shiro将session认证改成token认证_Shiro框架:认证和授权原理

最新推荐文章于 2023-01-16 17:33:10 发布
最新推荐文章于 2023-01-16 17:33:10 发布
阅读量838 收藏
点赞数
文章标签: shiro将session认证改成token认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39866867/article/details/113668336
版权

点击上方 Java后端,选择 设为星标

优质文章,及时送达

前言

Shiro作为解决权限问题的常用框架,常用于解决认证、授权、加密、会话管理等场景。本文将对Shiro的认证和授权原理进行介绍:

  • Shiro可以做什么?、
  • Shiro是由什么组成的?
  • 举个Shiro的例子呗?
  • Shiro认证的原理是咋样的?
  • Shiro授权的原理是咋样的?

1. Shiro可以做什么?

在构建一个网络应用的时候,权限检验管理作为非常重要的安全措施,需要包含以下几点:
  • 用户认证 — 用户身份识别。得知道来的人是谁;
  • 用户授权 — 用户权限访问控制。得知道来的人有没有资格进来,又不是“我家大门常打开”;
  • 密码加密 — 加密敏感数据,防止被偷窥。就像是家里上锁,上几把锁,原子锁还是电子锁?
  • 会话管理 — 与用户相关的时间敏感的状态信息。类似于阅后即焚的信件。
Shiro支持以上的功能,而且它提供的API可以帮助我们很容易就开发出足够好的应用。Shiro具备认证、授权、加密、会话管理、集成Web、缓存等功能,相当好用。

2. Shiro是由什么组成的?

下图是Shiro的架构图:

7a75c59cf65e7678f2c07b2611a3aa9b.png


可以看出来,Security Manager是Shiro的核心,连认证、授权、会话管理等都是在这里面执行的。接下来我们来看看这些组件分别是做什么用的:
  • Subject:主体,可以是用户或程序,主体可以访问Security Manager以获得认证、授权、会话等服务;
  • Security Manager:安全管理器,主体所需的认证、授权功能都是在这里进行的,是Shiro的核心;
    • Authenticator:认证器,主体的认证过程通过Authenticator进行;
    • Authorizer:授权器,主体的授权过程通过Authorizer进行;
    • Session Manager:shiro的会话管理器,与web应用提供的Session管理分隔开;
    • Session DAO:通过Session DAO管理Session数据,针对个性化的Session数据存储,需要使用到Session DAO;
    • Cache Manager:缓存管理器,主要对Session和授权数据进行缓存。因为这些数据不怎么改变,为了提高访问速度选择将其缓存起来;
    • Realm:域,可以有一个或多个域,可通过Realm存储授权和认证的逻辑;
  • Cryptography:密码管理,Shiro提供了一套加密/解密的组件,如MD5散列算法等。

3. 举个Shiro的例子呗?

笔者采用Shiro官网给的例子,来梳理Shiro认证、授权的过程:
shiro.ini
创建一个文件shiro.ini,其功用相当于Realm。shiro默认使用的也是IniRealm: 
# ==================================
最低0.47元/天 解锁文章
weixin_39866867
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shirosession认证token认证_Shiro 运行过程
weixin_42438410的博客
01-19 1400
什么是shiroshiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权shiro架构subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证授权。securityManager:安全管理器,主体进行认证授权都是通过securityManager进行。authenticator:认证器,主体进行认证最终通过authenticator...
shirosession认证token认证_源码分析shiro认证授权流程
weixin_31286719的博客
01-12 532
1. shiro介绍Apache Shiro是一个强大易用的Java安全框架,提供了认证授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”;授权 - 访问控制;密码加密 - 保护或隐藏数据防止被偷窥;会话管理 - 每用户相关的时间敏感的状态。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架Shiro要简单的多。2. shiro源码概况...
整合Shiro Session和JWT登录
zollty的专栏
08-26 1440
关于JWT原理和相关问题,一定要先阅读我的另一篇文章《JWT技术——基于token的鉴权机制》 根据文中的论述,JWT存在许多安全隐患,建议使用HTTPS。 但是本文以实现JWT方案为主,不考虑安全性——JWT方案是可以扩展的,为了提高安全性,可以在后期的设计中去加强。 JWT登录的原理: -> 客户端 携带认证名和密码 发起登录请求 -> 服务器端验证功,返回 token 给客户端 -> 客户端保存 token(通常是保存在Cookie或者LocalStorage...
springmvc shiro 同时支持token 前后端分离
wanglj7525的专栏
08-08 327
ApplicationContext.xml配置。在小程序中请求头中带上 authToken
springboot shiro 实现token
m0_67393686的博客
04-25 903
要求 做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。 实现步骤 有一些代码是在其他人的博客里面复制的 在原来的使用sessionId的项目基础上做以下修: 增加SessionManager要求继承DefaultWebSessionManager。 package com.llx.studio.config.shiro; import org.apache.commons.lang.StringUtils;
将 Apache Shiro JWT 认证方式
pomer_huang的博客
09-30 5968
要想造,只需做到三点 用 Shiro 提供的 DefaultWebSessionManager 替代默认的 ServletContainerSessionManager - ServletContainerSessionManager 是 DefaultWebSecurityManager 使用的默认实现,用于 Web 环境,其直接使用 Servlet 容器的会话 ...
JWT简介:从SessionToken的转变
ordinary_brony的博客
11-21 671
JWT,全称Json Web Token。我们平常所说的token实际上就是说JWT技术中的T。本篇将说SessionToken的对比。
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
springboot整和jwt、shiro、redis实现token自动刷新
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
而且 Shiro 兴起的时代主流应用还是传统的基于 Session 的 Web 网站,并没有过多的考虑目前流行的微服务等应用形式的权限管理需求。导致其并没有提供一套无状态微服务的开箱即用的整合方案。需要在项目层面对 Shiro ...
shiro管理多登录入口配置,手机端登录与网页端登录
12-20
shiro管理多登录入口配置,手机端登录与网页端登录两个的shiro配置,两个Realm,两个表单过滤,验证码生,登录类型判断,xml详细配置
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
使用token作为登录凭证,不使用session,避免跨域问题 使用自定义注解+aop 替代shiro的功能,简化了配置,增强了可拓展性 设计思路 核心 每个登录用户拥有各自的N条权限,比如 文章:查看/编辑/发布/删除 后端 基于 . ...
Shiro实现session和无状态token认证共存
bbq烤鸡的后宫
01-04 6391
默认shiro鉴权是基于session认证,也能实现无状态Web。项目前后端分离时,在原有的session认证下扩展出一套无状态认证。将问题分离以下几点 1、拦截无状态请求 2、实现多realm共存 一个realm处理原先的session认证 一个处理无状态认证 3、开启原先的session管理 禁用无状态请求的session管理 否则 一个浏览器同时存在两种请求时会。。。 建一个过滤器拦...
java中sessiontoken以及token实现
qq_29950673的博客
03-01 5536
session:会话 由于网络种HTTP协议本身是无状态协议,无法确定请求的对象是否是同一个,所有出现了session。 当通过浏览器第一次访问服务端资源时,服务端会创建一个session,并未该session一个唯一的key,即sessionid,以key,value的方式保证在缓存种,也可持久化到数据库,具体看项目需求,一般情况不需要持久化(个人观点),服务端将生sessionid...
shiro登录功后返回json_Shiro整合JWT实战
weixin_39992312的博客
12-18 676
JSON Web Token(JWT)是为了在网络应用间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。token可以直接被用于认证,也可被加密。我们在springboot+shiro的基础上,整合jwt模块,对其进行扩展,实现无状态认证加鉴权。JWT实现认证思路:因为要实现无状态,所以jw...
Shiro 拓展Session写入Http请求头
rocky的编程随记
01-16 425
Shiro是一个业界常用的java安全框,它默认的管理session的方式,是在客户端请求登录功后,写入到cookie里面存储起来。笔者在维护一个前后端不分离的老系统,遇到这样的一个需求,在保留老系统原有的登录功能情况下,拓展PDA终端的登录方式,支持自定义请求头token来登录。那么着手拓展吧。shiro默认的Session管理,是通过DefaultWebSessionManager来实现的。
手牵手带你整合Shiro+JWT实现认证功能
小咸白鱼的博客
11-23 7555
需要对 shiro 和 jwt 有一定的了解。 Shiro和JWT的区别 ​ 整合之前需要清楚Shiro和JWT的区别。 首先Shiro是一套安全认证框架,已经有了对token的相关封装。而JWT只是一种生token的机制,需要我们自己编写相关的生逻辑。 其次Shiro可以对权限进行管理,JWT在权限这部分也只能封装到token中,需要我们自己实现处理逻辑。 最后 Shiro是基于session保持会话 的,也就是说是有状态的。而JWT则是无状态的(服务端不保存session,而是生t.
Shiro+token+JWT
weixin_43913889的博客
05-10 1972
先讲一下大概步骤 JWT工具类,这个在网上找的。用于生和解析token 自定义realm,继承AuthorizingRealm,重写认证授权两个方法 自定义filter,继承BasicHttpAuthenticationFilter 我们使用JWT,所以直接把session禁用。 重点,Redis中保存JWTToken信息(做到JWT的可控性) 用户登录后,返回jwtTokentoken中保存了过期时间,比如5分钟)给用户,同时把token保存到redis中(设置一个自动删除时间,比如30分钟),
STM32H562实现FreeRTOS内存管理【支持STM32H系列单片机】.zip
最新发布
06-03
STM32H562 FreeRTOS驱动程序,支持STM32H系列单片机。 项目代码可直接运行~
使用shiro进行登录是用的token还是session
05-26
Shiro框架既支持使用Token进行登录认证,也支持使用Session进行登录认证。 使用Token进行登录认证的流程一般如下: 1. 用户输入用户名和密码,提交到服务器。 2. 服务器验证用户名和密码,如果通过验证,则生一个Token,并将Token返回给客户端。 3. 客户端在后续的请求中,需要在请求头中携带这个Token,以便服务器能够识别用户身份。 4. 服务器接收到请求,验证Token的有效性,如果有效,则允许访问资源。 使用Session进行登录认证的流程一般如下: 1. 用户输入用户名和密码,提交到服务器。 2. 服务器验证用户名和密码,如果通过验证,则在Session中保存用户的身份信息。 3. 客户端在后续的请求中,会自动在请求头中携带Session ID,以便服务器能够识别用户身份。 4. 服务器接收到请求,验证Session ID的有效性,如果有效,则允许访问资源。 需要注意的是,使用Session进行登录认证需要在服务器端保存Session,这可能会增加服务器的负担,在高并发的情况下可能会导致性能问题。因此,在实际开发中,可以根据具体情况选择使用TokenSession进行登录认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值