shiro的组成及其执行过程

最新推荐文章于 2024-05-24 21:45:00 发布
最新推荐文章于 2024-05-24 21:45:00 发布
阅读量1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tt0912/article/details/79087238
版权

1.什么是shir

shiro是apache的一个开源框架,是一个权限管理框架,实现用户认证,用户授权。

shiro不仅可以实现web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量级框架,越来越多的企业项目开始使用shiro


2.shiro的基本组成组件

subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主题进行验证、授权

securityManager:安全管理器,主体进行认证和授权都是通过securityManager进行

authenticator:认证器,主体进行认证最终通过authenticator进行

authorizer:授权器,主体进行授权最终通过zuthorizer进行

sessionManager:web应用中一般是用web容器对session进行管理,shiro也提供一套session管理的方式

sessionDao:通过sessionDao管理session数据,针对个性化的session数据存储需要使用sessionDao

cacheManager:缓存管理器,主要对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和ehcache整合对缓存数据进行管理

realm:域,相当于数据源,通过realm存取认证、授权相关数据

cryptography:密码管理,提供了一套加密/解密的组件,比如提供常用的散列、加/解密等功能


3.认证过程

认证执行流程

1.通过ini配置文件创建securityManager

2.调用subject.login()方法主体提交认证(token)

3.securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证

4.ModularRealmAuthenticator调用IniRealm(给realm传入token)去ini配置文件中查询用户信息

5.IniRealm根据输入的token从shiro.ini查询用户信息,根据账号查询用户信息

    如果查询到用户信息,就给ModularRealmAuthenticator返回用户信息

    如果查询不到,就给ModularRealmAuthenticator返回null

6.ModularRealmAuthenticator接受IniRealm返回Authentication认证信息

    如果返回的认证信息是null,ModularRealmAuthenticator抛出异常

    如果返回的认证信息不是null(说明inirealm找到了用户),对IniRealm返回用户密码 (在ini文件中存在)和 token中的密码 进行对比,如果不一致抛出异常



4.授权过程

授权执行流程

1.对subject进行授权,调用方法isPermitted("permission串")

2.securityManager执行授权,通过ModularRealmAuthorizer执行授权

3.ModularRealmAuthorizer执行realm(自定义realm)从数据库查询权限数据

调用realm的授权方法:doGetAuthorizationInfo

4realm从数据库查询权限数据,返回ModularRealmAuthorizer

5ModularRealmAuthorizer调用PermissionResolver进行权限串比对

6、如果比对后,isPermitted"permission"realm查询到权限数据中,说明用户访问permission串有权限,否则,没有权限,抛出异常。


小水桃纸
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
01-shiro认证流程.md
07-31
### Shiro 认证流程详解 #### 一、权限管理概览 权限管理是指在信息系统中,为了确保数据的安全性和完整性,对用户访问系统资源的行为进行控制的一种机制。权限管理通常涉及两个主要方面:用户认证(User ...
Apache_Shiro_使用手册(一)Shiro架构介绍
03-06
当需要对用户进行认证或授权时,Shiro 会从配置的 Realm 中检索用户及其权限信息。Realm 实质上是一个安全相关的 DAO,封装了数据源的连接细节,并根据需要向 Shiro 提供数据。配置 Shiro 时,至少需要指定一个 ...
shiroWeb项目-授权(十一)
weixin_30919571的博客
07-29 127
使用PermissionsAuthorizationFilter 在applicationContext-shiro.xml中配置url所对应的权限。 测试流程: 1、在applicationContext-shiro.xml中配置filter规则 <!--商品查询需要商品查询权限 --> /items/queryItems.action...
[网络安全]shiro安全框架基本原理
最新发布
Z4400840的博客
05-24 823
shiro安全框架问世的意义在于提供了一种有效的解决方案,帮助开发者和企业更好地保护自己的系统和数据安全。Shiro 可以与各种 Java 框架和应用程序进行集成,如Spring等。此外,Shiro 还可以与多个数据源集成,如JDBCLDAPNoSQL 数据库等,使得应用程序更加灵活。【一一帮助安全学习,所有资源获取处一一】①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源。
shiro权限控制与Spring整合
wtujatpgf的博客
08-31 144
通过Shiro官方给的Tutorial我们知道Shiro的操作都是基于Subject的,而Subject来自SecurityManager,如下 SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); // get t...
shiro从入门到精通之认证执行流程
weixin_39516931的博客
04-07 442
架构图如下:代码如下:认证代码// 用户登陆、用户退出 @Test public void testLoginLogout() { // 构建SecurityManager工厂,IniSecurityManagerFactory可以从ini文件中初始化SecurityManager环境 Factory&lt;SecurityManager&gt; factory = new IniSecuri...
Shrio之简介
绣花针
12-23 302
一、简介 Apache Shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的的解决方案的认证,授权,加密,会话管理。 1.Shiro主要有四个组件  SecurityManager 典型的 Facade,Shiro 通过它对外提供安全管理的各种服务。 Authenticator 验证。对“Who are you ?”进行核实。通常涉及用户名和密...
SSM + shiro + activity工作流 实现的图书管理系统
11-25
下面将详细介绍这个系统的各个组成部分及其工作原理。 首先,Spring作为基础框架,负责管理应用中的对象,通过依赖注入(DI)和面向切面编程(AOP)来简化开发。SpringMVC是Spring框架的一部分,主要处理HTTP请求,...
Java中间件技术及其应用开发
02-06
Java中间件技术是现代企业级应用开发的核心组成部分,它为构建大规模、高可用、可扩展的应用提供了基础架构。本文将深入探讨Java中间件的关键概念、技术及其在实际开发中的应用。 中间件是一种软件,它位于操作系统...
Shiro权限管理】13. SecurityManager配置realms
程序猿之洞
11-26 9316
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 大家可以注意到,在没有使用认证器之前,我们是这样配置Realm的:   后来使用了多Realm验证时,会将多个Realm配置到认证器中,再将认证器配置给securityManager:
一.springboot与shiro整合(示例)
热门推荐
u014203449的博客
02-16 4万+
地址: 演示地址:http://47.98.153.30:8080 账号:melo 密码:12345678 github地址:点击打开链接https://github.com/MeloFocus/focus 前端水平有限见谅 第一个整合目标: (1)用springboot整合shiro (2)完成简单的登录功能 (3)对url进行权限控制,当前登录用户拥有此ur...
你绝对想不到多简单的Shiro的入门
a907691592的博客
06-03 1085
首先加入Maven依赖 &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; &lt;version&gt;1.4.0&lt;/version&gt; &lt;/dependen
Shiro 4
Richard.Dai的专栏
01-11 1388
在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO. 一、认证实现 正如前文所提到的,Shiro的认证过程最终会交由Realm执行,这时会调用Realm的getAuthe
给流程增加权限控制
起飞 踏上.NET Framework 3.5开发之旅
01-11 2680
 WF提供权限控制的功能,其中包括两种方式:ActiveDirectoryRole(通过活动目录用户)和WebWorkflowRole(ASP.NET Role)。下面我以WebWorkflowRole的方式作为权限控制例子做介绍,首先需要安装aspnetdb数据库(通过运行微软提供的aspnet_regsql.exe文件);App.config文件配置如下:xmlversion="1.0"e
第十六章 综合实例——《跟我学Shiro
refire
08-01 1095
博客分类:  跟我学Shiro 跟我学Shiro    目录贴: 跟我学Shiro目录贴   简单的实体关系图   简单数据字典 用户(sys_user) 名称 类型 长度 描述 id bigint   编号 主键 username varc
Shiro基于组织机构的登录验证
weixin_33906657的博客
03-28 174
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro-Shiro的架构
zhijingege的博客
03-14 204
摘自官网: shiro的架构图: shiro组成: Authentication: 身份认证/登录,验证用户是不是拥有相应的身份; Authorization: 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager: 话管理,即用户登录后就是...
shiro 框架登录执行流程
05-13
Shiro框架的登录执行流程如下: 1. 用户在前端页面输入用户名和密码,点击登录按钮。 2. 前端将用户名和密码发送到后端。 3. 后端通过Shiro的Subject对象进行认证,Subject对象是Shiro的核心对象之一,它代表了当前用户的安全操作。 4. Subject对象将用户名和密码封装成一个AuthenticationToken对象,AuthenticationToken是Shiro的一个接口,用于封装用户身份和凭证的信息。 5. Shiro的SecurityManager对象接收到AuthenticationToken对象,开始进行身份认证。 6. SecurityManager对象将AuthenticationToken对象传递给Realm对象,Realm对象是Shiro的安全数据源,负责查询用户的身份和凭证信息。 7. Realm对象查询数据库或其他数据源,获取用户的身份和凭证信息,并将其封装成一个SimpleAuthenticationInfo对象。 8. SecurityManager对象接收到SimpleAuthenticationInfo对象,将用户的身份和凭证信息保存到Subject对象中。 9. 如果身份认证成功,Subject对象就可以执行相应的操作,否则抛出相应的异常。 10. Shiro框架会将用户的身份和凭证信息保存到Session中,以便在后续的操作中进行验证。 总的来说,Shiro框架的登录执行流程主要包括用户输入用户名密码、后端进行认证、Realm对象查询用户信息、SecurityManager对象保存用户信息等几个步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值