shiro笔记

最新推荐文章于 2023-11-29 11:56:59 发布
最新推荐文章于 2023-11-29 11:56:59 发布
阅读量240 收藏
点赞数
分类专栏: shiro

1.关键名词

subject:主体,理解为用户,可能是程序,都要去访问系统的资源,系统需要对subject进行身份认证、授权。

 

principal:身份信息,通常是唯一的,一个主体还有多个身份信息,但是都有一个主身份信息(primary principal)

 

credential:凭证信息,可以是密码、证书、指纹。



securityManager:安全管理器,主体进行认证和授权都是通过securityManager进行。

 

authenticator:认证器,主体进行认证最终通过authenticator进行的。

 

authorizer:授权器,主体进行授权最终通过authorizer进行的。

 

sessionManager:web应用中一般是用web容器对session进行管理,shiro也提供一套session管理的方式。

SessionDao:  通过SessionDao管理session数据,针对个性化的session数据存储需要使用sessionDao。

 

cache Manager:缓存管理器,主要对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和ehcache整合对缓存数据进行管理。

 

realm:域,领域,相当于数据源,通过realm存取认证、授权相关数据。

 

注意:在realm中存储授权和认证的逻辑。

 

cryptography:密码管理,提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

比如 md5散列算法。



2.粗粒度和细粒度权限

粗粒度权限管理,对资源类型的权限管理。资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。。

粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。


细粒度权限管理,对资源实例的权限管理。资源实例就资源类型的具体化,比如:用户id为001的修改连接,1110班的用户信息、行政部的员工。

细粒度权限管理就是数据级别的权限管理。


3.依赖jar

<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.2.3</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<version>1.2.3</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.2.3</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<version>1.2.3</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-quartz</artifactId>
			<version>1.2.3</version>
		</dependency>

4.shiro认证流程:

         1、subject(主体)请求认证,调用subject.login(token)

         2、SecurityManager(安全管理器)执行认证

         3、SecurityManager通过ModularRealmAuthenticator进行认证。

         4、ModularRealmAuthenticator将token传给realm,realm根据token中用户信息从数据库查询用户信息(包括身份和凭证)

    5、realm如果查询不到用户给ModularRealmAuthenticator返回null,ModularRealmAuthenticator抛出异常(用户不存在)

         6、realm如果查询到用户给ModularRealmAuthenticator返回AuthenticationInfo(认证信息)

         7、ModularRealmAuthenticator拿着AuthenticationInfo(认证信息)去进行凭证(密码 )比对。如果一致则认证通过,如果不致抛出异常(凭证错误)。


5. 授权流程

1、对subject进行授权,调用方法isPermitted("permission串")

2、SecurityManager执行授权,通过ModularRealmAuthorizer执行授权

3、ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据

         调用realm的授权方法:doGetAuthorizationInfo

4、realm从数据库查询权限数据,返回ModularRealmAuthorizer

5、ModularRealmAuthorizer调用PermissionResolver进行权限串比对

6、如果比对后,isPermitted中"permission串"在realm查询到权限数据中,说明用户访问permission串有权限,否则没有权限,抛出异常。


SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		//将查询到授权信息填充到simpleAuthorizationInfo对象中
simpleAuthorizationInfo.addStringPermissions(permissions);



6.shiro的过虑器


过滤器简称

对应的java类

anon

org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter

logout

org.apache.shiro.web.filter.authc.LogoutFilter

 

anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,FormAuthenticationFilter是表单认证,没有参数

perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

user:例如/admins/user/**=user没有参数表示必须存在用户,身份认证通过或通过记住我认证通过的可以访问,当登入操作时不做检查

7.设置凭证匹配器

数据库中存储到的md5的散列值,在realm中需要设置数据库中的散列值它使用散列算法及散列次数,让shiro进行散列对比时和原始数据库中的散列值使用的算法一致。




8.    开启controller类aop支持


对系统中类的方法给用户授权,建议在controller层进行方法授权。

 在springmvc.xml中配置:


9.  在controller方法中添加注解

//符合index:hello权限要求
@RequiresPermissions("index:hello")

//必须同时复核index:hello和index:world权限要求
@RequiresPermissions({"index:hello","index:world"})

//符合index:hello或index:world权限要求即可
@RequiresPermissions(value={"index:hello","index:world"},logical=Logical.OR)

10.   缓存流程(ehcache)


shiro中提供了对认证信息和授权信息的缓存。shiro默认是关闭认证信息缓存的,对于授权信息的缓存shiro默认开启的。主要研究授权信息缓存,因为授权的数据量大。

 

用户认证通过。

该用户第一次授权:调用realm查询数据库

该用户第二次授权:不调用realm查询数据库,直接从缓存中取出授权信息(权限标识符)。



         配置cacheManager



11.缓存清空(特殊需求)

如果用户正常退出,缓存自动清空。

 

如果用户非正常退出,缓存自动清空。

 

如果修改了用户的权限,而用户不退出系统,修改的权限无法立即生效。

需要手动进行编程实现:

         在权限修改后调用realm的clearCache方法清除缓存。

下边的代码正常开发时要放在service中调用。

在service中,权限修改后调用realm的方法。

在realm中定义clearCached方法:

 

//清除缓存
	public void clearCached() {
		PrincipalCollection principals = SecurityUtils.getSubject().getPrincipals();
		super.clearCache(principals);
	}

12.自定义FormAuthenticationFilter




13.  记住我rememeberMe

用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息,下次登陆从cookie中取出身份信息实现自动登陆。

1.实现序列化接口
2.配置rememeberMeManager


一点寒芒先至
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习视频 springmvc mybatis shiro
09-30
springmvc mybatis shiro springmvc mybatis shiro springmvc mybatis shiro
shiro全套视频
泽宇的博客
04-02 2518
1:http://v.youku.com/v_show/id_XMzEzNTcxNTAwNA==.html?spm=a2hzp.8253869.0.0
传智燕青springmvc2教案+源码
12-18
传智燕青springmvc2教案+源码传智燕青springmvc2教案+源码
Shiro笔记
最新发布
Lightllll的博客
11-29 958
shiro
狂神Shiro 笔记
fengjiuxin的博客
08-14 548
Shiro 简介 三个核心:Subject,Shiro SecurityManager,Reaim Shiro SecurityManager管理Subjec 架构 Authentication 身份认证、登录 Authorization 授权,即权限验证,验证某个已经认证的用户是否拥有某个权限 Session Manager 会话管理,session管理 web里边 Cryptography 加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储 Web Support 能够容易的集成We
尚硅谷(2022)Shiro笔记
weixin_52222660的博客
03-14 588
Shiro的概念
学习shiro笔记
KevinLoveJava
10-17 96
学习shiro做的笔记记录:http://gitee.com/zhongxu/shiro
shiro笔记大全
08-20
shiro
shiro笔记整理.docx
08-04
shiro笔记整理,通过学习shiro课程所做的笔记整理,可用于面试复习或者整体理解,但是做好还是配合课程进行具象的理解。https://blog.csdn.net/qq_23095607/article/details/107346396
Shiro笔记(内容精简,看完即会)
07-02
适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,...
shiro学习笔记
04-03
shiro学习笔记以及代码,包括权限基础、shiro入门、shiro实例等
shiro学习笔记.rar
10-06
这是shiro的学习笔记,包括学习时候自己写的代码,主要内容就是使用springboot整合shiro,实现对用户的认证和授权,以及图片验证码的实现
shiro-大致梳理一下shiro框架
xxx
03-09 1840
参考链接:http://jinnianshilongnian.iteye.com/blog/2018936(张开涛老司机的博客)一 shiro的功能(如下图)二 shiro认证授权的大致过程(一) application如何去调用shiro的东西:1 从下面的代码中可以看出来:我们在application中只需要两个东西就可以完整一次验证:subject和UsernamePasswordToken...
shiro视频教程
xiaolang0211的博客
11-01 903
Shiro是什么 Shiro是一个Java平台的开源权限框架,用于认证和访问授权。具体来说,满足对如下元素的支持: 用户,角色,权限(仅仅是操作权限,数据权限必须与业务需求紧密结合),资源(url)。 用户分配角色,角色定义权限。 访问授权时支持角色或者权限,并且支持多级的权限定义。 Q:对组的支持? A:shiro默认不支持对组设置权限。 Q:是否可以满足对组进行角色分配的需求? A:扩展Rea...
浪子燕青Dburst0.99版本发布+源码分析
浪子燕青的博客
01-17 682
运行效果如图所示 如何使用? 1.配置好相关账号字典 2.双击 浪子燕青Dburst.exe 主程序 ================================================== 如何配置扫描验证的ip段,字典? 1. ip段写在同目录下的nice.txt ,请注意格式以及IP的准确率,避免系统资源浪费 2. 字典账号密码在同目录下   user
第6
weixin_33975951的博客
08-31 54
作业: 更新数据库内容 思路: 交集 更新 原集合 交集 新集合 = 更新集合 差集 删除 原集合 差集 新集合 = 删除集合 添加 新集合 差集 ...
狂神说springboot笔记shiro
03-16
狂神说Spring Boot笔记Shiro是一篇关于如何使用Apache ShiroSpring Boot项目中进行身份验证和授权的教程。它可以帮助开发人员快速和简单地在应用程序中实现安全功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值