapperLocations">           <list><value>classpath:com/test/mapper/*.xml</value></list></property></bean>
    <!--域--><bean id="realm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
        <property name="dataSource" ref="ds"/>
        <property name="permissionsLookupEnabled" value="true"/>
<property name="authenticationQuery" value="select pwd from users where account=?"/>
        <property name="userRolesQuery" value="select p.play from user_res r left join play p on p.id=r.resid left join users u on u.id=r.uid where  account=?"/>
        <property name="permissionsQuery" value="select q.name from role_perm r left join play p on r.rid=p.id left join qx q on r.pid=q.id where play=?"/>
 </bean>
    <!--缓存管理器--><bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>
     <!--安全管理器--><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
     <property name="realm" ref="realm"/>
     <property name="cacheManager" ref="cacheManager"/></bean>
    <bean id="shiro" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!--需登录--><property name="loginUrl" value="/tologin.do"/>
        <!--无权访问--><property name="unauthorizedUrl" value="/toNoqx.do"/>
        <property name="filterChainDefinitions">
            <value>

/admin/**=authc
                /**=anon

</value> </property> </bean>
 <bean class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
 <bean  class="org.apache.shiro.spring.security.

interceptor.AuthorizationAttributeSourceAdvisor"/>
    <!--异常处理-->
<bean  class="org.springframework.web.portlet.

handler.SimpleMappingExceptionResolver">
 <property name="exceptionMappings">
      <props><prop key="org.apache.shiro.authz.UnauthenticatedException">
                    redirect:/noqx.jsp</prop></props> </property></bean>
</beans>

 

mengyong1108
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro登录的使用以及原理(一)
大鹏的博客
11-23 2960
好久没写博客了,这段时间对最近项目做个总结,先从登入下手,话不多说直奔主题,Shiro的登录使用以及原理。 一、Shiro主要作用 shiro主要的作用就是实现用户登录(认证,授权,加密等),用户登录后的用户信息存储(缓存),用户登出等。 二、登录的使用 在使用登录的时候,最常见的一串代码就是获取Subject,然后对Token进行login(); // 得到subject然后对创建用户名/密码身份验证 Subject subject = SecurityUtils.ge...
ssm整合shiro
u010330144的专栏
03-13 152
导入依赖 导入Shiro框架需要的依赖: shiro-core-1.3.2.jar shiro-ehcache-1.3.2.jar shiro-quartz-1.3.2.jar shiro-spring-1.3.2.jar shiro-web-1.3.2.jar 环境配置 1.在web.xml中配置Shiro的过滤器 与Spring集成: <filter> &...
Shiro原理剖析
romantic_PK的专栏
08-09 6314
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证、授权、企业会话管理和加密。相比spring security框架更简单灵活,spring security对spring依赖较强。shiro可以实现web系统、c/s、分布式等系统权限管理。 Shiro完整架构图,如下图: 核心组件: Sub...
shiro权限管理基本原理和实现的整理
StreamlineWq的博客
05-31 3969
shiro权限管理基本原理和实现的整理 引言:这两天学习了一个对权限管理的新的框架shiro,在这里做一个总结,既为了帮助有需要的人,也方便自己以后来回顾。 本篇文章主要针对下面几个关键点来说明: 1. shiro简介 2. 集成spring,快速搭建环境 3. shiro认证(即登录,重点) 4. shiro授权(重点) 5. shiro会话管理(Session) 6. shiro缓存(reme...
shiro-基本原理和逻辑配置
大帅的博客
01-14 5751
https://jinnianshilongnian.iteye.com/blog/2049092 https://my.oschina.net/huangyong/blog/215153 http://shiro.apache.org/articles.html http://shiro.apache.org/documentation.html
shiro原理解析
m0_67403188的博客
08-24 2028
(它的主要目的是与数据库打交道,查询数据库中的认证的信息(比如用户名和密码),查询授权的信息(比如权限的code等,所以这里可以理解为调用数据库查询一系列的信息,一般情况下在项目中采用自定义的realm,因为不同的业务需求不一样))这里的md5是原始的md5的加密了一次的密码+随机,然后对这个新的密码password=(md5+salt),进行散列:如何进行散列呢:就是多次md5加密md5(md5(md5(md5(password)))),这是4次散列,每次密码的破解的难度都加大。
Shiro权限管理实现(详解)
a1050762704的博客
08-19 1220
前言 Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 功能介绍 资源-角色-权限 登录认证,密码加密(Authentication, Authorization, Cryptography) 用户角色和权限放入缓存(Caching) 会话管理(Session Management) 功能实现 实现说明 基于Spring开发Shiro的话,我们只需要实现ShiroFilterFactoryBe
ssm整合shiro详解
小乌龟
10-02 2909
这里有详细的ssm整合shiro步骤,需要先搭建ssm框架,教程在 https://blog.csdn.net/qq_41150890/article/details/108419455 整合shiro: 1.在pom.xml中引入依赖 <!-- shiro --> <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> <dependency> <
maven+ssm+shiro
01-29
ssm搭建+详细说明 eclipse shiro权限控制
ssm+shiro整合
11-02
SSM+Shiro整合是Java Web开发中常见的一种安全框架集成方式,主要涉及Spring、Spring MVC、MyBatis以及Apache Shiro四大组件。这四个框架的结合,为开发者提供了便捷的后端服务搭建和强大的权限控制功能。 首先,...
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ssm+shiro+layui+easyui实现的后台权限管理系统
01-02
ssm+shiro+layui+easyui实现的后台权限管理系统 项目描述 基于SSM+Shiro+Layui+Easyui实现的后台权限管理系统 丰富的代码注释会很方便于你的理解,清晰的代码层次会让你更清楚的明白企业级架构!希望能在有限的...
idea工具,SSM+Shiro+Ajax+jQuery+Thymeleaf
08-15
比较实用的简单项目,适合练习数据库的增删改查,框架与技术:SSM+Shiro+Ajax+jQuery+Thymeleaf
SSM+shiro+redis
04-13
SSM+Shiro+Redis是Java Web开发中一种常见的技术栈组合,主要用于构建高效、安全的企业级应用。SSM指的是Spring、Spring MVC和MyBatis三个框架的集成,Shiro是一个强大的安全管理框架,而Redis则是一款高性能的内存...
Shiro原理讲解
qq_42814833的博客
12-30 5180
从请求的开始,到Subject的创建、认证、授权、会话。本文讲述shiro对web请求的安全处理、SecurityManager的工作流程、shiro如何制作一个带有会话的角色。大致说明shiro的工作流程和讲解部分源码。
Shiro系统权限管理、及原理剖析
热门推荐
helloworldwt的专栏
06-25 1万+
常用的Java EE权限框架有shiro、spring security。shiro被应用非常广泛,可以集成cas,搭建单点登录系统。spring security则被认为比较重,应用没有shiro广泛。 权限系统中的两个概念: 单点登录权限控制
【网络安全】shiro安全框架基本原理及架构功能简析
等风来
05-25 1万+
本文为Shiro框架简介,无安全,不shiroshiro安全框架问世的意义在于提供了一种有效的解决方案,帮助开发者和企业更好地保护自己的系统和数据安全。Shiro 可以与各种 Java 框架和应用程序进行集成,如Spring等。此外,Shiro 还可以与多个数据源集成,如JDBCLDAPNoSQL 数据库等,使得应用程序更加灵活。shiro 是一款非常流行的 Java 安全框架,它为企业级应用程序提供了身份验证、授权、会话管理和加密等安全支持功能。
构建安全可靠的应用程序:深入解读Shiro基本原理,实现身份认证与权限控制的利器
最新发布
资料免费分享,点击名片
11-11 54
使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,特别是今天对权限校验和管理特别严格,大家有必要对shiro有一个基本的认识和学习。推荐了解java培训课程。Realms:Realms作为Shiro和你的应用的连接桥,当需要与安全数据交互的时候,像用户账户,或者访问控制,Shiro就从一个或多个Realms中查找。Shiro提供了一些可以直接使用的Realms,如果默认的Realms不能满足你的需求,你也可以定制自己的 Realms。
Shiro权限框架认证和授权原理介绍
IT飞岳的博客
06-12 1万+
1、简介shiro是一个安全框架,是Apache的一个子项目。shiro提供了:认证、授权、加密、会话管理、与web集成、缓存等模块。   1.1、模块介绍Authentication:用户身份识别,可以认为是登录;Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是...
写一个ssm+shiro的登录认证
06-10
好的,下面是一个简单的SSM+Shiro的登录认证示例: 首先,需要在pom.xml中添加相关依赖: ```xml <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId> <version>5.2.3.RELEASE</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-jdbc</artifactId> <version>5.2.3.RELEASE</version> </dependency> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version> </dependency> ``` 其中,spring-webmvc和spring-jdbc是Spring的核心依赖,mybatis-spring-boot-starter是MyBatis的依赖,shiro-core和shiro-spring是Shiro的依赖。 然后,在Spring的配置文件中配置数据源和MyBatis: ```xml <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource"> <property name="driverClassName" value="com.mysql.jdbc.Driver"/> <property name="url" value="jdbc:mysql://localhost:3306/test"/> <property name="username" value="root"/> <property name="password" value="root"/> </bean> <bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean"> <property name="dataSource" ref="dataSource"/> <property name="typeAliasesPackage" value="com.example.demo.entity"/> <property name="mapperLocations" value="classpath:/mapper/*.xml"/> </bean> <bean id="mapperScanner" class="org.mybatis.spring.mapper.MapperScannerConfigurer"> <property name="basePackage" value="com.example.demo.mapper"/> </bean> ``` 接下来,配置Shiro: ```xml <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myRealm"/> </bean> <bean id="myRealm" class="com.example.demo.shiro.MyRealm"/> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login"/> <!-- 登录页面 --> <property name="successUrl" value="/index"/> <!-- 登录成功页面 --> <property name="filterChainDefinitions"> <value> /login = anon /logout = logout /** = authc </value> </property> </bean> ``` 其中,DefaultWebSecurityManager是Shiro的安全管理器,MyRealm是自定义的Realm类,ShiroFilterFactoryBean是Shiro的过滤器。 最后,实现登录认证: ```java @Controller public class LoginController { @Autowired private UserService userService; @RequestMapping("/login") public String login() { return "login"; } @RequestMapping("/index") public String index() { return "index"; } @RequestMapping("/loginCheck") @ResponseBody public String loginCheck(String username, String password) { Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { subject.login(token); return "success"; } catch (AuthenticationException e) { return "fail"; } } } ``` 其中,UserService是自定义的用户服务类,login方法返回登录页面,index方法返回登录成功页面,loginCheck方法处理登录请求,判断用户名和密码是否正确。 以上就是一个简单的SSM+Shiro的登录认证示例,希望可以帮到你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值