shiro(3)自定义realm

最新推荐文章于 2024-03-17 09:56:28 发布
最新推荐文章于 2024-03-17 09:56:28 发布
阅读量178 收藏
点赞数
分类专栏: shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29235677/article/details/104581986
版权

目录

Shiro内置的Filter过滤器

配置路径:

数据加密

权限角色控制 @RequiresRoles, @RequiresPermissions等注解的使用和编程式控制

Shiro 缓存模块

Shiro Session模块

  • 步骤:

    • 创建一个类 ,继承AuthorizingRealm->AuthenticatingRealm->CachingRealm->Realm
    • 重写授权方法 doGetAuthorizationInfo
    • 重写认证方法 doGetAuthenticationInfo 

  • 方法:

    • 当用户登陆的时候会调用 doGetAuthenticationInfo
    • 进行权限校验的时候会调用: doGetAuthorizationInfo

  • 对象介绍

    • UsernamePasswordToken : 对应就是 shiro的token中有Principal和Credential

    • UsernamePasswordToken-》HostAuthenticationToken-》AuthenticationToken

    • SimpleAuthorizationInfo:代表用户角色权限信息

    • SimpleAuthenticationInfo :代表该用户的认证信息

hiro认证和授权流程的源码解读,和断点测试

认证流程解读:subject.login(usernamePasswordToken);
    DelegatingSubject->login()
    DefaultSecurityManager->login()
    AuthenticatingSecurityManager->authenticate()
    AbstractAuthenticator->authenticate()
    ModularRealmAuthenticator->doAuthenticate()
    ModularRealmAuthenticator->doSingleRealmAuthentication()
    AuthenticatingRealm->getAuthenticationInfo()
    
    补充:有些同学找不到密码验证方法 AuthenticatingRealm-> assertCredentialsMatch()

授权流程解读:subject.checkRole("admin")

    DelegatingSubject->checkRole()
    AuthorizingSecurityManager->checkRole()
    ModularRealmAuthorizer->checkRole()
    AuthorizingRealm->hasRole()
    AuthorizingRealm->doGetAuthorizationInfo()

Shiro内置的Filter过滤器

成功:跳转到target

失败:到认证页面

 

  • 核心过滤器类:DefaultFilter, 配置哪个路径对应哪个拦截器进行处理

  • authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter

    • 需要认证登录才能访问

  • user:org.apache.shiro.web.filter.authc.UserFilter

    • 用户拦截器,表示必须存在用户。

  • anon:org.apache.shiro.web.filter.authc.AnonymousFilter

    • 匿名拦截器,不需要登录即可访问的资源,匿名用户或游客,一般用于过滤静态资源。

  • roles:org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

    • 角色授权拦截器,验证用户是或否拥有角色。
    • 参数可写多个,表示某些角色才能通过,多个参数时写 roles["admin,user"],当有多个参数时必须每个参数都通过才算通过

  • perms:org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

    • 权限授权拦截器,验证用户是否拥有权限
    • 参数可写多个,表示需要某些权限才能通过,多个参数时写 perms["user, admin"],当有多个参数时必须每个参数都通过才算可以

  • authcBasic:org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

    • httpBasic 身份验证拦截器。

  • logout:org.apache.shiro.web.filter.authc.LogoutFilter

    • 退出拦截器,执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(); 设置的 url

  • port:org.apache.shiro.web.filter.authz.PortFilter

    • 端口拦截器, 可通过的端口。

  • ssl:org.apache.shiro.web.filter.authz.SslFilter

    • ssl拦截器,只有请求协议是https才能通过。
anon(AnonymousFilter.class),
authc(FormAuthenticationFilter.class),
authcBasic(BasicHttpAuthenticationFilter.class),
logout(LogoutFilter.class),
noSessionCreation(NoSessionCreationFilter.class),
perms(PermissionsAuthorizationFilter.class),
port(PortFilter.class),
rest(HttpMethodPermissionFilter.class),
roles(RolesAuthorizationFilter.class),
ssl(SslFilter.class),
user(UserFilter.class);

配置路径:

  • /admin/video /user /pub

  • 路径通配符支持 ?、*,注意通配符匹配不 包括目录分隔符“/”

  • 心 可以匹配所有,不加*可以进行前缀匹配,但多个冒号就需要多个 * 来匹配

URL权限采取第一次匹配优先的方式
? : 匹配一个字符,如 /user? , 匹配 /user3,但不匹配/user/;
* : 匹配零个或多个字符串,如 /add* ,匹配 /addtest,但不匹配 /user/1
** : 匹配路径中的零个或多个路径,如 /user/** 将匹 配 /user/xxx 或 /user/xxx/yyy

例子
/user/**=filter1
/user/add=filter2

请求 /user/add  命中的是filter1拦截器
  • 性能问题:通配符比字符串匹配会复杂点,所以性能也会稍弱,推荐是使用字符串匹配方式

数据加密

  • 为啥要加解密

    • 明文数据容易泄露,比如密码明文存储,万一泄露则会造成严重后果

  • 什么是散列算法

    • 一般叫hash,简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数,适合存储密码,比如MD5

  • 什么是salt(盐) 667788——》aabbcc

    • 如果直接通过散列函数得到加密数据,容易被对应解密网站暴力破解,一般会在应用程序里面加特殊的自动进行处理,比如用户id,例子:加密数据 = MD5(明文密码+用户id), 破解难度会更大,也可以使用多重散列,比如多次md5

  • Shiro里面 CredentialsMatcher,用来验证密码是否正确,

    • 源码:AuthenticatingRealm -> assertCredentialsMatch()
    一般会自定义验证规则
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new         HashedCredentialsMatcher();

        //散列算法,使用MD5算法;
        hashedCredentialsMatcher.setHashAlgorithmName("md5");

        //散列的次数,比如散列两次,相当于 md5(md5("xxx"));
        hashedCredentialsMatcher.setHashIterations(2);

        return hashedCredentialsMatcher;
    }

权限角色控制 @RequiresRoles, @RequiresPermissions等注解的使用和编程式控制

1、配置文件的方式

使用ShiroConfig

2、注解方式

  • @RequiresRoles(value={"admin", "editor"}, logical= Logical.AND) 
    • 需要角色 admin 和 editor两个角色 AND表示两个同时成立

  • @RequiresPermissions (value={"user:add", "user:del"}, logical= Logical.OR)

    • 需要权限 user:add 或 user:del权限其中一个,OR是或的意思。

  • @RequiresAuthentication

    • 已经授过权,调用Subject.isAuthenticated()返回true

  • @RequiresUser

    • 身份验证或者通过记 住我登录的

3、编程方式

Subject subject = SecurityUtils.getSubject(); 
//基于角色判断
if(subject.hasRole(“admin”)) {
    //有角色,有权限
} else {
    //无角色,无权限
    
}
//或者权限判断
if(subject.isPermitted("/user/add")){
    //有权限
}else{
    //无权限
}
  • 常见API 
    • subject.hasRole("xxx");
    • subject.isPermitted("xxx");
    • subject. isPermittedAll("xxxxx","yyyy");
    • subject.checkRole("xxx"); // 无返回值,可以认为内部使用断言的方式

Shiro 缓存模块

  • 什么是shiro缓存

    • shiro中提供了对认证信息和授权信息的缓存。
      •  默认是关闭认证信息缓存的,对于授权信息的缓存shiro默认开启的(因为授权的数据量大 变动小)角色的权限变化很小
      • 缓存的实效性,如修改了密码不能马上在缓存中拿到,登陆不了(当然可以通过广播)

  • AuthenticatingRealm 及 AuthorizingRealm 分别提供了对AuthenticationInfo 和 AuthorizationInfo 信息的缓存。

Shiro Session模块

  • 什么是会话session

    • 用户和程序直接的链接,程序可以根据session识别到哪个用户,和javaweb中的session类似

  • 什么是会话管理器SessionManager

    • 会话管理器管理所有subject的所有操作,是shiro的核心组件

    • 核心方法:

    • //开启一个session
Session start(SessionContext context);
//指定Key获取session
Session getSession(SessionKey key)
    • shiro中的会话管理器有多个实现

  • SessionDao 会话存储/持久化

    • SessionDAO AbstractSessionDAO CachingSessionDAO EnterpriseCacheSessionDAO MemorySessionDAO

    • 核心方法

    //创建
Serializable create(Session session);
//获取
Session readSession(Serializable sessionId) throws UnknownSessionException;
//更新
void update(Session session) 
//删除,会话过期时会调用
void delete(Session session);
//获取活跃的session
Collection<Session> getActiveSessions();
    • 会话存储有多个实现

    附属资料:

    RememberMe
1、 Cookie 写到客户端并 保存
2、 通过调用subject.login()前,设置 token.setRememberMe(true);
3、 关闭浏览器再重新打开;会发现浏览器还是记住你的
4、 注意点:
  - subject.isAuthenticated() 表示用户进行了身份验证登录的,即Subject.login 进行了登录
  - subject.isRemembered() 表示用户是通过RememberMe登录的
  - subject.isAuthenticated()==true,则 subject.isRemembered()==false, 两个互斥
  - 总结:特殊页面或者API调用才需要authc进行验证拦截,该拦截器会判断用户是否是通过 
  subject.login()登录,安全性更高,其他非核心接口或者页面则通过user拦截器处理即可

 

 

 

智达教育‍
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Shiro自定义Realm
zhouym_的博客
07-16 278
将数据源信息定义在ini文件中会与我们实际开发环境有很大不兼容,所以此时希望能够自定义Realm自定义Realm类 需要我们创建一个自定义realm类,继承AuthorizingRealm,重写doGetAuthenticationInfo和doGetAuthorizationInfo两个方法 package com.zhouym.realm; import org.apache.shir...
shiro使用总结-自定义Realm
颗粒归仓
08-21 642
上篇博客的代码使用的是shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realmshiro提供的realm 最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权,
shiro认证自定义realm
虾米大王的学习历程
10-04 101
在src/main/java文件夹下,新建包method1,编写自定义realm。通过切换string类型的用户名,查看测试结果。新建springboot项目,导入依赖。在test文件夹下,编写测试类。
Shiro权限管理之自定义Realm
你今天真好看呀
04-04 1708
文章目录1. SpringBoot集成shiro快速入门1. shiro 用户认证2. shiro用户授权2. SpringBoot 使用IniRealm进行认证授权3. Spring Boot 使用 JdbcRealm 进行认证授权1. 数据库驱动2. 数据库表结构3. 创建 testJdbcRealm方法4. 更改数据库表名4. Spring Boot 使用自定义 Realm 进行认证授权5. SpringBoot整合shiro之盐值加密认证详解 1. SpringBoot集成shiro快速入门 导入s
Shiro自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
07-12 1343
Shiro自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
Shiro入门(五)Shiro自定义Realm和加密算法
jwang的博客
05-11 2151
前言 本章讲解shiro自定义realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需...
②【ShiroShiro登录认证、自定义Realm
最新发布
ebb29bbe的博客
03-17 1284
- **在Shiro框架中,用户需要提供`principals(身份)`和`credentials(证明)`给shiro,从而shiro对用户进行身份验证。** - **`principals(身份)`:是主体的标识属性,可以是任何属性,如:用户名、email等,保证唯一即可。一份主体可以有多个`principals(身份)`,但是只有一个`Primary principals`,一般是用户名/邮箱/手机号。** - **`credentials(证明)`:证明/凭证,是只有主体知道的安全值,如:密码、数字
Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法
08-26
在Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
用于测试shiro自定义Realm的测试代码
04-05
3. 测试类:使用JUnit或其他测试框架编写,用来验证自定义Realm的正确性,包括模拟用户登录、角色和权限的检查等。 在学习Shiro的过程中,理解如何配置和自定义Realm是非常关键的一步,因为这直接关系到你的应用...
shiro 自定义realm类 抛出自定义异常
DeepSea_JIE的博客
06-16 927
自定义realm抛出自定义异常时,会被Authenticationexception打包, 出现zheyi Authentication failed for token submission
spring boot 整合redis+shiro自定义Realm不能使用@Autowired注解
浪丶荡
09-13 2093
刚开始spring boot 整合shiro缓存使用的是ehcache,自动注入userService如下,没有问题 @Autowired @Lazy private SysUserService userService; 当将缓存换成了redis后,该注解无效,一直空指针,大概是因为 Spring 加载顺序等原因 解决方案是在自定义Realm中不直接使用@Autowired,而是将user...
shiro自定义Realm
qq_44971387的博客
04-05 229
自定义MyRealm 继承AuthorizingRealm public class MyRealm extends AuthorizingRealm { public String getName(){ return "MyRealm"; } @Override protected AuthorizationInfo doGetAuthori...
Shiro】Apache Shiro架构之自定义realm
热门推荐
武哥聊编程
07-05 1万+
之前写的博客里都是使用.ini文件来获取信息的,包括用户信息,角色信息,权限信息等。进入系统时,都是从.ini文件这读取进入的。实际中除非这个系统特别特别简单,一般都不是这样干的,这些信息都是需要在数据库中进行维护的,所以就需要用到自定义realm了。
shiro 权限框架自定义Realm
u012014505的博客
09-10 6168
shiro 权限框架自定义Realm
Shiro 自定义realm授权与认证的实现
周洲 (Julie)
02-28 6178
……List…… 1.项目需求 2.shiro核心组件 3.自定义realm认证 4.自定义realm授权 5.思考总结 ……1.项目需求……           企业项目中少不了权限管理,总的来说,权限管理就是用户认证与用户授权。用户拥有了权限即可操作权限范围内的资源,系统不知道主体是否具有访问权限需要对用户的访问进行控制。shiro是一套优秀的权限管理框架。来了解
shiro自定义realm
Kevinnsm的博客
12-28 571
前言: 首先我们先分析怎么实现自定义某些realm,按照以往的方法肯定是实现接口或者继承某类 查看继承树结构 通过debug模式下分析源码可以得知 AuthenticatingRealm类中的 doGetAuthenticationInfo()方法是实现用户认证的 AuthorizingRealml类中的doGetAuthorizationInfo()方法是完成用户授权的 然后在这两个类中只是声明了该方法,没有去实现,接着我们看继承树中最根部的SimpleAccountRealm类 我们可以发
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

智达教育‍

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值