【Shiro】Shiro简介及常用配置介绍

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量623 收藏 1
点赞数
分类专栏: 分布式 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48095745/article/details/107659394
版权

01_Shiro是什么

  • Shiro一个授权和认证的这样一个框架
  • Shiro可以进行认证、授权、Cache的管理、Session的管理、RememberMe功能的实现、加密、退出等

其他常见安全拦截框架:Spring Security,OAuth2.0 协议等…

02_Shiro的核心组件

Shiro官方图

Shiro 三大核心组件Subject、Security Manager、Realms

  • Subject 表示待认证和授权的用户
    • Principal:用户名(还可以是用户信息的封装)
    • Credential:密码
    • Token:令牌(用户名+密码的封装)----进行进行认证的封装对象,这个的对象并不是前后分离的这个token
  • Security Manager :它是Shiro框架的核心,Shiro就是通过Security Manager来进行内部实例的管理,并通过它来提供安全管理的各种服务
    • Authenticator:认证器
    • Anthorizer:授权器
    • SessionManager:会话管理器
    • CacheManager:缓存管理器
  • Realm :相当于Shiro进行认证和授权的数据源,充当了Shiro与安全数据之间的“桥梁”或者“连接器”。也就是说,当对用户进行认证(登录)和授权(访问控制)验证时,Shiro会用应用配置的Realm中查找用户及其权限信息
    Shiro官方图

03_Shiro的核心功能

  • Anthentication 认证,验证用户是否有相应的身份—登录认证;
  • Authorization 授权,即权限验证;对已经通过认证的用户检查是否具有某个权限或者角色,从而控制是否能够进行某种操作;
  • Session Managment 会话管理,用户在认证成功之后创建会话,在没有退出之前,当前用户的所有信息都会保存在这个会话中;可以是普通的JavaSE应用,也可以是web应用;
  • Cryptography 加密,对敏感信息进行加密处理,shiro就提供这种加密机制;

支持的特性:

  • Web Support —— Shiro提供了过滤器,可以通过过滤器拦截web请求来处理web应用的访问控制
  • Caching —— Shiro可以缓存用户信息以及用户的角色权限信息,可以提高执行效率
  • Concurrency —— Shiro支持多线程应用
  • Testing —— 提供测试支持
  • Run As —— 允许一个用户以另一种身份去访问
  • Remeber Me —— 提供记住我权限级别

Shiro是一个安全框架,不提供用户、权限的维护(用户的权限管理需要自己去设计)

Shiro官方图

04_Shiro的基本使用

       //1.创建安全管理器
       DefaultSecurityManager securityManager = new DefaultSecurityManager();
       //2.创建realm
       IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
       //3.将realm设置给安全管理器
       securityManager.setRealm(iniRealm);
       //4.将Realm设置给SecurityUtils工具
       SecurityUtils.setSecurityManager(securityManager);
       //5.通过SecurityUtils工具类获取subject对象
       Subject subject = SecurityUtils.getSubject();

       /*
       *认证流程
       **/
       //a.将认证帐号和密码封装到token对象中
       UsernamePasswordToken token = new UsernamePasswordToken(username,password);
       //b.通过subject对象调用login方法进行认证申请:
       boolean b = false;
       try{
           subject.login(token);
           b = true;
       }catch(IncorrectCredentialsException e){
           b = false;
       }
       System.out.println(b?"登录成功":"登录失败");
       /*
       *授权
       **/
       //判断是否有某个角色
       subject.hasRole("seller");

       //判断是否有某个权限
        subject.isPermitted("order-del");

05_Shiro的自定义Realm

/**
 * 1.创建一个类继承AuthorizingRealm类(实现了Realm接口的类)
 * 2.重写doGetAuthorizationInfo和doGetAuthenticationInfo方法
 * 3.重写getName方法返回当前realm的一个自定义名称
 */
public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserDao userDao;

    @Override
    public String getName() {
        return "myRealm";
    }

    /**
     * 获取授权数据:权限角色管理
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
   		 //获取用户的用户名
        Object username = principalCollection.getPrimaryPrincipal();
        //根据用户名查询当前用户的角色列表
        List<String> permissionList = userDao.findPermission(username.toString());
        //根据用户名查询当前用户的权限列表
        List<String> findList = userDao.findRole(username.toString());
        
        //将权限集合交给Shiro
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addStringPermissions(permissionList);
        simpleAuthorizationInfo.addRoles(findList);
        return simpleAuthorizationInfo;
    }

    /**
     * 获取认证的安全数据:登录
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //参数authenticationToken就是传递的  subject.login(token)
        // 从token中获取用户名
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
        String username = usernamePasswordToken.getUsername();
        //根据用户名,从数据库查询当前用户的安全数据
        UserInfo userInfo = userDao.findUserInfoByAccount(username);

        /**
         * 参数1:当前用户用户名
         * 参数2:从数据库查询出来的安全密码
         * 参数3:realm的唯一名称
         */
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userInfo.getAccount(),userInfo.getPassword(),getName());
        //将simpleAuthenticationInfo交给SecurityManager进行登录逻辑判断
        return simpleAuthenticationInfo;
    }
}
  • controller层
@RequestMapping("login")
    @ResponseBody
    public String login(String username,String password){
        try {
            UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
            //登录成功就不会有异常
            subject.login(usernamePasswordToken);
			//判断是否有某个权限
       		subject.isPermitted("administrator");
       		 //没有权限会报错,有权限就不报错
            subject.checkPermission("administrator");       
  	    }catch (AuthenticationException e) {
            e.printStackTrace();
        }
        return "success";
    }

06_Shiro的授权

  • 过滤器授权
    在Shiro过滤器中对请求的url进行权限设置

    filterMap.put("/add.html","perms[adm:f:save]");

//设置未授权访问的页面路径—当权限不足时显示此页面
filter.setUnauthorizedUrl("/login.html");

  • 注解授权
    配置Spring对Shiro注解的支持:ShiroConfig.java
    在请求的控制器添加权限注解

    @Controller
@RequestMapping("list")
public class CustomerController {

    @RequestMapping("save")
    //如果没有 adm:f:save 权限,则不允许执行此方法
    @RequiresPermissions("adm:f:save")
    //    @RequiresRoles("")
    public String list(){
        System.out.println("----------->查询客户信息");
        return "a";
    }

}

    通过全局异常处理,指定权限不足时的页面跳转

    @ControllerAdvice
public class GlobalExceptionHandler {
    @ExceptionHandler
    public String doException(Exception e){
        if(e instanceof AuthorizationException){
            return  "excep ";
        }
        return null;
    }	
}

  • 手动授权
    在代码中进行手动的权限校验

    Subject subject = SecurityUtils.getSubject();
if(subject.isPermitted("adm:f:save")){
    return "有权限";
}else{
    return "无权限";
}
  • HTML授权
    在菜单页面只显示当前用户拥有权限操作的菜单

07_Shiro的标签使用

当用户认证进入到主页面之后,需要显示用户信息及当前用户的权限信息;Shiro就提供了一套标签用于在页面来进行权限数据的呈现

Shiro提供了可供JSP使用的标签以及Thymeleaf中标签

  • JSP页面中引用:
    <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
  • Thymeleaf模版中引用:
    在pom.xml文件中导入thymeleaf模版对shiro标签支持的依赖
    <dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>
    在ShiroConfig中配置Shiro的
    @Configuration
public class ShiroConfig {

    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }
    //...
}
    Thymeleaf模版中引入shiro的命名空间
    <html xmlns:th="http://www.thymeleaf.org"
      xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
    ...
</html>

07-1_常用标签

  • guest,判断用户是否是游客身份,如果是游客身份则显示此标签内容
    <shiro:guest>
 ·····
</shiro:guest>
  • user,判断用户是否是认证身份,如果是认证身份则显示此标签内容
  • principal,获取当前登录用户名
    <shiro:user>
    用户[<shiro:principal/>]欢迎您!
</shiro:user>
  • hasRole,获取用户身份如果和name身份相等则显示此标签内容
    <shiro:hasRole name="admin">
·····
</shiro:hasRole>
  • hasPermission,获取用户权限如果和name权限相等则显示此标签内容
     <shiro:hasPermission name="adm:f:save">
	·····
 </shiro:hasPermission>

08_Shiro的配置

08-1_Shiro使用加密认证

敏感信息存储数据库时需要利用Shiro加密认证
在realm中加入MD5Hash等加密规则即可Shiro会自动进行加密认证

08-2_缓存使用

使用Shiro进行权限管理过程中,每次授权都会访问realm中的doGetAuthorizationInfo方法查询当前用户的角色及权限信息,如果系统的用户量比较大则会对数据库造成比较大的压力

Shiro支持缓存以降低对数据库的访问压力(缓存的是授权信息)

08-3_session管理

Shiro进行认证和授权是基于session实现的,Shiro包含了对session的管理

  • 如果需要对session进行管理
    • 自定义session管理器
    • 将自定义的session管理器设置给SecurityManager

08-4_记住我(rememberMe)

将用户对页面访问的权限分为三个级别:

  • 未认证
  • 记住我
  • 已认证

08-1_退出登录

  • 在Shiro过滤器中进行配置,配置logut对应的路径
    filterMap.put("/exit","logout");
  • 在页面的“退出”按钮上,跳转到logout对应的ur
    <a href="exit">退出</a>

08-1_Shiro多Realm配置

多个Realm的处理方式:

  • 链式处理(默认)
    多个Realm依次进行认证,有一个Realm为true则结果为true
  • 分支处理
    根据不同的条件从多个Realm中选择一个进行认证处理

Shiro的配置参考:
【Shiro】Shiro的MVC、SpringBoot整合配置及常用配置.
资料整合来自:Shiro官网.

TZGod
关注
专栏目录
SpringBoot 集成 Shiro 实现动态uri权限
04-22
**SpringBoot** 是一个简化Spring应用初始搭建以及开发过程的框架,它集成了大量常用的第三方库配置,如ORM、数据源、定时任务、缓存、API文档等,使得开发者可以快速地创建一个完整的基于Spring的项目。 **Shiro**...
Shiro - Shiro简介Shiro与Spring Security区别;Spring Boot集成Shiro
热门推荐
MinggeQingchun的博客
08-27 3万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 3599
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Shiro详解
最新发布
weixin_57356976的博客
08-11 604
在web.xml文件里配置shiro的过滤器shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</
shiro权限
天地无名
09-30 714
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
shiro入门
trasewell的博客
09-25 916
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro配置及使用
qq_45733154的博客
10-21 2970
Shiro,Springboot整合Shiro,Shiro实现登录拦截,Shiro实现用户认证,用户授权,Shiro整合Thymeleaf
SpringBoot整合Shiro【代码及SQL脚本】.rar
04-30
SpringBoot整合Shiro与MyBatis是现代Java Web开发中常用的一种安全权限管理方案。SpringBoot以其便捷的初始化和配置,使得快速构建应用成为可能,而Shiro则是一款轻量级的安全框架,提供了身份认证、授权、会话管理...
springmvc shiro
12-07
SpringMVC与Shiro是两个在Java Web开发中常用的框架,SpringMVC主要负责处理控制器层,而Shiro则是一个强大的安全认证与授权框架。它们的结合使用可以帮助开发者构建安全、高效的Web应用。 1. SpringMVC框架 ...
shiro常用jar包-1.2.2
12-19
在"shiro常用jar包-1.2.2"这个压缩包中,包含了Shiro框架1.2.2版本的核心组件和相关依赖,方便开发者快速集成到自己的项目中。 1. **Shiro框架概述** Apache Shiro的核心理念是简化安全管理,它将安全性分为三个...
项目演示:springboot整合shiro.zip
04-04
它集成了大量常用的第三方库配置,如数据源、JPA、MVC、安全等,通过“约定优于配置”的方式,使得开发者能够更专注于业务逻辑。 2. **Apache Shiro简介** Apache Shiro是一个强大的安全框架,主要提供身份认证...
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 5781
Shiro入门概述与基本使用
Shiro简介
hmj2181629495的博客
08-30 5862
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。...
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
shiro配置详解
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
08-24 2787
*Shiro 从 ****Realm 获取安全数据(如用户、角色、权限),****就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作.5.添加shiro与spring集成的配置文件application-shiro.xml。4.首先在web.xml中加入shiro过滤器。2.shiro架构的核心内容介绍。且其管理着所有Subject。7.自定义realm。
Shiro
小牧的博客
08-03 657
Shiro Apache旗下的一款安全权限框架 shiro可以完成:认证,加密,授权,会话管理,以及web集成, 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 Apache Shiro 特性 Apache Shiro是一个全面的、蕴含丰富功能的安全框架 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现`对用户访问系统的
权限管理框架 - Shiro
知行
04-09 2888
第一章 入门概述 1.1 是什么 Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架。Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。 官网:https://shiro.apache.org/ 1.2 为什么要用 Shiro 自 2003 年以来,框架格局发生了相当大的变化,因此今天仍然有很多系统在使用Shiro。这与 Shiro 的特性密
什么是Shiro
星空椰
02-16 2466
Shiro是一款功能强大且易于使用的 Java 安全框架,是实现安全认证和权限控制的必选框架之一一、Shiro是什么?使用Shiro的好处?
Shiro-全面详解(学习总结---从入门到深化)
12-01 2498
身份认证/登录。权限验证,即判断用户是否能在系统中做某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。提供测试支持。
Springboot+shiro权限框架实战教程与项目配置指南
- shiro-admin模块:该模块作为后台管理模块,主要用于对用户、角色、资源等进行管理和配置,实现权限控制的可视化操作。 3. 数据库表设计知识点 - sys_user表:存储用户数据信息,是整个系统的用户管理基础。 - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值