Shiro 源码流程简解

最新推荐文章于 2022-09-24 19:36:08 发布
最新推荐文章于 2022-09-24 19:36:08 发布
阅读量240 收藏 2
点赞数
分类专栏: Shiro 文章标签: java shiro spring redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shizhiqian0021/article/details/107253079
版权

首先,先上一个 Demo :

Demo 链接 :ShiroDemo

pom.xml

	<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.2.RELEASE</version>
        <relativePath/>
    </parent>
	<dependencies>
		// Spring MVC 项目
		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        // 这里我们将 Shiro 的部分缓存放到 Redis 中
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        // 引入 shiro-spring 依赖
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.5.3</version>
        </dependency>
    
    </dependencies>

然后,我们创建一个 ShiroConfig 类:

ShiroConfig.class

@Component
public class ShiroConfig {
	// Spring 集成 Shiro 时,通过 ShiroFilterFactoryBean 来实现
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 设置默认的 安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 设置登录页
        shiroFilterFactoryBean.setLoginUrl("/login.html");
        // 设置登陆成功后的跳转页面
        shiroFilterFactoryBean.setSuccessUrl("/index.html");
        // 设置未授权页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/error.html");
        // 添加 拦截器链
        Map<String, String> filterChainMap = new LinkedHashMap<>();
        filterChainMap.put("/login.html", "anon");
        filterChainMap.put("/login", "anon");
        filterChainMap.put("/error.html", "anon");
        filterChainMap.put("/*", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
        return shiroFilterFactoryBean;
    }
	
	// 声明 默认的 安全管理器 Bean,这里我们使用 DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public SecurityManager securityManager(Realm realm,SessionManager sessionManager) {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        // Shiro 中进行认证与授权的操作是通过我们自定义的 Realm 接口的实现来完成的
        defaultWebSecurityManager.setRealm(realm);
        // 因为我们会将 session 信息缓存到 Redis 中,所以,我们需要自定义一个 Session Bean
        defaultWebSecurityManager.setSessionManager(sessionManager);
        return defaultWebSecurityManager;
    }
    
    // 声明一个 Session 管理器 Bean,Session 管理器底层是通过 SessionDAO 来进行 CRUD 操作,所以,我们声明的 Session 管理器中,需要传入我们自定义的 SessionDAO 
    @Bean
    public SessionManager sessionManager(SessionDAO sessionDAO) {
        DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
        defaultWebSessionManager.setSessionDAO(sessionDAO);
        return defaultWebSessionManager;
    }
	
	// 将我们自定义的 RedisSessionDAO 声明为一个 Bean
    @Bean
    public SessionDAO sessionDAO(RedisTemplate redisTemplate) {
        RedisSessionDAO sessionDAO = new RedisSessionDAO();
        sessionDAO.setRedisTemplate(redisTemplate);
        return sessionDAO;
    }

}

MyRealm.class

@Component
public class MyRealm extends AuthorizingRealm {
    @Autowired
    RedisTemplate redisTemplate;

    //授权登录用户
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            throw new AuthorizationException("principals should not be null");
        }
        User user = (User) principals.getPrimaryPrincipal();


        Object userJson = redisTemplate.opsForValue().get(user.getUserName());
        User object = JSONUtil.getObject(userJson.toString(), User.class);

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setRoles(object.getRoles());

        return simpleAuthorizationInfo;
    }

    // 用户登录认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;

        User user = (User)redisTemplate.opsForValue().get(usernamePasswordToken.getUsername());
        if (user == null) {
            throw new UnknownAccountException();
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                usernamePasswordToken.getUsername(),
                user.getPassWord(),
                null,
                getName()
        );
        return authenticationInfo;
    }
}

RedisSessionDAO.class

public class RedisSessionDAO extends AbstractSessionDAO {

    private final static Logger log = LoggerFactory.getLogger(RedisSessionDAO.class);


    RedisTemplate redisTemplate;

    public void setRedisTemplate(RedisTemplate redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    private final static String SHIRO_SESSION_PREFIX = "shiro-session:";


    @Override
    protected Serializable doCreate(Session session) {
        Serializable serializable = generateSessionId(session);
        assignSessionId(session, serializable);
        redisTemplate.opsForValue().set(SHIRO_SESSION_PREFIX + session.getId(), session);
        setExpire(SHIRO_SESSION_PREFIX + session.getId(), null);
        return serializable;
    }

    @Override
    protected Session doReadSession(Serializable sessionId) {
        SimpleSession json = (SimpleSession) redisTemplate.opsForValue().get(SHIRO_SESSION_PREFIX + sessionId);
        Session session = null;
        if (json != null) {
            session = json;
        }
        return session;
    }

    @Override
    public void update(Session session) throws UnknownSessionException {
        SimpleSession json = (SimpleSession) redisTemplate.opsForValue().get(SHIRO_SESSION_PREFIX + session.getId());
        if (json != null) {
            redisTemplate.opsForValue().set(SHIRO_SESSION_PREFIX + session.getId(), session);
            setExpire(SHIRO_SESSION_PREFIX + session.getId(), null);
        } else {
            throw new UnknownSessionException("not find sessionId : " + session.getId().toString() + " ");
        }
    }

    @Override
    public void delete(Session session) {
        redisTemplate.delete(SHIRO_SESSION_PREFIX + session.getId());
        log.info("delete session success;sessionId: {}", session.getId());
    }

    @Override
    public Collection<Session> getActiveSessions() {
        Set<String> keys = redisTemplate.keys(SHIRO_SESSION_PREFIX);
        List<Session> list = new LinkedList<>();
        if (CollectionUtils.isEmpty(keys)) {
            return list;
        }
        Iterator<String> iterator = keys.iterator();
        while (iterator.hasNext()) {
            String next = iterator.next();
            SimpleSession json = (SimpleSession) redisTemplate.opsForValue().get(next);
            list.add(json);
        }
        return list;
    }

    private void setExpire(String keyName, Integer timeOut) {
        if (timeOut == null){
            timeOut = 60 * 30;
        }
        redisTemplate.expire(keyName, timeOut, TimeUnit.SECONDS);
    }

}

登录 Controller

LoginController.class

@Controller
@RequestMapping("/")
public class LoginController {

    @RequestMapping(value = "login" ,method = RequestMethod.POST)
    @ResponseBody
    public String login(User user) {
        //添加用户认证信息
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(
                user.getUserName(), user.getPassWord()
        );
        try {
            //进行验证,这里可以捕获异常,然后返回对应信息
            subject.login(usernamePasswordToken);
        } catch (ShiroException e) {
            e.printStackTrace();
            return "fail";
        }
        return "success";
    }

    @RequestMapping(value = "logout",method = RequestMethod.GET)
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "/logout.html";
    }

}

之后,便可以进行使用了,使用时,需现在 Redis 中缓存一条用户信息,因为我们这里是 MyRealm 中登录认证和授权时的操作都是通过去 Redis 中获取拿到的。

@RunWith(SpringJUnit4ClassRunner.class)
@SpringBootTest
public class LoginControllerTest {
    private User user;

    @Autowired
    RedisTemplate redisTemplate;

    @Before
    public void before() {
        user = new User();
        user.setUserName("sunwukong");
        user.setPassWord("123456");
        user.setId(ShiroUtil.UUID());
        Set<String> hashSet = new HashSet<>();
        // 这里我设置了两个 角色 admin 和 user
        hashSet.add("admin");
        hashSet.add("user");
        user.setRoles(hashSet);
        redisTemplate.opsForValue().set(user.getUserName(), user);
    }

    @Test
    public void index() {
        System.out.println("123");
    }
}

然后,便可以进行登录了。

下面来一起看一下 Shiro 运行的原理:
在这里插入图片描述
上面这张图,大家应该都很熟悉, 每个客户端进行操作时,对于 Shiro 来说,都是一个 Subject 主体,当请求发到后端后,Shiro 通过 SecurityManager 来对 Subject 主体 进行认证、授权等操作。通过实现自定义的 Realm 来实现对认证、授权信息的自定义操作。 对于新人,只需要先记住这些,剩下的 SessionManager 、CacheManager、Cryptography 等对 Shiro 的整个流程有了基本理解后,再来看会很容易明白。

我们已经知道,Shiro 是通过 SecurityManager 来对每一个请求的 Subject 来进行认证等处理,所以,我们来关注 SecurityManager ;Shiro 中,SecurityManager 的继承结构如下:
在这里插入图片描述
一般的默认实现是:DefaultSecurityManager 这个类,由于我们是 Web 程序,所以,在创建 SecurityManager Bean 时,我们使用 DefaultWebSecurityManager 作为默认实现,然后,关键的地方是:我们需要自定义认证、授权方式,所以,我们需要实现自定义的 Realm ,然后将其放到 SecurityManager Bean 中;然后我们来看 Realm 接口的实现:
在这里插入图片描述
其中 AuthenticatingRealm 和 AuthorizingRealm 这两个抽象类为登录认证、授权 的两个组件,所以,如果要实现,自定义的 Realm ,我们需要继承 AuthorizingRealm 这个抽象类,然后实现对应的 doGetAuthorizationInfo(…) 授权、doGetAuthenticationInfo(…) 认证 两个方法。

配置完 Realm 后,下面来看一下 Shiro 的过滤器链,过滤器链的作用是为了实现对后台项目资源根据权限或者认证来进行展示或者部分展示设置,首先,来看一下 Shiro 的过滤器类的继承结构图:
在这里插入图片描述
Shiro 中 提供的默认的各级别使用的拦截器在 DefaultFilter 这个类中可以找到:

DefaultFilter.class

public enum DefaultFilter {
	// 不用认证,开放资源,使用该拦截器
    anon(AnonymousFilter.class),
    // 登录认证后的用户才可以访问的资源
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    authcBearer(BearerHttpAuthenticationFilter.class),
    // 退出时的拦截器
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    // 权限拦截器
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    // HTTP 方法级别权限拦截器
    rest(HttpMethodPermissionFilter.class),
    // 角色拦截器
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);

    ...
}

上图为 shiro-web 包下提供的各级别拦截器的默认实现类,通过这些默认拦截器与 上图中的 Filter 类继承结构图可以看出,进行权限过滤的一些过滤器实现,大多是继承自 PathMatchingFilter;这是因为:Web 资源的访问是基于路径来实现的,所以,在访问 Web 资源时,Shiro 的过滤器会进行路径解析,当访问路径资源的 Subject 用户与我们配置的权限级别相匹配时,放行,否则,不允许用户访问。

在 Shiro 与 Spring 框架集成时,是通过 ShiroFilterFactoryBean 这个类来完成对 Shiro 的一系列配置,当我们在声明 Bean 时完成一些基础配置后,最终,是通过 SpringShiroFilter 来进行具体的拦截与放行。

ShiroFilterFactoryBean.class
    
protected AbstractShiroFilter createInstance() throws Exception {
		// 获取到我们声明 ShiroFilterFactoryBean 时,向其中放入的 securityManager
        SecurityManager securityManager = getSecurityManager();
        if (securityManager == null) {
            String msg = "SecurityManager property must be set.";
            throw new BeanInitializationException(msg);
        }
		// 必须是 WebSecurityManager 类型;因为是 Web 项目
        if (!(securityManager instanceof WebSecurityManager)) {
            String msg = "The security manager does not implement the WebSecurityManager interface.";
            throw new BeanInitializationException(msg);
        }
		// 创建拦截器链管理器
        FilterChainManager manager = createFilterChainManager();
		// 将其放入 路径匹配过滤器链解析器中
        PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
        chainResolver.setFilterChainManager(manager);
		// 将 securityManager 和 chainResolver 放入 SpringShiroFilter 中,进行返回
        return new SpringShiroFilter((WebSecurityManager) securityManager, chainResolver);
    }

在 Filter 类继承结构中可以看到:SpringShiroFilter 继承自 AbstractShiroFilter ;而所有的过滤行为都发生在 AbstractShiroFilter#doFilterInternal(…) 方法中,下面为 doFilterInternal(…) 方法的关键部分代码:

AbstractShiroFilter.class

protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain)
            throws ServletException, IOException {
			...
			// 创建一个 Subject 
            final Subject subject = createSubject(request, response);
            //当前 Subject 执行过滤器链,进行过滤
            subject.execute(new Callable() {
                public Object call() throws Exception {
                    updateSessionLastAccessTime(request, response);
                    // 注意这里
                    executeChain(request, response, chain);
                    return null;
                }
            });
           ....
    }


protected void executeChain(ServletRequest request, ServletResponse response, FilterChain origChain)
            throws IOException, ServletException {
    	// 获取到对应的过滤器链,根据 访问的路径与 创建 ShiroFilterFactoryBean 时,其中添加的 filterChainDefinitionMap 集合的 key 进行 匹配
        FilterChain chain = getExecutionChain(request, response, origChain);
    	// 执行过滤
        chain.doFilter(request, response);
    }

protected FilterChain getExecutionChain(ServletRequest request, ServletResponse response, FilterChain origChain) {
        FilterChain chain = origChain;
		// 创建 ShiroFilterFactoryBean 时,其中添加的 filterChainDefinitionMap 与 filters 会被依次放到 DefaultFilterChainManager 类型对象中,该对象会被放到 PathMatchingFilterChainResolver 路径匹配过滤器链解析器中
    	// 这一步会获取到对应在创建 ShiroFilterFactoryBean 创建的 PathMatchingFilterChainResolver 对象
        FilterChainResolver resolver = getFilterChainResolver();
        ...
        // 根据请求的路径进行匹配,获取到对应的拦截器链
        FilterChain resolved = resolver.getChain(request, response, origChain);
		...
        return chain;
    }

PathMatchingFilterChainResolver.class

public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {
        FilterChainManager filterChainManager = getFilterChainManager();
        ...
        // 获取到请求的 URL 路径
        String requestURI = getPathWithinApplication(request);
        ...
        // 循环过滤器链集合 的 key 
        // 这里的 filterChainManager 对应的即是我们的 Demo 例子中声明 shiroFilterFactoryBean Bean 时,向其中添加的 filterChainDefinitionMap
        // 即:
        // 添加 拦截器链
        // Map<String, String> filterChainMap = new LinkedHashMap<>();
        // filterChainMap.put("/login.html", "anon");
        // filterChainMap.put("/login", "anon");
        // filterChainMap.put("/error.html", "anon");
        // filterChainMap.put("/*", "authc");
        // shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
        for (String pathPattern : filterChainManager.getChainNames()) {
            ...
            // key 与 请求的路径进行匹配
            if (pathMatches(pathPattern, requestURI)) {
                ...
                // 路径匹配,则执行对应的过滤
                return filterChainManager.proxy(originalChain, pathPattern);
            }
        }
        return null;
    }

Shiro 进行权限过滤的流程大致就是这样,下面来看 SessionManager 的实现:

上面说到,securityManager 对象持有一个 sessionManager,sessionManager 持有一个 sessionDAO ;所有对 sessionManager 的操作,都委托给其持有的 sessionDAO 对象来完成,所以,我们在实际的使用中,只需要创建一个自定义的 sessionDAO 对象即可;上面Demo 中我们创建的基于 Redis 实现的 sessionDAO ,所有的 CRUD 操作都是对 Redis 进行的。

SessionManager 与 SessionDAO 关系如下:
在这里插入图片描述
在 Shiro 集成 Spring 项目中,我们使用的是 DefaultWebSessionManager ,其父类 DefaultSessionManager 中持有一个 sessionDAO 对象,所有的 CRUD 即通过它来完成。

Shiro 的大致执行流程如下,如果想要实现自定义的 Filter ,则需要将自定义 Fitter 实现对应的 Filter 接口,可参考上面 Filter 继承结构图;然后在声明 ShiroFilterFactoryBean Bean 时,设置其的 filters 属性即可:

ShiroFilterFactoryBean .class

private Map<String, Filter> filters;

然后在其后设置 filterChainDefinitionMap 时,put 时的 value 对应 filters 中对应 Filter 的 key,filterChainDefinitionMap 中 put 的 key 为 路径。然后,在自定义的 Filter 中根据过滤级别,实现对应的父类方法,这里不做详细介绍,有兴趣可根据上面提供的 Filter 继承结构图翻看对应类的源码。

shizhiqian0021
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro 视频教程+源码+课件
08-29
Apache Shiro 是目前使用率较高的一个 Java 安全框架。本视频基于 Shiro 的新版本 1.3.2 录制。内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术。视频讲授过程中通过分析源代码使学员知其然更知其所以然。 【课程内容】 第一章 问候 Shiro 他大爷 1.Shiro 简介 2.ShiroHelloWorld 实现 第二章 身份认证 1.Subject 认证主体 2.身份认证流程 第三章 权限认证 1.权限认证核心要素 2.授权 3.Permissions 对权限深入理解 4.授权流程 第四章 集成 Web 1.Shiro 集成 Web 配置 2.Shiro 集成 Web 具体使用 3.Shiro 标签使用 4.Shiro 会话机 5.自定义 Realm 第五章 加密 1.shiro 加密解密 2.shiro 加密应用
shiro——认证原理(源码流程
dgh112233的博客
08-27 1150
目录 1. Subject 的本质 1.1 login( token ) 登录 1.1.1this.clearRunAsIdentitiesInternal() 解析 ——1 1.1.2this.securityManager.login(this, token) 解析 ——2 1. Subject 的本质 一般我们用下面的语句进行登录认证,没有抛出异常就是验证成功。 S...
Shiro源码(三)——Spring整合Shiro启动流程源码分析
敲代码的小小酥的博客
01-02 613
一、ShiroFilterFactoryBean源码分析 Spring整合shiro后,shiro是通过ShiroFilterFactoryBean加入到Spring容器中的,下面看其源码: public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor 可以看到,它实现了FactoryBean接口和BeanPostProcessor接口。下面看这两个接口的实现方法: public Object getObject
shiro源码分析(一)--大致流程
seasonLai的博客
01-03 3749
去GitHub搜索shiro,克隆源码,然后会看到里面有samples模块,先从quickstart看起 一、例子源码 首先是配置文件shiro.ini [users] root = secret, admin guest = guest, guest presidentskroob = 12345, president darkhelmet = ludicrousspeed, darklord,...
shiro将session认证改成token认证_Shiro 运行过程
weixin_42438410的博客
01-19 1397
什么是shiroshiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权、 shiro架构subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。securityManager:安全管理器,主体进行认证和授权都是通过securityManager进行。authenticator:认证器,主体进行认证最终通过authenticator...
shiro原理/流程(前后端不分离)
sharesb的博客
09-24 596
3》realm,相当于securitymanager的数据源,去数据库查询,将权限,是否登录成功等信息提供给secutirymanager。2》securitymanager负责进行校验用户名密码,权限等操作。1》subject 封装了用户名密码,用户权限,用户角色等信息。
shiro使用流程及原理
loyli的博客
09-27 1965
1、核心介绍 1)Application Code用户编写代码 2)Subject就是shiro管理的用户 3)SecurityManager安全管理器,就是shiro权限控制核心对象,在编程时,只需要操作Subject方法,底层调用SecurityManager方法,无需直接编程操作SecurityManager 4)Realm应用程序和安全数据之间连接器,
shiro源码(二)——login方法源码解读
敲代码的小小酥的博客
12-31 3360
一、shiro认证流程源码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
第一章 Shiro简介——《跟我学Shiro
jinnianshilongnian的专栏
02-19 3387
  扫一扫,关注我的公众号    我的新书 购买地址   目录贴: 跟我学Shiro目录贴   1.1  简介 Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的...
shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6055
1、shiro架构图 shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
尚硅谷Shiro视频教程
02-17
尚硅谷_Shiro_源码、课件 · 01.尚硅谷_Shiro_简介 · 02.尚硅谷_Shiro_HelloWorld · 03.尚硅谷_Shiro_集成 Spring · 04.尚硅谷_Shiro_工作流程(1) · 05.尚硅谷_Shiro_DelegatingFilterProxy · 06. 尚硅谷...
基于Springboot和Shiro的权限管理系统设计源码
04-09
权限管理系统 - 基于Springboot和Shiro开发,包含127个文件,如JAVA、FTL、PNG、XML、JS、GITIGNORE、LICENSE、MD、SQL和YML等。...该系统流程详细、代码干净、配置简单,非常适合初学者上手学习。
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro版本时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的...
基于SSM+Shiro+Layui的后台权限管理系统设计源码
最新发布
04-14
本项目是基于SSM+Shiro+Layui的后台权限管理系统设计源码,共有680个文件,包括176个CSS文件、147个PNG图像文件等。系统采用SSM框架、Shiro权限控制、Layui前端框架和Easyui前端组件,以Maven为项目管理工具。该系统...
shiro——授权原理(源码流程
dgh112233的博客
08-29 940
目录 1. 授权入口 2. 源码追踪 1. 授权入口 subject.isPermitted(url); 这就是入口,如果用户有这个url权限,那么就返回true,如果没有,则返回false。 2. 源码追踪 由于我们的Subject默认是由DelegatingSubject 类实现的,所以调用的是DelegatingSubject类的isPermitted(String url...
SpringBoot整合Shiro
WDH_05的博客
12-06 325
1,前言 在以往的权限管理中,我们的权限管理通常是有以下几个步骤: 创建用户,分配权限。 用户登录,权限拦截器拦截请求,识别当前用户登录信息 从权限表中判断是否拥有权限 从以上步骤中可以提取到以下三个问题。 1.如何让Shiro拦截请求。     在web开发中,Shiro会提供一个拦截器来对请求进行拦截。 2.Shiro如何判断发起请求用户的身份?     在web开发中,会借助session来判断,如果禁用了
Shiro源码解析(持续更新中)
yuhelve3308的博客
09-24 1730
Shiro安全框架学习心得(源码分析) 概述 ​ shiro(http://shiro.apache.org/)是apache公司推出的一款轻量级开源安全框架。它支持身份验证,授权,加密和会话管理。Shiro提供易于理解的API,在项目整合时较为轻松。目前Shiro在国内的软件公司中使用较为广泛,是一个值得学习的框架。 一、基础概念 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
shiro流程
qq_39158582的博客
04-19 202
金博文档Shiro几大核心功能.2.1Authentication:认证.用户的登录,退出属于认证.2.2Authorization:授权.菜单授权,元素可见性授权等.2.3Cryptography:加密.密码加密,md5加密等.2.4 SessionManagement: Session管理2.5 WebIntegration : Web集成.2.5.1 Shiro不依赖于容器的,可以运行在Ja...
Shiro详解
热门推荐
qq_36807862的博客
08-07 1万+
Shiro 简介 简介 • Apache ShiroJava 的一个安全(权限)框架。 • Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。 • Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 • 下载:http://shiro.apache.org/ 功能简介 • 基本功能点如下图所示:...
shiro springboot 源码
07-13
源码中可以看到一些关键的类和方法,如Realm、Subject、AuthenticationToken等等,这些类和方法对于理解Shiro Spring Boot的工作流程非常重要。 另外,Shiro Spring Boot源码还涉及到了Spring Boot的自动配置机制。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值