shiro原理简介说明

最新推荐文章于 2022-08-24 02:55:07 发布
最新推荐文章于 2022-08-24 02:55:07 发布
阅读量482 收藏 1
点赞数
分类专栏: Shiro java 文章标签: java Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25073223/article/details/126006591
版权
java 同时被 2 个专栏收录
1373 篇文章 22 订阅
订阅专栏
Shiro
9 篇文章 0 订阅
订阅专栏

转自:

shiro原理简介说明

下文笔者讲述shiro的原理简介说明,如下所示:

Shiro原理简介说明

   Shiro是一个强大易用的Java安全框架
   Shiro可提供认证、授权、加密和会话管理等功能
   Shiro是市面上使用最多的登陆框架

shiro框架

Subject:

主体:代表当前“用户”
此处的用户不一定是一个具体的人
与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等
所有Subject都绑定到SecurityManager 同Subject的所有交互都会委托给SecurityManager
我们可以将Subject看成一个接入方
SecurityManager 才是实际的执行者

SecurityManager

安全管理器:所有与安全有关的操作都会与SecurityManager交互
且它管理着所有Subject
可以看出它是 Shiro 的核心
它负责与后边介绍的其他组件进行交互

Realm

域
Shiro 从 Realm 获取安全数据(如用户、角色、权限)
就是说 SecurityManager 要验证用户身份,它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法,
也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作
我们可以把 Realm 看成 DataSource,即安全数据源。

shiro运行原理

 Subject:主体,可以看到主体可以是任何与应用交互的“用户”。
 SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心,所有具体的交互都通过 SecurityManager 进行控制。它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
 Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的不好,我们可以自定义实现。其    需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。
 Authrizer:授权器,或者访问控制器。它用来决定主体是否有权限进行相应的操作,即控制着用户能访问应用中的哪些功能 
 Realm:可以有1个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的。它可以是 JDBC 实现,也可以是      LDAP 实现,或者内存实现等。
 SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session 需要有人去管理它的生命周期,这个组件就是     SessionManager。而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境。
  SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD。我们可以自定义 SessionDAO 的实现,控制 session 存    储的位置。如通过 JDBC 写到数据库或通过 jedis 写入 redis 中。另外 SessionDAO 中可以使用 Cache 进行缓存,以   提高性能。
  CacheManager:缓存管理器。它来管理如用户、角色、权限等的缓存的。因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能。
  Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密的。

shiro认证过程

1、应用程序构建了一个终端用户认证信息的AuthenticationToken 实例后,调用Subject.login方法
2、Sbuject的实例通常是DelegatingSubject类(或子类)的实例对象,在认证开始时,会委托应用程序设置的securityManager实例调用securityManager.login(token)方法
3、SecurityManager接受到token(令牌)信息后会委托内置的Authenticator的实例(通常都是ModularRealmAuthenticator类的实例)调用authenticator.authenticate(token). ModularRealmAuthenticator在认证过程中会对设置的一个或多个Realm实例进行适配,它实际上为Shiro提供了一个可拔插的认证机制
4、如果在应用程序中配置了多个Realm,ModularRealmAuthenticator会根据配置的AuthenticationStrategy(认证策略)来进行多Realm的认证过程。在Realm被调用后,AuthenticationStrategy将对每一个Realm的结果作出响应
    注:如果应用程序中仅配置了一个Realm,Realm将被直接调用而无需再配置认证策略
5、判断每一个Realm是否支持提交的token,如果支持,Realm将调用getAuthenticationInfo(token); getAuthenticationInfo 方法就是实际认证处理,我们通过覆盖Realm的doGetAuthenticationInfo方法来编写我们自定义的认证处理

版权声明

 

qq_25073223
关注
专栏目录
Shiro原理
vandet100的博客
12-11 856
参考:https://jinnianshilongnian.iteye.com/blog/2018936 1.架构原理Shiro的核心部分是SecurityManager,它负责安全认证与授权。Shiro本身已经实现了所有的细节,用户可以完全把它当做一个黑盒来使用。SecurityUtils对象,本质上就是一个工厂类似Spring中的ApplicationContext。Subject...
shiro——授权原理(源码流程)
dgh112233的博客
08-29 1027
目录 1. 授权入口 2. 源码追踪 1. 授权入口 subject.isPermitted(url); 这就是入口,如果用户有这个url权限,那么就返回true,如果没有,则返回false。 2. 源码追踪 由于我们的Subject默认是由DelegatingSubject 类实现的,所以调用的是DelegatingSubject类的isPermitted(String url...
shiro原理理解
weixin_34061482的博客
04-07 855
1、shiro原理图如下: 框架解释:  subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。  authorizer:授权器,主...
Shiro原理剖析
romantic_PK的专栏
08-09 6415
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证、授权、企业会话管理和加密。相比spring security框架更简单灵活,spring security对spring依赖较强。shiro可以实现web系统、c/s、分布式等系统权限管理。 Shiro完整架构图,如下图: 核心组件: Sub...
shiro原理
tiantian929的博客
02-19 4015
shiro原理
Shiro原理讲解
qq_42814833的博客
12-30 5248
从请求的开始,到Subject的创建、认证、授权、会话。本文讲述shiro对web请求的安全处理、SecurityManager的工作流程、shiro如何制作一个带有会话的角色。大致说明shiro的工作流程和讲解部分源码。
shiro反序列化漏洞检测工具,含链接教程
08-17
`readme.txt`可能是提供关于如何使用该工具以及漏洞原理的详细说明。 反序列化漏洞通常发生在对象从序列化的状态转换回其原始形式时。在Shiro框架中,当不安全地处理来自不可信源的反序列化数据时,就可能导致这种...
shiro官方教程中文版和spring整合说明文档
12-06
通过阅读提供的"shiro 安全框架--最好的中文配置文档.pdf"和"Apache_Shiro_reference(中文版).pdf",你可以更深入地了解Shiro原理、配置和使用,同时掌握如何将它无缝集成到Spring环境中,构建安全的Java应用程序...
安全架构shiro手册说明
10-11
Apache Shiro 是一个全面且易于使用的Java安全框架,旨在简化应用程序的安全管理,包括认证、授权、加密和会话管理。它为各种类型的应用程序提供安全保障,无论是简单的命令行应用、移动应用还是复杂的大型企业系统...
shiro相关实现例子以及shiro教程文档
12-25
6. **Filter Chain Configuration Example**:过滤器链配置,说明如何在Web环境中设置Shiro过滤器。 通过阅读PDF教程和研究示例代码,你可以深入理解Shiro的工作原理,并在自己的项目中灵活应用。Shiro的简洁API和...
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Shiro工作原理简析(第一章)
Mr_lifengzi的博客
08-18 868
第一章,认识几个Shiro框架中的关键词1 前言: 本文将从Shiro的授权和认证的流程和原理直接讲起,不去讲Shiro怎么使用,可能有同学好奇,一般博客或者帖子都是先讲入门使用,然后再去分析原理,但是,笔者这次恰恰相反,因为现在网上关于Shiro的入门使用的帖子或者视频太多太多,不乏有一些比较好的文章,所以萌新同学可以先通过一些其他的帖子进行一个简单入门。不过,值得一说的是,本文在后面的章节也...
shiro 原理简介
zy103118的博客
10-27 341
shiro Authenticator认证器 authenticator职责是验证,就是核实用户身份的过程。这个过程的常见例子是大家都熟悉的“用户/密码”组合。多数用户在登录软件系统时,通常提供自己的用户名(当事人)和支持他们的密码(证书)。如果存储在系统中的密码(或密码表示)与用户提供的匹配,他们就被认为通过认证,详细的机制,原理shiro认证原理 入口 public interface Authenticator { AuthenticationInfo authenticate(Au
shiro原理解析
m0_67403188的博客
08-24 2153
(它的主要目的是与数据库打交道,查询数据库中的认证的信息(比如用户名和密码),查询授权的信息(比如权限的code等,所以这里可以理解为调用数据库查询一系列的信息,一般情况下在项目中采用自定义的realm,因为不同的业务需求不一样))这里的md5是原始的md5的加密了一次的密码+随机盐,然后对这个新的密码password=(md5+salt),进行散列:如何进行散列呢:就是多次md5加密md5(md5(md5(md5(password)))),这是4次散列,每次密码的破解的难度都加大。
三分钟彻底弄明白shiro原理
StephenLiousYuan的博客
06-10 3722
目前越来越多的项目都用到了shiro框架,毕竟它简单、容易(呃呃~其实一点都不简单),花三分钟理解下面的三个概念,你就掌握了shiro百分之九十的核心。 一、Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面;SecurityM
Shiro简单授权原理分析
懒人的博客
03-03 4001
Shiro授权简介Shiro授权简单来说分为两种类型: 粗粒度的:也就是代码中直接写入和角色的绑定。 细粒度的:代码中写入的是和权限的绑定,而角色到权限和可配置的。 对于粗粒度来说,若角色对应权限有改变的话,那么则需要更改代码,很不方便。而细粒度的好处显而易见,所以一般项目中应该都采用细粒度的权限配置。源码及流程分析那么Shiro中是如何来完成权限检验的呢? 通过调用Subject.hasRole
ssm+shiro
mengyong1108的博客
08-16 395
shiro原理 框架解释:  subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。  authorizer:授权器,主体
Shiro文件搭建攻防演练环境及漏洞说明
总结:通过本节内容的学习,我们可以了解到Shiro文件的定义和作用,了解如何使用Shiro文件搭建攻防演练演示环境,理解Shiro反序列化漏洞的原理、影响和防范措施。只有深入理解这些知识点,才能更好地使用Shiro框架,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值