Apache Shiro教程(2)

最新推荐文章于 2023-07-11 20:42:20 发布
最新推荐文章于 2023-07-11 20:42:20 发布
阅读量359 收藏
点赞数
分类专栏: Java shiro框架 文章标签: apache 系统安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25475445/article/details/128604338
版权

Shiro实战教程

1、权限的管理

  • 1.1、什么是权限管理

1、基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源
2、权限管理包括用户身份认证授权两部分,简称 认证授权.对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问

  • 1.2、什么是身份认证

身份认证就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统。则需出示指纹。对于硬件key等刷卡系统,则需要刷卡。

  • 1.3、什么是授权

授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限的则无法进行访问。

2、什么是shrio?

Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.

Shiro是apache旗下的一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架

3、shiro的核心架构

shiro_structor.png

subject( org.apache.shiro.subject.Subject) 当前与软件交互的实体(用户、第 3 方服务、cron 作业等)的特定于安全性的“视图”。

SecurityManager ( org.apache.shiro.mgt.SecurityManager ) 如上所述,它SecurityManager是 Shiro 架构的核心。它主要是一个“伞形”对象,用于协调其托管组件以确保它们顺利协同工作。它还管理 Shiro 对每个应用程序用户的视图,因此它知道如何为每个用户执行安全操作。

Authenticator ( org.apache.shiro.authc.Authenticator ) 该Authenticator组件负责执行和响应用户的身份验证(登录)尝试。当用户尝试登录时,该逻辑由Authenticator. Authenticator知道如何与Realms存储相关用户/帐户信息的一个或多个进行协调。从中获得的数据Realms用于验证用户的身份,以确保用户确实是他们所说的人。

身份验证策略( org.apache.shiro.authc.pam.AuthenticationStrategy ) 如果Realm配置了多个,AuthenticationStrategy则将协调领域以确定身份验证尝试成功或失败的条件(例如,如果一个领域成功但其他领域失败,尝试成功了吗?必须所有领域都成功吗?只有第一个?)。

Authorizer ( org.apache.shiro.authz.Authorizer )Authorizer是负责确定用户在应用程序中的访问控制的组件。它是最终决定用户是否被允许做某事的机制。与 一样Authenticator,Authorizer也知道如何与多个后端数据源协调访问角色和权限信息。使用Authorizer此信息来准确确定是否允许用户执行给定的操作。

SessionManager ( org.apache.shiro.session.mgt.SessionManager )SessionManager知道如何创建和管理用户Session生命周期,为所有环境中的用户提供强大的会话体验。这是安全框架领域的一项独特功能——Shiro 能够在任何环境中本地管理用户会话,即使没有可用的 Web/Servlet 或 EJB 容器也是如此。默认情况下,Shiro 将使用现有的会话机制(例如 Servlet Container),但如果没有,例如在独立应用程序或非 Web 环境中,它将使用其内置的企业会话管理来提供相同的编程体验。存在以允许使用SessionDAO任何数据源来持久化会话。

SessionDAO ( org.apache.shiro.session.mgt.eis.SessionDAO )代表. SessionDAO_ 这允许将任何数据存储插入到会话管理基础架构中。SessionSessionManager

CacheManager ( org.apache.shiro.cache.CacheManager )CacheManager创建和管理Cache其他 Shiro 组件使用的实例生命周期。因为 Shiro 可以访问许多后端数据源进行身份验证、授权和会话管理,所以缓存一直是框架中的一流架构特性,可以在使用这些数据源的同时提高性能。任何现代开源和/或企业缓存产品都可以插入 Shiro 以提供快速高效的用户体验。

Cryptography( org.apache.shiro.crypto.* ) 密码学是企业安全框架的自然补充。Shiro 的crypto包包含易于使用和理解的密码、哈希(又名摘要)和不同编解码器实现的表示。这个包中的所有类都经过精心设计,非常易于使用和理解。任何使用过 Java 原生加密支持的人都知道它是一种难以驯服的动物。Shiro 的加密 API 简化了复杂的 Java 机制,并使密码学对普通人来说很容易使用。

Realm( org.apache.shiro.realm.Realm ) 如上所述,领域充当 Shiro 和应用程序安全数据之间的“桥梁”或“连接器”。当需要与安全相关数据(如用户帐户)进行实际交互以执行身份验证(登录)和授权(访问控制)时,Shiro 会从为应用程序配置的一个或多个领域中查找其中的许多内容。您可以根据Realms需要配置任意数量(通常每个数据源一个),Shiro 将根据需要与它们协调以进行身份​​验证和授权。

4、shiro身份认证

1、认证

身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过和对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。

2、shiro 中认证的关键对象
subject 主体
访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体
Principal 身份信息
是主体进行身份认证的标识,标识必须具有唯一性,例如用户名等,一个主体可以有多个身份,但是必须有一个主身份
credential 凭证信息
是只有主体自己指导的安全信息,如密码、证书等

3、认证流程

20220901shiroliucheng.png

4、认证开发

  1. 创建项目并引入依赖
<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core -->
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.9.1</version>
</dependency>
  1. c创建shiro配置文件
[users]
xiaochen=1235
zhangsan=123567
lisi=123

20220901resourceini.png
3. 创建测试文件


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

public class TestAuthenticator {
   public static void main(String[] args) {
       //1、创建安全管理器对象
       DefaultSecurityManager securityManager = new DefaultSecurityManager();
       // 2、给安全管理器设置realm
       securityManager.setRealm(new IniRealm("classpath:shiro.ini"));
       // 3、SecurityUtils 全局安全工具类
       SecurityUtils.setSecurityManager(securityManager);

       //4、关键对象 subject主体
       Subject subject = SecurityUtils.getSubject();

       // 5、登陆认证创建令牌
       AuthenticationToken authenticationToken = new UsernamePasswordToken("xiaochen","1235");
        // 5.1、用户认证
       try {
           System.out.println(subject.isAuthenticated());
           subject.login(authenticationToken);
           System.out.println(subject.isAuthenticated());

       }catch (IncorrectCredentialsException exception){
           System.out.print("密码错误");
           exception.printStackTrace();
       }
       catch (Exception c){
           c.printStackTrace();
       }
   }

}

至此,一个简单的shiro权限认证过程已经完成了

broadenBlueSea
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache shiro的简单介绍与使用教程(与spring整合使用
01-11
apache shiro框架简介   Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。现在,使用Apache Shiro的人越来越多,因为它相当简单,相比比Spring Security,Shiro可能没有Spring Security那么多强大的功能,但是在实际工作时可能并不需要那么复杂的东西,所以使用简单的Shiro就足够了。   以下是你可以用 Apache Shiro所做的事情:   Shiro的4大核心部分——身份验证,授权,会话管理和加密      Authentication:身份验证,简称“登录”。      A
Apache Shiro教程
12-30
通过这个Apache Shiro教程,你可以学习到如何构建安全的Java应用,了解Shiro的配置和用法,以及如何在实际项目中实施身份验证、授权、会话管理和加密策略。无论你是初学者还是经验丰富的开发者,Shiro都是一个值得...
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 4722
Shiro入门概述与基本使用
Apache Shiro 快速入门教程shiro 基础教程
热门推荐
SwingLife的专栏
06-03 10万+
第一部分 什么是Apache Shiro 1、什么是 apache shiroApache Shiro是一个功能强大且易于使用Java安全框架,提供了认证,授权,加密,和会话管理 如同 Spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。 2、A
授权 - Spring Security简单案例
个人纪录、总结!
10-21 557
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
Apache Shiro使用
E_K_in的博客
11-08 284
本文将讲述在Spring+SpringMvc项目中使用Shiro来保障系统的安全。关于shiro理论性的东西本文不深入讲解,重点在于在Spring项目中配置和使用shiro.关于理论性的东西,可以看看 张开涛的《跟我学Shiro》。话不多说,先来看看如何配置Shiro。 1 在web.xml中添加一个ShiroFilter shiroFilter org.springframewor
Apache Shiro开发文档教程
07-27
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,可以和...
Apache shiro1.10.0依赖
10-25
此外,活跃的社区支持是Shiro成功的关键,新版本可能会改进社区资源,如论坛、邮件列表和教程。 通过了解Apache Shiro 1.10.0的这些关键特性,开发者能够更有效地利用这个框架来增强他们的应用安全性,同时享受到更...
apache-shiro教程完整版.7z
06-04
张开涛的《跟我学Shiro》是一本深入浅出的教程,旨在帮助读者快速掌握Shiro的核心概念与实践技巧。 Shiro 的核心组件包括: 1. **认证**:Shiro 提供了用户身份验证的机制,确保用户身份的真实性。这通常涉及到...
Apache Shiro教程(1)
醉代码的博客
01-09 524
*** 配置一个 SecurityManager安全管理器* @return} /*** 配置过滤器* 例如 什么可以进行访问,什么不可以进行访问等等* @return//配置用户登陆请求,如果需要进行登陆时, // shiro就会进入这个请求进入登陆页面 shiroFilterFactoryBean . setSecurityManager(securityManager);
ApacheShiro使用手册和Apache Shiro Reference Documentation
09-11
ApacheShiro使用手册和Apache Shiro Reference Documentation 该文件下载了别人上传的两个文件,一个10分,一个30分,为了自己以后下载不花那么多分,也不让一些没有多少分的朋友能够下载,所以将别人资源下载后,将两个资源打包上传
apache shiro中文教程
09-17
Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权. 中文文档
Apache Shiro的简单使用
屌丝小羊的博客
01-04 3754
Apache Shiro的简单了解 在java中进行权限控制功能,主要分为粗粒度(基于URL级别权限控制)和细粒度(基于方法级别权限控制)两种。主要使用的框架一般有Spring Security与Apache Shiro,前者使用比较复杂,依赖spring,后者使用更轻量,使用更简单,不完全依赖spring,可以独立使用 粗粒度权限控制(基于URL级别权限控制) 粗粒度权限控制一般主要是基于
Apache Shiro教程(第一章 Shiro简介)
weixin_41541415的博客
07-01 169
Apache ShiroJava 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 • Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存 等。 • 下载:http://shiro.apache.org/ 功能简介: 基本功能点如下图所示: Authen...
Apache Shiro介绍与使用
z_ssyy的博客
03-31 402
什么是shiro? 借用官方的话 Apache Shiro是一种功能强大且易于使用Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 Shiro提供了用于执行以下方面的应用程序安全性API(我将其称为应用程序安全性的4个基石): 身份验证-证明用户身份,通常称为用户“登录”。 授权-访问控制...
Apache Shiro 框架的基本用法
cailizhu833的博客
03-26 364
一、 权限控制两种主要方式 权限控制分为 粗粒度 URL 级别权限控制和细粒度方法级别权限控制 1.可以基于 Filter 实现 在数据库中存放 用户、权限、访问 URL 对应关系, 当前用户访问一个 URL 地址,查 询数据库判断用户当前具有权限,是否包含这个 URL,如果包含允许访问,如果不包含 权限不足 !!! 2.可以代理、自定义注解实现, 访问目标对象方法,在方法上添加权限注解信息,对目...
Apache Shiro权限框架
weixin_42183336的博客
08-11 2万+
简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这...
Apache Shiro之快速入门
FangWenJuno的博客
05-25 194
Apache Shiro: Simple Java Security 官方文档: 传送门 中文文档:传送门 概念: 备注: 该图来源官方文档,官网有详细解释 [传送门] Realm 领域是可以访问特定于应用程序的安全性数据(例如用户,角色和权限)的组件。可以将其视为特定于安全性的 DAO(数据访问对象)。 Realm 将此特定于应用程序的数据转换为 Shiro 可以理解的格式,因此 Shiro 可以反过来提供单个易于理解的 Subject 编程 API,无论存在多少数据源或您的数据有多少特定于应用程序
shiro”是如何实现登录、URL和页面按钮的访问控制
m0_67403076的博客
08-27 339
在自定义的Realm中继承了AuthorizingRealm抽象类,重写了两个方法:doGetAuthorizationInfo和doGetAuthenticationInfo。doGetAuthorizationInfo主要是用来处理权限配置,doGetAuthenticationInfo主要处理身份认证。
springboot-shiro整合集成教程
最新发布
10-12
"Spring Boot 整合 Apache Shiro 教程" Apache Shiro 是一个全面的 Java 安全框架,它负责处理身份验证、授权、密码管理和会话管理等多个安全相关任务。Shiro 的设计目标是简化安全编程,通过提供直观易用的 API,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值