Day373&374.shiro架构&认证 -Shiro

最新推荐文章于 2024-05-13 10:02:43 发布
最新推荐文章于 2024-05-13 10:02:43 发布
阅读量791 收藏 3
点赞数 2
分类专栏: Shiro 文章标签: java shiro auth 认证授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43284469/article/details/119974357
版权

一、权限的管理

1.1 什么是权限管理

基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。

2、什么是身份认证

身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。

2、什么是授权

授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的

二、什么是shiro

Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.

Shiro 是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序—从最小的移动应用程序到最大的web和企业应用程序。

Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

三、shiro的核心架构

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eYajNaAR-1630160887047)(C:/Users/PePe/AppData/Roaming/Typora/typora-user-images/image-20210828212827099.png)]

1、Subject

Subject即主体,外部应用与subject进行交互,subject记录了 当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权

2、SecurityManager

SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的 *核心 *,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。

SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。

3、 Authenticator

Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。

4 、Authorizer

Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

5、 Realm

Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

  • 注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。

6、 SessionManager

sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。

7、 SessionDAO

SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。

8、 CacheManager

CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。

9、 Cryptography

Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

四、 shiro中的认证

1、认证

身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确

2、shiro中认证的关键对象

  • Subject:主体

访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;

  • Principal:身份信息----用户名

是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。

  • credential:凭证信息-----密码

是只有主体自己知道的安全信息,如密码、证书等。

3、认证流程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qMuIswLq-1630160887049)(C:/Users/PePe/AppData/Roaming/Typora/typora-user-images/image-20210828215533123.png)]

4、 认证的开发

①并引入依赖
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.5.3</version>
</dependency>
②引入shiro配置文件并加入如下配置
[users]
achang=123456
zyc=67890
sanyue=654321
#对应KV;K是账号,V是密码
#这里的账号密码测试shiro的demo中使用

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lBUcFumw-1630160887050)(C:/Users/PePe/AppData/Roaming/Typora/typora-user-images/image-20210828221047795.png)]

③开发认证代码
/******
 @author 阿昌
 @create 2021-08-28 22:11
 *******
 */
public class TestAuthenticator {
    public static void main(String[] args) {
        //1、创建安全管理器
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //2、给安全管理器设置realm
        securityManager.setRealm(new IniRealm("classpath:shiro.ini"));
        //3、SecurityUtils 给全局安全工具类,设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);
        //4、 关键对象 subject 主体
        Subject subject = SecurityUtils.getSubject();
        //5、创建令牌
        //传入主体信息,去与ini中的文件做匹配认证
        UsernamePasswordToken token = new UsernamePasswordToken("achang","321");
        try{
            subject.login(token);//用户认证
            System.out.println("登录成功~~");
        }catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!!!");
        }
    }
}

  • DisabledAccountException(帐号被禁用)

  • LockedAccountException(帐号被锁定)

  • ExcessiveAttemptsException(登录失败次数过多)

  • ExpiredCredentialsException(凭证过期)等

5、自定义Realm

上边的程序使用的是Shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。

①shiro提供的Realm

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-N6vHLcGj-1630224510185)(C:/Users/PePe/AppData/Roaming/Typora/typora-user-images/image-20210829140943213.png)]

②根据认证源码认证使用的是SimpleAccountRealm

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jJ4GsY2q-1630224510187)(C:/Users/PePe/AppData/Roaming/Typora/typora-user-images/image-20210829141019779.png)]

SimpleAccountRealm的部分源码中有两个方法一个是 认证 一个是 授权,

public class SimpleAccountRealm extends AuthorizingRealm {
	//.......省略
    
    //获取到我们这个demo中【.ini】文件中的user信息
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        SimpleAccount account = getUser(upToken.getUsername());
        if (account != null) {
            if (account.isLocked()) {
                throw new LockedAccountException("Account [" + account + "] is locked.");
            }
            if (account.isCredentialsExpired()) {
                String msg = "The credentials for account [" + account + "] are expired";
                throw new ExpiredCredentialsException(msg);
            }
        }
        return account;
    }

    //获取用户名
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = getUsername(principals);
        USERS_LOCK.readLock().lock();
        try {
            return this.users.get(username);
        } finally {
            USERS_LOCK.readLock().unlock();
        }
    }
}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B6ATZjnt-1630224510190)(C:/Users/PePe/AppData/Roaming/Typora/typora-user-images/image-20210829141516430.png)]

==所以,如果我需要自定义实现从数据源认证授权,只需要去继承重写AuthorizingRealm中的doGetAuthorizationInfo()授权==和AuthenticatingRealm中的doGetAuthenticationInfo()认证

因为AuthorizingRealm继承了AuthenticatingRealm,所以那么继承doGetAuthorizationInfo就可以同时重写doGetAuthorizationInfo和doGetAuthenticationInfo;所以我们只需要继承AuthorizingRealm,然后重写就可以了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g1nmEjaW-1630224510193)(C:/Users/PePe/AppData/Roaming/Typora/typora-user-images/image-20210829142431443.png)]

③自定义realm

所以如下,我们自定义了realm就继承了AuthorizingRealm,重写doGetAuthorizationInfo(授权)、doGetAuthenticationInfo(认证)

/**
 * 自定义realm
 */
public class CustomerRealm extends AuthorizingRealm {
    
    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        System.out.println(username);
        //根据jdbc/mybatis,查询数据库校验用户名
        if("achang".equals(username)){
            //参数1:数据库中返回正确的用户名
            //参数2:数据库中返回正确的密码
            //参数3:Realm的名字,由系统自动生成,this.getName()
            return new SimpleAuthenticationInfo(username,"123456",this.getName());
        }
        return null;
    }
}
④使用自定义Realm认证
public class TestAuthenticatorCusttomerRealm {
    public static void main(String[] args) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //IniRealm realm = new IniRealm("classpath:shiro.ini");

        //设置为【自定义realm】获取认证数据
        securityManager.setRealm(new CustomRealm());
        //将安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(securityManager);
        //获取主体对象
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("achang", "123456");
        try {
            subject.login(token);//用户登录
            System.out.println("登录成功~~");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!!!");
        }
    }
}

6、使用MD5和Salt

在这里插入图片描述

发现上面的模拟出数据库查询的密码是明文存储的;

实际应用是将盐和散列后的值存在数据库中,自动realm从数据库取出盐和加密后的值由shiro完成密码校验。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vhXonvKC-1630224510195)(C:/Users/PePe/AppData/Roaming/Typora/typora-user-images/image-20210829151036297.png)]

①自定义md5+salt的realm
/******
 * 使用自定义Realm 加入MD5 + 盐 + hash散列
 @author 阿昌
 @create 2021-08-29 15:30
 *******
 */
public class CustomMD5Realm extends AuthorizingRealm {

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();//用户名
        if ("achang".equals(username)) {
            //数据库中存的密码
            String password = "a5adc0fc389b3236f04d1bf32e127440";//密码,123456的MD5加密
            String salt = "k2*dw";//盐
            //参数1:数据库用户名
            //参数2:数据库密码,md5+salt的密码
            //参数3:注册时的盐
            //参数4:realm名
            return new SimpleAuthenticationInfo(username,
                    password,
                    ByteSource.Util.bytes(salt),
                    this.getName());
        }
        return null;
    }
}
②使用md5 + salt 认证
public class TestAuthenticatorCustomMD5Realm {
    public static void main(String[] args) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();

        //设置自定义的MD5+盐+hash散列的Realm
        CustomMD5Realm md5Realm = new CustomMD5Realm();

        //设置自定义的realm使用hash凭证匹配器,来改变密码校验方式
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");//设置hash匹配器算法
        hashedCredentialsMatcher.setHashIterations(1024);//设置散列次数
        md5Realm.setCredentialsMatcher(hashedCredentialsMatcher);

        securityManager.setRealm(md5Realm);
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌
        //用户登录使用明文密码访问
        UsernamePasswordToken token = new UsernamePasswordToken("achang", "123456");
        try {
            subject.login(token);//用户登录
            System.out.println("登录成功~~");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!!!");
        }
    }
}
阿昌喜欢吃黄桃
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
Shiro配置及使用
qq_45733154的博客
10-21 2818
Shiro,Springboot整合Shiro,Shiro实现登录拦截,Shiro实现用户认证,用户授权Shiro整合Thymeleaf
shiro配置详解
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
08-24 2743
*Shiro 从 ****Realm 获取安全数据(如用户、角色、权限),****就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作.5.添加shiro与spring集成的配置文件application-shiro.xml。4.首先在web.xml中加入shiro过滤器。2.shiro架构的核心内容介绍。且其管理着所有Subject。7.自定义realm。
Shiro安全框架】核心概念、基本配置、整合Web项目_shiropeizhi
最新发布
2401_84970121的博客
05-13 509
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。[外链图片转存中…(img-h8bgizuZ-1715565752420)]
SpringBoot 整合 Shiro 常见配置
qq_29799655的博客
04-27 1887
Shiro Shiro 是 apache 下的权限安全框架,通过该框架可以完成安全认证,例如登入,权限认证等,并且增加了加密认证,并发执行,缓存设计等 过滤器+AOP实现安全认证权限管理逻辑 提供用户表,存储代表当前用户的数据例如用户名,密码等 提供权限表,存储权限码 提供角色表,一个角色可以持有一个或多个不同权限 用户表添加角色字段,存储当前用户的角色 安全认证: 用户登录时将用户信息存储到S...
6.Spring Boot中使用Shiro
相互学习 共同进步
06-29 570
使用注解配置Shiro 1.导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupI
Shiro环境配置
酷小亚
05-04 417
Shiro 简介: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Shiro 主要功能: 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他
shiro-jar-1.7.0.zip相关资源包
12-24
解决:升級1.7后附件...shiro-cas-1.7.0.jar shiro-core-1.7.0.jar shiro-ehcache-1.7.0.jar shiro-spring-1.7.0.jar shiro-web-1.7.0.jar CustomShiroFilterFactoryBean.java spring-context-shiro.xml 修改说明.txt
shiroshiro-all-1.8.0.jar)
03-21
shiroshiro-all-1.8.0.jar)
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
shiro-jar.zip
12-12
shiro-all-1.7.1.jar,shiro-aspectj-1.7.1.jar,shiro-cache-1.7.1.jar,shiro-config-core-1.7.1.jar,shiro-config-ogdl-1.7.1.jar,shiro-core-1.7.1.jar,shiro-crypto-cipher-1.7.1.jar,shiro-crypto-core-1.7.1.jar...
解锁Apache Shiro:新手友好的安全框架指南(一)——整体架构与身份认证_apache shiro配置包括安全管理器
2301_81327376的博客
04-14 774
在【Shiro 身份认证流程】小节中,我介绍了当用户提交 Token 后,Shiro 框架的整体认证流程,其中提到当 SecurityManager 配置了多个 Realm 实例时,认证器。INI 易于阅读,易于配置,易于设置,非常适合大多数应用程序。最常用的认证方式是系统核对用户输入的用户名和密码,查看是否与系统存储的用户名和密码匹配,来判断用户身份的正确性。在 Shiro 中,在使用 Realm 实例尝试身份认证前,它的 supports 方法会被调用,只有当 supports 返回true时,
web工程使用spring mvc+shiro进行权限控制
aams46841的博客
09-16 171
第1步:引入shiro相关jar包 ehcache-core-2.5.0.jar shiro-ehcache-1.2.3.jar shiro-core-1.2.3.jar shiro-web-1.2.3.jar shiro-spring-1.2.3.jar 第二步:web.xml配置 <!-- shiro的filter --> <!-- shir...
shiro 配置总结
10-30 197
1.web.xml中配置xml文件的路径和过滤器         此参数用于后面的Spring Context Loader -->             contextConfigLocation                     classpath*:/applicationContext.xml             classpath*:/applicat
Shiro配置详细
shishize55的博客
11-01 359
1、Module的CRUD 2、shiro介绍 2.1、什么是Shiro 它是一个安全框架,用于解决系统的认证授权问题,同时提供了会话管理,数据加密机制。 3、Shiro使用步骤 3.1、导入jai包 Maven工程 &amp;lt;dependency&amp;gt; &amp;lt;groupId&amp;gt;org.apache.shiro&amp;lt;/groupId&amp;gt; &amp;lt;artif
SpringBoot整合Shiro框架实现加密、登录、授权
pan_junbiao的博客
05-30 7573
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 下面将使用SpringBoot整合Shiro框架实现加密、登录、授权。 1、创建数据表 使用MySQL数据库,创建实例所需的数据表,用户信息表、角色信息表、权限信息表等。 1.1 数据表结构 1.2 数据表脚本 (1)创建数据表脚本。 -- 创建数据表:us.
Shiro权限控制+整合shiro
热门推荐
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Shiro【核心功能、核心组件、项目搭建 、配置文件认证、数据库认证 】(一)-全面详解(学习总结---从入门到深化)
07-12 708
Shiro【核心功能、核心组件、项目搭建 、配置文件认证、数据库认证 】(一)-全面详解(学习总结---从入门到深化)
shiro配置和使用
xingkong_hdc的博客
12-20 861
shiro配置和使用 1.shiro整合spring的配置 &amp;lt;!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 --&amp;gt; &amp;lt;!-- Web应用中,Shiro可控制的Web请求必须经过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持 --&amp;gt; &amp;lt;bean id=&quot;shi...
Dependency 'org.apache.shiro:shiro-spring:' not found
06-09
这个错误提示说明在你的项目中缺少了 Apache Shiro Spring 的依赖。你可以在你的 Maven 或 Gradle 配置文件中添加以下依赖来解决这个问题: Maven: ```xml <groupId>org.apache.shiro <artifactId>shiro-spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿昌喜欢吃黄桃

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值