shiro 基础入门

最新推荐文章于 2023-07-11 20:42:20 发布
最新推荐文章于 2023-07-11 20:42:20 发布
阅读量166 收藏 1
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stillwaters123/article/details/80460554
版权

一、架构

要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例:

(1)使用用户的登录信息创建令牌

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

token可以理解为用户令牌,登录的过程被抽象为Shiro验证令牌是否具有合法身份以及相关权限。

(2)执行登陆动作

SecurityUtils.setSecurityManager(securityManager); // 注入SecurityManager
Subject subject = SecurityUtils.getSubject(); // 获取Subject单例对象
subject.login(token); // 登陆

Shiro的核心部分是SecurityManager,它负责安全认证与授权。Shiro本身已经实现了所有的细节,用户可以完全把它当做一个黑盒来使用。SecurityUtils对象,本质上就是一个工厂类似Spring中的ApplicationContext。Subject是你目前所设计的需要通过Shiro保护的项目的一个抽象概念。通过令牌(token)与项目(subject)的登陆(login)关系,Shiro保证了项目整体的安全。

从securityUtils 中获取当前subject(subject可以理解为用户,也可以理解为当前用户),subject需要被认证,才能访问项目。

身份验证的步骤:
1、收集用户身份/凭证,即如用户名/密码;
2、调用Subject.login进行登录,如果失败将得到相应的AuthenticationException异常,根据异常提示用户错误信息;否则登录成功;

3、最后调用Subject.logout进行退出操作。

流程如下:

1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;

2SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;

3Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;

4Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;

5Authenticator会把相应的token传入RealmRealm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

(3) realm

Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源
最常见的是从数据库中查询。realm 主要 提供设置 
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(final AuthenticationToken token) throws AuthenticationException {
        final String username = (String) token.getPrincipal();
        LOGGER.debug("wwwwwwwwwwwwwwwwwwwwwwww1 username=" + username);
        final SysUser user = sysUserDao.getFindByUsername(username);
        // SysUser user = new SysUser();
        
        if (user == null) {
          //没找到帐号
            throw new UnknownAccountException();
        }
        LOGGER.debug("wwwwwwwwwwwwwwwwwwwwwwww realm");
        LOGGER.debug("wwwwwwwwwwwwwwwwwwwwwwww2 username=" + user.getUsername() + "||pwd=" + user.getPassword());
        
        if(Boolean.TRUE.equals(user.getLocked())) {
          //帐号锁定
            throw new LockedAccountException(); 
        }

        //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以自定义实现
        final SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                //用户名
                user.getUsername(),
                //密码
                user.getPassword(), 
                //salt=username+salt
                ByteSource.Util.bytes(user.getCredentialsSalt()),
                //realm name
                getName()  
        );        
        return authenticationInfo;
    }

返回一个从数据库里查询的正确的 认证信息 authenticationInfo ,交给 AuthenticatingRealm 使用CredentialsMatcher进行密码匹配。

(4)CredentialsMatcher 







HuiSir_999
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro入门
trasewell的博客
09-25 847
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro入门.rar
06-12
在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一、Shiro基本概念** 1. **认证**:也称为身份验证,是确认用户身份的过程,通常通过用户名和密码进行验证。 2. **授权**:也称为...
快速入门Shiro
JunDong的博客
06-01 2132
讲解结合案例,Shiro入门,看这篇就够了。
Shiro教程(一):入门概述与基本使用
最新发布
WwLK123的博客
07-11 4841
Shiro入门概述与基本使用
shiro基础知识学习
cccy的博客
07-08 71
授权,即访问控制,控制哪些用户能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些没有权限的资源是无法访问的。如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。使用比较多的第三方框架---shiro和springsecurity安全框架。shiro使用比较简单。而且它可以单独使用也可以和spring框架整合。
Shiro
Pig-pig-pig的博客
11-19 255
Shiro 1.1简介 Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本的 Shiro 使用,不会过多分析源码等,重在使用。 Shiro 可以非常容易的开发出足够好的应用,其
Shiro入门实例
03-28
在这个"Shiro入门实例"中,我们将探讨Shiro基础知识和如何在项目中进行实战应用。 **1. 认证与授权** Shiro 的核心概念包括主体(Subject)、安全管理者(SecurityManager)、身份验证(Authentication)、授权...
shiro入门教程
08-11
**一、Shiro基础概念** 1. **认证(Authentication)**:确认用户身份的过程,通常涉及用户名和密码的验证。 2. **授权(Authorization)**:确定用户是否有权限访问某个资源,即权限管理。 3. **会话管理(Session...
Shiro入门到精通
06-26
总的来说,“Shiro入门到精通”课程覆盖了从基础概念到高级特性的全面内容,结合源码分析和Spring Security的对比,将使你对Shiro有深入的理解,能够在实际项目中灵活运用。无论你是初学者还是有经验的开发者,都能...
shiro 入门 hello world
02-01
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、...通过查看和运行这个项目,你可以更好地理解Shiro框架的基础概念和实际应用。在实际开发中,Shiro还可以与Spring等框架结合使用,提供更强大的安全支持。
Shiro入门视频课程(适合初学者的教程)
07-03
本课程以通俗易懂的方式讲解Shiro权限技术,内容包括:Shiro简介、第一个Shiro程序、Realm、认证策略、加密服务、授权、Spring整合Shiro等。适合初学者的教程,让你少走弯路!
Shiro快速入门
gaoqing17的博客
09-23 138
简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。 Shiro是一个有许多特性的全面的安全框架,下面这幅图可以了解Shiro的特性: 可以看出shiro除了基本的认证,授权,会话管理,加密之外,还有许多额外的特性。 Shiro 的目标是 Shiro 开发团队所说的"应用安全的四大基石" - 身份验证、授权、会话管理和密码学: 身份验证:有时被称为"登录",这是证明用户是谁,他们说他们的
Shiro最全基础教程
思月行云
10-18 2380
以下引自百度百科shiro(java安全框架)_百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(一)主要功能三个核心组件:Subject,SecurityManager 和 Realms。
Shiro 基础教程
weixin_30715523的博客
12-27 239
原文地址:Shiro 基础教程 博客地址:http://www.extlight.com 一、前言 Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 二、介绍 2.1 功能特点 Shiro 包含 10 个内容,如下图: 1) Authentication:身份认证/登录,验证...
ShiroShiro从小白到大神(一)-Shiro入门
weixin_34150224的博客
09-22 1228
本系列是我在学习Shiro的路上的笔记,第一篇是属于非常入门级别的。 首先是介绍了下shiro,然后进行了一个小例子进行实际的操作 本节操作不涉及数据库,只是文本字符操作认证 Shiro简介: 百度百科上的介绍: Apache Shiro(日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提...
shiro基础学习(二) shiro认证
nanjing0412的专栏
03-27 289
转载自:http://www.cnblogs.com/yangang2013/p/5677717.html 一、shiro简介      shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 以下是你可以用 Apache Shiro所做的事情: (1)验证用户
shiro-基础
大帅的博客
06-11 152
http://shiro.apache.org/reference.html https://jinnianshilongnian.iteye.com/blog/2018936 https://blog.csdn.net/yanluandai1985/article/details/79216141

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值