shiro初步学习

最新推荐文章于 2021-12-19 16:40:59 发布
最新推荐文章于 2021-12-19 16:40:59 发布
阅读量95 收藏
点赞数
分类专栏: 基础 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47901642/article/details/108933437
版权

Shiro

核心组件

  • UsernamePasswordToken: shiro用来封装用户登录信息,使用用户的登录信息来创建令牌Token
  • SecurityManager :shiro的核心部分,负责安全认证和授权
  • Subject :Shiro的一个抽象概念,包含了用户信息
  • Realm :开发者自定义的模块,验证和授权的逻辑全部写在Realm中
  • AuthenticationInfo:用户的角色信息集合,认证时使用
  • AuthorzationInfo:用户的权限信息集合,授权时使用
  • DefaultWebSecurityDManager:安全管理器,开发者自定义Realm需要注入到进行管理才能生效
  • ShiroFilterFactoryBean:过滤器工厂

功能简介

img

Authentication :身份认证/登录

Authorization :授权,权限验证

SessionManagement:会话管理

Cryptography:加密

WebSupport : Web支持

Caching: 缓存

Concurrency: 并发验证

Testing:测试

“Run As”:允许一个用户假装另一个用户

Remember me:记住我

Spring Boot 整合 shiro

认证过滤器

anon:无需认证

autc:必须认证

authBasic:需要通过HttpBasic认证

user:不一定通过认证,只要曾经被shiro记录即可,(记住我)

授权过滤器

perms:必须拥有某个权限

roles:必须拥有某个角色

prot:必须 指定端口

rest:请求必须基于 RestFul

ssl:必须是安全的url请求 ,协议HTTPS

shiro依赖

<!--springBoot 整合Shiro-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.5.3</version>
</dependency>

<!--shiro-ehCache依赖-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>1.2.2</version>
</dependency>

<!--Redis缓存依赖-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

shiro配置类

@Configuration
public class MyShiRo {

    /**
     *  将自定义的Realm组件交给Bean容器
     * @return
     */
    @Bean
    public UserRealm userRealm(){
        //创建自定义Realm对象
        UserRealm userRealm = new UserRealm();
        // 匹配器 对象
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        // 加密方式名
        credentialsMatcher.setHashAlgorithmName("MD5");
        // 加密次数
        credentialsMatcher.setHashIterations(1024);
        //  将匹配器 存入对象中
        userRealm.setCredentialsMatcher(credentialsMatcher);
        // 设置 缓存管理对象
        userRealm.setCacheManager(new RedisCacheManager());
        // 开启 角色认证全局缓存
        userRealm.setAuthenticationCachingEnabled(true);
        // 设置 角色认证 缓存名
        userRealm.setAuthenticationCacheName("authentication");
        // 开启 权限授权全局缓存
        userRealm.setAuthorizationCachingEnabled(true);
        // 设置 权限授权 缓存名
        userRealm.setAuthorizationCacheName("authorization");
       return  userRealm;
    }

    /**
     * 将DefaultWebSecurityManager组件 交给Bean容器
     * @param userRealm
     * @return
     */
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        manager.setRealm(userRealm);
        return manager;
    }

    /**
     * 创建ShiroFilter工厂 交给Bean容器
     * @param defaultWebSecurityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        //创建ShiroFilter工厂对象
        ShiroFilterFactoryBean factoryBean= new ShiroFilterFactoryBean();
        //将安全管理加到工厂对象
        factoryBean.setSecurityManager(defaultWebSecurityManager);
        //设置 认证,权限集
        Map<String,String> map=new HashMap<String, String>();
        map.put("/index","authc");
        map.put("/","authc");
        map.put("/vip","perms[manage]");
        map.put("/admin","roles[admin]");
        map.put("/login","anon");
        map.put("/register","anon");
        //将权限集 放入到 工厂对象中
        factoryBean.setFilterChainDefinitionMap(map);
        //设置 登录页面
        factoryBean.setLoginUrl("/login");
        //设置 无授权页面
        factoryBean.setUnauthorizedUrl("/index");
        return factoryBean;
    }
}

shiro-自定义realm

public class UserRealm extends AuthorizingRealm {


    /**
     * 权限授权
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //获取subject对象
        Subject subject= SecurityUtils.getSubject();
        //获取subject对象里的 object对象
        User user = (User) subject.getPrincipal();
        //Set集合 放权限名
        Set<String> set = new HashSet<>();
        set.add(user.getRole());
        //将权限集放进SimpleAuthorizationInfo对象
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(set);
        //将权限 与角色相连
        info.addStringPermission(user.getPerms());
        return info;
    }

    /**
     * 角色认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //封装前台用户信息
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        UserServiceImpl userService = (UserServiceImpl) SpringUtils.getBean("userServiceImpl");
        //前台传的用户名在数据库里查找
        User user = userService.findUserByName(token.getUsername());
        if(user !=null){
            //返回一个AuthenticationInfo对象
            return  new SimpleAuthenticationInfo(user,user.getPassword(), new MyByteSource(user.getSalt()),this.getName());
        }
        return null;
    }
}

controller层

@PostMapping("/login")
public String loginAuthentication(String username, String password, Model model){
    // subject对象
    Subject subject= SecurityUtils.getSubject();
    //封装用户信息
   UsernamePasswordToken token=new UsernamePasswordToken(username,password);
    try{
        subject.login(token);
        return "redirect:/";
    }catch (UnknownAccountException e){
        e.printStackTrace();
        model.addAttribute("msg","账户错误");
        return "login";
    }catch (IncorrectCredentialsException e){
        e.printStackTrace();
        model.addAttribute("msg","密码错误");
        return "login";
    }
}

加密(MD5)

在shiro配置类 userRealm中加上

		// 匹配器 对象
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        // 加密方式名
        credentialsMatcher.setHashAlgorithmName("MD5");
        // 加密次数
        credentialsMatcher.setHashIterations(1024);
		//  将匹配器 存入对象中
        userRealm.setCredentialsMatcher(credentialsMatcher);

加密方式 Service层

public void register(User user) {
    //获取八位数的盐
    String salt= SaltUtils.getSalt(8);
    //将盐保存到数据里
    user.setSalt(salt);
    //明文密码进行md5+salt+hash散列
    Md5Hash md5Hash = new Md5Hash(user.getPassword(),salt,1024);
    //将md5密码赋值给数据里的password
    user.setPassword(md5Hash.toHex());
    userMapper.insertUser(user);
}

salt工具类

public class SaltUtils {
    public static String getSalt(int n){
        char[] chars = "QWERTYUIOPLKJHGFDSAZXCVBNMqwertyuioplkjhgfdsazxcvbnm1234567890!@#$%^&*".toCharArray();
        StringBuilder sb= new StringBuilder();
        for (int i = 0; i < n; i++) {
            char achar=chars[new Random().nextInt(chars.length)];
            sb.append(achar);
        }
        return  sb.toString();
    }

}

缓存(EhCache,RedisCache)

依赖

<!--shiro-ehCache依赖-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>1.2.2</version>
</dependency>

在shiro配置类 自定义userRealm

  		// 设置 缓存管理对象
        userRealm.setCacheManager(new EhCacheManager());
        // 开启 角色认证全局缓存
        userRealm.setAuthenticationCachingEnabled(true);
        // 设置 角色认证 缓存名
        userRealm.setAuthenticationCacheName("authentication");
        // 开启 权限授权全局缓存
        userRealm.setAuthorizationCachingEnabled(true);
        // 设置 权限授权 缓存名
        userRealm.setAuthorizationCacheName("authorization");

Redis缓存

  • 实现shiro缓存底层的cacheManager 和cache 接口

实现cache

/**
 * 实现Shiro中的Cache
 * @author yd
 * @version 1.0
 * @date 2020/10/4 8:46
 */
public class MyRedis<K,V> implements Cache<K,V> {

    public String cacheName;

    public MyRedis() {
    }

    public MyRedis(String cacheName) {
        this.cacheName = cacheName;
    }

    public RedisTemplate redisTemplate(){
        RedisTemplate redisTemplate = (RedisTemplate) SpringUtils.getBean("redisTemplate");
        redisTemplate.setKeySerializer(new StringRedisSerializer());
        return redisTemplate;
    }

    @Override
    public V get(K k) throws CacheException {
        return (V) redisTemplate().opsForHash().get(this.cacheName,k.toString());
    }

    @Override
    public V put(K k, V v) throws CacheException {
        redisTemplate().opsForHash().put(this.cacheName,k.toString(),v);
        return null;
    }

    @Override
    public V remove(K k) throws CacheException {
        return (V) redisTemplate().opsForHash().delete(this.cacheName,k.toString());
    }

    @Override
    public void clear() throws CacheException {
        redisTemplate().delete(this.cacheName);
    }

    @Override
    public int size() {
        return redisTemplate().opsForHash().size(this.cacheName).intValue();
    }

    @Override
    public Set<K> keys() {
        return redisTemplate().opsForHash().keys(this.cacheName);
    }

    @Override
    public Collection<V> values() {
        return redisTemplate().opsForHash().values(this.cacheName);
    }


}

实现CacheManager

/**
 * 实现Shiro的CacheManager
 * @author yd
 * @version 1.0
 * @date 2020/10/4 8:43
 */
public class RedisCacheManager implements CacheManager {
    @Override
    public <K, V> Cache<K, V> getCache(String cacheName) throws CacheException {
        return new MyRedis<K,V>(cacheName);
    }
}
qq_47901642
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 账号密码和手机短信登入,重写realm
mo念的博客
09-18 1056
用户名密码使用的token自然是UsernamePasswordToken,我们可以参考UsernamePasswordToken,自定义PhoneToken,在不同的控制器中传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是PhoneToken。 自定义Token: public class PhoneToken implements HostAuthenticationToken, RememberMeAuthenticationToken, Seri
Shiro 之 CredentialsMatcher
Zllvincent的博客
09-22 1万+
一、简介 应有系统中需要保存用户登录账号、密码以供用户登录校验。如果在数据库中保存密码明文则有一定的安全性,通常对密码使用Hash运算保存,常见的Hash算法有MD5、SHA等。 二、INI 配置CredentialsMatcher [main] #自定义Reaml 实现认证授权 realm=com.vincent.UserRealm #定义凭证匹配器 credentialsMatcher=or...
shiro框架---shiro配置介绍(一)
热门推荐
凌大大的博客
02-18 2万+
接上一篇文章shiro框架—关于用户登录和权限验证功能的实现步骤(二) shiro在springboot项目中的配置步骤 1、引入依赖   首先shiro的应用,引入的依赖仅仅只有一个,即下边这个。 &amp;amp;amp;amp;lt;dependency&amp;amp;amp;amp;gt; &amp;amp;amp;amp;lt;groupId&amp;amp;amp;amp;gt;org.apache.shiro&amp;amp
shiro用户加密默认方式_Shiro 基本操作
weixin_39609822的博客
12-22 243
Shiro介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。毕竟官网有十分钟入门,足矣可见该框架的上手难度。Shiro 功能介绍gongneng.png从上图可看出来,主要功能有4个,以及支持一些其他特性。主要功能Authentic...
shiro开发文档阅读(四)缓存组件
kevin的博客
02-22 278
shiro缓存 1.cache接口 cache接口主要定义了针对缓存的一些操作,下边是shiro中cache接口的一些相关方法 public interface Cache&amp;lt;K, V&amp;gt; { // 得到缓存 V get(K var1) throws CacheException; // 放入缓存 V put(K var1, V var2) throws...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
Shiro学习第一式身份验证1(HelloWorld)
02-23
总的来说,"Shiro学习第一式身份验证1(HelloWorld)" 是一个入门级教程,旨在引导开发者初步接触 Shiro 框架,并掌握其基本的认证流程。通过实践这个示例,你将能够更好地理解 Shiro 如何在 Java 应用中处理用户...
这个只是Shiro框架的初次认识
08-01
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。...学习和掌握Shiro框架,将有助于提升Java应用的安全性和用户体验。
shiro-jwt-springboot:shiro合并jwt前进行分离权限认证示例
01-29
这个项目"shiro-jwt-springboot"是一个实例,它展示了在整合JWT之前如何对权限认证进行初步的分离。 首先,我们来了解JWT。JWT是一种轻量级的身份验证标准,它允许用户信息以安全、紧凑的方式在网络中传递。一个JWT...
人群管理:人群管理是一个基于Spring,Shiro,Redisehcache,Mybatis的通用后台权限管理系统,在此推荐本人另一个基于sprinboot的单点登录系统
02-27
一个java新人容易上手,学习之后能够快速整合企业开发的指导项目 主要特性 项目按功能分解,提升开发,测试效率 支持统一输出异常,避免繁琐的判断 支持后台消息推送 集成elfinder进行文件管理 支持数据字典,系统...
配置 MD5 盐值加密到realm的java类中
昭瑞的专栏
07-19 2070
//配置使用 MD5 盐值加密 @PostConstruct //相当于 init-method. 即在构造器执行后执行的方法 public void initCredentialsMatcher(){ HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
SpringBoot - 整合Shiro
江南烟雨却痴缠丶
03-26 293
一、引入相关依赖 后面两个依赖可以不引入,还没有使用过Redis来做Shiro缓存。后续如果有用到,可能会更新到博文。 <!-- Shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId>...
菜鸟学习shiro之实现自定义的Realm,从而实现登录验证,身份验证和权限验证4
保持愤怒
07-28 799
讲了那么多使用的内置的类从而实现四郎,现在讲自定义的境界 首先行家的依赖依然是第一篇的那个依赖 下边是自定义的境界: import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Au...
SpringBoot+Shiro实战小案例
weixin_47382783的博客
12-19 1405
目录 一、目的 二、系统概述 1、角色设定 2、数据库设计 (1)课程表 (2)用户表 (3)角色表 (4)权限表 (5)用户与角色的中间表 (6)角色与权限字符串中间表 三、关键技术 1、技术选择 2、Shiro中常见过滤器 3、md5+hash+salt的密码加密 5、页面中shiro的使用 五、总结 六、代码 一、目的 本文是基于SprongBoot,实现集成Shiro框架,并对角色进行授权以及权限控制的小案例进行详述,部分展示界面如下:...
Shiro自定义Realm时用注解的方式注入父类的credentialsMatcher
weixin_33671935的博客
04-30 315
Shiro做登录权限控制时,密码加密是自定义的。 数据库的密码通过散列获取,如下,算法为:md5,盐为一个随机数字,散列迭代次数为3次,最终将salt与散列后的密码保存到数据库内,第二次登录时将登录的令牌再进行同样的运算后再与数据库的做对比。 String algorithmName = "md5";String userName = "rose";...
自定义shiroRealm实现和CredentialsMatcher实现以及Token实现
weixin_30519071的博客
10-13 473
Realmshiro比较核心的接口,简单说它的实现类就是校验用户输入的账号信息的地方.如果想自定义实现一般的配置文件如下: <!--自定义Realm 继承自AuthorizingRealm --> <bean id="userRealm" class="xxx.UserRealm"> <!-- 自定义比对器 --> ...
项目部年度员工培训计划.docx
07-13
项目部年度员工培训计划.docx
c的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txt
最新发布
07-13
cc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.txtc的项目案例.tx
营销策划 -猫人内衣品牌升级诊断方案.pptx
07-13
营销策划 -猫人内衣品牌升级诊断方案.pptx
shiro框架如何学习
07-15
学习Shiro框架可以按照以下步骤进行: 1. 了解基础概念:首先,你需要了解Shiro的基本概念和术语,例如主体(Subject)、认证(Authentication)、授权(Authorization)、Realm等。可以阅读Shiro的官方文档或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值