Apache Shiro(二)——认证与授权

最新推荐文章于 2022-01-06 21:17:57 发布
最新推荐文章于 2022-01-06 21:17:57 发布
阅读量798 收藏 2
点赞数
分类专栏: Apache Shiro Apache Shiro 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vae1314chuanchen/article/details/83154531
版权

Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。
Shiro 架构如下图所示:
在这里插入图片描述

认证

身份认证

身份验证:一般需要提供如身份 ID 等一些标识信息来表明登录者的身份,如提供 email,用户名/密码来证明。在 shiro 中,用户需要 提供 principals (身份)和 credentials(证明) 给 shiro,从而应用能验证用户身份。

principals身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个Primary principals,一般是用户名/邮箱/手机号。
credentials证明/凭证,即只有主体知道的安全值,如密码/数字证
书等。

最常见的 principals 和 credentials 组合就是用户名/密码了。

身份验证基本流程

1、收集用户身份/凭证,即如用户名/密码
2、调用 Subject.login 进行登录,如果失败将得到相应的 AuthenticationException 异常,根据异常提示用户错误信息;否则登录成功。
3、创建自定义的 Realm 类,继承org.apache.shiro.realm.AuthorizingRealm 类,实现doGetAuthenticationInfo() 方法。

身份验证示例

1、配置pom文件,倒入jar包

	<dependencies>
        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.0</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/junit/junit -->
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
            <scope>test</scope>
        </dependency>

    </dependencies>

2、编写测试类

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.SimpleAccountRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Before;
import org.junit.Test;

public class Authentication {

    private SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();

    @Before
    public void addUser() {

        simpleAccountRealm.addAccount("cczhang", "123456");
    }

    @Test
    public void testAuthentication() {

//      1、创建SecurityManager环境,要把 realm 设置进defaultSecurityManage
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        defaultSecurityManager.setRealm(simpleAccountRealm);
//      2、主体提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();
//      3、把用户名和密码封装为 UsernamePasswordToken 对象
        UsernamePasswordToken token = new UsernamePasswordToken("cczhang", "123456");

        try {
//      4、执行登录.
            subject.login(token);
        }
//      5、若没有指定的账户, 则 shiro 将会抛出 UnknownAccountException 异常.
        catch (UnknownAccountException uae) {
            return;
        }
//      6、若账户存在, 但密码不匹配, 则 shiro 会抛出 IncorrectCredentialsException 异常。
        catch (IncorrectCredentialsException ice) {
            return;
        }
        // 用户被锁定的异常 LockedAccountException
        catch (LockedAccountException lae) {
        }
        // 所有认证时异常的父类.
        catch (AuthenticationException ae) {
        }
//        测试当前的用户是否已经被认证. 即是否已经登录.
        System.out.println("Authenticated" + "--" + subject.isAuthenticated());

        subject.logout();

        System.out.println("Authenticated" + "--" + subject.isAuthenticated());

    }
}

3、测试身份认证

身份认证流程

身份认证流程

1、首先调用 Subject.login(token) 进行登录,其会自动委托给SecurityManager。

2、SecurityManager 负责真正的身份验证逻辑,它会委托给Authenticator 进行身份验证。

3、Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现。

4、Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用AuthenticationStrategy 进行多 Realm 身份验证。

5、Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

授权

授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。

主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。

资源(Resource):在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。

权限(Permission):安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。

Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)。

角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。

授权方式

Shiro 支持三种方式的授权:
编程式:通过写if/else 授权代码块完成
注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成
在这里插入图片描述

Permissions

规则:资源标识符:操作:对象实例 ID 即对哪个资源的哪个实例可以进行什么操作. 其默认支持通配符权限字符串,

: 表示资源/操作/实例的分割;
, 表示操作的分割,
星号表示任意资源/操作/实例。

多层次管理:
例如:user:query、user:edit
冒号是一个特殊字符,它用来分隔权限字符串的下一部件:第一部分是权限被操作的领域,第二部分是被执行的操作。

多个值:每个部件能够保护多个值。因此,除了授予用户 user:query和 user:edit 权限外,也可以简单地授予他们一个:user:query, edit。

还可以用 * 号代替所有的值,如:user:* , 也可以写:*:query,表示某个用户在所有的领域都有 query 的权限。

Shiro 的 Permissions

在这里插入图片描述

授权流程

在这里插入图片描述

1、首先调用 Subject.isPermitted/hasRole 接口,其会委托给SecurityManager,而 SecurityManager 接着会委托给 Authorizer;

2、Authorizer是真正的授权者,如果调用如isPermitted(“user:view”),其首先会通过PermissionResolver 把字符串转换成相应的 Permission 实例;

3、在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;

4、Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个Realm,会委托给 ModularRealmAuthorizer 进行循环判断,如果匹配如isPermitted/hasRole 会返回true,否则返回false表示授权失败。

老臣、
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro配置(二)
山不转的博客
11-22 483
总的参考文档:http://shiro.apache.org/reference.html 本文参考文档:http://shiro.apache.org/configuration.html 原文中关于配置的话题是概述中的一节,配置很重要也有点小复杂,这里把它独立出来成为一章。 1、SecurityManager组件图 首先明确一点,在使用Shiro之前要先进行配置,那么配置的目的是什么?配...
shiro报错 org.apache.shiro.UnavailableSecurityManagerException
javanewnewman的博客
07-08 8422
自己照着教程搭springboot+mybatis+shiro前后端分离的一个框架。碰到了问题,几天了,很困惑,烦请知道的朋友给点建议org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apac...
Shiro教程--Authorization 授权及权限验证(四)
小波的博客
07-18 7822
      权限认证 也就是访问控制,即在应用中控制谁能访问哪些资源。 在权限认证中,最核心的三个要素是: 1-角色role,是权限的集合,一种角色可以被很多个用户拥有,一种角色可以包含多种权限;【多对多】 2-用户user,在 Shiro 中,代表访问系统的用户,被封装成 安全主体Subject对象; 3-权限permission,即操作资源的权利,比如访问某个页面,以及...
shiro的简单实现——用户验证
qq_735311015的博客
10-13 270
package com.bjsxt.shiro1; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.subject.S.
springboot整合shiro安全框架
heromps的博客
01-06 2392
shiro 快速开始 1.导入依赖 <dependencies> <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core<
shiro——认证
08-05
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,可以简化开发人员的安全实现。在本主题中,我们将深入探讨Shiro认证过程,即验证用户身份的过程。 认证是任何安全系统...
Apache shiro的简单介绍与使用教程(与spring整合使用)
01-11
 Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证授权,企业会话管理和加密。现在,使用Apache Shiro的人越来越多,因为它相当简单,相比比Spring Security,Shiro可能没有Spring ...
Apache-Shiro-中文参考文档.docx
最新发布
07-20
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架...
Apache Shiro中文开发文档.pdf
12-06
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架...
Apache_Shiro参考手册中文版.zip
07-01
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 ...
Shiro之详细入门附Demo
ZT的专栏
05-17 6217
第一步:Apache Shiro简介: Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apac
Shiro】用户名密码或手机号短信登录(多realm认证
热门推荐
张育嘉的博客
09-13 1万+
在登录认证中,经常需要实现用户名密码和手机号验证码这两种登录方式。 最近学了Shiro,所以在这里记录下。 用户名密码使用的令牌自然是UsernamePasswordToken,我们可以继承UsernamePasswordToken,再添加上手机号属性,在不同的控制器中传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是UsernamePa...
Apache Shiro--身份验证与授权
qw765811529的专栏
02-24 4505
一、简介 Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。 二、官网 http://shiro.apache.org/ 三、参考 http://www.ibm.com/developerworks/cn/web/wa-apacheshiro/ http://www.docin.com/p-265768384.html
Apache Shiro 是一个功能强大且易用的 Java 安全框架,用于身份验证、授权、加密和会话管理
BLOG域名:programb.blog.csdn.net
05-20 1736
Apache Shiro 是一个强大且灵活的 Java 安全框架,它提供了身份验证、授权、加密和会话管理等一系列功能,帮助开发者构建安全的应用程序。以下是 Apache Shiro 的一些主要特点:身份验证:Shiro 提供了强大的身份验证功能,支持多种认证机制,如用户名/密码、LDAP、OAuth、OpenID 等。它还支持自定义身份验证逻辑,以满足特定应用的需求。 授权Shiro 提供了基于角色的访问控制(RBAC)和基于资源的访问控制(ABAC)等授权机制。它允许你定义角色、权限和资源的层次结构,并
shiro授权认证(一)
weixin_46403305的博客
10-28 486
shiro是什么 shiro一个授权认证的这样一个框架 简单的给你说、就是以前咋们认证授权的所有代码、shiro都给咋们写好了、而且封装好了、我们只需要按照这个框架提供的API来简单的集成到咋们的项目中就可以了 1、shiro能干什么 认证授权、Cache的管理、Session的管理、rememberMe功能的实现、登陆、退出… 2、shiro的整体架构是什么 3、shiro的第一个helloworld程序 3.1、导包 <!--导入shiro的包--> <de
Apache Shiro(七)——Shiro的RememberMe功能
传臣、的博客
10-28 9410
一、概述 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览器还是记住你的; 3、访问一般...
Apache Shiro(三)——Spring Boot 与 Shiro的 整合
传臣、的博客
10-24 2499
在了解了Apache Shiro的架构、认证授权之后,我们来看一下Shiro与Web的整合。下面以Spring Boot为例,介绍一下Spring Boot 与 Shiro的 整合。
Apache Shiro(五)——Shiro会话管理
传臣、的博客
10-25 898
一、会话管理 概述 Shiro 提供了完整的企业级会话管理功能,**不依赖于底层容器(如web容器tomcat),不管 JavaSE 还是 JavaEE 环境都可以使用,**提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。 会话相关的 API Subject.getSession():即可获取会话;其等价于 Sub...
shiro入门学习.ppt
07-19
Apache Shiro是一个强大的开源安全框架,专为简化身份认证授权、企业会话管理和数据加密而设计。它支持的功能包括但不限于: 1. **身份验证**:Shiro提供了身份验证模块,用于验证用户的登录信息,确保用户具有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值