shiro学习笔记

最新推荐文章于 2021-12-14 11:35:16 发布
最新推荐文章于 2021-12-14 11:35:16 发布
阅读量113 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27665897/article/details/83861415
版权

shiro学习记录

shiro架构

从外部来看
外部看shiro架构

  1. Subject: 应用代码直接交互的对象,也就是说 Shiro 的对外
    API 核心就是 Subject。Subject 代表了当前“用户”, 这个用户不一定
    是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,
    机器人等;与 Subject 的所有交互都会委托给 SecurityManager;
    Subject 其实是一个门面,SecurityManager 才是实际的执行者
  2. SecurityManager: 安全管理器;即所有与安全有关的操作都会与
    SecurityManager 交互;且其管理着所有 Subject;可以看出它是 Shiro
    的核心,它负责与 Shiro 的其他组件进行交互,它相当于 SpringMVC 中
    DispatcherServlet 的角色;
  3. Realm: Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说
    SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户
    进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/
    权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource;

从外部来看
内部来看shiro架构

Subject:任何可以与应用交互的“用户”;

  1. SecurityManager : 相当于SpringMVC 中的 DispatcherServlet;是 Shiro 的心脏;
    所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进
    行认证、授权、会话及缓存的管理。
  2. Authenticator: 负责 Subject 认证,是一个扩展点,可以自定义实现;可以使用认证
    策略(Authentication Strategy),即什么情况下算用户认证通过了;
  3. Authorizer: 授权器、即访问控制器,用来决定主体是否有权限进行相应的操作;即控
    制着用户能访问应用中的哪些功能;
  4. Realm: 可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体
    的;可以是JDBC 实现,也可以是内存实现等等;由用户提供;所以一般在应用中都需要
    实现自己的 Realm;
  5. SessionManager: 管理 Session 生命周期的组件;而 Shiro 并不仅仅可以用在 Web
    环境,也可以用在如普通的 JavaSE 环境;
  6. CacheManager: 缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据
    基本上很少改变,放到缓存中后可以提高访问的性能
  7. Cryptography: 密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密。

示例代码-controller

@Controller
@RequestMapping("/shiro")
public class ShiroHandler {
	@Autowired
	private ShiroService shiroService;

	@RequestMapping("/login")
	public String login(String username, String password) {
		Subject currentUser = SecurityUtils.getSubject();
		if (!currentUser.isAuthenticated()) {
			// 把用户名和密码封装为UsernamePasswordToken对象
			UsernamePasswordToken token = new UsernamePasswordToken(username, password);
			// 设置记住密码
			token.setRememberMe(true);
			try {
				// 执行登陆
				currentUser.login(token);
			} catch (AuthenticationException ae) {
				System.out.println("登陆失败:" + ae.getMessage());
			}
		}
		return "redirect:/list.jsp";
	}
}

示例代码-reaml

public class ShiroRealm extends AuthorizingRealm {

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		System.out.println("[FirstRealm] doGetAuthenticationInfo");
		// 1.把AuthenticationToken转化为UsernamePassWordToken
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;

		// 2.从UsernamePasswordToken中获取userName
		String username = upToken.getUsername();

		// 3.调用数据库方法,从数据库中根据userName查询用户信息(这里目前只做显示)
		System.out.println("从数据库中获取 username: " + username + " 所对应的用户信息.");

		// 4.若用户不存在,则抛出UnknownAccountException异常
		if ("unknow".equals(username)) {
			throw new UnknownAccountException("用户不存在");
		}

		// 5.根据用户信息,决定是否需要抛出其他AuthenticationException异常
		if ("monster".equals(username)) {
			throw new LockedAccountException("用户被锁定");
		}
		// 6. 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: SimpleAuthenticationInfo
		// 以下信息是从数据库中获取的.
		// 1). principal: 认证的实体信息. 可以是 username, 也可以是数据表对应的用户的实体类对象.
		Object principal = username;
		// 2). credentials: 密码.
		Object credentials = null;
		if ("admin".equals(username)) {
			credentials = "038bdaf98f2037b31f1e75b5b4c9b26e";
		} else if ("user".equals(username)) {
			credentials = "098d2c478e9c11555ce2823231e02ec1";
		}

		// 3). realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
		String realmName = getName();
		// 4).盐值(这里使用用户名,因为用户名是唯一的)
		ByteSource credentialsSalt = ByteSource.Util.bytes(username);

		SimpleAuthenticationInfo info = null;// new SimpleAuthenticationInfo(principal, credentials, realmName);
		info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);

		return info;
	}

	/**
	 * 测试加密1024次后结果: 不加盐--fc1709d0a95a6be30bc5926fdb7f22f4
	 * 加盐admin:038bdaf98f2037b31f1e75b5b4c9b26e
	 * user:098d2c478e9c11555ce2823231e02ec1
	 * 
	 * @param args
	 */
	public static void main(String[] args) {
		String hashAlgorithmName = "MD5";
		Object credentials = "123456";
		Object salt = "admin";
		int hashIterations = 1024;

		Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
		System.out.println(result);
	}

	/**
	 * 授权会被shiro回调的方法
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		System.out.println("这里是回调函数:doGetAuthorizationInfo");
		// 1. 从principalsCollection中获取登录用户的信息
		Object principal = principals.getPrimaryPrincipal();
		// 2. 利用登录的用户的信息查找当前用户的角色或权限(可能需要查询数据库)
		Set<String> roles = new HashSet<>();
		roles.add("user");
		if ("admin".equals(principal)) {
			roles.add("admin");
		}
		// 3. 创建SimpleAuthorizationInfo,并设置roles属性
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);

		return info;
	}
}

github:demo地址

Anshay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成PageHelper分页查询
qq_27665897的博客
10-15 3327
    最近在公司里做一个内部项目,但是总公司那边需求一直没提过来,没办法就自己想自己做,结果不同人负责不同模块,写出来的代码就差异性很大,一个分页查询,四个人就写了封装了三个类,对于我这种强迫症太不友好了。所以我就决定引入一个统一的规范。     我们之前用Mybatis-Plus进行了一次重构,省去了基本的crud方法的编写,所以我先看了以一下里面推荐的分页器,这个分页器的用法也是高度封装了...
SpringBoot项目的创建、打包、部署
qq_27665897的博客
01-14 1330
Idea下SpringBoot项目的新建、打包、部署新建项目新建选中maven webapp格式项目参数依赖项目路径Maven仓库启动配置文件打包jar包war包 新建项目 随着技术的更新对于开发速度的追求,我们越来月不能忍受的时候Spring框架对于集成开发以后大量的配置问题,所以SpringBoot应运而生,SpringBoot框架就是在Spring框架外边再做了一层包装,减少了配置文件,内置...
Shiro学习笔记
Fly_Lu的博客
12-14 2635
shiro笔记 什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Authorization:授权权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否 进行什么操作,如:验证某个用户是否拥有某个角色,或者细粒
shiro 学习笔记
低吟不作语的博客
11-28 2773
1. 权限管理 1.1 什么是权限管理? 权限管理实现对用户访问系统的控制,按照安全规则或者安全策略,可以控制用户只能访问自己被授权的资源 权限管理包括用户身份认证和授权两部分,简称认证授权 1.2 什么是身份认证? 身份认证就是判断一个用户是否为合法用户的处理过程,最常用的方式就是通过核对用户输入和用户名和口令是否与系统中存储的一致,来判断用户身份是否正确 1.3 什么是授权? 授权,即访问控制,控制谁能访问哪些资源,主体进行身份认证后需要分配权限方可访问系统资源,对于某些资源没有权限是无法访问的 2.
shiro学习笔记.rar
10-06
这是shiro学习笔记,包括学习时候自己写的代码,主要内容就是使用springboot整合shiro,实现对用户的认证和授权,以及图片验证码的实现
shiro学习笔记0.0.0.0
12-21
笔记很少,不全,适合快速入门
shiro学习笔记(四次课,从入门到案例)
06-15
Shiro01-概念、入门、认证的基本使用; Shiro02-认证加密,授权; Shiro03-SpringBoot集成、注册、登录; Shiro04-SpringBoot授权,Shiro注解、Shiro标签
java继承时的方法调用顺序记录
qq_27665897的博客
03-13 890
类B继承类A,当实例化一个B类型时,执行顺序为:   A的静态代码块-&gt;B的静态代码块-&gt;A的构造代码块-&gt;A的无参构造函数-&gt;B的构造代码块-&gt;B的无参构造函数public class Test1 { public static void main(String[] args) { System.out.println(2 + 2 + "5" + 2 + 2)...
简化Java代码,拥抱Lombok
qq_27665897的博客
02-18 412
从getter和setter方法引入 在项目中,我们编写一个pojo类,都会有getter/setter,如果pojo的字段较多,那么这个类就会充斥大幅无意义但又不得不写的getter/setter。不仅不方便阅读,并且每当需要修改一些字段时,这些方法也必须进行修改。在我看来,这对于程序员的高效开发是一种阻碍。 那么,这时候,lombok可以很有效的解决这个问题。以下面的代码为例: 代码1:W...
java—笔试题记录
qq_27665897的博客
09-28 251
1:输入一个字符串,返回字符串中第一个只出现一次的字符。 简单方法:   public class FirstLetter { public static void main(String [] args){ Scanner in = new Scanner(System.in); String st = in.next(); System.out.println(g...
HashMap学习笔记
qq_27665897的博客
06-04 188
原理 hash表是一种数据机构,它使用hash函数组织数据,以支持快速插入和搜索。 其关键思想是使用hash函数将键映射到存储桶。 当我们插入一个新的键是,hash函数将决定键分配到哪一个桶中,并将该键存储仔相应的桶中。 当我们搜索一个键时,hash表使用相同的hash函数来查找对应的桶,并只在特定的桶中进行搜索。 设计hash表的关键 hash函数 hash函数是hash表中最重要的组件,该...
初涉java中的反射
qq_27665897的博客
01-12 164
笔者是一个小白,在浏览相java相关信息时,总会看到关于java反射相关的讨论,于是花了一个下午的时间在慕课网学习了关于java反射的知识,在这里做一个记录。(虽然现在博客写得水,但是相信慢慢多写多学习还是可以给人一看的)。 以下只贴相关代码,有一篇关于java反射机制的详解博客,待博主同意后贴到此篇结尾。 反射机制的大概模式:万物皆对象,在对类的构造方法,方法,成员变量,均视为对象来访问相关
Java多线程学习笔记
qq_27665897的博客
03-11 162
1.1线程和进程的区别:     进程是正在运行中的程序,并且具有一定的独立功能,进程是系统进行资源分配和调度的一个独立单位。 独立性:进程是系统中独立存在的实体,他可以拥有自己独立的资源,每一个进程都拥有自己私有的地址空间。在没有经过进程允许的情况下,一个用户进程不可以直接访问其他进程的地址空间。 动态性:进程与程序的区别在于,程序这是一个静态的指令集合,二进程是一个正在系统中活动的指令集...
java中的IO
qq_27665897的博客
01-17 161
一,文件系统 用java遍历一个文件夹下的所有文件,并打印出文件夹和文件数量 package IO; import java.io.File; import java.util.ArrayList; import java.util.List; /** * 遍历文件夹下的所有文件 * * @author machao * @since Jan 16, 2018 */ publi
Filter学习笔记
qq_27665897的博客
08-21 122
1). Filter 是什么 ? ①. JavaWEB 的一个重要组件, 可以对发送到 Servlet 的请求进行拦截, 并对响应也进行拦截.  ②. Filter 是实现了 Filter 接口的 Java 类. ③. Filter 需要在 web.xml 文件中进行配置和映射.  2). 如何创建一个 Filter, 并把他跑起来 ①. 创建一个 Filter 类: 实现 Filter 接...
二级理论题(选择83+判断96).xlsx
最新发布
05-07
二级理论题(选择83+判断96).xlsx
Springboot学习笔记之springboot+shiro+cas
05-21
下面是一个简单的 Spring Boot + Shiro + CAS 的示例应用程序: 1. 创建一个 Spring Boot 应用程序,并添加依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-web ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值