shiro01

已于 2024-08-28 11:04:12 修改
阅读量739 收藏
点赞数
分类专栏: shiro 文章标签: 数据库 java 大数据
于 2020-08-09 09:04:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40660787/article/details/107889545
版权

shiro

问题1:什么是shiro?它是做什么的?

答:shiro是apache公司提供的一种安全框架。它在项目中主要用于进行权限控制


在项目要进行权限控制,一般会采用下列技术:

  1. spring security
  2. shiro

相同点:这两种技术,都可以进行权限控制

不同点:

  • spring security入门有门槛,上手有一定难度, shiro上手很简单
  • spring security这种技术它依赖于spring,项目只有用到spring才可以使用它,shiro不依赖spring, 项目中有没有spring都可以使用shiro
  • spring security它进行权限控制功能会更强大,但shiro已经足够满足日常需求 

------------------------------------------------------------------------------------------
shiro中的几个核心概念:

  1. 认证(登录)判断用户是否可以登录成功
  2. 授权  (登录成功以的用户,访问资源时,得到用户的访问权限)

shiro中的几个核心对象:

Security Manager:安全管理器

  • 作用:shiro的认证操作、授权操作都要由它来执行 

Subject:主体

  • 作用:它用于进行认证、授权

Realm:领域对象

  • 作用:它是一个类,用于封装认证、授权的方法

Session:会话对象

  • 作用:当用户认证成功以后,通过认证的主体(subject)将会存放到shiro的session中

    
shiro的基本配置流程 

  1. 基于ini文件认证(登录)
  2. 基于realm类进行认证(登录)
  3. 认证时采用md5加密
  4. 授权(基于ini)
  5. 授权(基于realm)

基于ini文件认证(登录)

步骤:    
1、创建一个maven结构的java项目(非web)

2、导入shiro-core依赖

    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>1.2.6</version>
    </dependency>

    <dependency>
      <groupId>commons-logging</groupId>
      <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>

3、创建 resources目录

4、在resources目录下,创建一个配置文件 shiro.ini(用于封装用户名,密码)--------实际应用中,不可能将用户名,密码写入文件

#封装用户信息
[users]
jack=111
andy=222

5、编写测试类,测试代码

package org.java.d91.demo;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

/**
 * 基于ini文件的认证(登录 )
 */
public class Demo1 {

    public static void main(String[] args) {

        //创建工厂类,用于产生securityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

        //通过工厂类,产生SecurityManager
        SecurityManager securityManager = factory.getInstance();

        //将安全管理器,设置到当前运行环境中
        SecurityUtils.setSecurityManager(securityManager);

        //得到主体
        Subject subject = SecurityUtils.getSubject();

        //创建一个令牌(token),用于封装用户名与密码
        UsernamePasswordToken  token = new UsernamePasswordToken("jack","111");


        try {
            //通过主体执行认证操作
            subject.login(token);

            //判断是否认证成功
            if(subject.isAuthenticated()){
                System.out.println("认证成功.....");
            }

            System.out.println("--------------------------------------------");
            subject.logout();//登出(退出登录)

            if(subject.isAuthenticated()){
                System.out.println("已登录.....");
            }else{
                System.out.println("已退出");
            }

        } catch (UnknownAccountException e) {
            System.out.println("用户名不存在!");
        } catch (IncorrectCredentialsException e){
            System.out.println("密码错码");
        }


    }
}
  • UnknownAccountException:未知用户异常(用户名不存在)
  • IncorrectCredentialsException:密码不区配

shiro认证的过程:

1、它会将用户名与密码封装成一个令牌usernamepasswordToken,当subject执行login()方法时,传递 token,
    
2、securityManager会从令牌中取出用户名,判断用户是否存在

  • 如果用户名存在,则取出该用户的正确密码,与用户输入的密码的进行对比
  • 如果用户名不存在,则直接产生异常UnknownAccountException

3、如果密码一致,则认证成功,认证成功后,shiro将会把主体subject存放到shiro自己的sessioin中。如果密码不一致,则产生异常:IncorrectCredentialsException

@@@在实际应用中,不可能将用户信息写文件,数据都是存放在数据库中,需要读取数据库

基于realm类进行认证(登录)

1、创建工程(maven的java项目)

2、创建一个Realm类(封装认证、授权的方法),继承于:AuthorizingRealm,并且重写父类的方法

package org.java.d91.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * 领域对象,用于封装认证、授权的方法
 */
public class MyRealm extends AuthorizingRealm {

    //授权(得到用户的访问权限)
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    //认证(登录)
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        return null;
    }
}

3、编写shiro2.ini文件 

[main]

#声明一个变量,指向realm类
myRealm=org.java.d91.realm.MyRealm

#指定安全管理器通过哪一个realm进行认证、授权
securityManager.realms=$myRealm

4、编写测试类

package org.java.d91.demo;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

/**
 * 基于realm的认证(登录 )
 */
public class Demo3 {

    public static void main(String[] args) {

        //创建工厂类,用于产生securityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro2.ini");

        //通过工厂类,产生SecurityManager
        SecurityManager securityManager = factory.getInstance();

        //将安全管理器,设置到当前运行环境中
        SecurityUtils.setSecurityManager(securityManager);

        //得到主体
        Subject subject = SecurityUtils.getSubject();

        //创建一个令牌(token),用于封装用户名与密码
        UsernamePasswordToken  token = new UsernamePasswordToken("andy","111");


        try {
            //通过主体执行认证操作
            subject.login(token);

            //判断是否认证成功
            if(subject.isAuthenticated()){
                System.out.println("认证成功.....");
            }
        } catch (UnknownAccountException e) {
            System.out.println("用户名不存在!");
        } catch (IncorrectCredentialsException e){
            System.out.println("密码错码");
        }


    }
}

    5、编写MyRealm类中,认证的方法 doGetAuthenticationInfo

    //认证(登录)
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        //从token中,取得主要信息(用户名)
        String principal = (String) token.getPrincipal();

        //根据用户名查询数据库,判断,用户是否存在(此处模拟查询数据库,如果用户是jack,该用户不存在)
        if(principal.equals("jack")){
            //jack不能登录
            return null;//如果该方法,返回null,则表示,用户不存在,系统将抛出异常UnknownAccountException
        }

        //如果用户名存在,则根据返回该 用户名在数据库中的正确密码(此处,模拟从数据库中取出来的密码111)
        String pwd ="111";

        //将:主要信息(princilpal),该用户名的正确密码,进行封装,通过安全管理器,与用户输入的密码进行对比
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal,pwd,"myrealm");

        return info;
    }

在实际应用中,存放在数据库中的密码,一定是加密后的密码,最常用的加密方式就是md加密

md5是一种不可逆的加密算法

关键配置

[main]

#指定凭证匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher

#指定,采用的加密方式
credentialsMatcher.hashAlgorithmName=md5

#指定加密次数
credentialsMatcher.hashIterations=3

#指定,用于认证的realm
myrealm= org.java.d91.realm.MyRealm

# 指定当前realm类,采用哪一种凭证匹配器进行加密
myrealm.credentialsMatcher=$credentialsMatcher

#指定安全管理器,引用哪一个realm类
securityManager.realms=$myrealm
    //认证(登录)
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        System.out.println("========================系统正在调用doGetAuthenticationInfo方法,进行认证");
        //从token中,取得主要信息(用户名)
        String principal = (String) token.getPrincipal();

        //根据用户名查询数据库,判断,用户是否存在(此处模拟查询数据库,如果用户是jack,该用户不存在)
        if(principal.equals("jack")){
            //jack不能登录
            return null;//如果该方法,返回null,则表示,用户不存在,系统将抛出异常UnknownAccountException
        }

        //如果用户名存在,则根据返回该 用户名在数据库中的正确密码(此处,模拟从数据库中取出来的密码111)
        String pwd ="4ebe4ae946ee2d290a499c6e44497090";
        String salt="accp";

        //将:主要信息(princilpal),该用户名的正确密码,进行封装,通过安全管理器,与用户输入的密码进行对比
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal,pwd, ByteSource.Util.bytes(salt),"myrealm");

        return info;
    }

------------------------------------------------------------------------------------------------------

shiro基于reaml类进行授权

shiro在执行的时候,是先进行认证,再进行授权

  • 如果我们在代码中,没有进行任何权限、角色的判断操作,系统将不会调用授权的方法
  • 如果进行了任何的权限、角色判断,系统将会马上调用realm类中授权的方法从数据库加载权限或角色
    //授权(得到用户的访问权限)
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("=============================系统正在调用doGetAuthorizationInfo方法,进行授权");

        //从principals取得用户的主要凭证(认证的方法,返回的info对象中的第一个参数)
        String principal = (String) principals.getPrimaryPrincipal();

        //根据用户信息principal,查询数据库,得到用户的访问权限 (模拟数据库查询 )
        List<String> list = new ArrayList<String>();
        list.add("user:add");
        list.add("user:del");

        //将查询到的权限,进行封装
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermissions(list);

        return info;
    }

无区新手
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【无码专1】简单路径的第二大边权(启发式合并+最小生成树)
10-19 44万+
确实这个启发式合并的地方思维很大
【无码专2】序列划分(数学)
10-19 10万+
天啦,只看20位!!
【无码专10】第K大查询(双向链表 /主席树+st表)
热门推荐
11-11 11万+
我但凡,我但凡会个双向链表,我都不至于这么难搞
SpringBoot:集成Shiro之INI配置篇(转载)
得不到的永远是骚栋.
01-21 506
前言 在SpringBoot:集成Shiro之INI认证篇和SpringBoot:集成Shiro之INI授权篇 两篇需要使用到INI文件,这一篇文章是用来简单阐述以下INI的的编写格式以及组成模块.(大部分是转载内容,只是加以整理而已.) #用户 [users] root=123456,role1 admin=admin,role1,role2 #角色和权限 [roles] role1 = permission1 role2 = permission2,permission3 Shiro中INI的构.
Shiro笔记(三)----Shiro配置文件ini详解
fendo
07-09 3万+
一、INI简介 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类中的key不可重复,#号代表注释,shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。 1.在web.xml中配置shiro的过滤器 要使用Shiro必须在web
shiro01入门
qq_66924116的博客
08-24 77
- %d{yyyy-MM-dd HH:mm:ss, SSS} : 日志生产时间 %p : 日志输出格式 %c : logger的名称。-- log4j2的按分钟 分日志文件 : warn-%d{yyyy-MM-dd-HH-mm}-%i.log -->-- status : 指定log4j本身的打印日志的级别.ALL< Trace < DEBUG < INFO < WARN < ERROR。-- log4j2的按天分日志文件 : info-%d{yyyy-MM-dd}-%i.log -->
Shiro01
chigui1424的博客
04-29 87
@[toc] shiro简介 官网 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 框架说明 官网的框架说明 应用代码直接...
shiro01介绍
qq_64188218的博客
06-29 309
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiroShiro的核心概念有三个:Subject,SecurityManager 和 Realms。1、Sub
shiro-springboot01.zip
12-05
Shiro整合Thymeleaf实现安全控制详解》 在现代Web开发中,安全控制是不可或缺的一环。Apache Shiro是一款强大的Java安全框架,而Spring Boot则是构建微服务的首选框架,Thymeleaf则是一种常用的服务器端模板引擎...
shiro-Demo01
12-26
在这个"shiro-Demo01"项目中,我们将会探讨如何在Web应用中集成Spring与Shiro来实现用户的身份验证和权限控制。 首先,我们需要了解Shiro的基本概念: 1. 认证:验证用户身份的过程,通常涉及到用户名和密码的校验...
shiro认证.pdf
08-13
package org.aptech.maomao.shiro_demo01; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org....
快速入门Shiro代码
06-01
在"Springboot_shiro01"这个项目中,我们可能看到以下关键部分: 1. **配置Shiro**:在Spring Boot应用中,Shiro的配置通常在`shiro.ini`文件或Java配置类中完成。这包括定义realm(认证和授权的源头),设置安全...
Shiro权限框架 01shiro框架入门)
m0_67094505的博客
08-24 455
Shiro是Apache的一个开源框架,是一个权限管理的框架,实现用户认证、用户授权。​ 权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。Spring中有Spring security(原名Acegi),是一个权限框架,它和Spring依赖过于紧密,没有Shiro使用简单。Shiro不依赖于Spring,Shiro不仅可以实现Web应用的权限管理,还可以实现c/s系统。
MySQL 相关知识笔记
weixin_68929783的博客
08-23 2663
以上是根据 B 站黑马课程学习后的 MySQL 笔记,为了日后复习和给别人参考而整理,希望对大家有所帮助。同时,在实际应用中,还需要根据具体情况合理使用索引、约束等功能,以提高数据库的性能和数据的完整性。
修复数据库中的 “Access Denied: SUPER Privilege Required” 错误
xiaochong0302的博客
08-26 708
当您使用数据库时,您可能会看到错误消息:“Access denied; you need (at least one of) the SUPER privilege(s) for this operation”。当您的数据库用户没有足够的权限来执行某些操作时,就会发生这种情况。
汉服文化平台网站
heye0910032的博客
08-26 824
本文主要探讨了使用Java语言开发汉服文化平台网站的全过程。系统采用B/S架构,严格遵循软件开发流程,从分析、设计到实现,确保了项目的系统性和科学性。系统主要面向管理员和用户两大类使用者,提供了包括首页、个人中心、汉服知识管理、服装展示管理、用户相册管理、论坛交流、系统管理、订单管理等功能。本系统的应用,旨在实现汉服文化信息管理的信息化,提高管理效率,方便用户访问和交流。通过本毕业设计,我深入学习并实践了Java语言和SSM框架在Web开发中的应用。
python12 中,No module named‘distutils‘错误
qq_43557600的博客
08-27 3941
python12 “ No module named'distutils' ”,​ 安装 pip install setuptools ,解决 ​
(1)Hilt的基本概念和使用
最新发布
challenge51all的专栏
08-27 725
Jetpack Hilt 是一个强大的依赖注入框架,它简化了 Android 应用中的依赖管理,提高了代码的可维护性和可测试性。通过使用注解和模块,开发人员可以轻松地管理应用中的依赖关系,并在不同的组件之间共享和注入依赖。在应用的 Application 类上使用这个注解,告诉 Hilt 这是一个使用 Hilt 进行依赖注入的应用。Jetpack Hilt 是一个用于 Android 的依赖注入框架,它建立在 Dagger 的基础上,旨在简化 Android 应用中的依赖注入过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值