1. shiro的基本使用

已于 2024-08-02 17:06:24 修改
阅读量283 收藏 1
点赞数 3
分类专栏: shiro 文章标签: java
于 2024-08-02 14:00:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39563769/article/details/140867252
版权

一、现存问题

1. 认证(登录):认证操作流程都差不多,但是每次都需要手动的基于业务代码去实现,很麻烦!
2. 授权:如果权限控制粒度比较粗,可以自身去实现,但是如果控制粒度比较细,操作麻烦!
3. 分布式会话管理:单体项目时,需要依赖Web容器的Session实现会话,搭建了集群或者是分布式项目,手动去基于Redis或者其他拥有公共存储能力的中间件实现分布式会话管理。
4. 单点登录:在一处服务认证,所有其他服务都信任。

二、shiro框架介绍

在这里插入图片描述

1. Shiro是基于Java语言编写的,Shiro最核心的功能就是认证和授权

2.1 shiro的基本使用

认证流程:
在这里插入图片描述
授权流程:
在这里插入图片描述

2.2 基于内存的方式使用
@Test
public void authen() {
    //认证的发起者(subject),   SecurityManager,   Realm
    //1. 准备Realm(基于内存存储用户信息)
    SimpleAccountRealm realm = new SimpleAccountRealm();
    realm.addAccount("admin", "admin", "超级管理员", "商家");

    //2. 准备SecurityManager
    DefaultSecurityManager securityManager = new DefaultSecurityManager();

    //3. SecurityManager和Realm建立连接
    securityManager.setRealm(realm);

    //4. subject和SecurityManager建立联系
    SecurityUtils.setSecurityManager(securityManager);

    //5. 声明subject
    Subject subject = SecurityUtils.getSubject();

    //6. 发起认证
    subject.login(new UsernamePasswordToken("admin", "admin"));
    // 如果认证时,用户名错误,抛出:org.apache.shiro.authc.UnknownAccountException异常
    // 如果认证时,密码错误,抛出:org.apache.shiro.authc.IncorrectCredentialsException:

    //7. 判断是否认证成功
    System.out.println(subject.isAuthenticated());

    //8. 退出登录后再判断
    //        subject.logout();
    //        System.out.println("logout方法执行后,认证的状态:" + subject.isAuthenticated());

    //9. 授权是在认证成功之后的操作!!!
    // SimpleAccountRealm只支持角色的授权
    System.out.println("是否拥有超级管理员角色:" + subject.hasRole("超级管理员"));
    subject.checkRole("商家");
    // check方法校验角色时,如果没有指定角色,会抛出异常:org.apache.shiro.authz.UnauthorizedException: Subject does not have role [角色信息]
}
2.3 基于文件存储的方式IniRealm

基于文件存储用户名,密码,角色等信息
准备一个.ini文件,存储用户信息,并且IniRealm支持权限校验

[users]
// 格式:username=password,role1,role2
admin=admin,超级管理员,运营
[roles]
// 格式:role1=perm1,perm2
超级管理员=user:add,user:update,user:delete

具体实现业务的代码:

@Test
public void authen(){
    //1. 构建IniRealm
    IniRealm realm = new IniRealm("classpath:shiro.ini");

    //2. 构建SecurityManager绑定Realm
    DefaultSecurityManager securityManager = new DefaultSecurityManager();
    securityManager.setRealm(realm);

    //3. 基于SecurityUtils绑定SecurityManager并声明subject
    SecurityUtils.setSecurityManager(securityManager);
    Subject subject = SecurityUtils.getSubject();

    //4. 认证操作
    subject.login(new UsernamePasswordToken("admin","admin"));

    //5. 角色校验
    // 超级管理员
    System.out.println(subject.hasRole("超级管理员"));
    subject.checkRole("运营");

    //6. 权限校验
    System.out.println(subject.isPermitted("user:update"));
    // 如果没有响应的权限,就抛出异常:UnauthorizedException: Subject does not have permission [user:select]
    subject.checkPermission("user:delete");
}
2.4 JdbcRealm方式

用户认证、授权时推荐的表结构设计,经典五张表
在这里插入图片描述

@Test
public void authen(){
    //1. 构建IniRealm
    JdbcRealm realm = new JdbcRealm();

    DruidDataSource dataSource = new DruidDataSource();
    dataSource.setDriverClassName("com.mysql.jdbc.Driver");
    dataSource.setUrl("jdbc:mysql:///shiro");
    dataSource.setUsername("root");
    dataSource.setPassword("root");
    realm.setDataSource(dataSource);

    realm.setPermissionsLookupEnabled(true);

    //2. 构建SecurityManager绑定Realm
    DefaultSecurityManager securityManager = new DefaultSecurityManager();
    securityManager.setRealm(realm);

    //3. 基于SecurityUtils绑定SecurityManager并声明subject
    SecurityUtils.setSecurityManager(securityManager);
    Subject subject = SecurityUtils.getSubject();

    //4. 认证操作
    subject.login(new UsernamePasswordToken("admin","admin"));

    //5. 授权操作(角色)
    System.out.println(subject.hasRole("超级管1理员"));

    //6. 授权操作(权限)
    System.out.println(subject.isPermitted("user:add"));

}

DROP TABLE IF EXISTS `roles_permissions`;
CREATE TABLE `roles_permissions` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `permission` varchar(128) NOT NULL,
  `role_name` varchar(128) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8mb4;

-- ----------------------------
-- Records of roles_permissions
-- ----------------------------
INSERT INTO `roles_permissions` VALUES ('1', 'user:add', '超级管理员');
INSERT INTO `roles_permissions` VALUES ('2', 'user:update', '超级管理员');
INSERT INTO `roles_permissions` VALUES ('3', 'user:select', '运营');

-- ----------------------------
-- Table structure for `users`
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(32) NOT NULL,
  `password` varchar(32) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4;

-- ----------------------------
-- Records of users
-- ----------------------------
INSERT INTO `users` VALUES ('1', 'admin', 'admin');

-- ----------------------------
-- Table structure for `user_roles`
-- ----------------------------
DROP TABLE IF EXISTS `user_roles`;
CREATE TABLE `user_roles` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `role_name` varchar(128) NOT NULL,
  `username` varchar(32) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4;

-- ----------------------------
-- Records of user_roles
-- ----------------------------
INSERT INTO `user_roles` VALUES ('1', '超级管理员', 'admin');
INSERT INTO `user_roles` VALUES ('2', '运营', 'admin');
2.5 CustomRealm(自定义Realm)
水无痕simon
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1.初始shiro框架、简单的shiro框架使用.docx
09-19
Shiro 框架简介和基本使用 Shiro 是一个开源的 Java 安全框架,由 Apache 软件基金会开发和维护。它提供了强大的身份验证、授权、加密和会话管理功能,帮助开发者快速构建安全的应用程序。下面是 Shiro 框架的基本...
shiro使用方法.ppt
07-19
1. **Subject**:Subject 是 Shiro 框架的核心接口,代表了当前操作的用户。它提供了认证(身份验证)和授权(访问控制)的基本方法,如 login、logout、isPermitted、hasRole 等。Subject 不直接存储安全信息,而是...
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
01-06
3. **使用Shiro的`hasPermission`标签**:在JSP页面中,我们可以利用Shiro提供的JSTL标签库来进行权限检查。例如,我们可以使用`<shiro:hasPermission name="editUser">`标签来包裹需要展示的菜单项代码。如果当前...
spring boot shiro demo项目
04-03
1. **Shiro基本概念** - **认证**:验证用户身份的过程,即验证用户名、密码等信息是否正确。 - **授权**:确定用户是否有操作特定资源的权限,也就是常说的权限校验。 - **加密**:用于保护敏感数据,如密码...
shiro项目基本运行架包以及全部的架包shiro-all.jar
04-17
标题提到的"shiro项目基本运行架包以及全部的架包shiro-all.jar"正是这个框架的核心组件,集成了Shiro的所有功能模块。 Shiro的主要组成部分包括: 1. **身份验证(Authentication)**:这是确认用户身份的过程,...
spring事务详细讲解-深入浅出
小电玩
09-08 245
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
Java多线程:深入探索与详细解析
m0_63550220的博客
09-08 1091
作为Java中的基本执行单元,线程是轻量级的进程,由线程ID、程序计数器、Java虚拟机栈、本地方法栈、和线程私有内存等部分组成。每个线程都有独立的执行路径,但共享进程的资源(如内存)。:进程是系统资源分配的基本单位,它包含了一个或多个线程以及这些线程运行所需的资源。在Java中,JVM(Java虚拟机)就是一个进程,而运行在JVM上的多个线程则共享JVM的内存空间。:并发指的是多个任务在同一时间段内交替执行,而并行则指的是多个任务在同一时刻真正同时执行。
JAVA基础:值传递和址传递
weixin_53755148的博客
09-08 443
方法调用时,传递的实参是一个基本类型的数据形参改变,实参不变又称为地址传递,或引用传递方法调用时,传递的实参是一个引用类型的数据基本类型的数据,比较简单,可以直接存储在变量中引用类型的数据比较复杂,包含了一堆子数据,不能直接存储在变量中,存储在堆区,会为其分配一个内存地址我们在使用引用类型数据时,都是通过地址间接引用类型的数据所谓的地址传递,就是在方法调用时,传递的是引用类型的地址。形参(内容)改变,实参(内容)改变类似于值传递的址传递。
JAVA基础:数据类型、命名规范
weixin_53755148的博客
09-05 1290
变量类型就是用来指定变量中存储数据的类型。也称为数据类型。
okhttp,retrofit,rxjava 是如何配合工作的 作用分别是什么
追梦的鱼儿
09-04 633
OkHttp、Retrofit 和 RxJava 是 Android 开发中常用的三种库,它们各自有不同的作用,并且可以很好地配合工作来实现网络请求和响应的处理。
nmt---Docker-compose自动化部署
qq_69920145的博客
09-03 1031
static-rr 权重, leastconn 最少连接, source 请求IP, 轮询 roundrobin。# 这⾥是容器中的IP地址,由于配置的是轮询roundrobin,weight 权重其实没有⽣效。# 这⾥是容器中的IP地址,由于配置的是轮询roundrobin,weight 权重其实没有⽣效。# 在 mysql 创建⼀个没有权限的haproxy⽤户,密码为空。# 在 mysql 创建⼀个没有权限的haproxy⽤户,密码为空。10. docker-compose移除容器。
币安/OK现货合约量化系统APP开发
I592O929783的博客
09-08 320
后端:考虑系统需要处理大量实时数据和高频交易的特点,选择高性能的编程语言和技术框架,如Python的Django或Flask框架,Java的Spring Boot等。用户交互界面:设计直观易用的用户交互界面,包括交易界面、策略配置界面、风险管理界面等,方便用户进行交易操作、策略配置和风险管理。市场数据接入:开发市场数据接入模块,从币安等交易所或数据服务商获取实时的市场数据,包括行情数据、订单簿数据、成交数据等。前端:选择适合开发复杂界面的前端框架,如React、Vue.js等,以提供用户友好的交互界面。
自定义Stater
m0_63624484的博客
09-07 570
我们平时在导入依赖的时候,大部分导入的都是xxx-spring-boot-stater。那是因为它们都基于spring的规则将写好的框架定义成一个stater,这样方便springboot引用它们写好的功能。那我们为什么也要自定义stater呢?
Java Web开发中,如何保障应用的安全性?请列举常见的安全策略和措施。请解释Spring框架中的事务管理,包括声明式事务和编程式事务。
weixin_53180424的博客
09-03 1089
在实际开发中,声明式事务管理因其非侵入性和易维护性而更受欢迎。它允许开发者将注意力集中在业务逻辑上,而不是事务管理的细节上。然而,在某些特殊场景下,编程式事务管理可能提供更灵活的控制力。因此,在选择事务管理方式时,应根据实际需求和场景来决定。
JVM 垃圾回收机制:GC
m0_60462557的博客
09-04 1466
JVM的垃圾回收机制:GC,是Java提供的对于内存自动回收的机制。
基于SpringBoot的旅游管理系统
heye0910032的博客
09-08 146
随着科技的发展,旅游管理系统的信息化成为提升旅游服务效率的关键。本系统采用JSP技术和SpringBoot框架,结合MySQL数据库,旨在实现一个功能全面、操作简便、安全可靠的旅游管理平台。系统通过需求分析、系统设计、功能实现和测试,确保了良好的用户体验和数据处理能力,为旅游业务的现代化管理提供了强有力的技术支持。本研究成功开发了一个基于SpringBoot的旅游管理系统,该系统通过集成多种旅游管理功能,显著提高了旅游服务的效率和质量。系统的用户友好界面和强大的后端功能,使得管理员和用户都能从中受益。
基于JavaWeb开发的JavaSpringboot+Vue实现前后端分离房屋租赁系统
央顺科技官方博客
09-05 504
2021年处于信息科技高速发展的大背景之下。在今天,缺少手机和电脑几乎已经成为不可能的事情,人们生活中已经难以离开手机和电脑。针对增加的成本管理和操作,各大商家非常有必要建立自己的网上房屋租赁平台系统,这既可以让更多的人体验到网络所带来的方便,也有助于提高房屋的租赁。在经过几十年的高速发展后,互联网已成为最流行、最普及的媒体,每天的信息流量甚至能比得上过去十年。其以便捷的信息交换、快速的沟通速度,悄然地改变着会员的消费方式。
Linux服务器Java启动脚本
最新发布
Jack魏
09-08 293
本文章介绍了如何在Linux服务器上执行Java并启动jar包,通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动,那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。
基于Spring Boot开发一个二手交易平台系统
嵌入式行业打工人,不定期更新博客。
09-08 446
这个示例提供了一个非常基础的框架,你可以在此基础上扩展更多的功能,如商品搜索、购物车、支付接口等。在实际开发过程中,还需要考虑诸如错误处理、事务管理、日志记录等方面的问题。此外,确保所有的API调用都是安全的,并且正确处理用户的输入数据,防止SQL注入等安全风险。如有疑问可以评论或者私信,看到一定解答。
Apache Shiro入门:过滤器详解与使用
1. anon: 匿名过滤器 - `org.apache.shiro.web.filter.authc.AnonymousFilter`,允许未认证的用户访问资源。 2. authc: 表单认证过滤器 - `org.apache.shiro.web.filter.authc.FormAuthenticationFilter`,处理基于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值