Shiro权限框架快速上手

于 2022-01-05 23:57:22 发布
阅读量204 收藏 1
点赞数
文章标签: 安全 java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46680783/article/details/121138854
版权

Shiro权限框架 概述

Shiro 可以帮助我们完成:认证(登录)授权(访问控制)、密码加密、会话管理、与 Web 集成、缓存等

Shiro 主要组件:

Subject:主体可以是当前的操作用户、程序等,在程序任意位置可使用:Subject subject = SecurityUtils.getSubject() 获取到 Subject 主体对象

SecurityManager:它是 Shiro 功能实现的核心,负责与其他组件(认证器,授权器,缓存控制器等)进行交互,实现 Subject 委托的各种功能,类似于springmvc中的 DispatcherServlet 前端控制器,负责进行分发调度

Realms:可以把 Realm 看成 DataSource,即安全数据源。执行认证(登录)和授权(访问权限)时,Shiro 会从应用配置的 Realm 中查找相关的比对数据, 以确认用户是否合法,操作是否合理。

Authenticator(认证器):用于认证,返回boolean类型

Authorizer(授权器):用户访问控制授权

SessionManager:支持会话管理

CacheManager:用于缓存认证授权信息等

Cryptography(加密组件):用于加密解密的工具包

请添加图片描述

Shiro 认证

基于 ini 的认证:

创建一些对象组装好,调用login方法,在登录的时候SecurityUtils委托给SecurityManager对象处理,SecurityManager对象又找Authenticator(认证器),认证器又从Realm对象中查找相关的比对数据,这是底层自动帮我们完成的

  1. 创建**Security Manager**: Security Manager(安全管理器)来提供安全服务的,所以用shiro的时候需要创建该对象
  2. 主体**Subject提交请求给Security Manager**
  3. **Security Manager调用Authenticator**组件做认证
  4. **Authenticator通过Realm**来从数据源中获取认证数据
    请添加图片描述

  1. 添加依赖

    org.apache.shiro shiro-core 1.5.2

  2. 编写shiro-authc.ini配置文件

    用户的身份、凭据

    [users]
    hkj=123
    yoona=456

  3. 使用 Shiro 相关的 API 完成身份认证

    @Test
public void testAuthenticator(){
      
//构建环境,向SecurityManager管理器中组装对象
DefaultSecurityManager securityManager = new DefaultSecurityManager();
//需指定Realm对象,并配置给安全管理器,加载shiro.ini配置,得到配置中的用户信息
IniRealm realm = new IniRealm("classpath:shiro-authc.ini");
securityManager.setRealm(realm);
SecurityUtils.setSecurityManager(securityManager);

//获取Subject对象进行认证操作
Subject subject = SecurityUtils.getSubject();
//创建令牌(存储了账号和密码)
UsernamePasswordToken token = new UsernamePasswordToken("hkj","123");
subject.login(token);

System.out.println("认证的结果:" + subject.isAuthenticated());
}
基于自定义 Realm 的认证

请添加图片描述

  1. 创建自定义Realm对象继承AuthorizingRealm(拥有缓存,认证,授权功能)

    public class UserRealm extends AuthorizingRealm {
      
//提供认证数据的
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
      
 //token封装了用户或程序传过来的用户名和密码
 //String userName = (String) token.getPrincipal();
 UsernamePasswordToken t = (UsernamePasswordToken)token;
 String username = t.getUsername();
 //通过用户名去数据库查询用户信息(模拟)
 User user = DataMapper.getUserByName(username);
 if(user == null){
      
     return null;
 }
 //在返回的user对象中封装了密码,可以让Shiro底层自行帮我们比对密码
 //参数一:查询出来的user对象(类似往session中存入的对象) 参数二:封装的密码(数据库中的密码) 参数三:指定realm的名字
 return new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
}

  //提供授权数据的
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
      
     return null;
  }
}

  2. 使用 Shiro 相关的 API 完成身份认证

    @Test
public void testUserRealm(){
      
//构建环境,向SecurityManager管理器中组装对象
DefaultSecurityManager securityManager = new DefaultSecurityManager();
//需指定Realm对象,并配置给安全管理器
UserRealm realm = new UserRealm();
securityManager.setRealm(realm);
SecurityUtils.setSecurityManager(securityManager);

//获取Subject对象进行认证操作
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("hkj","123");
subject.login(token);
System.out.println("认证的结果:" + subject.isAuthenticated());

subject.logout();
System.out.println("认证的结果:" + subject.isAuthenticated());
}

Web环境Shiro认证

请添加图片描述

Shiro 授权

基于 ini 的授权:

创建一些对象组装好,调用login方法,在登录的时候SecurityUtils委托给SecurityManager对象处理,SecurityManager对象又找Authorizer(授权器),授权器又从Realm对象中查找相关的比对数据,目前我们所需要的就是将用户拥有的角色和权限告知 Shiro

  1. 创建**Security Manager**
  2. 主体**subject**授权
  3. 主体授权是交给**Security Manager**授权
  4. Security Manager调用授权器**Authorizer**授权
  5. 通过**Realm数据库或者缓存中来获取授权的数据(角色数据权限数据**)

请添加图片描述

  1. 添加依赖

    org.apache.shiro shiro-core 1.5.2

  2. 编写shiro-authc.ini配置文件

    #用户的身份、凭据、角色
    [users]
    hkj=123,hr,seller
    yoona=456,seller

    #角色与权限信息
    [roles]
    hr=user:list,user:delete
    seller=customer:list,customer:save

  3. 使用 Shiro 相关的 API 完成身份授权

    @Test
public void testAuthor(){
      
  //构建环境,向SecurityManager管理器中组装对象
  DefaultSecurityManager securityManager = new DefaultSecurityManager();
  //需指定Realm对象,并配置给安全管理器
  IniRealm realm = new IniRealm("classpath:shiro-author.ini");
  securityManager.setRealm(realm);
  SecurityUtils.setSecurityManager(securityManager);

  //获取Subject对象进行认证操作
  Subject subject = SecurityUtils.getSubject();
  UsernamePasswordToken token = new UsernamePasswordToken("yoona","456");
  subject.login(token);

  // 判断用户是否有某个角色
  System.out.println("是否有 hr 角色?" + subject.hasRole("hr"));
  System.out.println("是否有 seller 角色?"+ subject.hasRole("seller"));
  // 是否同时拥有多个角色
  System
最低0.47元/天 解锁文章
kjcoder
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
快速上手一个Shiro安全框架
04-03
在这个“快速上手一个Shiro安全框架”的项目中,我们将探讨如何在Spring Boot应用中集成Shiro,实现用户认证和授权。 首先,我们从基础开始。Shiro的核心组件包括Subject、Realms、Cryptography和Session ...
shiroWeb项目-授权(十一)
qq_35222843的博客
05-09 187
使用PermissionsAuthorizationFilter 在applicationContext-shiro.xml中配置url所对应的权限。 测试流程: 1、在applicationContext-shiro.xml中配置filter规则 <!--商品查询需要商品查询权限 --> /items/queryItems.action =perms[item:query] 2、用户在认证通过后,请求/items/queryItems.action ...
Shiro 与 SpringBoot 集成 三
qq1635346647的博客
05-16 198
Shiro 与 SpringBoot 集成 第三天 添加权限 addStringPermission(function.getUrl()) // 添加字符串权限 for (Function function: user.getRole().getFunctions()) { info.addStringPermission(function.getUrl());// 添加权限 } cont...
Shiro拦截器给方法授权,赋访问权限
听风动的博客
04-03 1098
ShiroConfig配置类重写授权方法: //授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) { //从session中获取到当前登录的用户对象 //Object principal = S...
shiro(一)
遥是此间桃花庵
11-29 168
文章目录1.shiro的简介:2.在应用程序角度来观察如何使用Shiro完成工作3.shiro架构Shiro入门案例 1.shiro的简介: shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于s...
shiro分布式控制登录状态_分布式使用shiro权限2
weixin_40000702的博客
12-21 173
第一步 新建UserRealm1.做登陆认证(执行一次)把登陆后该用户的权限信息,存到session中2.做权限控制授权把session中的信息拿出来User user = (User) principals.getPrimaryPrincipal();然后授权(执行多次)simpleAuthorizationInfo.addRoles(roles);simpleAuthorizationInfo...
SpringBoot整合Shiro权限框架
06-03
SpringBoot整合Shiro权限框架是将SpringBoot与Apache Shiro这两个流行的技术栈结合,用于实现Web应用的安全控制和用户权限管理。SpringBoot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则是一个轻量级的...
springboot2.x整合shiro权限框架的使用
09-08
总之,Apache Shiro是Spring Boot项目中一个实用的权限管理工具,其简洁的API和易用性使得开发者可以快速上手并实现权限控制功能。通过适当的配置和扩展,Shiro可以很好地适应各种应用场景,提升系统的安全性。
安全控制框架教程shiro
10-29
本教程主要关注Shiro的基本使用,旨在帮助开发者快速上手并将其集成到自己的项目中。 ### 1. 认证与授权 Shiro的认证过程涉及用户提交凭证(如用户名和密码)来验证其身份。Shiro提供了简单的API和内置的Realm(域...
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
最新发布
07-26
4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成spring等优点。可以用来用户验证、用户授权、用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、...
ShiroDemo:一个简单的shiro demo用于快速上手shiro
02-23
ShiroDemo 一个简单的shiro demo用于快速上手shiro 为了最简明教程没有使用数据库 测试用户: 管理员管理员 测试一下 登录接口localhost:8098 / api / user / login 可以使用Postman等工具测试
Shiro的三种授权
Kobe561的博客
01-04 650
前提就是在Realm的授权方法中查询出权限并返回List&lt;String&gt;形式 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 从 principals获取主身份信息 // 将getP...
Spring整合Shiro权限控制模块详细案例分析
zzc1684的博客
09-19 222
1.引入Shiro的Maven依赖 [html] view plaincopy &lt;!-- Spring 整合Shiro需要的依赖 --&gt;          &lt;dependency&gt;           &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt;           &lt;artifact...
(六)授权(下):自定义permission
weixin_33733810的博客
11-15 391
一、Authorizer、PermissionResolver及RolePermissionResolver Authorizer的职责是进行授权(访问控制),是Shiro API中授权核心的入口点,其提供了相应的角色/权限判断接口,具体请参考其Javadoc。SecurityManager继承了Authorizer接口,且提供了ModularRealmAuthorizer用于多Realm时的授...
如何正确的使用shiro
weixin_42281565的博客
03-11 295
从来没接触过shiro Java安全框架,突然有一天需要要用用户登陆验证和用户角色权限的任务,而且是针对shiro进行整合,开始收到任务,心都有点凉凉的。经过一轮的搜索,感觉没多大的收获。很多用户的角色都是写在xml配置文件中。觉得太不人性化了,想换个用户角色还得改xml?我觉得这么强大的框架应该不可能这么狗血的存在。然后认真的看文档,发现真的是可以直接读取数据库的。我把我搭建的流程发布在此。有...
Shiro用户-角色-权限分配与数据库方式授权(十三)
qq_37431224的博客
01-14 2501
一、先进行用户-角色-权限数据分配 1:在role表中添加2个角色 部门经理(deptMgr) 人事经理(empMgr) 2:给人事经理分配权限:员工的crud权限 。在role_permission表中添加4条数据 3:给用户指派某个角色:给zhangsan指定人事经理这个角色 在user_role表中添加1条数据 二、数据库方式授权 1.在自定义的UserReal...
Shiro学习笔记——(7)实战之认证授权
星_陨的博客
04-06 455
一、登录认证(1)原理使用FormAuthenticationFilter过虑器实现将用户没有认证时,请求loginurl进行认证,用户身份和用户密码提交数据到loginurl,FormAuthenticationFilter拦截住取出request中的username和password(两个参数名称是可以配置的),FormAuthenticationFilter调用realm传入一个token(...
SpringBoot2集成Shrio需要注意的坑
qq_43060870的博客
07-16 522
配置时需要注意以下细节问题不然会发生配置不生效、302等问题 使用LinkedHashMap而不是HashMap anon必须在authc之前定义 shrio配置类: ​ @Configuration public class ShiroConfig { /** * 配置自己的验证 * @return */ @Bean public EmployeeRealm employeeRealm() { EmployeeRealm employeeRealm = new Employ
我的shiro之旅: 十一 shiro权限设计
Dylan的博文
02-24 5338
博客已移至 http://blog.gogl.top 在这里,介绍一个简单,基本的权限设计。其中包括3个类,有User,Role,Auth。下面是类信息。   import java.io.Serializable; import java.util.HashMap; import java.util.HashSet; import java.util.Map; import java.u...
Shiro权限框架详解:强大与灵活性并重
Shiro权限框架文档介绍了一个强大的开源安全框架,旨在简化Java应用中的认证、授权、会话管理和密码加密。相比于JAAS和Spring Security,Shiro以其易用性、灵活性和简洁性脱颖而出。尽管Shiro的前身是J-security,但...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值