Shiro安全框架

最新推荐文章于 2021-08-03 19:20:34 发布
最新推荐文章于 2021-08-03 19:20:34 发布
阅读量217 收藏 2
点赞数
文章标签: springboot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39568086/article/details/103335466
版权

1.Shiro概述

Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。Shiro安全框架

2.Shiro概要架构

在概念层面,Shiro 架构包含三个主要的理念
其中:
1)Subject :主体对象,负责提交用户认证和授权信息。
2)SecurityManager:安全管理器,负责认证,授权等业务实现。
3)Realm:领域对象,负责从数据层获取业务数据。

3.Shiro详细架构

Shiro框架进行权限管理时,要涉及到的一些核心对象,主要包括:认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象以及Realm管理对象(领域对象:负责处理认证和授权领域的数据访问题)等,如图在这里插入图片描述
其中:
1)Subject(主体):与软件交互的一个特定的实体(用户、第三方服务等)。
2)SecurityManager(安全管理器) :Shiro 的核心,用来协调管理组件工作。
3)Authenticator(认证管理器):负责执行认证操作。
4)Authorizer(授权管理器):负责授权检测。
5)SessionManager(会话管理):负责创建并管理用户 Session 生命周期,提供一个强有力的 Session 体验。
6)SessionDAO:代表 SessionManager 执行 Session 持久(CRUD)动作,它允许任何存储的数据挂接到 session 管理基础上。
7)CacheManager(缓存管理器):提供创建缓存实例和管理缓存生命周期的功能。
8)Cryptography(加密管理器):提供了加密方式的设计及管理。
9)Realms(领域对象):是shiro和你的应用程序安全数据之间的桥梁。

4.Shiro基本环境配置

4.1)添加shiro依赖
实用spring整合shiro时,需要在pom.xml中添加如下依赖:

<dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-spring</artifactId>
   <version>1.4.1</version>
</dependency>

4.2)Shiro核心对象配置

@Configuration
public class SpringShiroConfig {
	@Bean
	public SecurityManager securityManager(Realm realm) {
		DefaultWebSecurityManager sManager=new DefaultWebSecurityManager();
		sManager.setRealm(realm);
		return sManager;
	}
	/**
	 *  通过此对象设置资源匿名访问、认证访问等规则
	 * @param securityManager
	 * @return
	 */
	@Bean
	public ShiroFilterFactoryBean shiroFilterFactory (SecurityManager securityManager) {
		ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();
		sfBean.setSecurityManager(securityManager);
		sfBean.setLoginUrl("/doLoginUI");
		//定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
		LinkedHashMap<String,String> map = new LinkedHashMap<>();
		//静态资源允许匿名访问:"anon"
		map.put("/static/**","anon");
		map.put("/doLogin","anon");
		//除了匿名访问的资源,其它都要认证("authc")后访问
		map.put("/**","authc");
		sfBean.setFilterChainDefinitionMap(map);
		return sfBean;
	}
}

4.3)服务端Controller实现
第一步:在controller中添加一个呈现登录页面的方法,关键代码如下:

@RequestMapping("doLoginUI")
public String doLoginUI(){
		return "login";
}

4.4)Service接口及实现

@Service
public class ShiroUserRealm extends AuthorizingRealm {

	@Autowired
	private UserMapper userMapper;
		
	/**
	 * 设置凭证匹配器(与用户添加操作使用相同的加密算法)
	 */
	@Override
	public void setCredentialsMatcher(
	    CredentialsMatcher credentialsMatcher) {
		//构建凭证匹配对象
		HashedCredentialsMatcher cMatcher=
		new HashedCredentialsMatcher();
		//设置加密算法
		cMatcher.setHashAlgorithmName("MD5");
		//设置加密次数
		cMatcher.setHashIterations(1);
		super.setCredentialsMatcher(cMatcher);
	}
	/**
	 * 通过此方法完成认证数据的获取及封装,系统底层会将认证数据传递认证管理器,由认证管理器完成认证操作。
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		//1.获取用户名(用户页面输入)
		UsernamePasswordToken upToken = (UsernamePasswordToken)token;
		String username = upToken.getUsername();
		//2.基于用户名查询用户信息
		User user = userMapper.findUserByUserName(username);
		//3.判定用户是否存在
		if(user == null) throw new UnknownAccountException();
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(
									user,//principal (身份)
									user.getPassword(),//hashedCredentials
									getName());//realName
		//6.返回封装结果
		return info;//返回值会传递给认证管理器(后续认证管理器会通过此信息完成认证操作)
	}
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		return null;
	}
}

4.5)Controller 类实现

@Controller
public class PageContoller {
	@RequestMapping("doLoginUI")
	public String doLoginUI(){
		return "login";
	}
	@RequestMapping("doStarterUI")
	public String doStarterUI(){
		return "starter";
	}
	@RequestMapping("doLogin")
	@ResponseBody
	public JsonResult doLogin(String username,String password){
		//1.获取Subject对象
		Subject subject = SecurityUtils.getSubject();
		//2.通过Subject提交用户信息,交给shiro框架进行认证操作
		//2.1对用户进行封装
		UsernamePasswordToken token = new UsernamePasswordToken(
						username,//身份信息
						password);//凭证信息
		//2.2对用户信息进行身份认证
		subject.login(token);
		return new JsonResult("login ok");
	}
}

4.6)异步登陆操作实现

function doLogin(){
	  var params={
		 username:$("#username").val(),
		 password:$("#password").val()
	  }
	  var url="/doLogin";
	  console.log("params",params);
	  $.post(url,params,function(result){
		  if(result.state==1){
			//跳转到doStarterUI对应的页面
			location.href="doStarterUI?t="+Math.random();
		  }else{
			$(".login-box-msg").html(result.message); 
		  }
		  return false;//防止刷新时重复提交
	  });
  } 

shiro框架的登录到此就实现了,第一次写博客,有问题请私聊,Thank you,下一篇shiro的授权
最菜程序员永恒
关注
SpringMVC+Shiro 实现异步登录
zhuguang10的博客
04-09 631
ShiroDatabaseRealm 中对登录结果进行异常捕获 shiro的登录判断是在 ShiroDatabaseRealm 中通过 doGetAuthenticationInfo() 实现的 ShiroDatabaseRealm 是用户自定义的 AuthorizingRealm 子类,用于处理具体的登录逻辑 在 ShiroDatabaseRealm 中做异常捕获的原因是方便后续拦截器直接...
Shiro安全框架(一)
Daniel
07-23 660
Shiro安全框架简介; Shiro框架认证拦截实现(filter); Shiro框架认证业务实现
三.Apache Shiro 安全框架
weixin_57619565的博客
08-03 147
Shiro安全框架简介 Shiro概述 Shiro是apache旗下一个开源安全框架,它对软件系统中的安全认证相关功能进行了抽封装,实现了用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统...
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
最新发布
07-08
在本教程中,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证与授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
shiro安全框架
09-19
综上,Shiro安全框架与Spring的集成使得OA项目的安全性得到了有效保障,通过合理的配置和使用,可以轻松实现用户认证、授权、会话管理和数据加密等功能,为开发人员提供了一种简单高效的安全解决方案。
Java高级技术
12-19
本阶段课程涵盖Java开发流行的自动化构建工具:Maven,版本控制系统:SVN和Git,容器虚拟化技术:Docker,权限模型:RBAC,集成测试:Jenkins,微服务架构:SpringCloud等核心内容。旨在应对各种实际开发情况下的的各种开发场景及业务的需要。
SpringBoot入门学习(四) --- shiro安全框架,定时器,异步调用,全局日志
Fuly的博客
03-03 966
shiro安全框架 控制登陆,角色权限管理,身份验证,授权,会话管理,web项目 导包 &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.apache.shiro&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt;shiro-spring&amp;am
Shiro拦截AJAX的解决方案
热门推荐
在字节里改BUG
06-02 2万+
Shiro拦截AJAX的解决方案最近在springboot项目上使用了shiro,但是shiro配置好后都是默认页面重定向处理。然而前后端分离后,静态页面都是部署在nginx上,统一都通过ajax进行调用。ajax的话不能进行重定向,需要返回指定格式的JSON。所以shiro需要满足一下几点要求:ajax调用接口没有登录时,返回指定格式JSON ajax调用接口在登录的情况下,没有权限时,返回指定格
spring+shiro 事务、异步不生效
qq_16590151的专栏
09-04 266
最近其他项目小伙伴说是项目中用的异步@Async,事务不生效了,并且只是个别的类存在问题; 通过debug后发现spring没有获取到调用类的代理; spring 异步 事务会以AOP proxy的方式处理;并根据项目中指定的代理类型来实例代理对象 通过spring调用链发现源头是shiro MyShiroRealm; MyShiroRealm依赖的类都没有经过spring代理;排查shiro配置文件中发现存在实例ProxyCreator的代码; 排查原因是spring boot通过@bean方式注入默认使
shiro springmvc 注解 ajax和同步请求 无权限处理处理
lanyingtianshiabc的专栏
07-05 3403
1. springmvc进行错误跳转配置如下 redirect:/shiro/401 2.controller的写法 @RequestMapping("/401") public String authorizationException(ModelMap modelMap, HttpServletRequest
springboot整合mybatis、swagger、redis、thymeleaf-shiro异步、定时任务以及mail邮件发送
weixin_45865428的博客
07-07 1494
前言:springboot整合mybatis、swagger、redis、thymeleaf-shiro异步、定时任务以及mail邮件发送 项目结构: 一、整合mybatis 1、准备测试数据 SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- ---------------------------- -- Table structure for user -- ---------------------------- DROP TABLE IF
Shiro安全框架的使用
苍白的咏叹调的博客
08-06 1568
Shiro安全框架 1.介绍 Shiro有三个核心的概念:Subject、SecurityManager和Realms。 Subject(主体):subject本质上是当前正在执行的用户的特定于安全的“view”。它也可以表示第三方服务、守护进程帐户、cron作业或任何类似的东西——基本上是当前与软件交互的任何东西。 SecurityManager(安全管理器): SecurityM...
Shiro安全框架深度解析
"这篇文档是关于Apache Shiro安全框架的全程讲解,涵盖了从基础到高级的各种功能,包括身份验证、授权、配置、Web集成、拦截器机制、JSP标签、会话管理和缓存机制,以及如何与Spring框架进行集成。" Apache Shiro是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值