01.Shiro基础概念以及快速入门

已于 2024-01-02 17:49:45 修改
阅读量1.2k 收藏 31
点赞数 28
分类专栏: Apache Shiro 文章标签: java
于 2024-01-02 16:56:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45145629/article/details/135344771
版权

概述

Apache Shiro 是一个功能强大且灵活的开源安全框架,可以干净地处理身份验证,授权,企业会话 Management 和加密。

Apache Shiro 的首要目标是易于使用和理解。安全有时可能非常复杂,甚至会很痛苦,但不一定如此。框架应尽可能掩盖复杂性,并公开干净直观的 API,以简化开发人员确保其应用程序安全的工作。

您可以使用 Apache Shiro 进行以下操作:

  • 验证用户身份以验证其身份

  • 对用户执行访问控制,例如:

  • 确定是否为用户分配了特定的安全角色

    • 确定是否允许用户做某事

  • 即使在没有 Web 或 EJB 容器的情况下,也可以在任何环境中使用 Session API。

  • 在身份验证,访问控制或会话的生存期内对事件做出反应。

  • 汇总 1 个或更多用户安全数据的数据源,并将其全部显示为单个复合用户“视图”。

  • 启用单点登录(SSO)功能

  • 启用“记住我”服务以进行用户关联而无需登录

    以及更多-所有这些都集成到一个易于使用的内聚 API 中。

Shiro 尝试在所有应用程序环境中实现这些目标-从最简单的命令行应用程序到最大的企业应用程序,而不必强加对其他第三方框架,容器或应用程序服务器的依赖。当然,该项目旨在尽可能地集成到这些环境中,但是可以在任何环境中直接使用它。

架构

shiro框架

开发时常用流程

常用核心组件

  • SecuritManager:管理整个shiro框架
    • 在springboot中使用:org.apache.shiro.web.mgt.DefaultWebSecurityManager
    • DefaultWebSecurityManager中可以设置Session、Cookie等
  • Subject:主体(可以理解为用户信息,即与服务器交互的主题)
    • 当执行Subject.login时会最终执行Realm.doGetAuthenticationInfo
  • Realm:认证时执行对应的代码逻辑
    • 内置了一些Realm(可以自行查看AuthorizingRealm的实现类),但实际使用时最好自定义。
    • 认证时会调用:doGetAuthenticationInfo
    • 授权时会调用:doGetAuthorizationInfo
  • CredentialsMatcher:身份匹配器
    • 默认的身份匹配器:org.apache.shiro.authc.credential.SimpleCredentialsMatcher
    • 默认的Realm在调用doGetAuthenticationInfo时会调用CredentialsMatcher.doCredentialsMatch
  • Filter:过滤器
    • 默认的过滤器:在org.apache.shiro.web.filter.mgt.DefaultFilter里面定义的;
      名字类型描述
      anon(AnonymousFilter.class)认证不需要认证,便可以访问资源
      authc(FormAuthenticationFilter.class)认证需要对应的form表单认证才能访问对应的资源,适用于前后端不分离的情况(安全性不高)
      authcBasic(BasicHttpAuthenticationFilter.class)认证需要登录才能访问对应的资源,认证方式为http中Basic的认证方式(安全性一般)
      authcBearer(BearerHttpAuthenticationFilter.class)认证需要登录才能访问对应的资源,认证方式为OAuth2的认证方式(安全性好)
      logout(LogoutFilter.class)认证用于处理用户登出操作。当用户访问登出URL时,将执行登出操作并重定向到指定的页面,适用于前后端不分离的情况
      noSessionCreation(NoSessionCreationFilter.class)认证添加这个过滤器后,就会处于无状态的模式,即禁止创建会话
      perms(PermissionsAuthorizationFilter.class)授权需要特定的权限才能访问
      port(PortFilter.class)授权需要指定的端口才能访问
      rest(HttpMethodPermissionFilter.class)授权用于处理RESTful风格的请求
      roles(RolesAuthorizationFilter.class)授权用于检查用户是否具有特定的角色
      ssl(SslFilter.class)其他需要https的请求
      user(UserFilter.class)授权需要已登录或者“记住我”的用户才能访问
      invalidRequest(InvalidRequestFilter.class)授权过滤无效的请求,并返回400, “Invalid request”;
    • 默认的过滤器链:org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition
    • 在springboot中:使用ShiroFilterChainDefinition配置过滤链并将其与SecuritManager关联:org.apache.shiro.spring.web.ShiroFilterFactoryBean

认证授权流程

认证授权流程

快速入门

我来称霸世界
关注
专栏目录
Shiro安全框架【快速入门】及上手应用
qq_52252193的博客
05-09 364
目录 Shiro 简介 为什么是 Shiro? Apache Shiro Features 特性 High-Level Overview 高级概述 Shiro 认证过程 Shiro 授权过程 自定义 Realm Shiro 加密 加盐 + 多次加密 SpringBoot 简单实例 第一步:新建SpringBoot项目,搭建基础环境 第二步:新建实体类 第三步:配置 Shiro 第四步:准备 DAO 层和 Service 层 第五步:controller层 第六步:准备页面..
shiro入门案例_001.zip
06-11
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,可以非常方便地为应用...通过这个入门案例,你将逐步熟悉 Shiro 的核心概念和使用方式,为构建安全的应用打下坚实的基础
Shiro入门指南
两米以下皆凡人的博客
11-06 735
文章目录1、权限管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权2、什么是Shiro3、Shiro的核心架构3.1、Subject3.2、SecurityManager3.3、Authenticator3.4、Authorizer3.5、Realm3.6、SessionManager3.7、SessionDAO3.8、CacheManager3.9、Cryptography4、Shiro中的认证4.1、认证4.2、Shiro中认证的关键对象4.3、认证流程5、单机Shiro认证5.1、引入
Shiro快速入门
qq_43096583的博客
07-28 131
一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。 下面以用户登录为例: (1)使用用户的登录信息创建令牌 UsernamePasswordToken token = new UsernamePasswordToken(username, passwor...
Shiro安全框架快速入门
立志成为一个前端、后端、测试全方位发展的程序员
02-08 669
Shiro安全框架入门 Shiro安全框架实战:基于前后端分离,技术选型:SpringBoot2.x + Mysql + Mybatis + Shiro + Redis + IDEA + JDK8 ,链接地址:[近期更新] 文章目录Shiro安全框架入门一、权限框架设计之ACL和RBAC讲解1. 权限控制概念2. ACL和RBAC的概念二、主流权限框架介绍三、Apache Shiro基础概念知识和架构讲解1. Shiro四大核心模块2. 访问Shiro的权限控制运行流程和常见名称讲解四、Springboo
shiro快速入门
Linging_24的博客
08-02 231
基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权,对于需要访问控制的资源用户首先经过身份认证,认证过后用户具有该资源的访问权限即可访问。身份认证,就是判断一个用户是否为合法用户的处理过程,最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。
Shiro框架1——基础概念
qq_64064246的博客
07-08 757
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。
超简单的Apache Shiro快速入门
学哥斌的博客
05-31 658
文章目录1、前言1.1 简介1.2 功能1.3 架构1.3.1 外部视角1.3.2 内部视角2、HelloWorld2.1 导入依赖2.2 配置文件2.3 测试代码3、Shiro与web的集成3.1 集成原理3.2 Shiro的工作原理3.3 ShiroFilter3.4 spring配置文件3.5 shiro中默认的过滤器3.6 URL 匹配模式3.7 URL 匹配顺序4、认证功能4.1 介绍4.2 基本用法4.2.1 流程4.2.2 用法示例4.2.3 AuthenticationException4.
shiro-安全框架】入门基础学习
Jerry‘s word
09-20 1284
Apache ShiroJava 的一个安全框架。Shiro可以非常容易的开发出足够好的应用,其不仅可以用在]avaSE环境,也可以用在]avaEE环境。Shiro可以帮助我们完成:认证【登陆】、授权【权限】、加密【密码】、会话管理、与Web集成、缓存等。}
Shiro快速入门基础总结】
Carson's Blog
03-27 265
Shiro是Apache旗下的一个开源项目,它是一个非常易用的安全框架,提供了包括认证、授权、加密、会话管理等功能,与Spring Security一样属基于权限的安全框架,但是与Spring Security 相比,Shiro使用了比较简单易懂易于使用的授权方式。Shiro属于轻量级框架,相对于Spring Security简单很多,并没有security那么复杂。
Shiro入门到精通
06-26
总的来说,“Shiro入门到精通”课程覆盖了从基础概念到高级特性的全面内容,结合源码分析和Spring Security的对比,将使你对Shiro有深入的理解,能够在实际项目中灵活运用。无论你是初学者还是有经验的开发者,都能...
Shiro入门实例
03-28
Shiro 的核心概念包括主体(Subject)、安全管理者(SecurityManager)、身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)。 - **主体(Subject)**:代表当前用户,可以是...
C语言 | 第十章 | 函数 作用域
最新发布
ZJC744575的博客
10-05 926
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言中,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程中,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数中的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
JavaScript ArrayBuffer的读写与类型转换
白瑕 的博客
10-01 448
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 880
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk中提供的最原始的那个。要开启OkHttp ,还需要在YML 中添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
spring-boot 整合 mybatis
m0_72168501的博客
09-29 553
spring boot 整合 mybatis
Java内存布局
阿呆的专栏
10-01 804
64位 JVM 不启用指针压缩时:Object Header 大小是16字节。64位 JVM 启用指针压缩时(默认):Object Header 大小是12字节。32位 JVM:Object Header 大小是8字节。JVM在默认情况下启用指针压缩,但如果堆内存超过32GB,就会禁用指针压缩。32GB是压缩指针的最大寻址范围。超过32GB的堆内存中,压缩指针带来的性能提升并不显著,而且需要解压指针反而可能增加开销。
C#基础:掌握控制流语句,构建灵活的程序逻辑
学习和分享
09-28 343
在C#中,控制流语句是用来控制程序执行流程的重要部分。它们允许你根据条件执行不同的代码块,或者重复执行某些代码块直到满足特定条件。
Shiro基础教程:从入门到实践
"shiro教程.pdf" Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密...这份教程全面地覆盖了Shiro基础用法,从基础概念到实际应用,对于想要快速理解和使用Shiro的人来说是一份宝贵的参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值