shiro从入门到精通~配备实例讲解

最新推荐文章于 2023-07-11 20:42:20 发布
最新推荐文章于 2023-07-11 20:42:20 发布
阅读量389 收藏
点赞数
分类专栏: java工具类 文章标签: shiro详解 shiro从入门到精通 shiro做权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19167629/article/details/80986237
版权

Shiro安全矿建是目前最常用的作为登录注册的框架,提供了认证、授权、加密、和会话管理等功能;

Shiro的功能点:

    认证:验证用户身份;

    授权:对用户执行访问控制:判断用户是否被授权做某事;

    会话管理:在任何环境下使用SessionAPI,即使没有Web或EJB容器;

    加密:以更简洁易用的方式使用加密功能,保护或隐藏数据防止被偷窥;

    Realms:聚集一个或多个用户安全数据的数据源;

    单点登录:(SSO)功能;

为没有关联到登录的用户启用Remember Me服务。

Shiro的四大核心部分:(重点)

    Authentication(身份验证):简称为“登录”,即证明用户的身份;

    Authorization(授权):访问控制的过程,即决定是否有权限去访问手保护的资源;

    Session Management(会话管理):管理用户特定的会话,即使在非Web或EJB应用程序。

    Cryptography(加密):通过使用加密算法保持数据安全;

Shiro的三个核心组件:

    Subject:正与系统进行交互的用户或者服务。所有的Subject实例必须被绑定到一个SecurityManager上。

    SecurityManager:Shiro架构的核心,用来协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务。当Shiro与一个Subject进行交互时。实质上是幕后的SecurityManager处理所有繁重的Subject安全操作。

    Realms:本质上是一个特定安全的DAO。当配置Shiro时,必须指定至少一个Realm用来进行身份验证及授权。Shiro提供了多重可用的Realms来获取安全相关的数据。如关系数据库JDBC或属性文件等。可以定义自己Realms实现来代表自定义的数据源。

一、shiro整合Spring(此处以maven项目为例)

首先在pom.xml中添加jar包依赖:

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>${shiro.version}</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>${shiro.version}</version>
</dependency>

准备基本的配置文件在spring配置文件中做如下配置:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/mvc/login.xhtml"/>
    <property name="successUrl" value="/mvc/index.xhtml"/>
    <property name="filterChainDefinitions">
        <value>
            /mvc/mallszccb/pd/**/**/**/0/**/** = authc
            /mvc/docs/** = authc, perms[document:read]
            /currentUser = authc
            /** = anon
        </value>
    </property>
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="myRealm"/>
</bean>
<bean id="lifecycleBeanPostProcessor" 
      class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<bean id="myRealm" class="com.ifunpay.portal.security.MemberUserRealm"/>

配置文件准备完毕之后开始写Realm类,该方法必须继承AuthorizingRealm:

public class MemberUserRealm extends AuthorizingRealm {


    public static final String SALT = Sha256Hash.ALGORITHM_NAME;

    @Resource
    MemberUserService memberUserService;

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        String username = usernamePasswordToken.getUsername();
        MemberUserEntity memberUserEntity = memberUserService.getEntityByName(username);
        if(memberUserEntity != null){
            return new SimpleAuthenticationInfo(username, memberUserEntity.getPassword(), getSaltByteSource(), getName());
        }else{
            return null;
        }
    }


    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }


    public static String encryptPassword(Object password) {
        return new SimpleHash(SALT, password, getSaltByteSource())
                .toBase64();
    }

    private static ByteSource getSaltByteSource() {
        return ByteSource.Util.bytes(SALT);
    }


}

而后我在这里写了一个service来做登录业务:

@Component
public class ShiroSecurityService {

    public void auth(String username, String password){
        UsernamePasswordToken token = new UsernamePasswordToken(username, MemberUserRealm.encryptPassword(password));
        SecurityUtils.getSubject().login(token);
    }
}

最后在controller层做一个login来做shiro验证就ok了:

@RequestMapping(value = "/login", method = RequestMethod.POST)
public String auth(@RequestParam String username,
                 @RequestParam String password) {
    try {
        SavedRequest savedRequest = (SavedRequest) SecurityUtils.getSubject().getSession().getAttribute("shiroSavedRequest");
        String uri = savedRequest.getRequestURI();
        shiroSecurityService.auth(username, password);
        logger.info("login success"+uri);
        return "redirect:"+uri;
    } catch (Exception e) {
        logger.error("", e);
        return "redirect:/mvc/errorLogin?msg="+e.getMessage();
    }
}

展会融媒体代运营_龙
关注
专栏目录
JavaWeb:shiro入门小案例
Un_stoppable的博客
08-22 2563
学习原因:刚接触Javaweb的时候懂的很少(当然现在也不多),所以开发一个小项目都是自己从头写到尾,从登录界面一直到数据库,当时想以后开发要是都这么写那不是很枯燥?!…知道后来团队开发,接触的开发人员多了(都是学生),但是真的从不同的人身上能学到很多东西,直到有一天知道了shiro,没想到竟还有这种东西,真是B了*了…哈哈哈,废话说完了,下面开始。 1、什么是shiro? Apache Sh...
Spring Boot入门到精通(超详细)
qq_41627024的博客
06-06 6095
本文主要讲了Springboot从基础到高阶涉及到的相关技术,让读者能够快速入门,深入了解Springboot框架,并能够熟练的使用springboot,快速提升个人技能。
Shiro框架入门到精通
JolyouLu的博客
06-13 370
Shiro框架入门到精通 权限管理 什么是权限管理 基本上涉及到用户的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源 权限管理包括用户身份认证和授权两部分,简称认证授权对应需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限即可访问 什么是身份认证 身份认证就是判断一个用户是否合法用户的过程,最常用的身份证认证就是用户登录功能,核对用户输入的用户名与密码查看是否与存储的用户
Shiro —— 从一个简单的例子开始
weixin_30908649的博客
09-19 119
一、Shiro是用来权限的。 二、权限 1.基本概念: (1)安全实体:要保护的数据。 (2)权限:是否有能力去操作(查看、修改、删除 )保护的数据。 2、权限的两个特性 (1)权限的继承性:A 包含 B,B无权限,但A有权限,此时B 的权限即为 A 的权限。如大厦里有公共厕所,进出大厦需要门禁,所以公共厕所的权限就是大厦的门禁权限。 (2)最近路劲匹配:如大厦某层有卫生间,要想到...
Shiro入门到精通
06-26
尚硅谷shiro入门到精通源码讲解,与spring security对比
shiro框架从入门到精通(一)
u012325073的博客
10-25 1392
今天刚接触shiro框架,以前也看到过,只是没有去学习,今天接触一下,感觉还是很容易的,先就让我们一步步探讨,看看shiro怎么用,我们为什么要用shiro,它能给我们带来了什么好处。 一、先学会怎么样使用shiro: 本人观点,学知道,再使用,然后精通,因为此框架比较简单,那么让我们直接进入前面两步骤。 二、shiro什么 声明:本文纯属个人理解     shiro 是一个权限管...
Shiro入门到精通教程
"跟我学Shiro教程是一本适合新手的指南,主要讲解了Apache Shiro框架的基本概念、使用方法和核心功能,包括身份验证、授权、配置、Web集成、拦截器、JSP标签、会话管理和缓存机制,并介绍了如何与Spring框架进行集成...
java从入门到精通学习路线
热门推荐
xx666zz的博客
11-12 2万+
目前Java在许多行业的客户端方面的应用非常多,比如OA、邮箱、投票、金融、考试、物流、医疗、矿山等信息方面的系统。Java开发者在这方面的需求也非常大,待遇也相当不错,工资水平可能和Java互联网方向的差不多,但福利和前途则非常好,因为这类工作基本上是政府事业单位及大型企业提供的。 对于java学习,一套专业系统的java学习路线图是不可少的,让你从入门到精通实现系统化!   第一阶段...
Springboot入门到精通(超详细文档)
m0_67393413的博客
06-12 3433
我们知道,从 2002 年开始,Spring 一直在飞速的发展,如今已经成为了在Java EE(Java Enterprise Edition)开发中真正意义上的标准,但是随着技术的发展,Java EE使用 Spring 逐渐变得笨重起来,大量的 XML 文件存在于项目之中。繁琐的配置,整合第三方框架的配置问题,导致了开发和部署效率的降低。2012 年 10 月,Mike Youngstrom 在 Spring jira 中创建了一个功能请求,要求在 Spring 框架中支持无容器 Web 应用程序体系结构
【评论区抽奖】北大社将《Web安全攻防从入门到精通》送上新书热卖NO.1
hongrisec的博客
10-17 1826
还没看到《Web安全攻防从入门到精通》?那你的第一本安全书籍就交给红日吧,评论区留言,免费看!
Shiro的应用案例
10-25
Shiro的应用案例是关于用户认证和授权的,这是具体项目,具体步骤在博客有记录,有需要的小伙伴可以自行下载
Shiro非常详细的实例
09-09
Shiro非常详细的实例,入门的详细资料
shiro案例 demo
12-01
shiro 框架的案例,用于学习研究。 用户名 admin 密码 sojson
shiro权限案例demo
07-18
shiro权限demo
Up主新教程,Shiro入门到精通!
MarkerHub的博客
08-23 156
B站视频更新啦,这次讲解Shiro知识,我们直接来看看目录:1、Shiro简介2、主要概念与详细架构3、用户认证流程分析4、常见异常与常见概念5、认证代码Demo与源码跟踪6、常见API...
Shiro教程(一):入门概述与基本使用
最新发布
WwLK123的博客
07-11 5863
Shiro入门概述与基本使用
Shiro-全面详解(学习总结---从入门到深化)
12-01 2865
身份认证/登录。权限验证,即判断用户是否能在系统中某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。提供测试支持。
软件測试自学指南---从入门到精通
weixin_34289454的博客
06-20 181
    近来,软件測试行业发展迅速,企业越来越重视測试了。越来越多的人增加了測试大军中,非常多人也想通过自学来学习软件測试技术增加这个行业,可是如今软件測试的书籍越来越多,也良莠不齐,并且软件測试涉及的技术也越来越多。本文主要说明的是从事软件測试行业须要必备的知识,以及该怎样学习,主要给大家提供一些比較优秀的书籍,并给出学习的顺序。希望通过阅读本文,读者能够明白该怎样学习測试,并学习哪些知...
Shiro简单小案例
baidu_41936920的博客
07-08 528
shiro
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值