5分钟精通shiro

最新推荐文章于 2022-12-01 16:50:45 发布
最新推荐文章于 2022-12-01 16:50:45 发布
阅读量186 收藏
点赞数
分类专栏: 后端框架 文章标签: shiro权限框架认证和授权 shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30643885/article/details/91871258
版权

1、简介

shiro是一个安全框架,是Apache的一个子项目。shiro提供了:认证、授权、加密、会话管理、与web集成、缓存等模块。

1.1、模块介绍

  • Authentication:用户身份识别,可以认为是登录;
  • Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。
  • Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE环境的,也可以是如 Web 环境的。
  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储。
  • Web Support:Web支持,可以非常容易的集成到 web 环境。
  • Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率。
  • Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去。
  • Testing:提供测试支持。
  • Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问。
  • Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

注意:shiro不会去维护用户和权限之间的关系,需要我们自己去设计、提供;然后通过相应的接口注入给shiro即可。

2、核心概念

  • Subject:主体,代表了当前操作“用户”,这个用户不一定是具体的人,与当前应用交互的任何东西都是subject,即一个抽象概念。所有Subject都绑定到SecurityManager,与Subject交互都会委托给SercurityManager;
  • SecurityManager:安全管理器;即所有与subject安全有关的操作都会与SecurityManager交互;且它管理着所有的Subject;它负责与里面的各个组件的交互,也可以把它理解成springmvc中DispatcherServlet前端控制器。
  • Realm:域,安全数据源。shiro从Realm获取安全数据(如用户、权限、角色),就是说
  • SecurityManager要验证用户身份,那么它需要从Realm得到用户相应的角色、权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

在这里插入图片描述
从上图可以看出:
1、应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManager;
2、SecurityManager要验证用户身份,那么它需要从Realm中获取相对应的用户、角色、权限进行比较以确定用户身份是否合法。
总结:shiro不提供维护用户、权限,而是通过Realm让开发人员自己注入。

3、shiro内部架构介绍

在这里插入图片描述

  • Subject:主体,可以看到主体可以是任何与应用交互的“用户”。
  • SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2
    中的FilterDispatcher。它是 Shiro 的核心,所有具体的交互都通过 SecurityManager
    进行控制。它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
  • Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro
    默认的不好,我们可以自定义实现。其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。
  • Authrizer:授权器,或者访问控制器。它用来决定主体是否有权限进行相应的操作,即控制着用户能访问应用中的哪些功能。
  • Realm:可以有1个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的。它可以是 JDBC 实现,也可以是 LDAP实现,或者内存实现等。
  • SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session需要有人去管理它的生命周期,这个组件就是 SessionManager。而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的JavaSE 环境。
  • SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD。我们可以自定义 SessionDAO 的实现,控制session 存储的位置。如通过 JDBC 写到数据库或通过 jedis 写入 redis 中。另外 SessionDAO 中可以使用Cache 进行缓存,以提高性能。
  • CacheManager:缓存管理器。它来管理如用户、角色、权限等的缓存的。因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能。
  • Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密的。

4、过滤器

当 Shiro 被运用到 web 项目时,Shiro 会自动创建一些默认的过滤器对客户端请求进行过滤。以下是 Shiro 提供的过滤器:

在这里插入图片描述
在这里插入图片描述
anon,authcBasic,auchc,user 是认证过滤器。
perms,roles,ssl,rest,port 是授权过滤器。

易梦南蝶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot从入门到精通
07-12
1.springBoot快速构建项目。2.springBoot项目的目录结构及作用。3.springBoot读取资源文件的多种方式4.themyleaf模板的使用5.springBoot与mybatis/redis/solr/shiro/支付宝的整合
Shiro框架入门到精通
JolyouLu的博客
06-13 319
Shiro框架入门到精通 权限管理 什么是权限管理 基本上涉及到用户的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源 权限管理包括用户身份认证授权两部分,简称认证授权对应需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限即可访问 什么是身份认证 身份认证就是判断一个用户是否合法用户的过程,最常用的身份证认证就是用户登录功能,核对用户输入的用户名与密码查看是否与存储的用户
Shiro从入门到实战(整合进SpringBoot)
xmg_zs的博客
05-30 327
文章目录前言一、Shiro是什么?二、Shiro 的功能介绍1.基本功能点2.功能点介绍三、Shiro 的架构1.Shrio的应用层面架构2.Shiro的核心架构四、Shiro入门案例1.shiro.ini2.Quickstart.class五、Shiro实战-整合进Spring Boot1.创建父工程shiroDemo2.创建shiroAuth子模块(Maven)3.代码结构讲解4.各个类详细讲解5.补充多Realm认证 前言 这篇文章主要是为了辅助记忆Shiro的,下面的代码主要复用了我看的一个视频里
shiro框架从入门到精通(一)
u012325073的博客
10-25 1360
今天刚接触shiro框架,以前也看到过,只是没有去学习,今天接触一下,感觉还是很容易的,先就让我们一步步探讨,看看shiro怎么用,我们为什么要用shiro,它能给我们带来了什么好处。 一、先学会怎么样使用shiro: 本人观点,学知道,再使用,然后精通,因为此框架比较简单,那么让我们直接进入前面两步骤。 二、shiro 能做什么 声明:本文纯属个人理解     shiro 是一个权限管...
Shiro入门到精通
06-26
尚硅谷shiro入门到精通源码讲解,与spring security对比
14 尚硅谷Shiro视频
08-07
教程视频:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
DL19121630-Shiro教程.pdf
04-21
最详细的shiro学习资料,看完保准精通
shirodemo(spring3+shiro)(认证授权)
12-18
myeclips直接用shirodemo(spring3+shiro)(认证授权)
Shiro-全面详解(学习总结---从入门到深化)
12-01 1312
身份认证/登录。权限验证,即判断用户是否能在系统中做某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。提供测试支持。
大师系列-Springboot集成Shiro配置精通
m0_50068444的博客
03-24 216
Shiro是大家使用来进行后台权限配置的一个框架,通过本文你可以轻松配置Shiro,并完成多Realm的接入,多种授权方式,并解决很多Shiro框架本身带来的隐藏问题。 我相信大家看完这篇文章,都可以很快精通Shiro并进行配置操作。 引入基本的框架包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-start
shiro教程
viaco2love的博客
06-04 422
Shiro目录 第一章  Shiro简介 第二章  身份验证 第三章  授权 第四章  INI配置 第五章  编码/加密 第六章  Realm及相关对象 第七章  与Web集成 第八章 拦截器机制 第九章 JSP标签 第十章  会话管理 第十一章  缓存机制 第十二章  与Spring集成 第十三章  RememberM
shiro从入门到精通~配备实例讲解
“花花”公子_龙的博客
07-10 370
Shiro安全矿建是目前最常用的作为登录注册的框架,提供了认证授权、加密、和会话管理等功能;Shiro的功能点:    认证:验证用户身份;    授权:对用户执行访问控制:判断用户是否被授权做某事;    会话管理:在任何环境下使用SessionAPI,即使没有Web或EJB容器;    加密:以更简洁易用的方式使用加密功能,保护或隐藏数据防止被偷窥;    Realms:聚集一个或多个用户安...
shiro从入门到精通认证执行流程
weixin_39516931的博客
04-07 438
架构图如下:代码如下:认证代码// 用户登陆、用户退出 @Test public void testLoginLogout() { // 构建SecurityManager工厂,IniSecurityManagerFactory可以从ini文件中初始化SecurityManager环境 Factory&lt;SecurityManager&gt; factory = new IniSecuri...
shiro.ini md5
最新发布
07-27
回答: 在Shiro中,shiro.ini是一个配置文件,用于配置Shiro的安全策略和认证授权规则。\[2\]而MD5是一种常用的加密算法,用于对密码进行加密。在Shiro中,可以使用MD5Utils类对密码进行MD5加密。\[3\] #### 引用[....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值