Java学习笔记——Shiro框架

最新推荐文章于 2022-09-28 22:13:25 发布
最新推荐文章于 2022-09-28 22:13:25 发布
阅读量466 收藏 2
点赞数
文章标签: shiro Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33612051/article/details/88431705
版权

shiro的url配置采用第一次匹配优先的原则,则从上往下匹配

DelegatingFilterProxy类存在与spring-web包中,其作用就是一个filter的代理,用这个类的好处是可以通过spring容器来管理filter的生命周期,还有就是,可以通过spring注入的形式,来代理一个filter执行,如shiro。

	<!-- 
		配置shiro的 shiro Filter
		1.DelegatingFilterProxy类是Spring的一个filter的代理对象
	 -->
	<filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
<!--         可以用targetBeanName初始化参数来指定filter名 -->
        <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>shiroFilter1</param-value>
        </init-param>
    </filter>

初始化时,自动调用init方法。

Shiro认证思路。

//Handler类
@Controller
@RequestMapping("/shiro")
public class ShiroHandle {
	
	@RequestMapping("/login")
	public String login(@RequestParam("username")String username,@RequestParam("password")String password){
		Subject currentUser = SecurityUtils.getSubject();
		
        
	       if (!currentUser.isAuthenticated()) {
	            UsernamePasswordToken token = new UsernamePasswordToken(username, password);
	            System.out.println(token.hashCode());
	            token.setRememberMe(true);
	            try {
	                currentUser.login(token);
	            } 
	            catch (AuthenticationException ae) {
	            	ae.printStackTrace();
	            }
	        }
		return "";
	}
}
//shiroRealm类
public class ShiroRealm extends AuthenticatingRealm {

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		System.out.println("doAuthentication"+token.hashCode());
		return null;
	}

}

Handler类中执行的login方法传入的token值会被传到shiroRealm类里面。两个token实为同一个对象。

Shiro密码的比对是由 AuthenticatingRealm 类的assertCredentialsMatch方法使用CredentialsMatcher来进行比对的。

    <!-- 
        配置realm
    	实现Realm接口
     -->
    <bean id="jdbcRealm" class="com.jun.shiro.ShiroRealm">
    <!--
    	因为shiro是使用AuthenticatingRealm的credentialsMatcher属性来进行密码比对,
    	而此Realm是继承了AuthenticatingRealm,所以把credentialsMatcher属性注入到bean里面,
    	这里使用其实现类HashedCredentialsMatcher,并指定加密算法为MD5,加密次数为1024次
    -->
    	<property name="credentialsMatcher">
    		<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    			<!-- 指定加密算法 -->
    			<property name="hashAlgorithmName" value="MD5"></property>
    			<!-- 指定加密次数 -->
    			<property name="hashIterations" value="1024"></property>
    		</bean>
    	</property>
    </bean>

shiro默认的认证策略是AllLeastOneSuccessfulStrategy。

若需要实现多realm认证的话,需要在spring中注册ModularRealmAuthenticator类,并且作为参数赋给securityManager。

    <!-- 
			配置securityManager
     -->
    <bean id="securityManager"         
          class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="cacheManager" ref="cacheManager"/>
<!--         <property name="realm" ref="jdbcRealm"/> -->
	<property name="authenticator" ref="authenticator"></property>
    </bean>	

<!-- 多realm认证器 -->
	<bean class="org.apache.shiro.authc.pam.ModularRealmAuthenticator" 
          id="authenticator">
		<property name="realms">
			<list>
				<ref bean="jdbcRealm"/>
				<ref bean="secondRealm"/>
			</list>
		</property>
		<!-- 配置多Realm认证策略 -->
		<property name="authenticationStrategy">
			<bean class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"></bean>
		</property>
	</bean>

但在实际生产中,我们是从securityManager读取realm的,所以把realms从securityManager注入。那为什么可以这样做呢?是因为在securityManager初始化的时候,会判断authenticator属性对象是否属于ModularRealmAuthenticator类,如果是,会将自身realms属性赋予authenticator属性对象。

    <!-- 
			配置    securityManager
     -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="cacheManager" ref="cacheManager"/>
<!--         <property name="realm" ref="jdbcRealm"/> -->
		<property name="authenticator" ref="authenticator"></property>
		
		<property name="realms">
			<list>
				<ref bean="jdbcRealm"/>
				<ref bean="secondRealm"/>
			</list>
		</property>
    </bean>

	<!-- 多realm认证器 -->
	<bean class="org.apache.shiro.authc.pam.ModularRealmAuthenticator" id="authenticator">
		<!-- 配置多Realm认证策略 -->
		<property name="authenticationStrategy">
			<bean class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"></bean>
		</property>
	</bean>

AuthenticatingRealm-------->若只需要认证的话,只继承AuthenticatingRealm就可

AuthorizingRealm--------->用于授权和认证的realm一般使用这个

AuthorizingRealm继承于AuthenticatingRealm但是没有实现父类的doGetAuthenticationInfo方法

若为多realm授权认证的话,shiro会调用ModularRealmAuthorizer类来进行认证(从源码中可以看到,只要有一个Realm通过就返回true),但是实际进行授权认证的还是AuthorizingRealm,因为在源码374行中调用的hasRole方法会继续调用AuthorizingRealm授权认证。

 sessionDAO

     

 sessionDao可以讲session进行序列号并存到数据库中,进行增删改查。在单机应用中,作用可以是在service层也可以通过shiro拿到session。而在集群分布式中作用就会比较大,共享session很有必要,因为当同一个用户发起请求时,可能被调度到不同的机器上访问(负载均衡),这时就可能同一个用户的求情会被当成是多个用户的请求,session共享就很有必要了。

の 面试题

  1. shiro的优点

  • 与Spring Security相比,Spring Security需要依赖与Spring环境,而shiro组件化,简单易用,不用依赖其他框架。
  • 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等)
  • 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境
  • 对角色的简单的签权(访问控制),支持细粒度的签权
  • 支持一级缓存,以提升应用程序的性能

     2.为什么shiro的注解一般都加在control层,而不是在service层。

       因为一般在项目中我们会在service层会加上@Transactional 事务注解,这个时候service层对象已经是个代理对象了,在加上shiro权限注解的话,代理的代理,会在注入的时候发生异常。

 

Phantom___
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java---Shiro框架
weixin_67224308的博客
07-31 1394
Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。下载地址。
java集成shiro框架shiro.rar
09-13
java集成shiro框架,全jar 包,java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2833
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
JAVA安全框架shiro
xindongyuni666的博客
09-28 1455
一个容易,简单,安全,易上手的框架shiro
什么是shiroShiro能干嘛?
m0_67390963的博客
04-11 1713
1, 什么是shiro Apache ShiroJava 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 2,为什么要学shiro 1,既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 2,shiro使用广泛,shiro可以运行在web应用,非web应用,集群分布式
Shiro 的优点
RJ_0517b的博客
01-01 764
1、简单的身份认证, 支持多种数据源 2、对角色的简单的授权, 支持细粒度的授权(方法级) 3、支持一级缓存,以提升应用程序的性能 4、内置的基于 POJO 企业会话管理, 适用于 Web 以及非 Web 的环境 5、非常简单的加密 API f、不跟任何的框架或者容器捆绑, 可以独立运行 ...
基于Java的Apache Shiro安全框架设计源码
最新发布
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
Java安全框架Shiro电子书
04-07
Apache ShiroJava 的一个安全框架。目前,使用Apache Shiro 的人越来越多,因为它相 当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以...
【狂神】JAVA学习全套笔记(完整版)
03-12
内容包含: 1、JAVA SE 2、MySQL + JDBC 3、JAVA WEB 4、Mybatis 5、SSM 6、大前端 7、Vue ...10、Shiro 11、Spring Cloud 12、JVM 13、JUC 14、Git 15、Linux 16、Redis 17、ElasticSearch 18、Docker
Shiro权限框架由浅入深讲解教程课件
01-07
Apache Shiro 是一个轻量级的 Java 安全框架,主要负责身份验证、授权、加密以及会话管理。它的设计目标是简化应用安全的实现,让开发者能够快速地为各种类型的程序添加安全特性,从简单的命令行应用到复杂的 web ...
Shiro 权限框架使用总结
11-24
Shiro 权限框架使用总结,shiro入门级的文档资料。
一个Java的权限框架-Shiro
奔走的王木木Sir的博客
06-14 3298
Shiro可以做什么?可以完成认证、授权、加密、会话管理等
shirojava安全框架
prettysunshine的博客
07-24 2978
shiro是干什么的: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。 为什么要学shiro?优势在哪? 既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 shiro使用广泛,shiro可以运行在web应用,非web应用,集群分布式应用中越来越多的用户开始使用...
shiro安全框架
weixin_47119350的博客
05-11 108
@ TOC Shiro安全框架简介 Shiro概述 Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示: 图-1 Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念,如图-2所示: 图-2 其中: Subject :主体对象,负
shiro框架基础--shiro框架概念及原理
热门推荐
方圆几里的博客
06-27 1万+
shiro的简介shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。二 shiro的架构图 authenticator:认证器,主体进行认证最终通过authenticator进行authorizer:授权器,主体进行授权最终通过authorizer进行sessionManager:web应用中一般是用web容器对session进行管理,shiro也提供了一套...
Shiro的主要功能和构成
u012737182的博客
10-30 5443
shiro的主要作用就是结合spring框架继续用户权限的验证处理。
关于Shiro框架学习(一)
Object的博客
08-18 3902
由于最近在做一个项目,刚完成到登录注册,不想和以前的项目搬同样的砖了,想完成点不那么low的功能,像单点登录、权限控制等,于是就想起了Shiro框架

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值