Shiro 初步使用

最新推荐文章于 2022-04-22 14:50:59 发布
最新推荐文章于 2022-04-22 14:50:59 发布
阅读量574 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oppoppoppo/article/details/55195505
版权

1.权限资源标识符号为

资源:操作:实例

即user:create:01

可以用*代替表示全部

2.认识用户、角色、权限、资源关系

zhang=123,role1,role2

li=456,role3

即用户表和角色表多对多,一个用户多个角色

role1=user:create,user:delete

role2=user:create,user:update

role3=user:delete

即角色和权限多对多,一个角色多个权限

3.认证授权流程--自定义realm

首先 由ShiroFilterFactoryBean中定义的formAuthenticationFilter(表单认证过滤器)进行表单提交过来的信息进行处理,并返回token给realm

	<!-- 安全认证过滤器 -->
	<bean id="shiroFilter" class="com.dq.shiro.security.MyShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<!-- loginUrl认证提交地址,如果没有认证将会请求此地址进行认证,请求此地址将由formAuthenticationFilter进行表单认证 -->
		<property name="loginUrl" value="${adminPath}/login" />
		<!-- loginUrl认证成功后跑的地址-->
		<property name="successUrl" value="${adminPath}?login" /> 
		<property name="filters">
            <map>
                <entry key="cas" value-ref="casFilter"/>
                <!-- 表单校验过滤器 ref-->
                <entry key="authc" value-ref="formAuthenticationFilter"/>
            </map>
        </property>
		<property name="filterChainDefinitions">
			<ref bean="shiroFilterChainDefinitions"/>
		</property>
	</bean>
表单认证过滤器核心代码 

	protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
		String username = getUsername(request);
		String password = getPassword(request);
		if (password==null){
			password = "";
		}
		boolean rememberMe = isRememberMe(request);
		String host = com.dq.base.web.utils.WebUtils.getIpAddr((HttpServletRequest)request);
		String captcha = getCaptcha(request);
		boolean mobile = isMobileLogin(request);
		return new UsernamePasswordToken(username, password.toCharArray(), rememberMe, host, captcha, mobile);
	}
获取username password rememberMe的信息,然后交给Realm的doGetAuthenticationInfo方法使用

注意需要强转成UsernamePasswordToken

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) {
		UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

doGetAuthenticationInfo认证方法流程

转化为UserNamePasswordToken

根据提供的用户名密码查找数据库信息

逻辑处理

返回给

org. apache. shiro. authc. pam.ModularRealmAuthenticator

SimpleAuthenticationInfo

return new SimpleAuthenticationInfo(new Principal(user, token.isMobileLogin()), 
						user.getPassword(), ByteSource.Util.bytes(salt), getName());
注意返回的SimpleAuthenticationInfo是给授权方法取出的,所以注意参数的注入 


	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		Principal principal = (Principal) getAvailablePrincipal(principals);
doGetAuthorizationInfo授权方法流程

转化Principal,取出用户相关信息

对用户的权限进行查询数据库,取出用户的权限、角色、资源等信息

将信息加入SimpleAuthorizationInfo中并返回

		try{
			User user = userService.get(new User(principal.getLoginName()));
			if (user != null) {
				SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//				List<Menu> list = SysUtils.getRoleMenu();
//				for (Menu menu : list){
//					if (StringUtils.isNotBlank(menu.getPermission())){
//						// 添加基于Permission的权限信息
//						for (String permission : StringUtils.split(menu.getPermission(),",")){
//							info.addStringPermission(permission);
//						}
//					}
//				}
				// 添加用户权限
				info.addStringPermission("user");
				// 更新登录IP和时间
//				iUserApi.updateUserLoginInfo(user);
				// 记录登录日志
	//			LogUtils.saveLog(Servlets.getRequest(), "系统登录");
				return info;
			}
添加权限信息,同理添加角色等 
				info.addStringPermissions(permissions);
				info.addStringPermission("user");

返回给


   
   

    
    
    
    org.
    
    apache.
    
    shiro.
    
    authz.ModularRealmAuthorizer

4.登录流程(和spring结合之后)

用户还没有认证时,根据shiroFilterChainDefinitions配置的loginUrl进行登录操作

此时被formAuthenticationFilter拦截取出request中的username和password以及remeberMe等相关信息,然后进行逻辑处理,组装token,返回给realm

realm拿到了token进入了

doGetAuthenticationInfo

方法,查询数据库,进行认证

5退出

<!-- 请求这个地址直接退出并清除session -->
${adminPath}/logout = logout










oppoppoppo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot 与shiro整合
while(True): print('adorable')
10-29 248
shiro~ shiro快速入门springboot 整合shiro核心目标清爽pom用户认证授权认证,与数据库交互shiro configuration核心controller 获取shiro 中的token页面控制功能的隐藏和显示 https://github.com/sevenyoungairye/spring-boot-study/tree/main/springboot-shiro-07 shiro快速入门 什么是shiro apache shiro 是一个java的安全(权限)框架。 sh
实现shiro-remember功能
Scofield_No1的博客
03-14 2130
首先说一下rememberMe是什么, 通俗的说就是 你登录百度以后,选择记住我,关闭浏览器之后打开百度,发现你还是登录状态,这样就是RememberMe 在这里,我们假设已经实现了shiro的基本登录功能。 首先是页面 userName<input type="text"id="userName" name="userName"value="<shiro:principal/>" /><br
Shiro进阶(四)Shiro之RememberMe
web13985085406的博客
04-22 1479
前言 本章讲解一下Shiro的记住我的功能 方法 1.概念 首先要澄清一点的是,这里的记住我并不是记住用户名和密码。 shiro的记住我是一种基于cookie实现的方式,特定的页面在关掉浏览器后(session消失)也可以进行访问的功能! 2.实现步骤 1)前台登录页面修改 如果需要记住我的功能,那么前台页面需要一个checkbox多选框来让用户进行勾选。 这里我就不进行说明了。丑一点没关系哈。 2)controller登录方法修改 3)修改shiro配置文件 <!-- 配置Shiro的Secur
Apache Shiro(七)——Shiro的RememberMe功能
传臣、的博客
10-28 9438
一、概述 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览器还是记住你的; 3、访问一般...
Shiro doGetAuthenticationInfo方法登录后获取不到正确的权限
wjzhang5514的博客
06-25 1万+
前提: Shiro的认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
Springboot+shiro+mysql
10-16
该项目springboot+shiro+mybatis+mysql+thymeleaf,初步实现了shiro的验证与认证,适合shiro初学者练习用,同时,该项目已全部搭建好,只需要修改数据库连接地址,启动自动创建数据库表
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
这个只是Shiro框架的初次认识
08-01
通过以上介绍,我们对Shiro有了初步的认识。在实际项目中,可以根据需求定制 Realm、配置 SecurityManager,并结合 Spring 实现灵活的权限控制。学习和掌握Shiro框架,将有助于提升Java应用的安全性和用户体验。
ShiroExploit-Deprecated:Shiro550Shiro721一键化利用工具,支持多种回显方式
03-21
ShiroExploit支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持多种回显方式使用说明初步:按要求输入要检测的目标URL和选择突破类型Shiro550提供rememberMe Cookie, Shiro721需要提供...
spring整合shiro
01-08
3. **Spring 与 Shiro 初步整合**: - **导入 Shiro 相关依赖**:在项目中引入 Shiro 的核心库 `shiro-all`,以及 Spring 对 Shiro 支持的依赖。 - **配置 Shiro 过滤器**:在 web.xml 中添加 ...
shiro doGetAuthenticationInfo
weixin_30536513的博客
11-09 278
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) { this.principals = new SimplePrincipalCollection(principal, ...
SpringBoot-Shiro权限控制( 3 )
志豪的博客
12-13 366
SpringBoot-Shiro权限控制(2019.12.13) 在《Spring-Boot-shiro用户认证》中,我们通过继承AuthorizingRealm抽象类实现了doGetAuthenticationInfo()方法完成了用户认证操作。接下来继续实现doGetAuthorizationInfo()方法完成Shiro的权限控制功能。 授权也称为访问控制,是管理资源访问的过程。即根据不同用...
解决:shiro中重写doGetAuthenticationInfo,结果首次登录先执行doGetAuthenticationInfo后执行login的问题
一勺菠萝丶的博客
12-20 1万+
前提: Springboot整合Shiro后,启动项目,首次进入登录页面输入用户账号密码点击登录,却先执行AuthRealm类(继承AuthorizingRealm类)中的重写的方法doGetAuthenticationInfo(),token为登录的用户信息,该方法执行后页面报404。手动退回登录页面第二次登录输入用户账号密码点击登录, 此次流程没问题,首先执行login()方法,再次执行do...
关于何时执行shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGetAuthorizationInfo
fj200821的专栏
01-18 2万+
1.doGetAuthenticationInfo执行时机如下 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorizationInfo执行时机有三个,如下: 1、subject.hasRole(“admin”) 或
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
热门推荐
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
Shiro安全框架
时光里的博客
09-23 431
Shiro概述 Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/),它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示: Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念,如图-所示: 其中: Subject :主体对象,
解决:shiro中重写doGetAuthenticationInfo,结果先执行doGetAuthenticationInfo后执行login的问题
Liucheng417的博客
07-17 1万+
前提: Springboot整合Shiro后,启动项目,点击一次登录,却先执行MyShiroRelam类(继承AuthorizingRelam类)中的重写方法doGetAuthenticationInfo(),token为null,再执行Login调用的此方法,传过来username和password的验证。再执行doGetAuthenticationInfo()方法,token为null 原...
shiro中AuthorizingRealm接口的doGetAuthorizationInfo 与doGetAuthenticationInfo什么时候调用
sidanchen的博客
03-09 3万+
这两个方法虽然名字很像,但是意义是不一样的,doGetAuthorizationInfo方法是进行权限验证,doGetAuthenticationInfo是进行身份验证的(登录验证),相信很多初学者对于这两个方法的调用时机可能不太明白,今天楼主搞了一下午的测试大致明白这两个方法的调用时机。1.doGetAuthorizationInfo方法    该方法主要是用于当前登录用户授权(作者小白插一句:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值