Shiro的使用说明

最新推荐文章于 2023-07-12 18:00:00 发布
最新推荐文章于 2023-07-12 18:00:00 发布
阅读量309 收藏
点赞数
分类专栏: 笔记 文章标签: shiro java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46201721/article/details/107028543
版权

1.什么是权限管理?

只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源

​ 对权限的管理又分为两大类别:

  • 用户认证
  • 用户授权

1.1 用户认证

​ 用户认证,用户去访问系统,系统要验证用户身份的合法性

最常用的用户身份验证的方法:1、用户名密码方式、2、指纹打卡机、3、基于证书验证方法。。系统验证用户身份合法之后,用户方可访问系统的资源

用户认证的流程:

  • 判断该资源能否不认证就能访问【登陆页面、首页】
  • 如果该资源需要认证后才能访问,那么判断该访问者是否认证了
  • 如果还没有认证,那么需要返回到【登陆页面】,用户输入认证信息后 进行认证
  • 认证通过后才能访问资源

从用户认证中可以抽取出这么几个概念(术语)

  • subject主体:理解为用户,可能是程序(比如navicat去连接数据库),都要去访问系统的资源,系统需要对subject进行身份认证 通俗的讲为当前用户
  • principal身份信息:通常是唯一的,一个主体还有多个身份信息,但是都有一个主身份信息(primary principal)【我们可以选择身份证认证、学生证认证等等都是我们的身份信息】 —》当前用户的账号**
  • credential凭证信息:可以是密码 、证书、指纹。 --------》密码

总结:主体在进行身份认证时需要提供身份信息和凭证信息。

1.2 用户授权

​ 用户授权,简单理解为访问控制,在用户认证通过后,系统对用户访问资源进行控制,用户具有资源的访问权限才可以访问

用户授权的流程

  • 用户认证通过后 ,到达了用户授权环节
  • 用户访问资源,系统需要判断该用户是否有权限去操作该资源
  • 有权限才能够访问,有权限就不能访问了 401(认证失败),403(无权限)

授权的过程可以简单理解为:主体认证之后,系统进行访问控制,subject必须具备资源的访问权限才可访问该资源…

2 什么是shiro?

​ shiro是一个功能强大、易于使用的Java安全框架,可以执行身份验证,授权、加密和会话管理。通过Shiro易于理解的API,您可以做到这一点快速、轻松地保护任何应用程序——从最小的移动应用程序到最大的we和企业应用程序。

2.1 shiro架构?

Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面;SecurityManager 才是实际的执行者;

SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行交互,如果学习过 SpringMVC,你可以把它看成 DispatcherServlet 前端控制器;

Realm:域,Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。

2.2 shiro的认证

1.新建maven工程导入以下依赖
<dependencies>


        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.1</version>
        </dependency>

        <!-- configure logging -->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>jcl-over-slf4j</artifactId>
            <version>1.7.21</version>

        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>1.7.21</version>

        </dependency>
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>

        </dependency>

    </dependencies>

shoiro使用

1.第一步:先配置pom.xml 的架包

2.第二步:创建一个ini文件,在resources目录下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pN0cfErD-1593435761898)(C:\Users\常光华\AppData\Roaming\Typora\typora-user-images\image-20200628201346681.png)]

2.1: 第一种方法:在ini文件 写死的两个用户
#配置用户  在[users] 标志下写  用户名=密码,角色  将用户和角色进行绑定
[users]
root=123456,admin
xiaola=123456,manager




#配置角色  *表示拥有所有权限
#角色=资源:操作权限
[roles]
admin=*
manager=goods:add,goods:update,goods:delete
role1=goods:add
2.2:在test文件下写上
package com.aaa.shiro.test;

import com.sun.org.omg.CORBA.InitializerSeqHelper;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;

/**
 * @AUTHOR (常光华)
 * @date 2020-06-28 16:38
 */
public class ShiroStart {

    public static void main(String[] args) {

        //1.加载shiro 配置文件
        IniSecurityManagerFactory iniSecurityManagerFactory=new IniSecurityManagerFactory("classpath:shiro.ini");

        //2.得到securityManager管理器
        SecurityManager securityManager=iniSecurityManagerFactory.getInstance();

        //3.讲当前应用 和 安全管理器进行绑定
        SecurityUtils.setSecurityManager(securityManager);

        //获取当前用户
        Subject currentUser =SecurityUtils.getSubject();

        //判断当前用户是否已经认证
        if (!currentUser.isAuthenticated()){
            UsernamePasswordToken token=new UsernamePasswordToken("xiaola","123456");

            //去认证
            currentUser.login(token);

            if (currentUser.hasRole("manager")){
                System.out.println("当前用户拥有经理角色");
            }

            if (currentUser.isPermitted("goods:add")){
                System.out.println("当前用户拥有添加商品的权限");
            }

            if (currentUser.isPermitted("goods:get")){
                System.out.println("当前用户没有获取商品的权限");
            }

            //获取认证的用户名
            String username= (String) currentUser.getPrincipal();

            System.out.println("username:"+username);

            //退出登录 ,让当前的认证失效
            currentUser.logout();

            //再次验证
            username= (String) currentUser.getPrincipal();
            System.out.println("username:"+username);


        }






    }


}
方法二:

1现在ini文件中写上路径

[main]
myRealm=com.aaa.shiro.test.CustomerRealm1

2.创建CustomerRealm1类

package com.aaa.shiro.test;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.realm.AuthenticatingRealm;

/**
 * @AUTHOR (常光华)
 * @date 2020-06-28 19:09
 */
public class CustomerRealm1 extends AuthenticatingRealm {
    //认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username= (String) authenticationToken.getPrincipal();
        //假装去数据库找到 username 对应的密码
        String password="123456";

        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, this.getName());

        return authenticationInfo;
    }
}

3.最后测试:

package com.aaa.shiro.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;

/**
 * @AUTHOR (常光华)
 * @date 2020-06-28 19:28
 */
public class ShiroStart1 {


    public static void main(String[] args) {
        //1.加载shiro 配置文件
        IniSecurityManagerFactory iniSecurityManagerFactory=
                new IniSecurityManagerFactory("classpath:shiro1.ini");

        //2.得到管理器
        SecurityManager securityManager=iniSecurityManagerFactory.getInstance();

        //3.讲当前应用 和 安全管理器进行绑定
        SecurityUtils.setSecurityManager(securityManager);

        //获取当前用户
        Subject currentUser=SecurityUtils.getSubject();


        //判断当前用户是否已经认证
        if (!currentUser.isAuthenticated()){
            UsernamePasswordToken token=new UsernamePasswordToken("rootdf","123456");

            try {
                currentUser.login(token);
            } catch (UnknownAccountException uae) {

                // 找不到用户名
                System.out.println("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                // 密码错误
                System.out.println("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                // 用户已被锁定
                System.out.println("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
                System.out.println("其他异常");
            }


            if ( currentUser.isAuthenticated()){
                System.out.println("认证成功");
            }


            if (currentUser.hasRole("manager")){

                System.out.println("当前用户拥有经理角色");
            }


            if (currentUser.isPermitted("goods:add")){

                System.out.println("当前用户拥有添加商品的权限");
            }

            if (currentUser.isPermitted("goods:get")){

                System.out.println("当前用户没有获取商品的权限");
            }

            // 获取认证的用户名
            String username = (String) currentUser.getPrincipal();

            System.out.println("username:"+username);

            // 退出登陆 ,让当前的认真失效
            currentUser.logout();


            // 再次验证
            username = (String) currentUser.getPrincipal();
            System.out.println("username:"+username);


        }


    }






}
同理和第二种方法一样的写法:

第一步:

[main]
myRealm=com.aaa.shiro.test.CustomerRealm2

第二步:

package com.aaa.shiro.test;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * @AUTHOR (常光华)
 * @date 2020-06-28 19:46
 */
public class CustomerRealm2 extends AuthorizingRealm {
    //授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        String username= (String) principalCollection.getPrimaryPrincipal();

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

        if (username.equals("root")){
            //根据用户 去数据库拿 对应角色和权限
            simpleAuthorizationInfo.addRole("admin");
            simpleAuthorizationInfo.addRole("manager");


            simpleAuthorizationInfo.addStringPermission("goods:add");
            simpleAuthorizationInfo.addStringPermission("goods:delete");
            simpleAuthorizationInfo.addStringPermission("goods:get");

        }

        return simpleAuthorizationInfo;
    }


    //认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username = (String) authenticationToken.getPrincipal();
        //假装去数据找到 username 对应的密码
        String password="123456";

        SimpleAuthenticationInfo authenticationInfo=new SimpleAuthenticationInfo(username,password,this.getName());


        return authenticationInfo;
    }
}

第三步:

package com.aaa.shiro.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;

/**
 * @AUTHOR (常光华)
 * @date 2020-06-28 19:59
 */
public class ShiroStart2 {

    public static void main(String[] args) {
        //1.加载shiro配置文件
        IniSecurityManagerFactory iniSecurityManagerFactory=
                new IniSecurityManagerFactory("classpath:shiro2.ini");

        //2.得到securityManager 管理器
        SecurityManager securityManager = iniSecurityManagerFactory.getInstance();

        //3.将当前应用 和 安全管理器进行绑定
        SecurityUtils.setSecurityManager(securityManager);

        //获取当前用户
        Subject currentUser=SecurityUtils.getSubject();
        // 判断当前用户是否已经认证
        if (!currentUser.isAuthenticated()){
            UsernamePasswordToken token = new UsernamePasswordToken("root","123456");
            try {
                //去认证
                currentUser.login(token);
            } catch (UnknownAccountException uae) {

                // 找不到用户名  token.getPrincipal()
                System.out.println("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                // 密码错误
                System.out.println("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                // 用户已被锁定
                System.out.println("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
                System.out.println("其他异常");
            }


            if ( currentUser.isAuthenticated()){
                System.out.println("认证成功");
            }


            if (currentUser.hasRole("manager")){

                System.out.println("当前用户拥有经理角色");
            }


            if (currentUser.isPermitted("goods:add")){

                System.out.println("当前用户拥有添加商品的权限");
            }

            if (currentUser.isPermitted("goods:get")){

                System.out.println("当前用户没有获取商品的权限");
            }

            // 获取认证的用户名
            String username = (String) currentUser.getPrincipal();

            System.out.println("username:"+username);

            // 退出登陆 ,让当前的认真失效
            currentUser.logout();


            // 再次验证
            username = (String) currentUser.getPrincipal();
            System.out.println("username:"+username);


        }




    }

}


        if (currentUser.isPermitted("goods:get")){

            System.out.println("当前用户没有获取商品的权限");
        }

        // 获取认证的用户名
        String username = (String) currentUser.getPrincipal();

        System.out.println("username:"+username);

        // 退出登陆 ,让当前的认真失效
        currentUser.logout();


        // 再次验证
        username = (String) currentUser.getPrincipal();
        System.out.println("username:"+username);


    }




}

}
大大奇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro 使用手册(五) Shiro 配置说明
09-15
主要为大家分享了Apache Shiro 配置说明,需要的朋友可以参考下
Shiro的配置及使用
qq_45733154的博客
10-21 2708
Shiro,Springboot整合Shiro,Shiro实现登录拦截,Shiro实现用户认证,用户授权,Shiro整合Thymeleaf
shiro的配置详解
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
08-24 2679
*Shiro 从 ****Realm 获取安全数据(如用户、角色、权限),****就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作.5.添加shiro与spring集成的配置文件application-shiro.xml。4.首先在web.xml中加入shiro过滤器。2.shiro架构的核心内容介绍。且其管理着所有Subject。7.自定义realm。
SpringBoot 整合 Shiro 常见配置
qq_29799655的博客
04-27 1777
Shiro Shiro 是 apache 下的权限安全框架,通过该框架可以完成安全认证,例如登入,权限认证等,并且增加了加密认证,并发执行,缓存设计等 过滤器+AOP实现安全认证权限管理逻辑 提供用户表,存储代表当前用户的数据例如用户名,密码等 提供权限表,存储权限码 提供角色表,一个角色可以持有一个或多个不同权限 用户表添加角色字段,存储当前用户的角色 安全认证: 用户登录时将用户信息存储到S...
Shiro环境配置
酷小亚
05-04 401
Shiro 简介: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Shiro 主要功能: 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他
web工程使用spring mvc+shiro进行权限控制
aams46841的博客
09-16 159
第1步:引入shiro相关jar包 ehcache-core-2.5.0.jar shiro-ehcache-1.2.3.jar shiro-core-1.2.3.jar shiro-web-1.2.3.jar shiro-spring-1.2.3.jar 第二步:web.xml配置 <!-- shiro的filter --> <!-- shir...
安全架构shiro手册说明
10-11
安全架构shiro总结手册,比较详细的介绍的架构如何使用说明和配置。
Apache_Shiro中文开发说明文档.docx
03-26
非常全面的Shiro中文开发文档。
ssm整合shiro
08-15
ssm整合shiro的项目代码,shiro相关配置说明请参考博客------->https://blog.csdn.net/qq_35776126/article/details/81671088
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 2398
Shiro入门概述与基本使用
shiro 配置总结
10-30 193
1.web.xml中配置xml文件的路径和过滤器         此参数用于后面的Spring Context Loader -->             contextConfigLocation                     classpath*:/applicationContext.xml             classpath*:/applicat
SpringBoot整合Shiro框架实现加密、登录、授权
pan_junbiao的博客
05-30 7520
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 下面将使用SpringBoot整合Shiro框架实现加密、登录、授权。 1、创建数据表 使用MySQL数据库,创建实例所需的数据表,用户信息表、角色信息表、权限信息表等。 1.1 数据表结构 1.2 数据表脚本 (1)创建数据表脚本。 -- 创建数据表:us.
Shiro权限控制+整合shiro
热门推荐
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
6.Spring Boot中使用Shiro
相互学习 共同进步
06-29 477
使用注解配置Shiro 1.导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupI
Shiro【核心功能、核心组件、项目搭建 、配置文件认证、数据库认证 】(一)-全面详解(学习总结---从入门到深化)
最新发布
07-12 642
Shiro【核心功能、核心组件、项目搭建 、配置文件认证、数据库认证 】(一)-全面详解(学习总结---从入门到深化)
Shiro使用
qq_43460315的博客
08-15 1780
关于shiro使用方法
Shiro最全基础教程
思月行云
10-18 2277
以下引自百度百科shirojava安全框架)_百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(一)主要功能三个核心组件:Subject,SecurityManager 和 Realms。
Shiro 权限管理入门之认证与授权
萌宅鹿的技术小屋
07-05 592
Shiro权限管理什么是权限管理?什么是身份认证?什么是授权?ShiroShiro 的核心架构3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography 权限管理 什么是权限管理? 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现 对用户访问系统的控制,按照 安全规则 或者 安全策略 控
Shiro
qq_35860368的博客
12-07 104
Apache Shoiro 是java安全(权限)框架,帮助我们完成:认证、授权、加密、回话管理、与web集成、缓存等 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某...
检测是否使用shiro组件的方法
03-11
可以使用以下代码来检测是否使用shiro组件: ``` boolean isShiroUsed = false; try { Class.forName("org.apache.shiro.SecurityUtils"); isShiroUsed = true; } catch (ClassNotFoundException e) { // shiro not found } ``` 这段代码会尝试加载shiro的SecurityUtils类,如果加载成功,则说明使用shiro组件,否则说明没有使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值