shiro基础学习(二) shiro认证

最新推荐文章于 2021-10-21 20:55:51 发布
最新推荐文章于 2021-10-21 20:55:51 发布
阅读量299 收藏
点赞数
分类专栏: shiro

转载自:http://www.cnblogs.com/yangang2013/p/5677717.html

一、shiro简介

     shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

以下是你可以用 Apache Shiro所做的事情:

(1)验证用户。

(2)对用户执行访问控制,如: 判断用户是否拥有角色admin,判断用户是否拥有访问的权限。

(3)在任何环境下使用Session API。例如CS程序。

(4)可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。

(5)单点登录(SSO)功能。

(6)"Remember Me"服务,类似购物车的功能,shiro官方建议开启。

 

二、shiro架构

     image

 

(1)Subject

     image

     Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。

     所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。

     Subject在shiro中是一个接口,接口中定义了很多认证授权相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权。

 

(2)SecurityManager

     SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。

     SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。

 

(3)Authenticator

     Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。

 

(4)Authorizer

    Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

 

(5)Realm

     Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。

 

(6)sessionManager

     sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。

 

(7)SessionDAO

     SessionDAO会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。

 

(8)CacheManager

     CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。

 

(9)Cryptography

     Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

 

三、基本程序

1.认证流程

       image

 

2.入门程序

(1)工程架构

image

 

(2)shiro-first.ini

     通过shiro-first.ini配置文件初始化SecurityManager环境。

    image

 

(3)代码实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
public  class  AuthenticationTest{
 
     // 用户登录和退出
     @Test
     public  void  testLogin(){
 
         // 创建SecurityManager工厂,通过init配置文件构造
         IniSecurityManagerFactory factory = new  IniSecurityManagerFactory( "classpath:shiro-first.ini" );
 
         // 创建SecurityManager
         SecurityManager securityManager = factory.createInstance();
 
         // 将SecurityManager设置到当前运行环境
         SecurityUtils.setSecurityManager(securityManager);
 
         // 从SecurityUtils里创建Subject
         Subject subject = SecurityUtils.getSubject();
 
         // 认证提交前准备token
         UsernamePasswordToken token = new  UsernamePasswordToken( "zhangsan" , "123" );
 
         try {
             // 执行认证提交
             subject.login(token);
         } catch (Exception e){
             e.printStackTrace();
         }
 
         // 是否认证通过
         boolean  isAuthenticated = subject.isAuthenticated();
         System.out.println( "是否认证通过: "  + isAuthenticated);
 
         // 退出操作
         subject.logout();
 
         isAuthenticated = subject.isAuthenticated();
         System.out.println( "是否认证通过: "  + isAuthenticated);
     }
}

结果:

      是否认证通过: true 
      是否认证通过: false

 

(4)认证流程

1、通过ini配置文件创建securityManager

2、调用subject.login方法主体提交认证,提交的token

3、securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证。

4、ModularRealmAuthenticator调用IniRealm(给realm传入token) 去ini配置文件中查询用户信息。

5、IniRealm根据输入的token(UsernamePasswordToken)从shiro-first.ini查询用户信息,根据账号查询用户

    信息(账号和密码)如果查询到用户信息,就给ModularRealmAuthenticator返回用户信息(账号和密码)如果查

    询不到,就给ModularRealmAuthenticator返回null。

6、ModularRealmAuthenticator接收IniRealm返回Authentication认证信息如果返回的认证信息是null,

    ModularRealmAuthenticator抛出异常(org.apache.shiro.authc.UnknownAccountException)如果返回的认

    证信息不是null(说明inirealm找到了用户),对IniRealm返回用户密码(在ini文件中存在)和 token中的密码进行对

    比,如果不一致抛出异常(org.apache.shiro.authc.IncorrectCredentialsException)。

 

三、自定义Realm

1.自定义Realm代码实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
/*
  * 自定义Realm
  */
public  class  CustomRealm extends  AuthorizingRealm{
 
     
     //设置Realm名称
     @Override
     public  void  setName(String name){
         super .setName( "customRealm" );
     }
 
     //用于认证
     @Override
     protected  AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws  AuthenticationException{
         
         //1.从token取出用户身份信息
         String userCode = (String)token.getPrincipal();
         
         //2.根据用户userCode查询数据库
         //模拟从数据库查询到的密码
         String password = "123" ;
         
         //查询不到返回null
         
         //查询到返回认证信息
         SimpleAuthenticationInfo authenticationInfo = new  SimpleAuthenticationInfo(userCode,password, this .getName());
         
         return  authenticationInfo;
     }
 
     //用于授权
     @Override
     protected  AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){
         
         return  null ;
     }
 
}

 

2.配置Realm

image

 

3.测试代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
// 用户登录和退出
@Test
public  void  testCustomRealm(){
     
     // 创建SecurityManager工厂,通过init配置文件构造
     IniSecurityManagerFactory factory = new  IniSecurityManagerFactory( "classpath:shiro-realm.ini" );
     
     // 创建SecurityManager
     SecurityManager securityManager = factory.createInstance();
     
     // 将SecurityManager设置到当前运行环境
     SecurityUtils.setSecurityManager(securityManager);
     
     // 从SecurityUtils里创建Subject
     Subject subject = SecurityUtils.getSubject();
     
     // 认证提交前准备token
     UsernamePasswordToken token = new  UsernamePasswordToken( "zhangsan" , "123" );
     
     try {
         // 执行认证提交
         subject.login(token);
     } catch (Exception e){
         e.printStackTrace();
     }
     
     // 是否认证通过
     boolean  isAuthenticated = subject.isAuthenticated();
     
     System.out.println( "是否认证通过: "  + isAuthenticated);
     
     // 退出操作
     subject.logout();
     
     isAuthenticated = subject.isAuthenticated();
     System.out.println( "是否认证通过: "  + isAuthenticated);
}

nanjing0412
关注
专栏目录
Shiro基础学习(一)—权限管理
weixin_30407099的博客
07-17 80
一、基本概念 1.权限管理 只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户认证和授权两部分。 2.用户认证 用户认证,用户去访问系统,系统要验证用户身份的合法性。 最常用的用户身份验证的方法: (1)用户名密码方...
shiro学习-基础介绍(一)
聪明的阿呆
08-25 243
几乎所有的权限系统都分成两个部分,一个是分配权限部分,一个是验证权限部分,为了理解它们,首先解释两个基本的名词:安全实体和权限; 安全实体:就是被权限系统保护的对象,比如工资数据。 权限:就是要被校验的权限对象,比如查看、修改等。 所谓分配权限是指:把对某些安全实体的某些权限分配给某些人员的过程。 所谓验证权限是指:判断某个人员或程序对某个安全实体是否拥有某个或某些权限的过程。
Shiro学习一:shiro基础教程
wqh0830的博客
02-28 335
一、前言 Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 、介绍 2.1 功能特点 Shiro 包含 10 个内容,如下图: 1) Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 2) Authorization:授权,即权限验证,验...
shiro基础
gaoyongjianqq的专栏
07-08 360
1.shiro简介 Apache Shiro 是 Java 的一个安全框架。   2.shiro面对的问题 Shiro 可以在项目解决认证、授权、加密、会话管理、与 Web 集成、缓存等问题 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:...
shiro 基础入门
HuiSirBlog
05-26 175
一、架构要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例:(1)使用用户的登录信息创建令牌UsernamePasswordToken token = new UsernamePasswordToken(username, password);to...
Apache Shiro 使用手册(Shiro 认证
09-15
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权和会话管理功能。本文主要关注其认证过程,即验证用户身份的环节。 在 Shiro认证过程,用户要提供实体信息(Principals)和凭据信息...
shiro认证.pdf
08-13
本文档主要介绍Shiro认证的基本流程以及如何使用Shiro进行用户登录和退出操作。 首先,Shiro认证的过程可以简单概括为以下步骤: 1. 用户向应用程序提供其身份凭证,如用户名和密码。 2. 应用程序将这些凭证传递给...
shiro认证 类图关系简化版
04-13
shiro认证 类图关系简化版
shiro学习笔记
04-03
### Shiro的主要功能 1. **密码加密**:Shiro 提供了多种加密工具,如MD5、SHA等,用于对用户密码进行安全存储。 2. **Web 支持**:Shiro 可以方便地与Servlet容器集成,提供Web 应用的安全控制。 3. **缓存...
shiro框架的基础学习
02-02
通过上述知识点的学习,你可以构建起对 Apache Shiro基础理解,并能够将其应用于实际项目,实现高效且安全的权限控制。在深入学习 Shiro 的同时,也要注意与 Spring、Spring Boot 等其他框架的集成,以充分利用...
Shiro入门学习
yutao_Struggle的博客
11-24 533
授权简介授权,也叫访问控制,即在应用控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role) shiro通过角色赋予主体对资源CRUD(增删改查),角色是一组权限的集合。shiro支持粗粒度权限(基于角色的访问控制)和细粒度权限(基于资源的访问控制)。shiro支持三种
Apache Shiro 快速入门教程,shiro 基础教程
热门推荐
bieleyang的博客
08-12 1万+
第一部分 什么是Apache Shiro 1、什么是 apache shiro : Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 如同 spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。 2
Shiro 权限管理入门之认证与授权,阿里P7大牛亲自讲解
m0_61439820的博客
09-09 276
Shiro 是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序—从最小的移动应用程序到最大的web和企业应用程序。 简单来说,Shiro 是 apache 旗下一个 开源框架,它将软件系统的安全认证相关的功能抽取出来,实现 用户身份认证,权限授权、加密、会话管理 等功能,组成了一个 通用的安全认证框架。 []( )Shiro 的核心架构 =====================================
初学Shiro 1:Shiro的简单流程
字节叔叔
01-15 2217
Shiro.ini文件首先要有一个Shiro.ini的文件如下:[main] authc.loginUrl=/login [users] kh=123 zs=111 ls=111 [urls] /admin/**=authc /login=anon[urls]下面符合通配符/admin/**的都进行权限认证。 符合正则表达式/login的不进行权限认证。 [users]下面的是用户名和密
ShiroShiro从小白到大神(一)-Shiro入门
weixin_34150224的博客
09-22 1236
本系列是我在学习Shiro的路上的笔记,第一篇是属于非常入门级别的。 首先是介绍了下shiro,然后进行了一个小例子进行实际的操作 本节操作不涉及数据库,只是文本字符操作认证 Shiro简介: 百度百科上的介绍: Apache Shiro(日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提...
面试题(四)
sayhitoloverOvO的博客
10-21 177
默认类型和包住类型的区别 包装类型默认null,基本类型不为null 包装类型可以作用于泛型,基本类型不行 基本类型在栈可以直接存储具体数值,而包装类型则存储的是堆的引用。 HashMap和hashTable的区别 HashMap线程非安全,HashTable线程安全 HashMap集成自AbstractMap,继承自Dictionary HashMap:null可以作为键(放在hash桶的第0个位置) HashTable:key和value都不允许出现null值,否则抛出NullPoi
Shiro 的身份认证
dream_heheda的博客
09-27 387
1.基本验证步骤 2.Remebered(记住我)和Authenticated(已认证
Shiro认证实战
实践求真知
11-05 258
Shiro认证流程图 实战 1新建pom <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <...
shiro分步学习,详细-------基础
旧风年间的博客
11-21 266
什么是权限管理    一、使用ini完成认证,入门 1、创建shiro.ini文件,模拟数据库查询 #固定写法-创建用户对象 [users] # 账号=密码 zhangchao=666 2、测试类 package com.zhangchao.shiro.study; import org.apache.shiro.SecurityUtils; i...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值