【Security】Shiro基本使用

已于 2022-11-26 16:27:36 修改
阅读量200 收藏
点赞数
分类专栏: 插件使用 Java 文章标签: 安全 数据库 java
于 2022-11-26 16:25:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42267685/article/details/128053360
版权

1 shiro

  • Apache Shiro 是 Java 的一个安全(权限)框架。
  • Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。
  • Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。

功能

  • Authentication:身份认证/登录,验证用户是不是拥有相应的身份

  • Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限

  • Session Management:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境,也可以是Web 环境的

  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储

  • Web Support:Web 支持,可以非常容易的集成到Web 环境

  • Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率

  • Concurrency:Shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去

  • Testing:提供测试支持

  • “Run As”:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问

  • Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了

角色
核心三大对象:用户Subject, 管理用户SecurityManager, 连接数据Realms

  • Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
  • SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
  • Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。

2 快速了解

	Subject currentUser = SecurityUtils.getSubject();
	
	Session session = currentUser.getSession();
	session.setAttribute( "someKey", "aValue" );

	if ( !currentUser.isAuthenticated() ) {
	    //collect user principals and credentials in a gui specific manner
	    //such as username/password html form, X509 certificate, OpenID, etc.
	    //We'll use the username/password example here since it is the most common.
	    //(do you know what movie this is from? ;)
	    UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
	    //this is all you have to do to support 'remember me' (no config - built in!):
	    token.setRememberMe(true);
	    currentUser.login(token);
	}

	try {
	    currentUser.login( token );
	    //if no exception, that's it, we're done!
	} catch ( UnknownAccountException uae ) {
	    //username wasn't in the system, show them an error message?
	} catch ( IncorrectCredentialsException ice ) {
	    //password didn't match, try again?
	} catch ( LockedAccountException lae ) {
	    //account for that username is locked - can't login.  Show them a message?
	}
	    ... more types exceptions to check if you want ...
	} catch ( AuthenticationException ae ) {
	    //unexpected condition - error?
	}

	log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );

3 使用

简单的源码:https://gitee.com/lujiachen/web-security-manger.git

1 依赖引入

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring-boot-web-starter -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring-boot-web-starter</artifactId>
        <version>1.5.3</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
        <exclusions>
            <exclusion>
                <groupId>org.junit.vintage</groupId>
                <artifactId>junit-vintage-engine</artifactId>
            </exclusion>
        </exclusions>
    </dependency>

    <!--mysql-->
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>5.1.38</version>
    </dependency>
    <!--druid-->
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid</artifactId>
        <version>1.1.19</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/com.baomidou/mybatis-plus-boot-starter -->
    <dependency>
        <groupId>com.baomidou</groupId>
        <artifactId>mybatis-plus-boot-starter</artifactId>
        <version>3.5.2</version>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
    </dependency>
</dependencies>

2 配置

spring:
  thymeleaf:
    cache: false
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    username: root
    password: root
    url: jdbc:mysql://localhost:3306/shiroadmin?useUnicode=true&characterEncoding=utf-8
    driver-class-name: com.mysql.jdbc.Driver
mybatis-plus:
  configuration:
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

3 userRealm

import com.mysql.jdbc.log.Log;
import com.shiro.enity.User;
import com.shiro.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
@Slf4j
public class UserRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 进入被拦截的url,就会进这个info
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        // 授权应该从数据库查出权限字段
        // info.addStringPermission("user:add");
        // 从 new SimpleAuthenticationInfo(queryUser, queryUser.getPwd(), "");传递过来第一个参数user最为subject
        Subject subject = SecurityUtils.getSubject();
        User currentUser = (User) subject.getPrincipal();
        // 从数据库中获取验证权限
        String[] split = currentUser.getPerms().split(",");
        for (String s : split) {
            info.addStringPermission(s);
        }
        log.info("进入授权=》"+currentUser.getPerms());

        return info;

    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 模拟数据库中查出用户名、密码

        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        User currentUser = userService.queryUserByName((String)userToken.getUsername());
        // 验证用户名
        if (currentUser == null) {
            // 用户名不正确,就抛出UnknownAccountException
            return null;
        }
        log.info("password=>",currentUser.getPassword());
        // 密码验证,shiro完成,不需要用户判断.直接返回
        return new SimpleAuthenticationInfo(currentUser, currentUser.getPassword(), "");

    }
}

4 shiroConfig

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.mgt.WebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("webSecurityManager") WebSecurityManager manager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(manager);
        // 添加shiro的内置过滤器
        /*
            anon: 无需认证就可以登录
            authc:必须认证才能登录
            user: 必须拥有“记住我”这个功能
            perms:拥有对某个资源的权限才能访问
            role:拥有某个角色才能访问
         */
        LinkedHashMap<String, String> map = new LinkedHashMap<>();
        // 权限授权,访问url需要权限,支持通配符
        map.put("/level1/*", "perms[user:add]");
        map.put("/level2/*", "perms[all]");
        map.put("/level3/*", "authc");
        bean.setFilterChainDefinitionMap(map);
        // 设置未授权的请求
        bean.setUnauthorizedUrl("/noAuth");
        // 设置登录url映射
        bean.setLoginUrl("/toLogin");
        return  bean;
    }

    @Bean
    public DefaultWebSecurityManager webSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(userRealm);
        return manager;
    }
    @Bean
    public UserRealm userRealm(){
        return  new UserRealm();
    }
}
流苏-
关注
专栏目录
Java学习之Shiro基本使用笔记+Security的简单使用
qq_45031575的博客
08-06 535
Shiro基本使用笔记 学习链接 目录结构 划红线的是Shiro 需要用到的类 shiro的简易工作流程 user(用户) –> Token(UsernamePasswordToken,令牌,Shiro 用来封装用户登录信息,使用用户的登陆信息来创建令牌Token) –> SubjectShiro的一个抽象概念,包含了用户信息) –> SecurityManager(Shiro 的 核心部分,负责安全认证和授权) –> [{AuthenticationInfo}
SpringBootSecurityShiro
Dary_whut的博客
05-03 723
SpringSecurity环境搭建 1. 安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考
SpringBoot与Shiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro是一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring Boot与Shiro进行无缝整合,实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring Boot与Shiro整合实现用户认证; Spring Boot与Shiro整合实现用户授权; thymeleaf和shiro标签整合使用
极简shiro入门
czhAL的博客
12-07 459
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 849
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache ShiroJava 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
Springboot_Shiro
qq_42102911的博客
04-08 512
一、shiro简介 1. shiro是啥? Apache ShiroJava 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 深入学习: 官网:http://shiro.apache.org/ github:https://github.com/apache/shiro 2. Shiro 基本功能
Springboot使用shiro
qq_38345598的博客
01-28 3860
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存中“临时”生成Aop动态代理类,被称为运行时增强。 ...
Spring SecurityShiro的相同点与不同点整理
08-25
Spring Security和Apache Shiro都是Java领域中广泛使用安全框架,它们为应用程序提供了强大的身份验证、授权和会话管理功能。虽然两者在很多方面有相似之处,但也有各自的特点和适用场景。 **相同点:** 1. **...
开发知识点-JAVA-springboot+Spring Security/Shiro
aming小老弟
02-18 611
Spring 还提供了一个名为 Spring Security 的子项目,用于处理应用程序的安全需求。Spring Security 可以与 Shiro 集成,以提供更强大的安全功能。Shiro 提供了一套灵活的安全管理功能,可以处理用户身份验证、访问控制、会话管理等任务。因此,可以说 Shiro 是一个独立的安全框架,而 Spring 平台可以与 Shiro 一起使用来增强应用程序的安全性。Shiro 和 Spring 平台是两个不同的项目,它们可以在一起使用来提供安全认证和授权功能。
Java 安全框架-security+shiro-源码
11-16
Java安全框架Security(原名Spring Security)和Apache Shiro是两个广泛使用的权限管理和认证框架,它们为Java应用程序提供了强大的安全防护。这两个框架在现代企业级应用中扮演着至关重要的角色,确保用户数据的...
SpringBoot--Shiro
qq_43430343的博客
08-25 206
Shiro 什么是Shiro? Apache Shiro是一个Java安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成, 认证,授权,加密,会话管理,Web集成,缓存等。 1、pom.xml <dependencies> <dependency> <groupId>org.apache.shiro</groupId&gt
springboot--shiro
qy132的博客
07-05 132
1.引入shiro综合嫁包 <!-- shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.0</version>
Springboot中使用shiro
m0_59042299的博客
08-03 691
首先在Spring中使用shiro首先要导入shiro的依赖
Spring-Boot整合Shiro
jonssonyan
06-29 176
微信搜一搜:科技猫,获取第一时间更新 本文源码地址:https://github.com/jonssonyan/spring-demo/tree/master/springboot-shiro 在Spring Boot中集成Shiro进行用户的认证过程主要可以归纳为以下三点: 定义一个ShiroConfig,然后配置SecurityManager Bean,SecurityManager为Shiro安全管理器,管理着所有Subject; 在ShiroConfig中配置ShiroFilterFacto
SpringBoot 04 —— Shiro
zcy的博客
03-31 363
系列文章 SpringBoot 01 —— HelloSpringBoot、yaml配置、数据校验、多环境切换 SpringBoot 02 —— Web简单探究、员工管理系统 SpringBoot 03 —— Spring Security SpringBoot 04 —— Shiro 文章目录系列文章十二、Shiro12.1、介绍12.2、快速体验12.3、SpringBoot集成Shiro1、配置Shiro2、MyBatis3、前端 十二、Shiro 12.1、介绍 Apache Shiro 是一
springboot之shiro(入门)
Bernie_7的博客
07-26 165
使用shiro搭建一个简单的系统搭建一个简单的系统框架shiro环境搭建导包三个 Bean和一个自定义的Realm拦截,认证和授权拦截认证授权整合thyemleaf 搭建一个简单的系统框架 shiro环境搭建 导包 注意是整合soringboot的包 <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring --> <dependency> <groupId>org.apache.shir
【SpringBoot整合系列】SpringBoot整合Shiro——权限控制
最新发布
低调做人,低调编码,神码都是浮云
04-12 1739
SpringBoot整合Shiro权限控制
Springboot整合shiro
chao的博客
07-10 2434
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
Shiro】Springboot集成Shiro
专注于Java领域开发 关注我 带你玩转Java
06-22 2247
Springboot集成Shiro
springsecurityshiro选择
07-08
Spring Security 和 Apache Shiro 是两种常用的 Java 安全框架。 Spring Security 主要用于构建企业级的安全应用程序,具有丰富的特性和模块化的体系结构。它与 Spring Framework 集成良好,可以很容易地扩展和定制。 Apache Shiro 是一个简单而强大的安全框架,适用于各种不同类型的应用程序。它提供了基本安全功能,如身份验证、授权和会话管理。 在选择时,可以根据项目的需求和团队技能来确定使用哪种框架。如果项目需要一个全面的安全解决方案,建议使用 Spring Security,如果需要简单而快速的安全解决方案,可以考虑使用 Shiro
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值