shiro原理

已于 2022-02-21 10:25:41 修改
阅读量3.8k 收藏 2
点赞数 1
文章标签: 安全 shiro
于 2022-02-19 18:03:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiantian929/article/details/123021576
版权

一、功能

  • 先上图
    -

shiro 四个主要的功能

  • Authentication:身份认证/登录,验证用户是不是拥有相应的身份
  • Authorization:授权,即权限验证,判断某个已经认证过的用户是否拥有某些权限访问某些资源,一般授权会有角色授权和权限授权
  • SessionManager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;web 环境中作用是和 HttpSession 是一样的
  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

shiro 其它功能

  • Web Support:Web支持,可以非常容易的集成到Web环境
  • Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率
  • Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去
  • Testing:提供测试支持
  • Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问
  • Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了

二、shiro 架构

  • 先上图
    在这里插入图片描述

主要组件

  • Subject:主体,相当与是请求过来的"用户"
  • SecurityManager: 是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行拦截并控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理
  • Realm:一般我们都需要去实现自己的 Realm ,可以有1个或多个 Realm,即当我们进行登录认证时所获取的安全数据来源(帐号/密码)
  • Cryptography:密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的
SecurityManager功能
  • Authenticator:认证器,负责主体认证的,即确定用户是否登录成功,我们可以使用  Shiro 提供的方法来认证,有可以自定义去实现,自己判断什么时候算是用户登录成功
  • Authrizer:授权器,即权限授权,给 Subject 分配权限,以此很好的控制用户可访问的资源
  • SessionManager:为了可以在不同的环境下使用 session 功能,shiro 实现了自己的 sessionManager ,可以用在非 web 环境下和分布式环境下使用
  • SessionDAO:对 session 的 CURD 操作
  • CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的
Subject 认证主体

Subject 认证主体包含两个信息

  • Principals:身份,即用户名
  • Credentials:凭证,即密码
两个配置类ShiroConfig和ShiroAuthRealm
  • ShiroConfig
package admin.config;

import admin.filter.shiro.ShiroAuthFilter;
import admin.filter.shiro.ShiroAuthRealm;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;
import javax.servlet.Filter;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * Shiro配置
 * @Description :
 **/
@Configuration
public class ShiroConfig {

    /**
     * 配置安全管理器
     *
     * @return org.apache.shiro.mgt.SecurityManager
     * @Author : Huang Yun Song
     * @Date: 2020/7/16 9:18
     * @Param [oAuth2Realm]
     * @Description :
     **/
    @Bean("securityManager")
    public SecurityManager securityManager(ShiroAuthRealm oAuth2Realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
            //关联Realm
        securityManager.setRealm(oAuth2Realm);
        securityManager.setRememberMeManager(null);
        return securityManager;
    }

    /**
     * 配置过滤器
     *
     * @return org.apache.shiro.spring.web.ShiroFilterFactoryBean
     * @Param [securityManager]
     * @Description :
     **/
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        //oauth过滤
        //添加Shiro拦截器
         /**
         * Shiro 内置过滤器,可以实现权限相关的拦截器
         *     anon:无需认证(登录)可以直接访问
         *     authc:必须认证才能访问
         *     user:如果使用rememberMe的功能才可以访问
         *     perms:该资源得到资源权限才可以访问
         *     role:该资源必须得到角色权限才可以访问
         */
        Map<String, Filter> filters = new HashMap<>();
        filters.put("adminAuth", new ShiroAuthFilter());
        shiroFilter.setFilters(filters);

        Map<String, String> filterMap = new LinkedHashMap<>();
       //        filterMap.put("/favicon.ico*", "anon");  //图标
//        filterMap.put("/ueditor/**", "anon"); //百度编辑器
//        filterMap.put("/static/**", "anon");  //静态资源
//        filterMap.put("/error", "anon");  //错误
//        filterMap.put("/common/**", "anon");  //通用控制器
//        filterMap.put("/robots.txt", "anon");  //SEO设置
//        filterMap.put("/healthy.html", "anon");  //健康检查
//        filterMap.put("/mng/login.html", "anon");  //登录页面
//        filterMap.put("/mng/login", "anon");  //登录操作
//        filterMap.put("/mng/checkSmsLogin", "anon");  //短信验证
//        filterMap.put("/mng/getCaptcha", "anon");  //获取图形验证码
//        filterMap.put("/mng/forgetPassword.html", "anon");  //忘记密码页面渲染
//        filterMap.put("/mng/forgetPassword", "anon");  //忘记密码修改密码
//        filterMap.put("/mng/sendSmsCode", "anon");  //发送短信验证码
//        filterMap.put("/mng/sendLoginSmsCode", "anon");  //发送短信验证码

        filterMap.put("/**", "adminAuth");
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }

    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

}
  • ShiroAuthRealm
    登录认证用redis缓存用户信息,JWT进行加密加盐,shiro也有自带的加密工具

package admin.filter.shiro;

import basic.enums.CacheSceneEnum;
import basic.util.cache.ICache;
import common.server.sys.admin.entity.CurrAdmin;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

/**
 * 授权领域
 *
 * @Description :
 *         1、检查提交的进行认证的令牌信息
 *         2、根据令牌信息从数据源(通常为数据库)中获取用户信息
 *         3、对用户信息进行匹配验证。
 *         4、验证通过将返回一个封装了用户信息的AuthenticationInfo实例。
 *         5、验证失败则抛出AuthenticationException异常信息。
 **/
@Component
public class ShiroAuthRealm extends AuthorizingRealm {

    protected Logger log = LoggerFactory.getLogger(ShiroAuthRealm.class);

    @Autowired
    ICache cache;

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof ShiroAuthToken;
    }

    /**
     * 授权(验证权限时调用)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        CurrAdmin currAdmin = (CurrAdmin) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(currAdmin.getPermissions());  //用户权限列表
        return info;
    }

    /**
     * 认证(登录时调用)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        String token = (String) authenticationToken.getPrincipal();

        //根据token,查询adminId
        Long adminId = cache.get(CacheSceneEnum.ADMIN_LOGIN_TOKEN.keyProfix + token, Long.class);
        if (adminId == null) {
            log.info("登录认证时,adminId为空");
            throw new AuthenticationException("登录失效,请重新登录");
        }

        //根据adminId,查用户缓存信息
        CurrAdmin currAdmin = cache.get(CacheSceneEnum.ADMIN_LOGIN_INFO.keyProfix + adminId, CurrAdmin.class);
        if (currAdmin == null) {
            log.info("登录认证时,currAdmin为空");
            throw new AuthenticationException("登录失效,请重新登录");
        }

        if (!token.equals(currAdmin.getLoginToken())) {
            log.info("登录认证时,token和当前登录管理员token不一致!");
            //暂时先注释
            //throw new MyShiroException(ErrorCodeEnum.FORCED_OFFLINE_ERROR);
        }

        //刷新登录状态
        if (System.currentTimeMillis() - currAdmin.getLastSetTime() > 120000) {  //3分钟更新一次缓存时间
            currAdmin.setLastSetTime(System.currentTimeMillis());
            cache.set(CacheSceneEnum.ADMIN_LOGIN_TOKEN.keyProfix + token, adminId,
                    CacheSceneEnum.ADMIN_LOGIN_TOKEN.expireTime);
            cache.set(CacheSceneEnum.ADMIN_LOGIN_INFO.keyProfix + adminId, currAdmin,
                    CacheSceneEnum.ADMIN_LOGIN_INFO.expireTime);
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(currAdmin, token, getName());
        return info;
    }
}
别丢了one
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro的ztree
11-20
总结了下,ztree的属性使用,加小例子demo,适合新手看。
Shiro原理及源码分析
lipengyao2010的专栏
07-16 1783
安全管理器的创建是依赖于认证、授权,缓存、数据源等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
Shiro原理+配置
05-25
三个核心组件:Subject, SecurityManager 和 Realms. Subject:即"当前操作用户"。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着"当前跟软件交互的东西"。但考虑到大多数目的和用途,你可以把它认为是Shiro的"用户"概念。 Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。 Realm: Realm充当了Shiro与应用安全数据间的"桥梁"或者"连接器"。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
Shiro安全权限
07-05
1 权限管理原理知识 1.1什么是权限管理 只要有用户参与的系统一般都要权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户认证和用户授权两部分。 1.2用户认证 1.2.1概念 用户认证,用户去访问系统,系统要验证用户身份的合法性。最常用的用户身份验证的方法: 1、用户名密码方式 2、指纹打卡机 3、基于证书的验证方法…… 系统验证用户身份合法,用户方可访问系统资源 1.2.2关键对象 Subject:主体,理解为用户,可能是程序,机器人等;都要去访问系统资源,系统需要对subject进行身份认证。 Principal:身份信息,通常是唯一的,一个主体还有多个身份信息,但是都有一个 主身份信息(primary principal) Credential:凭证信息,可以是密码、证书、指纹。
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
shiro原理解析
m0_67403188的博客
08-24 1924
(它的主要目的是与数据库打交道,查询数据库中的认证的信息(比如用户名和密码),查询授权的信息(比如权限的code等,所以这里可以理解为调用数据库查询一系列的信息,一般情况下在项目中采用自定义的realm,因为不同的业务需求不一样))这里的md5是原始的md5的加密了一次的密码+随机盐,然后对这个新的密码password=(md5+salt),进行散列:如何进行散列呢:就是多次md5加密md5(md5(md5(md5(password)))),这是4次散列,每次密码的破解的难度都加大。
Shiro原理讲解
qq_42814833的博客
12-30 5145
从请求的开始,到Subject的创建、认证、授权、会话。本文讲述shiro对web请求的安全处理、SecurityManager的工作流程、shiro如何制作一个带有会话的角色。大致说明shiro的工作流程和讲解部分源码。
shiro过滤器详解分析
weixin_34177064的博客
03-11 1199
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
ssm+shiro
mengyong1108的博客
08-16 356
shiro原理 框架解释:  subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。  authorizer:授权器,主体
Shiro模块组成、工作原理及搭建
hongye301的博客
12-08 1297
1、Shiro模块组成:   (1)Application Code:用户代码,代表一个Shiro的启动入口,用Shiro的API来启动,可以理解成把用户的数据用Shiro的API传递给Shiro,用Shiro来处理用户数据。   (2)Subject:原义是主题,也可以理解为主体。每一个subject代表一个用户,抽象的用户,就是用Shiro对用户的数据进行封装,把数据封装给token令牌,最...
三分钟彻底弄明白shiro原理
StephenLiousYuan的博客
06-10 3642
目前越来越多的项目都用到了shiro框架,毕竟它简单、容易(呃呃~其实一点都不简单),花三分钟理解下面的三个概念,你就掌握了shiro百分之九十的核心。 一、Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面;SecurityM
Shiro快速入门:简介与架构原理
Zbr_Cheer的博客
01-24 299
Shiro理论知识 一、RABC回顾 RBAC是一个基于角色的访问控制,其实就是一种数据库的设计思想 概念介绍 基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问、强制访问)的有前景的代替收到广泛的关注 在RBAC中,权限与角色关联,用户通过成为适当角色的成员而得到这些角色的权限,这就极大的简化了权限的管理 RBAC:一种数据库设计思想,根据数据库设计方案,完成项目的权限控制 权限:具备操作事物的能力 角色:一系列权限的集合 二、Shiro简介 上面提
Shiro 实现记住我功能
Charge8的博客
04-27 5993
登录一些网站的时候,在登录输入框的下侧一般都会有一个“记住我”的勾选框,选择之后,下次进入网站时就会自动进行登录操作,无需我们再次输入密码。 有关“记住我”的实现原理如下: 1、首先在登录页面选中“记住我”然后登录成功;如果是浏览器登录,一般会把“记住我”的Cookie写到客户端并保存下来。 2、关闭浏览器再重新打开,会发现浏览器还是记住你的。 3、访问一般的网页服务器端还是知道你是...
Shiro的验证机制
king220022的博客
04-11 148
Shiro认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。
Shiro 权限验证原理
PinkCoder
02-14 2053
Shiro 权限验证原理
Shiro原理
baidu_32872293的博客
06-17 858
功能简介 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,及权限验证,验证某个已认证的用户是否是拥有某个权限;即判断用户是否能进行什么操作,如:验证用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,他的所有信息都在...
shiro权限管理基本原理和实现的整理
StreamlineWq的博客
05-31 3914
shiro权限管理基本原理和实现的整理 引言:这两天学习了一个对权限管理的新的框架shiro,在这里做一个总结,既为了帮助有需要的人,也方便自己以后来回顾。 本篇文章主要针对下面几个关键点来说明: 1. shiro简介 2. 集成spring,快速搭建环境 3. shiro认证(即登录,重点) 4. shiro授权(重点) 5. shiro会话管理(Session) 6. shiro缓存(reme...
Shiro原理剖析
romantic_PK的专栏
08-09 6292
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证、授权、企业会话管理和加密。相比spring security框架更简单灵活,spring security对spring依赖较强。shiro可以实现web系统、c/s、分布式等系统权限管理。 Shiro完整架构图,如下图: 核心组件: Sub...
Shiro的简介及原理
笙箫的博客
10-23 920
1. 简单介绍一下 Shiro 框架 Apache Shiro 是 Java 的一个安全框架。使用 shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。三个核心组件:Subject, SecurityManager 和 Realms. Subject:...
shiro的工作原理?
最新发布
08-09
其工作原理可以概括为以下几个步骤: 1. Subject:Shiro的核心对象是Subject,代表着当前用户。Subject可以是一个人、一台设备或者一个第三方进程。 2. SecurityManager:Subject与SecurityManager进行交互,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值