shiro笔记

最新推荐文章于 2021-05-11 17:46:08 发布
最新推荐文章于 2021-05-11 17:46:08 发布
阅读量130 收藏
点赞数
分类专栏: shiro 文章标签: shiro

关键类介绍

--Subject
Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权

--SecurityManager 
SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。

SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。

--Authenticator
Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。

--Authorizer
Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

--realm
Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。

--sessionManager
sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。

--SessionDAO
SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。

--CacheManager
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。

--Cryptography
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

代码实现:

1、添加依赖

<!-- shiro maven依赖 -->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>1.4.0</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring</artifactId>
      <version>1.4.0</version>
    </dependency>

2、配置web.xml

<!-- shiro 过滤器 start -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <!-- 设置true由servlet容器控制filter的生命周期 -->
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <!-- shiro 过滤器 end -->

3、自定义Realm 继承AuthorizingRealm 重写 AuthorizationInfo(授权) 和 AuthenticationInfo(认证)

/**
 * @author zhouguanglin
 * @date 2018/2/26 14:05
 */
public class CustomRealm extends AuthorizingRealm {
    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String userName = (String) principalCollection.getPrimaryPrincipal();
        List<String> permissionList=new ArrayList<String>();
        permissionList.add("user:add");
        permissionList.add("user:delete");
        if (userName.equals("zhou")) {
            permissionList.add("user:query");
        }
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.addStringPermissions(permissionList);
        info.addRole("admin");
        return info;
    }
    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String userName = (String) authenticationToken.getPrincipal();
        if ("".equals(userName)) {
            return  null;
        }
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userName,"123456",this.getName());
        return info;
    }
}

4、配置spring-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <!--开启shiro的注解-->
    <bean id="advisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
        <property name="proxyTargetClass" value="true"></property>
    </bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
    <!--注入自定义的Realm-->
    <bean id="customRealm" class="com.test.realm.CustomRealm"></bean>
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="customRealm"></property>
    </bean>

    <!--配置ShiroFilter-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"></property>
        <!--登入页面-->
        <property name="loginUrl" value="/login.jsp"></property>
        <!--登入成功页面-->
        <property name="successUrl" value="/index.jsp"/>
        <property name="filters">
            <map>
                <!--退出过滤器-->
                <entry key="logout" value-ref="logoutFilter" />
            </map>
        </property>
        <!--URL的拦截-->
        <property name="filterChainDefinitions" >
            <value>
                /share = authc
                /logout = logout
            </value>
        </property>

    </bean>
    <!--自定义退出LogoutFilter-->
    <bean id="logoutFilter" class="com.test.filter.SystemLogoutFilter">
        <property name="redirectUrl" value="/login"/>
    </bean>
</beans>

5、登录验证

@RequestMapping(value = "/login", method = RequestMethod.POST)
    public String login(String userName, String passwd, Model model) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(userName, passwd);
        try {
            subject.login(token);
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            model.addAttribute("userName", "用户名错误!");
            return "login";
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            model.addAttribute("passwd", "密码错误");
            return "login";
        }
        return "index";
    }

6、权限注解

 <!--在xml配置中打开shiro注解扫描,如果同时使用springmvc可能会出现方法上权限注解失效的问题,这时把这段xml配置到spring-mvc.xml中-->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true" />
    </bean>

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

	/**
	1》@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。
	2》@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。
	3》@RequiresGuest:表示当前Subject没有身份验证或通过记住我登录,即是游客身份。
	4》@RequiresRoles:(value={"admin","user"},logical=logical.AND):表示当前Subject需要角色admin和user 
	5》@RequiresPermissions:(value={"user:a","user:b"},logical=logical.OR):表示当前Subject需要权限user:a或user:b。
	*/
	@RequestMapping("/username")
    @RequiresPermissions(value = "user:query")
    @ResponseBody
    public String getUserName(){
        String user = SecurityUtils.getSubject().getPrincipal().toString();
        return user;
    }
果园里的大白菜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro框架表结构Sql脚本
08-13
shiro框架表结构Sql脚本,5大表+数据,一键导入,权限控制
shiro框架教案+笔记+sql脚本+项目案例
08-14
shiro框架教案+笔记+sql脚本+项目案例,一键解压,资源全面
Shiro笔记
深度
02-14 182
1.Shiro 简介 Apache Shiro 是一个安全框架,帮助我们完成 认证 授权 加密 会话管理 与Web集成 缓存等 Shiro的三个概念 subject 访问系统的用户,程序 ,进行认证的都是主体x SecurityManager Shiro的核心,负责把协同各个组件的工作 Realms 相当于数据源 2.Shiro 代码 基于ini @Test ...
shiro笔记整理.docx
08-04
Apache Shiro 是一款轻量级的安全管理框架,主要用于Java应用的身份认证和授权。它提供了一套简单易用的API,帮助开发者处理常见的安全问题。以下是对Shiro关键知识点的详细解释: 1. **身份认证(Authentication)...
Shiro笔记(内容精简,看完即会)
07-02
适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,...
shiro学习笔记
04-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话...通过深入学习这份笔记,你可以掌握Shiro的基本用法,理解其内部机制,并能够应用于实际项目中,提供高效且安全的身份验证和授权功能。
shiro课堂笔记
04-20
在"Shiro课堂笔记"中,我们可以深入理解Shiro的核心概念和实际应用。 1. **Shiro基础**: Shiro 的核心组件包括 Realm(域)、Subject(当前用户)、Session Manager(会话管理器)和Cache Manager(缓存管理器)...
springmvc+mybatis+shiro+mysql简单例子,有脚本
05-13
实现简单登录、简单权限控制
Shiro简单案例(附sql)
01-21
之前传了一篇关于shiro的项目,后来用户反馈没有sql,本打算删除在上传一个项目,但csdn现在不支持删除和修改资源文件了,这个资源对应一篇讲解的博客,链接:https://blog.csdn.net/tolode/article/details/86571224
传智播客168期视频全全全
02-03
传智播客168期视频全全全 应该不缺课 感觉看完了 就可以找工作了~
apache shiro视屏讲解(带代码,课件)
12-04
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro 安全资料
04-10
Shiro 安全架构,文档和资料,自己整理了一些资料。
最新权限框架shiro视频
06-12
最新权限框架shiro视频
springBoot 集成 shiro
快乐的小三菊的博客
05-11 283
springBoot 集成 shiro 并实现认证授权和加密
Shiro系列之Shiro+Mysql实现用户授权(Authorization)
Chris Mao的专栏
10-18 384
昨天,我在《Shiro系列之Shiro+Mysql实现用户认证(Authentication)》中简单介绍了使用Shiro+Mysql实现用户认证的功能,今天我们继续使用其中的示例,讲解一下如何实现用户授权。   所谓授权,就是判断当前用户具体哪些权限,能够执行哪些操作,或是访问哪些资源(Web中的URL,又或是页面上的一个按钮,一个编辑框等都可以视为资源)。因此我们需要数据表来存储这些资...
基于Spring框架的Shiro配置
weixin_33895695的博客
02-22 64
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro 入门教程
让我们荡起双桨的博客
06-07 2233
一、名词解释 1、Subject:即" 当前操作用户 "。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 2、SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。 3、Realm:Realm充当了Shiro与应用安全
狂神说springboot笔记shiro
最新发布
03-16
狂神说Spring Boot笔记Shiro是一篇关于如何使用Apache Shiro在Spring Boot项目中进行身份验证和授权的教程。它可以帮助开发人员快速和简单地在应用程序中实现安全功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值