Shior权限

最新推荐文章于 2023-03-14 16:08:33 发布
最新推荐文章于 2023-03-14 16:08:33 发布
阅读量855 收藏 1
点赞数
分类专栏: 安全-认证授权 项目开发必知知识点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38737586/article/details/99714521
版权

一、概述

1、什么是权限管理?

答: 实现对用户访问系统的控制,用户只能访问自己被授权的资源。只要有用户名和密码的系统,权限管理都会出现。
举个例子: 答:给张三赋予 “人力资源经理”角色,该角色就具有“查询员工”,“添加员工”,“修改员工”,“删除员工”的权限。此时张三进入系统后,就有这些操作权限。

2 、shiro概述
  • Apache Shiro是Java的一个安全框架
  • 强大、小、简单易用,主要用来:便捷的认证、授权、加密、会话管理、与WEB集成、缓存等
  • Spring中的Spring Security也是一个权限框架,但是它和Spring的依赖过于紧密,是个重量级框架,没有Shior使用简单。
  • 而Shior不依赖于Spring,不仅可以用于 web,还可以用于C/S系统,分布式系统权限管理。
2 、shiro整体架构/架构流程
  • 整体架构:
    • ①用户(Subject)发送请求到安全管理器(Security Manager)
    • ②安全管理器调用认证器组件(Authenticator)进行认证
    • ③认证需要的比对数据(token与数据库中的数据)通过Realm来获取。

在这里插入图片描述在这里插入图片描述

二、Shior核心概念

1、核心类
  • Authentication:身份认证/登陆,验证用户是不是拥有相应的身份(角色)。(判断用户名密码是否匹配的登陆过程)
  • Authorization:授权,即:权限认证,验证某个已认证的用户是否拥有某个权限。
  • Session Manager:会话管理。用户登陆后就是建立了一次会话,在退出之前,所有的信息都在会话当中。
2、主要概念
  • Subject:代表正在操作系统的客户
  • SecurityManager:安全管理器,相当于SpringMVC中的DispatcherServlet。校验用户是否合法。
  • Realms:提供从数据库取出来的用户名 和 密码。
  • token: 中保存了用户输入的账号和密码。
    ###### 3、

三、Shiro的使用(认证 和 授权)

0、创建Maven项目(quick start)
1、Shiro需要的jar包
<dependency>《!--Shiro jar--》
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.4.0</version>
</dependency>

<dependency>《!--引入日志jar--》
  <groupId>commons-logging</groupId>
  <artifactId>commons-logging</artifactId>
  <version>1.2</version>
</dependency>

<dependency><!--日志依赖的jar : slf4j-nop-->
  <groupId>org.slf4j</groupId>
  <artifactId>slf4j-nop</artifactId>
  <version>1.7.25</version>
  <scope>test</scope>
</dependency>

在这里插入图片描述

2、Shiro认证流程代码分析

在这里插入图片描述

3、Shiro认证流程:(匹配账号密码来进行登陆验证)
  • 1、构造一个SecurityManager环境。
  • 2、主体(用户)提交认证subject.login(token)给安全管理器(SecurityManager) 。。。。。 //subject.login(token)的方法内部会把token提交给安全管理器去做认证(即:调用securityManager.login(token))。
  • 3、安全管理器 调用认证器组件(Authenticator)执行真正的认证

认证的流程

认证的流程: 用户发送认证请求到安全管理器,安全管理器调用认证器组件进行认证。
如何认证? 安全管理器在调用 认证器组件认证之前,要调用realm进行数据库查询 判断是否有该用户。没有的话,直接返回认证信息info为null,就不再调用认证器组件了。若该用户存在的话,则再调用认证器组件进行认证。

匹配原则?

  • 先匹配账号是否存在,若账号不存在返回info==null;若账号存在(即:info != null),再交给一个认证器接着再验证密码是否匹配。

认证流程图

在这里插入图片描述在这里插入图片描述

4、自定义Realm(在Realm中做登陆的认证)

当用户真实的账号密码没有保存在.ini文件中,而是要从数据库中进行读取获得时,我们就需要自定义Realm来进行认证的验证。
在这里插入图片描述在这里插入图片描述

5、散列密码
  • 1)概述:一般用于对数据加密,加密结果为:一串长字符。是一种不可逆的算法。一般适用于存储密码之类的数据,常见的散列算法如:MD5、SHA等。
    • 不可逆:(明文转换成密文之后,就没有办法再转成明文了)
    • 很多的MD5解密网站,实质就是 根据你输入的密文 去数据库查询 对应的明文。
    • 同一个字符串,每次加密的结果是一样的。
    • 数据库中存的是加密后的密文。用户输入的密码,系统会进行加密后再与数据库中密文比较。
    • 为了加密的数据 更加的安全,我们需要“加盐” + “多次散列”。在这里插入图片描述
  • 2)为了实现用户让输入的明文密码自动的(按照我的加密规则)进行MD5加密,加密后与数据库的密文进行比对。我们要做一些配置才能达到这样的目的。
  • 在这里插入图片描述在这里插入图片描述
6、授权
  • 0)权限格式的定义:

资源:权限,资源:权限
user:create,user:update

  • 1)方式一:用户的权限信息写在了**.ini文件中**(实际开发是写在数据库中的)
    .ini配置文件
    -
    具体的操作:
    在这里插入图片描述
  • 2)方式二:在自定义realm中操作
  • 在这里插入图片描述在这里插入图片描述
小码哥222
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro入门
trasewell的博客
09-25 795
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro
热门推荐
MinggeQingchun的博客
08-27 3万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
Shior的执行流程
weixin_68107783的博客
03-14 515
主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;即控制着用户能访问应用中的哪些功能;
shiro权限
天地无名
09-30 618
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
授权 - Spring Security简单案例
个人纪录、总结!
10-21 531
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
shiro权限案例demo
07-18
shiro权限demo
shiro 权限 ssm
08-18
关于权限登录的例子,在公司做登录权限时,我先做一个例子试试,用MySQL,maven,springMVC,spring
shiro权限管理示例
01-11
自己整理的shiro权限管理的示例,希望对大家有帮助,现在急需积分,望支持
Shiro权限管理框架详解
02-24
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证...
shiro权限代码
04-08
有自动数据生成的数据库,所以不用感到懵逼,里面有关于shiro的认证授权等相关代码,欢迎大家下载,有写不好的地方请指正,谢谢。
shior + springboot
11-27
自己在闲暇的时候写的简单的案例,大家有需要的可以下载下来,sql文件也在里面,创建好以后就可以直接运行了,希望可以给大家带来帮助。
springboot+shior 完整代码
11-27
自己在闲暇之余,简单的写了一个springboot+shior的完整代码,有需要的直接下载就可以使用
shiro官方文档(中文)
06-16
shiro官方文档(中文)
shiro 简介
快乐的小三菊的博客
04-29 2111
shiro 简介
Shiro简介
hmj2181629495的博客
08-30 5554
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。...
Apache Shiro 快速入门教程,shiro 基础教程 (这篇文章非常好)
weixin_30810583的博客
08-02 149
第一部分 什么是Apache Shiro 1、什么是 apache shiro : Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 如同 Spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。 2、Apach...
Shior 简介
Class雷
11-04 1083
简介 Shiro 是java 的一个安全权限框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境上,也可以用在JavaEE环境 Shiro 可以完成 :认证、授权、加密、会话管理、与Web集成、缓存等。 功能简介 Authentication : 身份认证/登陆,验证用户是不是有相应的身份; Author...
想学Shior、那就先了解它
MagicChild的博客
01-19 453
想学Shior、那就先了解它
shiro权限管理好处
最新发布
05-31
Shiro权限管理的好处有以下几点: 1. 安全性高:Shiro提供了一套完善的权限管理机制,可以对用户进行认证和授权,确保只有授权的用户才能访问系统中的资源,从而保证系统的安全性。 2. 灵活性强:Shiro的权限管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值