浅析Shiro安全框架

最新推荐文章于 2022-11-01 23:29:22 发布
最新推荐文章于 2022-11-01 23:29:22 发布
阅读量332 收藏
点赞数
分类专栏: Java 文章标签: shiro java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42499816/article/details/103987762
版权

Shiro功能介绍

在这里插入图片描述

下面介绍一下各功能点的意思:

Authentication: 身份认证/登录,验证用户是不是拥有相应的身份;

Authorization: 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;就是说判断这个用户是否能做事情,例如:细粒度的验证某个用户对某个资源是否具有某个权限。

Session Management: 回话管理,即用户登录后就是一次会话,在没有退出之前,他的所有信息都在会话中;会话可以是javase环境,也可以是web环境。

Cryptography: 加密,保护数据的安全性;例如:密码加密存储到数据库,而不是明文存储。

Web Support: web支持,可以非常容易的集成到web环境。

Caching: 缓存,比如用户登录后,用户信息、拥有的角色\权限不必每次都去查,都可以在缓存取,提供效率。

Concurrency: shiro支持多线程的并发验证,即,如在一个线程中开启另一个线程,可以把权限自动传播过去。

Testing: 提供测试支持;

Run As: 允许一个用户假装为另一个用户(如果他们允许)进行访问。

Remember Me: 记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

Shiro架构

①Shiro是Java的一个安全框架

可以完成的功能:认证登录(Authentication)、授权(Authorization)、加密(cryptography)、会话管理(session management)、集成web(web support)、缓存(caching)、记住密码(remember me)。

②如何使用Shiro完成工作

在这里插入图片描述
subject shiro对外API核心就是Subject 。Subject代表当前用,这个登录对象不一定是人,可以是网络爬虫,机器人等。与Subject所有交互都会委托给SecurityManager,Subject是门面,SecurityManager才是真正的执行者。

SecurityManager 安全管理器:
所有与安全有关的操作都会放在SecurityManager中交互;
管理所有的Subject;
它是Shiro的核心,负责与shiro的其他组件进行交互,相当于SpringMVC中的DispatcherServlet。

Realm Shiro从Realm中获取安全数据(角色、用户、权限),它要验证用户身份,需要从Realm中获取相应的用户进行比较确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作,可以把Realm看成一个DataSource。
在Realm中,数据先从缓存中获取,如果在缓存中取不到再到数据库中获取,然后将数据放入缓存中。

一. Subject对象:

Subject subject = SecurityUtils.getSubject();
通过获取subjecet对象后,Subject可以做很多事:

  1. subject.getSession();获取session对象,在获取到session后,就可以往session中存放session值了。
  2. subject.isAuthenticated();判断当前对象是否被认证,即是否登录。
  3. subject.login(token);登陆操作
  4. subject.hasRole('role');对当前用户判断是否有一些角色信息.
  5. subject.isPermitted('user:delete:zhangsan') ; 判断当前主体是否有权限.判断用户是否有某种行为.当前代表user能够对zhangsan进行delete操作.
  6. subject.logout() ; 执行登出操作.

在subject调用login()方法的时候 , 会出现一些异常,这时候需要我们进行手动捕获这些异常,这些异常可能有 用户名不存在 UnknownAccountException 密码不正确IncorrectCredentialsException 账户被锁定LockedAccountException以及其他的认证异常(AuthenticationException).

二. token对象():

Shiro给我们提供了一个UsernamePasswordToken对象,其中封装了有username password rememberMe host 属性,其中我们可以对token对象进行继承并自定义,如添加是否是手机登录,添加email,别名等.subject判断当前登录主体是否被认证,如果发现没有登录,则需要将当前subject对象的信息放入到token中,subject对token进行登录验证.

Shiro认证

在这里插入图片描述

身份认证流程

  • 1、首先调用 Subject.login(token) 进行登录,其会自动委托给 SecurityManager

  • 2、SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;

  • 3、Authenticator 才是真正的身份验证者,Shiro API 中核心的身份 认证入口点,此处可以自定义插入自己的实现;

  • 4、Authenticator 可能会委托给相应的 AuthenticationStrategy 进 行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;

  • 5、Authenticator 会把相应的 token 传入 Realm,从 Realm 获取 身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处 可以配置多个Realm,将按照相应的顺序及策略进行访问。

Shiro权限注解

  • @RequiresAuthentication:表示当前Subject已经通过login 进行了身份验证;即 Subject. isAuthenticated() 返回 true • @RequiresUser:表示当前 Subject 已经身份验证或者通过记 住我登录的。
  • @RequiresGuest:表示当前Subject没有身份验证或通过记住 我登录过,即是游客身份。
  • @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND):表示当前 Subject 需要角色 admin 和user
  • @RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR):表示当前 Subject 需要权限 user:a 或 user:b。

Shiro拦截器规则

img

img

ShiroConfig

注:本文config类一定要交给spring容器管理

①ShiroFilterFactoryBean

  • Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制

  • 实例:

@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
    // Shiro的核心安全接口,这个属性是必须的(securityManager之前直接交给spring容器管理,所以直接从中获取)
    shiroFilterFactoryBean.setSecurityManager(securityManager);
    //身份认证失败,则跳转到登录页面的配置
    shiroFilterFactoryBean.setLoginUrl("/login");
    //登录成功默认跳转页面,不配置则跳转至"/"
    shiroFilterFactoryBean.setSuccessUrl("");
    //没有权限默认跳转的页面
    shiroFilterFactoryBean.setUnauthorizedUrl("/error/403");
    //自定义配置拦截器链,注意顺序(不同顺序有影响)--枚举名称字段请查看拦截规则
    //Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时)
    Map<String, String> map = new LinkedHashMap<>(16,1);
    map.put("/logout", "logout");
    map.put("/submit","anon");
    map.put("/login", "anon");
    map.put("/gifCode", "anon");
    map.put("/css/**", "anon");
    map.put("/fonts/**", "anon");
    map.put("/img/**", "anon");
    map.put("/js/**", "anon");
    map.put("/lib/**", "anon");
    //所有请求需要user认证
    map.put("/**", "user");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
    return shiroFilterFactoryBean;
}
②DefaultWebSecurityManager

  • DefaultWebSecurityManager类主要定义了设置subjectDao,获取会话模式,设置会话模式,设置会话管理器,是否是http会话模式等操作,它继承了DefaultSecurityManager类,实现了WebSecurityManager接口

  • 实例:

    @Bean
public DefaultWebSecurityManager getSecurityManager(){
    DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
    //setRealm(realm)->getUserRealm(HashedCredentialsMatcher matcher)方法详见下段代码
    securityManager.setRealm(getUserRealm(hashedCredentialsMatcher()));
    return securityManager;
}
③Realm(此处不详细介绍后面有关于Realm的详细介绍)

  • Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户 进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/ 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource

  • 实例:

    @Bean
//UserRealm是由自己定义继承的AuthorizingRealm(继承后重写的方法详见Realm详解)
public UserRealm getUserRealm(HashedCredentialsMatcher matcher){
    UserRealm userRealm=new UserRealm();
    userRealm.setCredentialsMatcher(matcher);
    return userRealm;
}
④HashedCredentialsMatcher

  • Shiro 提供了用于加密密码和验证密码服务的 CredentialsMatcher 接口,而 HashedCredentialsMatcher 正是 CredentialsMatcher 的一个实现类。写项目的话,总归会用到用户密码的非对称加密,目前主流的非对称加密方式是 MD5 ,以及在 MD5 上的加盐处理,而 HashedCredentialsMatcher 也允许我们指定自己的算法和盐

  • 实例:

    @Bean
public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
    //此处设置加密方式(SysConstant.ALGORITHNAME=MD5)
    credentialsMatcher.setHashAlgorithmName(SysConstant.ALGORITHNAME);
    //此处设置加密次数(SysConstant.HASHNUM=10)
    credentialsMatcher.setHashIterations(SysConstant.HASHNUM);
    return credentialsMatcher;
}
⑤AuthorizationAttributeSourceAdvisor

  • 开启Shiro的注解支持,比如:@RequireRoles @RequireUsers

  • 实例:

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
    return authorizationAttributeSourceAdvisor;
}

Realm详解

  • Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户 进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/ 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource

  • Realm继承关系

一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了 CachingRealm(带有缓存实现),重写里面doGetAuthenticationInfo 认证和doGetAuthorizationInfo授权方法。

  • doGetAuthorizationInfo授权方法

  • 授权过程:
    在这里插入图片描述

  • 实例:

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        /**
         * 1. 获取当前登录用户信息
         * 2. 获取当前用户关联的角色、权限等
         * 3. 将角色、权限封装到AuthorizationInfo对象中并返回
         */
        User user = (User) SecurityUtils.getSubject().getPrincipal();
        SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();
        //以下注释代码主要是角色:权限控制
        /**
         *    //获取用户角色权限
         *         /**
         *          for(PositionVO position : positions){
         *             //职位
         *             roleStrings.add(position.getName());
         *             for(PermissionVO permission : position.getPermissions()){
         *                 //职位对应的权限
         *                 permissionStrings.add(position.getName() + ":" +  		   permission.getName());
         *             }
         *         }
         * 			authorizationInfo.setRoles(roleStrings);
         * 			authorizationInfo.setStringPermissions(permissionStrings);
         */
        //这里是主要对角色进行控制
        List<Role> userRole = roleService.findUserRole(user.getId());
        simpleAuthorizationInfo.addStringPermission(userRole.get(0).getRoleName());
        return simpleAuthorizationInfo;
    }

  • doGetAuthenticationInfo认证方法(doGetAuthenticationInfo实现一些业务,例如判断用户是否锁定等等)

  • 认证过程:

  • 实例:

     @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
     //AuthenticationToken代表登录时使用的票据。在shiro中只有一种实现就UsernamePasswordToken
       if (!(authenticationToken instanceof UsernamePasswordToken)) {
            throw new UnknownAccountException();
        }
        /**
         * 1. 从token中获取输入的用户名
         * 2. 通过username查询数据库得到用户对象
         * 3. 调用Authenticator进行密码校验
         */
        //获取用户名
        String username= (String) authenticationToken.getPrincipal();
        User byNameUser = userService.findByName(username);
        // Session session = SecurityUtils.getSubject().getSession(); 
        //session.setAttribute(SESSION_LOGIN_CUSTOMER_ID, user.getId());
        //可以用session将用户信息存在shiro的session当中,方便获取(存储在服务端)。JWT用户信息存于		   token(客户端)
        if (byNameUser==null){
            throw new UnknownAccountException(String.valueOf(UavStatesEnums.ACCOUNT_UNKNOWN.getMessage()));
        }
        /**
         * 交给Shiro进行密码的解密校验
         * 调用SecurityUtils.getSubject().getPrincipal() 遇到类型转换问题,报错 String !=> User
         * 请参考这篇文章:{@link https://blog.csdn.net/qq_35981283/article/details/78634575}
         */
        return new SimpleAuthenticationInfo(byNameUser,byNameUser.getPassword(), ByteSource.Util.bytes(byNameUser.getSalt()),getName());
    }

    登陆Controller

    • 在登陆层可以做很多操作,这里只是实现了简单的登陆功能

    • 实例:

    public ResponseCode tologin(@RequestBody User user){
    try {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token=new 		 UsernamePasswordToken(user.getUsername(),user.getPassword());
        subject.logout();
        subject.login(token);
        return ResponseCode.success(super.getToken());
    } catch (UnknownAccountException e){
        return ResponseCode.accountunkonw();
    }catch (IncorrectCredentialsException e){
        return ResponseCode.usererror();
    }
}

    总结

    Shiro是一个功能很齐全的框架,使用起来也很容易,但是要想用好却有相当难度,希望如果用的不复杂就不要把Shiro代码结构写的太复杂,以上代码是Shiro简单实现登陆的整套代码,可以直接使用,本人才学疏浅,如有错误请指出。

总而言之:你不够优秀

Java-扫地僧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro安全框架最全面解析
S_mengyong的博客
06-28 1243
Shiro 一、权限框架介绍 1. 什么是权限管理 权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
shiro安全框架
Yellow_Star的博客
01-28 4113
shiro安全框架 简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 shiro整合springboot 例子 这篇文章主要实现以下这么个例子: index页面中有三个超链接,分别对应add、login、update页面,我们需要完成以下需求 进入add、update页面必须有用户登录,如果用户没有登录跳转到login页面 用户认证:登录
shiro框架的基本理解
热门推荐
明天
01-19 1万+
1.简介 shiro是一个安全框架,可以进行认证、授权、密码加密、会话管理 从外部来解析shiro框架: Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManage
Shiro安全框架使用
沉浸式Study
08-06 1225
Shiro执行流程 : spring配置文件==&amp;amp;amp;gt;Subject==&amp;amp;amp;gt;安全管理器SecurityManager==&amp;amp;amp;gt;Realm Shiro拦截方式 : 1.URL拦截(常用) 2.注解方式拦截(常用) 3.标签拦截 4.编码判断拦截 1.在maven中添加坐标 &amp;amp;amp;lt
Shiro安全框架简单介绍
weixin_43924933的博客
08-17 155
Shiro安全框架的简单概括 简介 1.Apache的强大灵活的开源安全框架; 2.Shiro可以完成认证、授权、企业会话管理、缓存管理、安全加密、web集成等功能; ShiroSpring Security比较 Apache Shiro Spring Secuti 简单、灵活、可脱离Spirng、粒度较粗 复杂、笨重、不可脱离Spring、粒度较细 Shiro的整体架构 ...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
基于Java的Apache Shiro安全框架设计源码
最新发布
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
安全框架-Shiro
有梦才叫青春
05-29 1657
什么是Shiro        Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Shiro能做什么         认证:验证用户来核实他们的身份         授权:对用户执行访问控制,如: 判断用户是否被分配了一个确定的安全角色;判断用户是否被允许做某事;         会话管理:在任何环境下使用Session API,即使没有
Shiro框架总结
cxmengxin的博客
07-08 1081
Shiro框架总结 一、Shrio框架 1、Shiro介绍 (1)RBAC Shiro是一款基于资源的访问控制框架即RBAC(Resource-Based Access Control),其将安全认证等相关功能全部提取出来抽象成了一个框架使用Shiro能够轻松方便的完成认证、授权、加密等功能的开发。 (2)角色(roles)与权限(Permission) 角色与权限是Shiro认证授权的核心概念。在用户登录时,Shiro对用户进行认证,并授予其相应的角色,而角色也有其对应的权限,根据角色所具有的权限从而可
apache shiro框架
魔法革1996
07-12 519
官网:shiro.apache.org下载文件:    (1)shiro框架的核心功能:    认证        授权            会话管理                加密(2)shiro框架的认证流程        Application Code:应用程序代码,由开发人员负责开发的    Subject:框架提供的接口,代表当前用户对象    SecurityManager:框...
Shiro框架漏洞
per_se_veran_ce的博客
12-25 823
漏洞简述 Shiro默认使用了CookieRememberMeManager, 其处理cookie的流程是: 得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化.然而AES的密钥是硬编码的, 密钥泄漏的根本原因是开发人员在开发过程中部分代码直接使用了网上的一些开源的项目代码,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 影响版本Apache Shiro <= 1.2.4 Docker容器 环境搭建 docker pull med
Shiro框架基本知识及应用
m0_67393039的博客
03-28 1767
1. Shiro 基本知识 1. 目前市面主流的安全框架shiro:轻量级的,使用很方便,灵活,是apache提供的,在任何框架SpringSecurity:是Spring家族的一部分,很多项目中会使用spring全家桶,相对与shiro来说,springSecurity更重量级,必须要求spring环境;相对shiro而言,功能更强大 2. 什么是Shiro Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能
一篇文章让你读懂什么是shiro框架
yuemmm的博客
03-02 1239
文章目录一篇文章让你读懂什么是shiro框架1、什么是权限管理2、什么是身份认证3、用户名和密码身份认证的流程4、关键对象5、授权流程是什么6、基本的权限模型7、通用的权限模型7.1、表里面到底都有哪些字段8、目前市场上通用的权限管理框架9、shiro是什么10、shiro能干什么11、shiro的整体架构是什么11.1、shiro中常见的名词解释12、shiro的第一个helloworld程序1...
Shiro(一):十分钟带你了解Shiro框架
她长眠于月色
04-27 739
Shiro 简介 Shiro 是一个强大并且简单易用的 Java 安全框架,主要用来便捷地认证,授权,加密,会话管理。 Shiro 是一个有许多特性的全面的安全框架,下面这幅图可以了解Shiro的特性: 可以看出shiro除了基本的认证,授权,会话管理,加密之外,还有许多额外的特性。 Shiro 架构 从大的角度来看,Shiro有三个主要的概念:Subject,SecurityManag...
【渗透测试】Apache Shiro系列漏洞
weixin_53972936的博客
11-01 3548
Apache Shiro框架是一个功能强大且易于使用Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
shiro安全框架怎么实现的
05-23
Shiro 是一个强大的 Java 安全框架,提供了身份认证、授权、加密、会话管理等多种安全功能。Shiro 的实现可以分为三个核心组件:Subject、SecurityManager 和 Realm。其中,Subject 是指当前操作的用户,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值