shiro原理/流程(前后端不分离)

已于 2022-11-22 12:37:22 修改
阅读量600 收藏
点赞数
分类专栏: Shiro 文章标签: shiro
于 2022-09-24 19:36:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sharesb/article/details/127029726
版权

1.整体流程

  1》subject 封装了用户名密码,用户权限,用户角色等信息

  2》securitymanager负责进行校验用户名密码,权限等操作

  3》realm,相当于securitymanager的数据源,去数据库查询,将权限,是否登录成功等信息提供给secutirymanager

流程如图

2.前后端不分离,代码实现

需要自定义realm   shiro配置类

1》shiro配置类

  配置securitymanager 使用自定义realm

  配置默认的ShiroFilterFactoryBean  设置拦截路径和权限 

package com.example.shiro78.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.sql.DataSource;
import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    @Autowired
    MyRealm myRealm;

    public MyRealm getmyrealm() {
//        myRealm.setCredentialsMatcher(getCredentialsMatcher());
        return myRealm;
    }

//    @Bean
//    public HashedCredentialsMatcher getCredentialsMatcher() {
        用来指定加密规则
//        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
//        matcher.setHashAlgorithmName("MD5");
//        matcher.setHashIterations(1);
//        return matcher;
//    }

    //配置thmymeleaf方言
    @Bean
    public ShiroDialect getshirodialect() {
        return new ShiroDialect();
    }

    //    创建securitymanager
    @Bean
    public DefaultWebSecurityManager getdefaultWebSecurityManager() {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
//        defaultWebSecurityManager.setCacheManager(getehacche());
        defaultWebSecurityManager.setRealm(getmyrealm());
        return defaultWebSecurityManager;
    }

    //    设置拦截器,作用是设定什么路径需要什么样的权限(未登录可访问的路径,登录后可访问的路径)
    @Bean
    public ShiroFilterFactoryBean shiroFilter(DefaultSecurityManager defaultSecurityManager) {
        ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean();
        filter.setSecurityManager(defaultSecurityManager);
        Map<String, String> filtermap = new HashMap<>();
//        anon匿名用户可以访问
//        authc 认证用户可以访问

//        user 使用rememberme的用户可以访问
//        perms 对应权限可以访问
//        role 对应的角色可以访问
//        注意注意!!!! 这里只是拦截的路径,还需要写控制器让路径对应页面
        filtermap.put("/", "anon");
        filtermap.put("/login", "anon");
        filtermap.put("/login.html", "anon");
        filtermap.put("/user/login", "anon");
        filtermap.put("/index.html", "anon");
//        filtermap.put("/dingdan/add", "anon");
        filtermap.put("/user/regist", "authc");
        filtermap.put("/regist", "anon");
        filtermap.put("/static/**", "anon");
        filtermap.put("/norenzheng", "anon");
//        新增订单权限
        filtermap.put("/dingdan/add", "perms[sys:x:save]");
        filtermap.put("/norenzheng.html", "anon");
        filtermap.put("/exit", "logout");
        filter.setFilterChainDefinitionMap(filtermap);
//        当访问autch的页面时,未登录,跳转的页面
        filter.setLoginUrl("/nologin");
//        当访问需要具体权限时,未登录,或者权限不足时跳转的页面
        filter.setUnauthorizedUrl("/norenzhenghuobuzu");
        return filter;
    }

    //配置注解管理权限 ,记住就好
    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(getdefaultWebSecurityManager());
        return authorizationAttributeSourceAdvisor;
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator autoproxycreator = new DefaultAdvisorAutoProxyCreator();
        autoproxycreator.setProxyTargetClass(true);
        return autoproxycreator;
    }

//    // 配置缓存管理  避免进行多次对数据库的查询
//    @Bean
//    public EhCacheManager getehacche() {
//        EhCacheManager ehCacheManager = new EhCacheManager();
//        ehCacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");
//        return ehCacheManager;
//    }

    @Autowired
    DataSource dataSource;

//    public JdbcRealm getjdbcrealm() {
//        JdbcRealm jdbcRealm = new JdbcRealm();
//        jdbcRealm.setDataSource(dataSource);
//        return jdbcRealm;
//    }
//
//    public IniRealm getiniRealm() {
//        IniRealm iniRealm = new IniRealm("E:\\java\\shiro\\shiro7.8\\src\\main\\resources\\Shiro.ini");
//        return iniRealm;
//    }


}

2》配置自定义realm

重写认证方法和查询权限角色方法

package com.example.shiro78.config;

import com.example.shiro78.dao.UserMapper;
import com.example.shiro78.pojo.User;
import com.example.shiro78.service.Checklogin;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;
import java.util.List;
import java.util.Set;

@Service
public class MyRealm extends AuthorizingRealm {
    @Autowired
    UserMapper userMapper;

    public String getrealmname() {
        return "MyRealm1";
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//        获取当前已经登录用户的用户名
        String uname = (String) principalCollection.iterator().next();
        Set<String> permissions = userMapper.querypermission(uname);
        Set<String> roles = userMapper.queryrole(uname);
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setStringPermissions(permissions);
        simpleAuthorizationInfo.setRoles(roles);
        System.out.println("角色是" + roles);
        System.out.println("权限是" + permissions);
//        将权限信息返回权限管理器
        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
        String uname = usernamePasswordToken.getUsername();
        User user = userMapper.checklogin(uname);
        if (user == null) {
            return null;
        }
        AuthenticationInfo info = new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(),  getrealmname());
//        将认证信息返回认证器
        return info;
    }
}

 1,2 5处的代码是 ShiroConfig 类的 ShiroFilterFactoryBean 的 filtermap.put("/...", "....");

   判断是否放行

 3处的代码是程序员自己调用的,如下

@Service
public class Checklogin {
    public void checklogin(String username,String password) throws Exception
    {
        UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken(username,password);
        Subject subject= SecurityUtils.getSubject();
        subject.login(usernamePasswordToken);
    }
}

4处的代码是在controller层添加注解

    //需要某个权限才可以访问
   @RequiresPermissions("sys:x:delete")
    @ResponseBody
    @RequestMapping("/dingdan/del")
    public String deldingdan() {
        return "具有删除订单权限";
    }
     //需要某个角色才可以访问
    @RequiresRoles("cmanager")
    @ResponseBody
    @RequestMapping("/cmanager")
    public String cmanager() {
        return "具有cmanager角色";
    }

    //  需要登录后才可以访问
    @RequiresAuthentication
    @ResponseBody
    @RequestMapping("/login")
    public String testerror() {
        return  "登录成功";
    }

仰望星空的快乐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
构建安全可靠的应用程序:深入解读Shiro基本原理,实现身份认证与权限控制的利器
资料免费分享,点击名片
11-11 50
使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,特别是今天对权限校验和管理特别严格,大家有必要对shiro有一个基本的认识和学习。推荐了解java培训课程。Realms:Realms作为Shiro和你的应用的连接桥,当需要与安全数据交互的时候,像用户账户,或者访问控制,Shiro就从一个或多个Realms中查找。Shiro提供了一些可以直接使用的Realms,如果默认的Realms不能满足你的需求,你也可以定制自己的 Realms。
shiro将session认证改成token认证_Shiro 运行过程
weixin_42438410的博客
01-19 1399
什么是shiroshiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权、 shiro架构subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。securityManager:安全管理器,主体进行认证和授权都是通过securityManager进行。authenticator:认证器,主体进行认证最终通过authenticator...
Shiro原理剖析
m0_67403013的博客
08-24 191
perms:/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms[“user:add:*,user:modify:*”],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法;user:/admins/user/**=user,没有参数,表示必须存在用户, 身份认证通过或通过记住我认证通过的可以访问,当登入操作时不做检查;
Shiro反序列化原理及完整复现流程Shiro-550/Shiro-721)
最新发布
Continuejww的博客
09-27 559
Apache Shiro是一个强大且易用的**Java安全框架,**能够用于身份验证、授权、加密和会话管理。Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
shiro原理及其运行流程介绍
m0_67403076的博客
08-24 693
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。使用shiro实现系统的权限管理,有效提高开发效率,从而降低开发成本。
shiro的执行流程
liaodaer的博客
08-06 138
https://my.oschina.net/xiaoqiyiye/blog/1620366
shiro框架的基本工作流程
Dragon_King的博客
03-22 3246
当用户前台登录发起请求时: 1.从shiro中获取subject主体 SecurityUtils.getSubject(); 2.判断当前用户是否认证过了,如果认证过了就放行了 subject.isAuthenticated() 3.如果没有认证过,就把前台传递的账号密码封装为一个UserNamePasswordToken对象, new UsernamePasswordToken(username...
Shior的执行流程
weixin_68107783的博客
03-14 518
主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;即控制着用户能访问应用中的哪些功能;
shiro流程
~
04-26 2650
FormAuthenticationFilter资料 Shiro登录成功之后跳到指定URL  1.web.xml里配置(ShiroFilter入口) shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
shiro整合springboot前后端分离
08-25
主要介绍shiro整合springboot前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Shiro+Cas微服务化及前后端完全分离
08-25
主要为大家详细介绍Shiro+Cas微服务化及前后端完全分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Shiro+Vue实现前后端分离项目解决方案.pdf
05-14
Shiro+Vue实现前后端分离项目解决方案
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
主要介绍了Springboot+Vue+shiro实现前后端分离、权限控制的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
shiro执行流程
散步的博客
11-06 813
1、通过ini配置文件创建securityManager 2、调用subject.login方法主体提交认证,提交的token 3、securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证。 4、ModularRealmAuthenticator调用IniRealm(给realm传入token) 去ini配置文件中查
SHIRO运行流程
MorePowerful的博客
06-05 311
主体提交请求,到Security Manager,它会掉Authenticator来做认证,紧接着,Authenticator通过relams来获取认证信息,从数据库中获取,然后和主体提交过来的认证信息来做比对。权限也一样。 Security Manager是用来提供安全服务的,首先要进行创建 ...
shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6084
1、shiro架构图 shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
shiro整体流程
Jay的博客
07-29 1316
先摆出一套常规快速入门的shiro点的认证授权. 在pom文件中导入jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> 配置ShiroConfig: @Configuration
shiro前后端分离
09-05
是的,"shiro前后端分离"是一种常见的应用架构模式。Shiro是一个用于身份验证、授权和会话管理的Java开源框架。在前后端分离的架构中,前端和后端分别独立开发,通过API进行通信。在这种模式下,Shiro通常被用于后端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值