shiro不执行授权_尚学堂061——Shiro

最新推荐文章于 2023-05-11 13:24:58 发布
最新推荐文章于 2023-05-11 13:24:58 发布
阅读量65 收藏
点赞数
文章标签: shiro不执行授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39922004/article/details/111582790
版权
  1. Shiro-简介及架构图介绍(对应01-02视频)
    1. Shiro是什么,它的作用是什么?

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。

  1. 从外部看Shiro,大体上分为哪几部分,每部分的作用是什么?

Subject:即“当前操作用户”。

SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

  1. Shiro-03-常见英文名词汇总解释(视频名称)
    1. Shiro中常见的英文词汇有哪些,分别是什么意思?

Subject 主体

Secuity 安全

Realm 领域范围

Authenticator 认证器

Authentication 认证

Authorizer 授权器

Authorization 授权

Cryptography 密码、加密

Credential 证书 凭证

Matcher 匹配器

Principal 身份

  1. Shiro-04-ini配置文件详解(视频名称)
    1. shiro.ini一般放到哪个路径下,该文件中的数据格式是什么样的?

项目 src目录下 数据格式为键值对形式

  1. shiro.ini文件的应用场景是怎样的?

适用于用户少且不需要在运行时动态常见的情景下使用

  1. Shiro-05-环境搭建实现简单认证(视频名称)
    1. 如何理解身份和凭证?

身份用于区别不同的用户,例如username

凭证是每个用户的唯一识别码,例如password

  1. 使用Shiro实现简单认证需要哪些步骤?

配置shiro.ini

构建SecurityManager工厂

通过SecurityManager工厂获取SecurityManager实例

将securityManager设置到运行环境当中

获取subject实例

创建用户名密码验证令牌Token

进行身份验证

判断验证是否通过

  1. Shiro-06-Shiro内置的JDBCRealm讲解(视频名称)
    1. 什么是Realm?

Realm:域,Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 中查找用户及其权限信息。从这个意义上讲,Realm 实质上是一个安全相关的 DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给 Shiro 。当配置 Shiro时,你必须至少指定一个 Realm ,用于认证和(或)授权。配置多个 Realm 是可以的,但是至少需要一个。

Shiro 内置了可以连接大量安全数据源(又名目录)的 Realm,如 LDAP、关系数据库(JDBC)、类似 INI 的文本配置资源以及属性文件等。如果缺省的 Realm 不能满足需求,还可以插入代表自定义数据源的自己的 Realm 实现。

  1. 使用JDBCRealm数据库表需要注意什么问题?

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户信息,大部分情况下需要从数据库中读取用户信息,这时候需要使用jdbcRealm或自定义Realm,使用jdbcRealm时,需要在shiro.ini文件中配置数据源。

  1. Shiro-07-如何自定义Realm提供数据源(视频名称)
    1. 本节课自定义的Realm继承了哪个类?

AuthenticatingRealm

  1. SimpleAuthenticationInfo构造器中的三个参数分别是什么意思?

Principal 身份

Credentials 凭证

realmName 域的名称

  1. Shiro-08-几种加密类型对比(视频名称)
    1. 常见的加密算法分为哪几类?

对称加密算法和非对称加密算法以及hash算法

  1. 如何理解对称加密和非对称加密?

对称加密过程和解密过程使用的同一个密钥

非对称加密采用了两个密钥,一般使用公钥进行加密,使用私钥进行解密。

  1. Shiro-09-MD5加密、加盐以及迭代(视频名称)
    1. 什么是加盐?

加盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做”盐“(salt)的n位随机数相关联。无论何时只要口令改变,随机数就改变。随机数以未加密的方式存放在口令文件中,这样每个人都可以读。不再只保存加密过的口令,而是先将口令和随机数连接起来然后一同加密,加密后的结果放在口令文件中。

  1. 什么是迭代?

迭代是重复反馈过程的活动,迭代加密即使用上一次加密的结果作为下一次加密的初始值。

  1. Shiro-10-凭证匹配器(视频名称)
    1. 什么是凭证匹配器?

AuthenticatingRealm类中的credentialsMatcher。

用以设置加密算法和迭代次数

  1. 凭证匹配器是哪个对象中属性?

AuthenticatingRealm

  1. Shiro-11-实现授权(视频名称)
    1. 什么是授权?

授权是对通过token认证的用户授予资源访问权限的过程

  1. Shiro中常见的授权有哪些方式?

基于角色授权和基于权限授权

  1. Shiro-与Spring整合实现登录认证之配置文件编写(对应12-13视频)
    1. Shiro-与Spring整合实现登录认证有哪些操作步骤?

导入rbac项目

导入shiro相关jar包(shiro-all 以及shiro-spring)

在web.xml中添加DelegatingFilterProxy配置

编写spring-shiro.xml

编写mapper接口及mapper.xml

编写service接口及实现类

编写controller

编写Realm

  1. DelegatingFilterProxy的作用是什么?

DelegatingFilterProxy类存在与spring-web包中,其作用就是一个filter的代理,用这个类的好处是可以通过spring容器来管理filter的生命周期,还有就是,可以通过spring注入的形式,来代理一个filter执行。

  1. 需要将Shiro中的哪些对象交给spring容器管理?

凭证匹配器 HashedCredentialsMatcher

自定义realm

安全管理器 DefaultWebSecurityManager

ShiroFilterFactoryBean对象

weixin_39922004
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro执行授权方法 doGetAuthorizationInfo()
05-01
NULL 博文链接:https://rd-030.iteye.com/blog/2359792
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
shiro授权无效的原因
m0_67390379的博客
03-28 649
问题 在一个shiro的demo中,设计共有两个页面,add页面和update页面,add页面只能具有user:add字段的用户可以访问,update页面只能具有user:update字段的用户去访问,如果某用户访问add页面,但是没有user:add字段的话,则会呈现用户:未经授权不得访问 这样的一个页面。 代码如下: @RequestMapping("/noauth") @ResponseBody public String unauthorized(){ return
shiro (java安全框架)
qq_41231886的博客
03-01 230
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概...
shiro执行授权_Shiro笔记
weixin_39528525的博客
12-10 176
shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro是Java的一个安全(权限)框架。Shiro可以非常容易的开发出...
shiro AuthorizationInfo授权方法不执行原因,解决
Lan_Se_Tian_Ma的博客
03-25 799
AuthorizationInfo方法,不是执行完认证后就执行,切记,而是访问限制资源的时候,才会执行,使用以下两种方式才会执行 "/jump/test.html", "roles[user]" ---> 访问test.html需要user权限 "/jump/test.html", "perms[user:/jump/test.html]" ---> 访问test.html...
shiro-demo_DEMO_shiro_shriodemo_shiro框架demo_shiro前后端分离_
10-04
本项目"shiro-demo_DEMO_shiro_shriodemo"是一个基于 Shiro 实现的前后端分离的演示示例,旨在帮助开发者快速理解和应用 Shiro 在实际项目中的功能。 **1. Shiro 框架基础** Shiro 提供了以下核心组件: - **...
jfina_shiro_jfinal+shiro_fromjh1_shiro_
10-04
《jfina_shiro_jfinal+shiro_fromjh1_shiro_》是一个关于集成JFinal和Apache Shiro的项目实例,旨在构建一个具备权限管理功能的Web应用。在这个项目中,JFinal作为轻量级Java Web开发框架,负责处理HTTP请求、路由和...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
当这些操作不受限制时,恶意用户可以利用此漏洞,发送特制的序列化数据包,使得 Shiro 在反序列化过程中执行恶意代码。J1anfen 创建的 "shiro_attack_by J1anfen" 工具就是为了检测和验证这种漏洞的存在。 该工具...
关于shiro执行授权方法的原因
ak514250的博客
08-05 9096
自己在学习shiro框架时,用户在登录的时候只执行认证方法而没有去执行授权doGetAuthorizationInfo()方法.刚开始以为是哪里配置错误了,有人说shiro的东西要配到SpringMVC的配置文件中,结果发现并没有什么用.后来才发现对shiro认证与授权理解错误. shiro并不是在认证之后就马上对用户授权,而是在用户认证通过之后,接下来要访问的资源或者目标方法需要权限的时候...
shiro授权不生效,授权无反应
A_stranger的专栏
12-14 523
//开启shiro aop注解支持 @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){ System.out.println("开启了Shiro注解支持"); AuthorizationAt...
前后端分离Shiro执行授权方法解决办法
web18296061989的博客
04-29 452
Shior简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交
shiro 授权方法doGetAuthorizationInfo()不回调问题解决
w36680130的博客
02-12 170
shiro 授权方法doGetAuthorizationInfo()不回调问题解决
Springboot+vue+shiro前后端分离项目解决权限验证提示没有认证(Authentation)的问题
m0_67266585的博客
04-08 768
毕设做一个系统,其中涉及管理员、教师和学生三个角色,遂决定使用Springboot+vue+shiro(这三个技术只是这个记录中涉及到的三个技术或框架)。但是使用shiro的过程中遇到了非常多的问题。最后解决的问题是一直提示当前subject没有authentication。 直接把报错信息放到网上查发现没有一个解决问题的。 先说明解决方案: (1)注解不生效,在ShiroConfig里面配置两个bean: @Bean public DefaultAdvisorAutoProxyCreator
springboot+shiro执行 授权验证
qq_41856825的博客
05-22 548
springboot+shiro执行 授权验证(使用注解情况) 查看是否引用**spring-boot-starter-aop 自动配置jar包** 没有就加上 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency>
Springboot整合shiro 登录后访问请求不执行Realm的授权doGetAuthorizationInfo方法
zhousw1999的博客
01-17 7222
在用springboot 整合shiro的时候,测试发现登录后访问请求不执行Realm的授权方法, 解决方案 把setRealm()放在创建SecurityManager的方法最后一行
springboot shiro执行授权方法doGetAuthorizationInfo()
qq_43640899的博客
06-30 4406
AuthorizingRealm中有两个需要被重写的方法,分别是 doGetAuthenticationInfo() //验证功能 和 doGetAuthorizationInfo() //授权功能 在login登录方法中,使用login()方法触发自定义的 myRealm.doGetAuthenticationInfo()*方法, /*登录方法*/ public void login(){ Subject subject = SecurityUtils.getSubject(); UsernamePa
springboot 集成shiro 注解失效(不进行授权)解决方案
qq_43499489的博客
05-11 472
配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能。* 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)
shiro获取session用户_shiro 获取请求头中的 sessionId
最新发布
05-19
可以使用 Shiro 的 Subject 对象获取当前用户的 Session,具体代码如下: ```java Subject currentUser = SecurityUtils.getSubject(); Session session = currentUser.getSession(); Object sessionId = session....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值