Shiro手把手教你上手(通俗易懂版,看完即用)

最新推荐文章于 2023-06-01 18:13:51 发布
最新推荐文章于 2023-06-01 18:13:51 发布
阅读量336 收藏 2
点赞数
文章标签: shiro 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42437597/article/details/114043401
版权

Shiro(Springboot版)

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序

1.Shiro的三大核心API

1.1 Subject:用户主体,把操作交给SecurityManager
1.2 SecurityManager:安全管理器,与Realm相关联
1. 3 Realm:Shiro数据连接的桥梁,保证数据访问控制,用于身份验证与权限获取,这也是shiro的主要功能

2.添加依赖

 <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
  </dependency>

3.Controller

之前都是从前台获取username与password来进行数据库验证,然后判断是不是相同,但是现在是运用shiro验证

Subject subject=SecurityUtils.getSybject();
<!--定义一个令牌,可以理解为登录的凭证-->
<!--将获得的用户名和密码放进去-->
UsernamePasswordToken token=new UsernamePasswordToken(username,password);
<!--进行登录验证,需要进行异常处理-->
 try {
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
            return  "redirect:/mangae/login";
        }

4.自定义一个Realm

既然进行了登录,那么就到了realm登场了,shiro如何验证与授权接下来你就懂了
4.1.自己做一个realm,必须继承AuthorizingRealm类,继承后便可生成两个方法

public class Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        return null;
    }
}

生成的方法如上图可见
AuthenticationInfo 便是认证,也就是来判断用户登录是否成功
AuthorizationInfo 便是授权,是通过数据库来查看用户有的权限,并且存入,好在之后访问页面时候来判断是否有该权限
4.2 AuthenticationInfo 方法

@Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //这里便是我们从subject中运用.login传来的令牌,从中取出用户名
        UsernamePasswordToken userToken= (UsernamePasswordToken)authenticationToken;
        String username=userToken.getUsername();
        //这便是通过调用service中方法查出是这个username的对象
        Manager manger= manageService.findByUsername(username);
        //这里是shiro还带了盐的功能,进行加密
        Config config = configService.findByKey("salt");
        String salt = config.getValue();
        if (manger==null){
            return null;//抛出异常  UnknownAccountException
        }
        //这里便是进行验证的操作,在这里面会进行验证传来的密码与数据库获得的是否一致
        //第一个传的最好是对象,以便于验证时候使用,可以获取到
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                manger, //用户
                manger.getPassword(), //密码
                ByteSource.Util.bytes(salt), //盐
           ""
        );
        return authenticationInfo;
    }

4.3 AuthenticationInfo方法

  @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    //这里获得到的就是authenticationInfo中的第一个变量
        Manager manager=(Manager)principalCollection.getPrimaryPrincipal();
       //设置角色字符串及权限字符串 
       Set<String> roles = new HashSet<>(); 
       Set<String> perms = new HashSet<>(); 
       Set<Role> roleSet = admin.getRoles(); 
       roleSet.forEach(role -> { roles.add(role.getRole()); 
       role.getPermissions().forEach(permission -> perms.add(permission.getPerm())); });
       //设置角色字符串 
       info.setRoles(roles); 
       //设置权限字符串 
       info.setStringPermissions(perms);
        return info;
    }

通俗来说,这一步就是查出来你所拥有的角色以及你所拥有的权限,在之后的ShiroFilterFactoryBean中来判断你是否有访问某些路径的权限
4.4 贴上完整代码

public class Realm extends AuthorizingRealm {
    @Resource
    private ManageService manageService;
    @Resource
    private PermissionService permissionService;
    @Resource
    private ConfigService configService;
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        Manager manager=(Manager)principalCollection.getPrimaryPrincipal();
        //查询角色字符串集合
        Set<String> roles = new HashSet<>();
        //查询权限字符串集合
        Set<String> permissions = new HashSet<>();
		Set<Role> roleSet = admin.getRoles();
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        //从数据库读出  所拥有的权限  显示出来
       roleSet.forEach(role -> { roles.add(role.getRole()); 
       role.getPermissions().forEach(permission -> 
       perms.add(permission.getPerm())); });
        //将拥有的权限和角色存入
        info.setRoles(roles);
        info.setStringPermissions(permissions);
        return info;
    }
//认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken userToken= (UsernamePasswordToken)authenticationToken;
        String username=userToken.getUsername();
        System.out.println(username);
        Manager manger= manageService.findByUsername(username);
        Config config = configService.findByKey("salt");
        String salt = config.getValue();
        if (manger==null){
            return null;//抛出异常  UnknownAccountException
        }
        //验证
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                manger, //用户名
                manger.getPassword(), //密码
                ByteSource.Util.bytes(salt), //盐
           ""
        );
        return authenticationInfo;

    }
}

这一部分就可以理解为,查看出数据库该角色所拥有的权限,也就是知道了那些界面能够访问

5.Shiro的配置类

5.1 Realm

    @Bean
    public Realm realm(){
    	Realm realm = new Realm();
    	//最简单的情况就是明文直接匹配,然后就是加密匹配,这里的匹配工作则就是交给
    	//CredentialsMatcher来完成的
    	//使用加密匹配
        realm.setCredentialsMatcher(credentialsMatcher);
        return realm;
    }

@Bean注解重中之重,因为用的配置类
5.2 创建安全管理器DefaultWebSecurityManager

@Bean("securityManager")
    public SecurityManager defaultWebSecurityManager(@Qualifier("managerRealm") ManagerRealm managerRealm){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        securityManager.setRealm(managerRealm);
       /* List<Realm> realms=new ArrayList<>();
        realms.add(managerRealm);
       realms.add(userinfoRealm);
        securityManager.setRealms(realms);*/
        return securityManager;
    }

5.3 创建ShiroFilterFactoryBean

  @Bean("shiroFilter")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") SecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        //添加shiro的内置过滤器
        /*
            anon:无需认证就可以访问
            authc:必须认证才可以访问
            user:必须拥有  记住我功能才能用
            perms:拥有对某个资源的权限才能访问
            role:拥有某个角色权限才能访问
         */
        Map<String,String> filterMap=new LinkedHashMap<>();
      /*  filterMap.put("/manage/list","authc");*/
      //这个意思是要去访问manage下面的路径时候,如果没有登录不能访问
        filterMap.put("/manage/**","authc");
       //无权限时候访问到登录页面
        bean.setUnauthorizedUrl("/m/login");
        //登录路径
        bean.setLoginUrl("/m/login");
        bean.setFilterChainDefinitionMap(filterMap);
        return bean;
    }

5.5盐
说到了盐,是shiro的底层源码有的,可以帮助我们直接使用md5加密,注册时可以通过使用

SimpleHash simpleHash= new SimpleHash("md5","未加密的密码","盐",加密次数);

来进行给获得到的密码加密,这样加密的方法相同,或得到的密码值也相同

@Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(1);//加密的次数;
        return hashedCredentialsMatcher;
    }

5.4 贴上完整代码

@Configuration
public class ShiroConfig {
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") SecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        //添加shiro的内置过滤器
        /*
            anon:无需认证就可以访问
            authc:必须认证才可以访问
            user:必须拥有  记住我功能才能用
            perms:拥有对某个资源的权限才能访问
            role:拥有某个角色权限才能访问
         */
        Map<String,String> filterMap=new LinkedHashMap<>();
      //这个意思是没有登录的访问/manage/任意的,都不行
        filterMap.put("/manage/**","authc");
       //无权限时候访问 去登录页面也就是
        bean.setUnauthorizedUrl("/m/login");
        filterMap.put("/manage/**","pers[sajdla]");
        bean.setLoginUrl("/m/login");
        bean.setFilterChainDefinitionMap(filterMap);
        return bean;
    }
    @Bean("securityManager")
    public SecurityManager defaultWebSecurityManager(@Qualifier("managerRealm") ManagerRealm managerRealm){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        securityManager.setRealm(managerRealm);
       /* List<Realm> realms=new ArrayList<>();
        realms.add(managerRealm);
       realms.add(userinfoRealm);
        securityManager.setRealms(realms);*/
        return securityManager;
    }
    @Bean
    public ManagerRealm managerRealm(){
     	Realm realm = new Realm();
        realm.setCredentialsMatcher(credentialsMatcher);
        return realm;
    }
    /*@Bean
    public UserinfoRealm userinfoRealm(){
        return new UserinfoRealm();
    }*/
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");//散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(2);//加密的次数;
        return hashedCredentialsMatcher;
    }

    //启用 controller 的权限注解
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager manager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(manager); return advisor; }
        // 开启代理
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }
}
小刘积极努力
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通俗易懂Shiro程(含配套资料)
06-14
Apache Shiro 是目前使用率较高的一个 Java 安全框架。本视频基于 Shiro 的新本 1.3.2 录制。内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术...
Shiro程(一):入门概述与基本使用
最新发布
WwLK123的博客
07-11 3004
Shiro入门概述与基本使用
shiro如何使用详解
9527的博客
04-06 6327
一.Shiro能做什么。 Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单 (注意:记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可)二.Shiro使用步骤。1.先把账号密码传入Shiro里面的UsernamePasswor...
Shiro
小牧的博客
08-03 585
Shiro Apache旗下的一款安全权限框架 shiro可以完成:认证,加密,授权,会话管理,以及web集成, 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 Apache Shiro 特性 Apache Shiro是一个全面的、蕴含丰富功能的安全框架 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现`对用户访问系统的
Shiro使用
qq_43460315的博客
08-15 1785
关于shiro的使用方法
Shiro笔记(内容精简,看完即会)
07-02
适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,适用于做权限管理的后端人员和初学者使用,...
1.shiro视频程-最全,通俗易懂
07-06
掌握Java认证框架的使用,并且可以实现基于Maven工具整合SpringMVC + MyBatis + Shiro开发 适用人群 Java开发者,相关专业与技术爱好者 课程简介 Shiro是Apache推出的,并且是现在最流行的一套开发框架,利用Shiro...
shiro视频程-最全,通俗易懂
06-27
掌握Java认证框架的使用,并且可以实现基于Maven工具整合SpringMVC + MyBatis + Shiro开发 适用人群 Java开发者,相关专业与技术爱好者 课程简介 Shiro是Apache推出的,并且是现在最流行的一套开发框架,利用Shiro...
Apache shiro的简单介绍与使用程(与spring整合使用)
01-11
apache shiro框架简介  Apache Shiro是一个强大而灵活的... 以下是你可以用 Apache Shiro所做的事情:  Shiro的4大核心部分——身份验证,授权,会话管理和加密  Authentication:身份验证,简称“登录”。  A
ShiroDemo:一个简单的shiro demo用于快速上手shiro
02-23
ShiroDemo 一个简单的shiro demo用于快速上手shiro 为了最简明程没有使用数据库 测试用户: 管理员管理员 测试一下 登录接口localhost:8098 / api / user / login 可以使用Postman等工具测试
shiro框架的使用流程
weixin_47847063的博客
03-08 1078
如果登录成功,则输出"登录成功!否则根据不同的异常类型输出相应的错误消息。在这里,我们直接将用户名和密码固定为"admin"和"123456",实际应用中需要从数据库或其他数据源中获取。总的来说,Shiro框架的使用主要包括引入Shiro依赖、配置Shiro环境、编写Realm对象、实现认证和授权操作、通过SecurityManager对象进行访问控制,以及实现会话管理等步骤。总的来说,Shiro框架的认证流程主要包括提交认证请求、创建Token对象、执行认证操作、认证成功处理和认证失败处理等步骤。
快速入门Shiro
JunDong的博客
06-01 1479
讲解结合案例,Shiro入门,看这篇就够了。
shiro详细使用
limpiditysky的博客
08-31 630
shiro详细使用
shiro(一)
遥是此间桃花庵
11-29 161
文章目录1.shiro的简介:2.在应用程序角度来观察如何使用Shiro完成工作3.shiro架构Shiro入门案例 1.shiro的简介: shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于s...
手把手你如何玩转Shiro(项目实践落实)
Cs_hnu_scw的博客
12-06 2962
文章目录导入开发步骤简单的实际效果源码总结持续更新,欢迎关注 导入 shiro框架是一个权限管理开源框架,也是非常容易整合的。在之前的博文中,我对权限管理,shiro基本知识,spring整合shiro等相关处理都进行了非常详细的讲解。 入门:https://blog.csdn.net/Cs_hnu_scw/article/details/79012284 实践:https://blog.csdn...
手把手你玩转Shiro(2)
Cs_hnu_scw的博客
01-13 1872
如果没有看第一篇关于Shiro的,可以先看看这篇文章哦,因为是一个前导知识  Shiro前导知识 ,,对于深层次理解会有很好的效果呢!而且本篇也有利用到前面写的知识点哦。~ 一:Shiro的认识        Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 既然shiro将安
菜鸟手把手Shiroshiro认证流程
weixin_45906706的博客
11-20 127
一.使用的spring boot +mybatis-plus+shiro+maven来搭建项目框架 1 <!--shiro--> 2 <dependency> 3 <groupId>org.apache.shiro</groupId> 4 <artifact...
学习完shiro能快速上手spring security吗
06-01
学习Shiro可以让你更好地理解安全框架的设计思想和实现原理,从而可以更好地应对各种安全问题。同时,学习Shiro也能够让你掌握一些常见的安全功能和实现方式,比如身份认证、授权、加密、会话管理等。这些知识对于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值