shiro框架总结(一)

最新推荐文章于 2022-12-01 16:50:45 发布
最新推荐文章于 2022-12-01 16:50:45 发布
阅读量188 收藏
点赞数
分类专栏: java框架学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42756994/article/details/104967339
版权

权限概述

认证:系统提供的用于识别用户身份的功能,通常登录功能就是认证功能-----让系统知道你是谁??

授权:系统授予用户可以访问哪些功能的许可(证书)----让系统知道你能做什么??

常见的权限控制方式

  1. URL拦截权限控制

底层基于拦截器或者过滤器实现

 

   2.方法注解权限控制

底层基于代理技术实现,为Action创建代理对象,由代理对象进行权限校验

 

   3.创建权限数据模型

  1. 权限表  : 其实就是各种功能模块
  2. 角色表
  3. 用户表
  4. 角色权限关系表
  5. 用户角色关系表

 

角色就是权限的集合,引入角色表,是为了方便授权

 

apache shiro框架简介

其实写好的一些过滤器拦截器

官网:shiro.apache.org

 

  1. 下载文件:

 

  1. shiro框架的核心功能:

认证

授权

会话管理

加密

 

这个很重要   这就是shiro的核心 (认证授权之后再进行权限控制)

流程:应用程序调用获得当前登录用户(这里还没有人认证)

      然后当前用户调用安全管理器

      安全管理器调用Realm  

Realm 写具体的认证和授权

认证:检查用户 在检查密码

授权:是先从数据库中获得用户的权限在加上去

 

 

shiro其实就是改变了登录的代码 再登录到时候进行认证和授权

  1. shiro框架认证流程

 

Application Code:应用程序代码,由开发人员负责开发的

Subject:框架提供的接口,代表当前用户对象

SecurityManager:框架提供的接口,代表安全管理器对象

Realm:可以开发人员编写,框架也提供一些,类似于DAO,用于访问权限数据

 

 

在BOS项目中应用shiro框架进行认证 

第一步:引入shiro框架相关的jar

 

第二步:在web.xml中配置spring框架提供的用于整合shiro框架的过滤器(这是个固定的一定要配置)

 

启动tomcat服务器,抛出异常:spring工厂中不存在一个名称为“shiroFilter”的bean对象

 

第三步:在spring配置文件中配置bean,id为shiroFilter

     配置过滤器工厂

      元素有:安全管理器

              登录成功之后跳转的页面

              没有登录跳到的登录页面

              没有权限的时候跳到的页面

              权限控制:根据不同的访问目录设置权限

      

 

框架提供的过滤器:

 

第四步:配置安全管理器

 

第五步:修改UserAction中的login方法,使用shiro提供的方式进行认证操作

public String login(){

//从Session中获取生成的验证码

String validatecode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");

//校验验证码是否输入正确

if(StringUtils.isNotBlank(checkcode) && checkcode.equals(validatecode)){

//使用shiro框架提供的方式进行认证操作

Subject subject = SecurityUtils.getSubject();//获得当前用户对象,状态为“未认证”

              //用户密码令牌

AuthenticationToken token = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));//创建用户名密码令牌对象

try{

subject.login(token);//进行认证

}catch(Exception e){

e.printStackTrace();

return LOGIN;

}

User user = (User) subject.getPrincipal();//进行授权  得到具有经过认证授权的用户

ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);//把用户放入session中

return HOME;

}else{

//输入的验证码错误,设置提示信息,跳转到登录页面

this.addActionError("输入的验证码错误!");

return LOGIN;

}

}

第六步:自定义realm,并注入给安全管理器

public class BOSRealm extends AuthorizingRealm{

@Autowired

private IUserDao userDao;

//认证方法

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

System.out.println("realm中的认证方法执行了。。。。");

UsernamePasswordToken mytoken = (UsernamePasswordToken)token;

String username = mytoken.getUsername();

//1.根据用户名查询数据库中的密码

User user = userDao.findUserByUserName(username);

if(user == null){

//用户名不存在

return null;

}

//2.如果能查询到,再由框架比对数据库中查询到的密码和页面提交的密码是否一致

AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());

return info;

}



//授权方法

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

   SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

//为用户授权

info.addStringPermission("staff-list");



//TODO 后期需要修改为根据当前登录用户查询数据库,获取实际对应的权限???

User user1 = (User) SecurityUtils.getSubject().getPrincipal();

User user2 = (User) principals.getPrimaryPrincipal();

System.out.println(user1 == user2);

return info;

}
  1. 修改Realm中授权方法(查询数据库)
//授权方法

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

//获取当前登录用户对象

User user = (User) SecurityUtils.getSubject().getPrincipal();//获得当前用户

//User user2 = (User) principals.getPrimaryPrincipal();

// 根据当前登录用户查询数据库,获取实际对应的权限

List<Function> list = null;

if(user.getUsername().equals("admin")){

DetachedCriteria detachedCriteria = DetachedCriteria.forClass(Function.class);

//超级管理员内置用户,查询所有权限数据

list = functionDao.findByCriteria(detachedCriteria);

}else{

list = functionDao.findFunctionListByUserId(user.getId());

}



for (Function function : list) {

info.addStringPermission(function.getCode());//把用户的权限查询出来之后放进来可以了

}

return info;

}

总结shiro框架提供的权限控制方式

  1. 使用shiro的方法注解方式权限控制

第一步:在spring配置文件中开启shiro注解支持

<!-- 开启shiro框架注解支持 -->

<bean id="defaultAdvisorAutoProxyCreator" 

class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">

<!-- 必须使用cglib方式为Action对象创建代理对象??? 代理对象的作用和应用??? -->

<property name="proxyTargetClass" value="true"/>

</bean>



<!-- 配置shiro框架提供的切面类,用于创建代理对象 -->

<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

 

第二步:在Action的方法上使用shiro注解

 

 

第三步:在struts.xml中配置全局异常捕获,当shiro框架抛出权限不足异常时,跳转到权限不足提示页面

​​​​​​

  1. 使用shiro提供的页面标签方式权限控制

第一步:在jsp页面中引入shiro的标签库

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

第二步:使用shiro的标签控制页面元素展示

  1. URL拦截权限控制(基于过滤器实现) 访问路径

 

总结:

  1. 先认证授权在进行权限管理  ,认证授权的流程如上所示,简单理解如下图:

 

  1. 有三种常用的授权方式,可以一起使用

方法注解权限控制(基于代理技术实现)  后台action

页面标签权限控制(标签技术实现)  前台

URL拦截权限控制(基于过滤器实现) 访问路径

  1. shiro其实就是改变了登录的代码 在登录到时候进行认证和授权,做了一些权限案例 (加了一些配置(application中,web.xml) 一些注解  一些标签 )

具体看文档

南昌瓦罐汤
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 个人总结
02-25
个人shiro总结,主要参考来源来自张开涛的博客,加入一些自己的理解很整理,整合成这个文档
shiro框架总结1
08-08
Apache Shiro 是一个Java安全框架,它提供了身份验证、授权、加密和会话管理功能,适用于各种规模的应用程序,从简单的移动应用到大型的企业级系统。Shiro 的设计目标是易于理解和使用,使得应用程序安全不再是一项...
Shiro框架总结
cxmengxin的博客
07-08 1094
Shiro框架总结 一、Shrio框架 1、Shiro介绍 (1)RBAC Shiro是一款基于资源的访问控制框架即RBAC(Resource-Based Access Control),其将安全认证等相关功能全部提取出来抽象成了一个框架,使用Shiro能够轻松方便的完成认证、授权、加密等功能的开发。 (2)角色(roles)与权限(Permission) 角色与权限是Shiro认证授权的核心概念。在用户登录时,Shiro对用户进行认证,并授予其相应的角色,而角色也有其对应的权限,根据角色所具有的权限从而可
Shiro初识(自用)
dengpaoS的博客
02-15 160
添加链接描述 Shiro可以做什么 验证用户身份 用户访问控制,比如用户是否被赋予了某个角色,是否允许访问某些资源 在任何环境都可以使用Session API,即使不是web项目或没有EJB容器 事件响应(身份验证、访问控制期间,或者是session生命周期中) 集成多找用户信息数据源 SSO单点登录 Remember Me,记住我 Shiro尝试在任何应用环境下实现这些功能,而不依赖其他框架、容器或应用服务器 Shiro特色 四大基石----身份验证、授权、会话管理、加密 Authenticati
shiro 框架的学习总结
mb18638389515的博客
10-01 428
shiro 框架的核心功能:认证,授权,加密,回话管理; 框架调用流程:ApplicatonCode(程序代码)->Subject(接口)->SecurityManager(安全管理器)->realm(用于操作数据类似于DAO); 使用shiro框架首先应用第三发放jar包,如果是使用maven引入坐标即可; 1.首先在web-info中配置shiro的过滤器(注意要配置在s
Shiro框架项目总结
a3060858469的博客
06-24 296
&lt;bean id="myShiroRealm" class="com.shiro.test.mvc.filter.MyShiroRealm"/&gt; &lt;bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"/&gt; &lt;bean id=&qu
Apache Shiro 框架简介
09-15
以下是对Shiro框架更详细的解析: 一、Shiro的主要功能 1. 认证(Authentication):Shiro提供了验证用户身份的能力,即确认用户是谁。这通常涉及到用户提交凭证,如用户名和密码,然后Shiro与存储的凭证进行比较,...
shiro框架的一些总结.XMind
最新发布
07-30
shiro框架的一些总结.XMind
什么是Shiro权限框架
qq_55298336的博客
04-12 220
Shiro 权限框架 先来了解下什么是Shiro 能干嘛?: Shiro可以完成:认证、加密、授权、会话管理、与Web集成、缓存等 1,Authentication 身份认证/登录,验证用户是不是拥有相应的身份; 2, Authorization 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用 户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用 户对某个资源是否具有某个权限; 3, Session Manager 会话管理,即用户登录后就是一次会话,在没有退
shiro框架的学习总结
青树寒鸦的博客
04-16 243
shiro的使用,配置和理解
shiro框架小结
小李的专栏
12-09 163
shiro是权限管理框架。权限管理是对用户的身份认证和访问权限验证。 shiro涉及的三个对象: Subject:主体 访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体; Principal:身份信息 是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。 cre...
shiro知识点整理
互联网叫兽
08-16 587
一、 什么是shiro shiro是一个强大易用的安全框架,提供了认证、授权、加密、会话管理、与web集成、缓存等功能,对于任何一个应用程序,都可以提供全面的安全服务,相比其他安全框架shiro要简单的多。 三个核心组件:Subject, SecurityManager 和 Realms 1、subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在s
shiro 安全框架梳理总结
qq_28403781的博客
03-17 198
shiro 介绍 Apache Shiro 是一个强大且易用的java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro 的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject、SecurityManger 和 Realms Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。...
Shiro相关知识点总结
qq_41943011的博客
05-09 385
Shiro 一、基本功能 **Authentication:**身份认证/登录,用于验证用户是不是拥有相应的身份。 **Authorization:**授权,验证某个已认证的用户是否拥有某个权限。 **Session Manager:**会话管理,既用户登录后就是一次会话,没有退出之前,所有的信息都在会话中。会话管理所包含的功能有: Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储。 Web Support:Web支持,可以非常容易的集成到Web环境。 Cachi
Shiro-全面详解(学习总结---从入门到深化)
12-01 2140
身份认证/登录。权限验证,即判断用户是否能在系统中做某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。提供测试支持。
使用shiro框架的问题
ruanwenjun_csdn的博客
04-01 568
Shiro框架是一款用于控制权限的框架 ,使用shiro框架之后当退出登的时候会自动清除存在session中的用户,所以无须在logout方法中手动清除,当手动清除的时候会报错说session已经清空了...
SecurityUtils.getSubject()是怎么获取到当前用户信息的?
热门推荐
narutots的博客
08-15 6万+
项目中我们习惯直接使用SecurityUtils.getSubject() 获取当前登录用户的信息 /** * 获取当前登录者对象 */ public static Principal getPrincipal(){ try{ Subject subject = SecurityUtils.getSubject(); Principal principal = (P...
Shiro框架入门:SpringMVC权限管理详解
总结来说,Shiro是一个非常适合快速搭建并管理权限系统的框架,尤其适用于中小型项目或希望减少复杂性的开发者。通过学习和掌握Shiro,开发人员能够高效地实现应用程序的安全性,提升用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值