Shiro学习

最新推荐文章于 2024-07-16 16:29:04 发布
最新推荐文章于 2024-07-16 16:29:04 发布
阅读量125 收藏
点赞数
分类专栏: java 文章标签: java shiro spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/robin912/article/details/80024751
版权

Shiro学习

什么是Shiro

Shiro是一个安全框架,可以用于认证(Authentication),鉴权(Authorizetion),加密和会话管理。

Shiro的三大核心组件

  1. Subject :当前用户的操作
  2. SecurityManager:用于管理所有的Subject
  3. Realms:用于进行权限信息的验证

Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,也可以是第三方进程、后台账户(Daemon Account)或其他类似事物。

SecurityManager:即所有Subject的管理者,这是Shiro框架的核心组件,可以把他看做是一个Shiro框架的全局管理组件,用于调度各种Shiro框架的服务。

Realms:Realms则是用户的信息认证器和用户的权限人证器,我们需要自己来实现Realms来自定义的管理我们自己系统内部的权限规则。

Shiro的登录认证流程

使用的subject.login(usernamePasswordToken)完成登录。完成登录后,subject虽然为Shiro库里的实现,
但是subject.getPrincipal()返回的数据类型却为用户的自定义类型UserInfo2?

下面为业务侧登录代码:

@PostMapping("/loginUser")
public String loginUser(@RequestParam("login_name") String login_name,
@RequestParam("password") String password
, HttpSession session, Model model) {
    try {
        System.out.println("loginUser: " + login_name + ":" + password);
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(login_name, password);
        Subject subject = SecurityUtils.getSubject();
        subject.login(usernamePasswordToken); //完成登录
        UserInfo2 user = (UserInfo2) subject.getPrincipal();
        session.setAttribute(Constant.CURRENT_USER, user);
        return "redirect:index";
    } catch (Exception e) {
        model.addAttribute("result", "用户名或密码错误");
        return "html/login";
    }
}

Shiro的认证流程源代码查看

在前面登录时,会传入认证令牌token(传入的为UsernamePasswordToken), 再看UsernamePasswordToken类的实现,token.getPrincipal()返回的为username。 之后产生新对象SimpleAuthenticationInfo, 传入的第一个参数为UserInfo2的对象,作为principal存储在内部,所以上面subject.getPrincipal()获取的对象为UserInfo2对象,SimpleAuthenticationInfo中保存的是数据库中正确的user和password。并返回新产生的authenticationInfo。那么登录的用户名密码和数据库的用户名密码是在哪里比对的呢?

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    String loginname = (String) token.getPrincipal();

    UserInfo2 user = userService.findByLoginName(loginname);

    if (user == null) {
        throw new UnknownAccountException();//没找到帐号
    }

    SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, //用户
            user.getPassword(), //密码
            getName() //realm name
    );
    return authenticationInfo;
}

在AuthenticatingRealm中, 有doGetAuthenticationInfo函数上层函数调用流程
代码:

    public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            //otherwise not cached, perform the lookup:
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }

继续跟进代码,在assertCredentialsMatch内部有调用HashedCredentialsMatcher::doCredentialsMatch

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenHashedCredentials = hashProvidedCredentials(token, info);
        Object accountCredentials = getCredentials(info);
        return equals(tokenHashedCredentials, accountCredentials);
    }

在这里可以看到根据数据库查询结果info和页面传入值token对比。

在Shiro配置代码中有配置密码比对管理器

    @Bean(name = "hashedCredentialsMatcher")
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        log.info("hashedCredentialsMatcher()");
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

        hashedCredentialsMatcher.setHashAlgorithmName("MD5");// 散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(1024);// 散列的次数,比如散列两次,相当于
        // md5(md5(""));

        return hashedCredentialsMatcher;
    }
robin912
关注
专栏目录
ShiroSubject对象详解
和我一起学习吧
03-29 4万+
什么是Subject对象通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。如何获得Subject对象首先创建一个初始化文件shiro.ini[users] root=123,admin,person manage=123,campaign [roles] admin=* person = xia...
shiro学习
hadet的博客
01-22 912
文章目录1.定义:1.1 权限管理:1.2 关于shiro:2.身份认证:2.1 编写代码: 1.定义: 1.1 权限管理: 分类:shiro(Apache) 和 springsecurity 定义:属于系统安全的范畴,实现对用户访问系统的控制,按照安全规则控制用户可以访问且只能访问自己被授权的资源。 包括:身份认证(Authenticator) 和 授权(Authorizer) 1.2 关于shiroshiro官网:https://shiro.apache.org/ shiro的核心架构图 重要部
Shiro学习笔记
SIMBA1949的博客
06-28 458
Shiro学习笔记 前言 版本说明 shiro=1.5.3 相关链接 Shiro 官网:http://shiro.apache.org/ Shiro maven 地址:https://mvnrepository.com/artifact/org.apache.shiro/shiro-core shiro-spring-boot-starter maven 地址:https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring-boot-st
shiro学习笔记
baidu_23241875的博客
04-28 130
初印象 作为一个要转后端的人,不了解安全框架怎么能行呢,最近看了些web项目很多都使用shiroshiro到底好在哪里呢? 本篇博客仅作为个人的shiro学习历程记录。很多内容参考张开涛先生的《跟我学shiro教程》,侵删。 shiro给人的印象是一个简单实用的安全框架,相比于Spring Security,没有那么强大的功能(强大在哪里还需要去学习!)。shiro提供了认证、授权、加密、会...
shiro 学习
web18536560468的博客
08-24 345
shiro的认证和授权都是通过realm取数据然后对比比。
Apache Shiro 学习
web15870359587的博客
04-29 548
http://www.ibm.com/developerworks/cn/web/wa-apacheshiro/?cmp=dwnpr&cpb=dw&ct=dwcon&cr=cn_Chinabyte_dr&ccy=cn Apache Shiro 是一个框架,可用于身份验证和授权。本文提供了几个示例用来展示如何在 Java 应用程序中使用 Shiro 并给出了如何在一个 Grails web 应用程序中使用它的概述。为了从本文中最大限度地受益,您应该习惯于创建 Java 应用程序
Shiro 学习系列
qq_43654581的博客
03-19 324
shiro 学习系列
Shiro 学习总结
最新发布
制定持续可量化的目标,不断坚持。
07-16 765
Shiro 学习总结
shiro学习示例
02-07
在"shiro学习示例"中,我们可以深入理解Shiro的核心概念和实际应用。 1. **Shiro基本概念** - **认证**:确认用户身份的过程,即用户输入用户名和密码,系统通过验证来确认用户的身份。 - **授权**:确定用户是否...
shiro 学习资料
12-27
学习 Apache Shiro 的过程中,你需要理解它的核心组件、配置方式以及如何与具体应用结合。Shiro 的灵活性和易用性使其成为 Java 开发者处理安全问题的首选工具之一。通过深入学习和实践,你可以更好地掌握这个框架...
shiro学习源码与资料
02-24
这个压缩包包含的资源是关于Shiro学习的源码和课件,适合对Java安全有兴趣或者正在学习Shiro的开发者。 首先,我们来深入理解Shiro的核心概念: 1. **身份认证(Authentication)**:这是验证用户身份的过程。...
springmvc + thymeleaf中ajax get请求
robin912的专栏
06-17 7565
Ajax请求简单实现 在spring boot + thymeleaf环境下,利用thymeleaf的fragments模板,实现Ajax请求. 主页面block <!DOCTYPE html> <html lang="en" xmlns:th="http://www.w3.org/1999/xhtml"> <head> <meta c...
Shiro实现jwt验证流程梳理
robin912的专栏
05-29 7365
Shiro实现jwt验证流程梳理 Shiro jwt实现 jwt验证原理 由于业务需要用到jwt验证,需要把实现的用户密码验证方式修改为jwt的验证方式. 在把之前的登录流程修改为jwt验证时,是省略掉了shiro内部的login步骤和session管理 代码修改如下: - Subject subject = SecurityUtils.getSubject(); -...
java泛型接口
robin912的专栏
04-14 5165
java泛型接口 泛型接口 格式: 访问权限 interface 接口名<泛型标示>{} interface Info<T>{ public T getValue(); } class InfoImpl implements Info { public String getVar() { return null; } }...
java中类可见性修饰符
robin912的专栏
05-26 4978
java中类可见性修饰符 public 所有可见 private 仅对本类可见 protected 本包和子类可见 default 本包可见(没有修饰符)
jmap内存分析
robin912的专栏
09-01 4149
jmap内存分析 在遇到jvm内存泄漏问题(java heap space),如果需要借助工具分析内存,可以使用jmap。 测试代码: public class HeapStats { public static void main(String[] args) { List<TestCase> cases = new Array...
Spring实战学习笔记-SpringMVC
robin912的专栏
04-23 795
使用idea搭建spring项目 idea创建spring项目 需要idea ultimate版本,使用社区版本不支持spring开发 项目支持maven pom.xml常用配置 spring相关 <!-- https://mvnrepository.com/artifact/org.springframework/spring-core --> &lt...
Shiro权限管理框架学习笔记
"Shiro学习心得与应用" Apache Shiro 是一个强大且易用的Java安全框架,主要用于身份验证、授权、会话管理和加密等安全相关功能。在学习Shiro的过程中,我们可以了解到它的一些核心概念和常见应用场景。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值