Shiro登录的使用以及原理(一)

最新推荐文章于 2024-05-16 10:28:26 发布
最新推荐文章于 2024-05-16 10:28:26 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38340127/article/details/109866392
版权

 

    好久没写博客了,这段时间对最近项目做个总结,先从登入下手,话不多说直奔主题,Shiro的登录使用以及原理。

目录

一、Shiro主要作用

二、登录的使用

2.1 SecurityManager的生成与使用

2.1 SecurityUtils的作用以及使用

三 ThreadLocal小插曲

一、Shiro主要作用

    shiro主要的作用就是实现用户登录(认证,授权,加密等),用户登录后的用户信息存储(缓存),用户登出等。

二、登录的使用

    在使用登录的时候,最常见的一串代码就是通过工具类SecurityUtils获取Subject,然后对Token进行login();

// 得到subject然后对创建用户名/密码身份验证
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("hu", "123");
subject.login(token);

   这时候只对这串代码进行编译运行,你会发现会报一个异常信息

org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton.  This is an invalid application configuration.

2.1 SecurityManager的生成与使用

根据报错信息以及对SecuriTyUtils的源码发现使用SecurityUtils.getSubject()的时候必须要为其设置一个securityManager,具体如下:

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by FernFlower decompiler)
//

package org.apache.shiro;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.Subject.Builder;
import org.apache.shiro.util.ThreadContext;

public abstract class SecurityUtils {
    private static SecurityManager securityManager;

    public SecurityUtils() {
    }

    public static Subject getSubject() {
        // 通过ThreadContext获取对应的Subject,若未在ThredContext中加入该subject必定为空
        // ThreadContext可以通过源码了解到为使用过TreadLocal模式 具体看标题三
        //因为是TreadLocal所以表示每个线程初次进来的时候,获取到的subeject必为空
        Subject subject = ThreadContext.getSubject();
        if (subject == null) {
            //具体看下列代码块 主要执行为通过SecurityManager创建出Subject
            subject = (new Builder()).buildSubject();
            ThreadContext.bind(subject);
        }

        return subject;
    }

    public static void setSecurityManager(SecurityManager securityManager) {
        SecurityUtils.securityManager = securityManager;
    }

    public static SecurityManager getSecurityManager() throws UnavailableSecurityManagerException {
        SecurityManager securityManager = ThreadContext.getSecurityManager();
        if (securityManager == null) {
            securityManager = SecurityUtils.securityManager;
        }

        if (securityManager == null) {
            String msg = "No SecurityManager accessible to the calling code, either bound to the " + ThreadContext.class.getName() + " or as a vm static singleton.  This is an invalid application " + "configuration.";
            throw new UnavailableSecurityManagerException(msg);
        } else {
            return securityManager;
        }
    }
}

   // 在Subjct初次获取到为空的时候会调用的Subject的静态内部类,创建一个Builder,在通过buildSubject的方法进行实现Subject的生成 
   public static class Builder {
        private final SubjectContext subjectContext;
        private final SecurityManager securityManager;
        // 需要先设置对应的SecurityManage
        public Builder() {
            this(SecurityUtils.getSecurityManager());
        }
        // 通过securityManager创建出subject
        public Subject buildSubject() {
            return this.securityManager.createSubject(this.subjectContext);
        }
    ..........loading...............
    }

得出结论 Subject的实例都会(也是必须)绑定一个SecurityManager,对Subject的操作会转为Subject与SecurityManager之间的交互。

看来Subject的生成都是SecurityManager在做苦力活啊。

那么SecurityManager是怎么生成的?

先查阅下官方文档SecurityManager是怎么生成的

根据官方文档:http://greycode.github.io/shiro/doc/tutorial.html

那么我们就先通过使用ini文件进行尝试下:

在resource下创建一个shiro.ini文件放入用户信息

[users]
hu=123

然后通过官方给出的:

        //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
        Factory<SecurityManager> factory =
                new IniSecurityManagerFactory("classpath:shiro.ini");
        //2、得到SecurityManager实例 并绑定给SecurityUtils
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

这么一个案例又让我们想起了那个Spring等源码中最喜欢用的工厂模式,看看这里的Factory接口啥样:

package org.apache.shiro.util;

public interface Factory<T> {
    T getInstance();
}

就是一个用来生成T对应实例的工厂,一个很一般的代码,噢,我的意思是,我的上帝啊,这真是一个写的很棒的代码,一个很完美的工厂。

那么看看IniSecurityManagerFactory干了啥?

看了代码构造函数就做了这些小事,就是将Ini对象赋值下

    // 调用了对应的构造函数,将iniResourcePath路径读取为代码可识别的Ini对象
    public IniSecurityManagerFactory(String iniResourcePath) {
        this(Ini.fromResourcePath(iniResourcePath));
    }

    // Ini对象具体就是根据文件路径读取对应的文件内的信息流   
    // 然后调用对应Ini的构造函数
    public IniSecurityManagerFactory(Ini config) {
        this.setIni(config);
    }

那么就是主要是在getInstance的方法中咯?通过对IniSecurityManagerFactory类中查看并未发现getInstance

那么就可以确定在了子类中的实现(运用了模板设计模式的实现)

public class IniSecurityManagerFactory extends IniFactorySupport<SecurityManager>
public abstract class IniFactorySupport<T>
最低0.47元/天 解锁文章
乐观的大鹏
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Shiro 登录认证源码详解
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从源码实现的角度去介绍 Shiro登录认证(Authentication)功能。
Shiro入门之实现登录登出
二木成林
02-06 2570
概述 这里使用Shiro来实现用户的登录和登出功能。 前提:已经会Spring集成Shiro。即使没有下面也会提供源码,下面只说明Shiro部分的核心代码,如Mapper、Service类中的代码基本上就是从数据库中读取数据,而且源码有提供,不在说明。 实现 第一步:一个用于登录的页面和一个用于退出登录的页面。 login.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="U
Springboot+Shiro实现登录
gnsbxjj的博客
05-16 430
Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。shiro由三部分组成:1、Subject:当前操作的用户就是当前登录的用户;2、SecurityMapper:该组件用来管理所有操作用户的安全操作3、Realm:该组件需要自己来定义,shiro当前登录的账号、密码是否正确,并且其拥有那些权限。
shiro多种登陆方式的设置
FeiChangWuRao的博客
11-26 3744
shiro是我目前用的项目的一个鉴权框架,也是apache基金会的,用来处理登录,鉴权这部分。下面是官网的介绍页: Shro 官网网站,不管是了解还是学习,都是第一手资料 网上一个用XML文件配置的,这里我用注解的方式来配置跟他做一个对比 一般来说对于登录,鉴权,身份验证,session管理其实不管什么项目都是一个不容忽视的部分。采用shiro就是希望有个对用的框架来直接使用,而不是自己去修改,很多时候,项目紧急容不得你“慢悠悠”的造轮子。而且shiro使用还算方便,这里主要是讨论shiro如何去设置多种
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2798
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
ssm+shiro
mengyong1108的博客
08-16 365
shiro原理 框架解释:  subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。  authorizer:授权器,主体
shiro登陆身份认证和权限管理 密码加密
01-23
在“shiro登陆身份认证和权限管理 密码加密”这个主题中,我们将深入理解 Shiro 如何处理用户登录、验证用户身份以及密码的安全存储。 1. **身份认证**:在 Shiro 中,身份认证是验证用户是否是他们声称的那个人的...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能。 Shiro 简介 Apache Shiro 是一个开放源代码的安全框架,...
cas 服务端和客户端 main是自定义服务端登陆页面 还有一个是5.2.3原版
10-26
CAS(Central Authentication Service)是一种基于Web的单点登录(Single Sign-On, SSO)协议,广泛应用于企业级应用系统中,以实现...对于理解CAS的工作原理以及如何在实际项目中应用SSO,这是一个非常有价值的参考。
单点登陆(SSO)案例(三)
09-28
单点登录(Single Sign-On,简称SSO)是一种网络身份验证机制,允许用户在一个系统上登录后,无需再次输入凭证即可访问多个相互关联的应用系统。SSO的主要目标是提高用户体验,减少用户记忆多个账号和密码的压力,...
SpringBoot实现前后端分离的跨域访问(CORS)
01-27
**CORS工作原理** CORS的工作涉及到浏览器和服务器之间的交互。对于简单的请求(如GET、POST、HEAD),浏览器直接发送请求。而对于复杂的请求(如PUT、DELETE或带有自定义头部),浏览器会先发送一个预检请求...
第十讲 shiro (6)shiro认证过程分析
jintingbo的专栏
06-08 176
index.jsp提交到控制器,控制器接收后形成一个入场券UsernamePasswordToken;同时用Subject subject = SecurityUtils.getSubject(); 把用户抽象化,就是把用户抽象成一个要入场的“物件”;再用这个“物件”带上“入场券”去登录:subject.login(token);此时就转到自己写得MyRealm类中去认证和授权了。首先执行的是pr...
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3986
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
springboot对shiro进行mock单元测试
WGH100817的博客
07-11 133
环境:junit-5、Spring5.0.x、Spring Boot 2.0.x 以下是用来权限测试的接口: @ApiOperation("[可接入]分页查询管理员")@ApiResponses({@ApiResponse(code = 200, message = "访问成功", ...
ThreadContext简单介绍
Entodie的博客
09-05 1万+
首先看下ThreadContext类的说明: 1、shirofilter会为当前线程创建subject 内置ThreadLocal 从之前的源码中我们知道了每一次访问都会重新建立subject然后绑定到当前线程,所以这个就很简单了,因为当前线程中获得subject不会是null。只有在没有配置shirofilter的应用中才会出现当前线程中subjec...
shiro 简单登录demo
风雨过后的博客
01-07 1万+
1.shiro 是java强大的安全认证框架 shiro框架的核心功能:认证,授权,会话管理,加密 shiro框架认证流程   Application Code:应用程序代码,由开发人员负责开发的 Subject:框架提供的接口,代表当前用户对象 SecurityManager:框架提供的接口,代表安全管理器对象 Realm:可以开发人员编写,框架也提供一些,类似于DAO,用于访问权...
SecurityUtils.getSubject().getPrincipal() 为null
热门推荐
坤哥的博客
08-23 5万+
使用shiro时,如果正常登陆(执行subject.login(token)成功)就能在全局通过SecurityUtils.getSubject().getPrincipal()获取用户信息。 之前的项目是OK的,新项目中突然出问题。现在给出我自己问题的解决方案。 shiro的配置中有个use-prefix选项,其配置有两点需要注意: 要在配置文件的最上边(或者相关属性的最前边); 一定要...
Shiro-ThreadContext
ZP_2019_07_18的博客
06-29 381
作用 使得线程中的ThreadLocal存储的Entry的值Value为HashMap,这样可以存储更多的数据。Shiro用来存储SecurityManager与Subject 流程 通过当前线程,得到当前线程的ThreadLocalMap(实质为Entry[]数组) 通过当前线程的ThreadLocal,得到ThreadLocalMap存储的Value(Shiro中存储结构HashMap) /* * Licensed to the Apache Software Foundation (ASF) u
Shiro-Subject 分析
汪小哥
12-18 2万+
Subject反正就好像呈现的视图。所有Subject 都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者; 对于上面这句话的理解呢?怎么去理解这个很重要,看看别人的代码设计的流程也是比较的清楚的,Subject都绑定到了SecurityManager,因此我
shiro反序列化原理
最新发布
06-25
Shiro (Security Infrastructure for Java) 是一个开源的身份和权限管理框架,它提供了安全的身份验证、授权、会话管理和加密等功能。关于反序列化(Deserialization)原理Shiro 并不是直接处理反序列化的,但其在处理JSON或XML等外部数据格式时,可能会涉及到与序列化相关的安全性考虑。 当Shiro从存储(如数据库或配置文件)加载配置信息时,这些信息通常是以字符串形式表示的,然后需要转换为Java对象。这个过程涉及到了反序列化。在反序列化过程中,如果输入的数据不正确或者恶意构造,可能会触发安全漏洞,比如`序列化攻击`(也称为`Deserialization of Untrusted Data`),攻击者可能会利用这种漏洞执行任意代码。 Shiro通过以下机制来提高反序列化安全性: 1. **安全的反序列化库**:Shiro使用了像Jackson、Gson这样的库来进行JSON解析,这些库提供了一些选项来限制对反序列化的控制,例如`@JsonAutoDetect`注解可以防止默认字段被反序列化。 2. **白名单和黑名单**:可以配置只允许特定类型或特定构造方法的序列化,避免不受信任的数据结构。 3. **检查输入**:在某些情况下,Shiro可能对反序列化后的数据进行一些检查,确保它们符合预期的安全格式。 4. **配置保护**:Shiro允许开发者禁用自动反序列化,或者仅在受信任的环境中启用。 **相关问题--:** 1. Shiro如何避免序列化攻击? 2. 如何在Shiro中启用对反序列化的安全控制? 3. Shiro如何配合Jackson或其他库来确保反序列化安全?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值