apache shiro jar包_shiro 安全框架(1)

最新推荐文章于 2022-09-14 20:22:04 发布
最新推荐文章于 2022-09-14 20:22:04 发布
阅读量219 收藏
点赞数
文章标签: apache shiro jar包 apache shiro 如何升级

一.简介

Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和 会话管理等功能。

对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可 以用在JavaSE环境,也可以用在JavaEE环境。

二.架构图

1.从外部来看Shiro,即从应用程序角度来观察如何使用Shiro完成工作。如 下图:

384b20c041aedf7251087c3d350521d0.png

2.2.从Shiro内部看Shiro的架构,如下图所示:

87a42920de48aa0b92975065c7d4a834.png

三、Shiro配置文件详解

shiro.ini文件放在classpath下,shiro会自动查找。其中格式是key/value 键值对配置。INI配置文件一般适用于用户少且不需要在运行时动态创建的 情景下使用。 ini文件中主要配置有四大类:main,users,roles,urls

main主要配置shiro的一些对象,例如securityManager ,Realm, authenticator,authcStrategy

[users]允许你配置一组静态的用户,包含用户名,密码,角色,一个用户 可以有多个角色,可以配置多个角色

[roles]将角色和权限关联起来,格式为:角色名=权限字符串1,权限字符 串2…..

[urls] 这部分配置主要在web应用中,格式为:url=拦截器[参数],拦截器[参 数]

四、Shiro环境搭建实现简单认证

1.实现步骤

导入jar包

b89b229466e8bc2fc33b1471d7eaa4a6.png

新建文件shiro.ini放到src下,进行配置

[users]

victor=123456

编写测试代码

//实现简单验证
public class AuthenticationTest {
   
	@Test
	public void testauthentication() {
		//1.构建securityManager工厂
		IniSecurityManagerFactory securityManagerFactory = new IniSecurityManagerFactory("classpath:shiro.ini");
		//2.通过securityManagerFactory工厂获取SecurityManager实例
		SecurityManager securityManager = securityManagerFactory.getInstance();
		//3.将securityManager设置到运行环境当中
		SecurityUtils.setSecurityManager(securityManager);
		//4.获取subject实例
		Subject subject = SecurityUtils.getSubject();
		//5.创建用户名密码验证令牌Token
		UsernamePasswordToken token = new UsernamePasswordToken("victor","123456");
		//6.进行身份验证
		subject.login(token);
		//7.判断是否认证通过
		System.out.println(subject.isAuthenticated());
		
	}
}

五、JDBCRealm

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息。 大部分情况下需要从系统的数据库中读取用户信息,所以需要使用 JDBCRealm或自定义Realm。

需求:使用JDBCRealm提供数据源,从而实现认证 。

实现步骤:

1建users表(表名、字段对应上)

在数据库中新建users表,添加id、username、password。

2添加jar包(数据库驱动、数据库连接池、beanutils等)

428c7355782169607e49a87afe9e2f02.png

3编写shiro.ini 

[main]

#配置realm
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm

#配置数据源
dataSource=com.mchange.v2.c3p0.ComboPooledDataSource
dataSource.driverClass=com.mysql.jdbc.Driver(连接数据库)
dataSource.jdbcUrl=jdbc:mysql:///test(数据库名)
dataSource.user=root(账户)
dataSource.password=数据库密码

jdbcRealm.dataSource=$dataSource

#将Realm注入给SecurityManager
securityManager.realm = $jdbcRealm

4编写测试代码

同上(简单验证测试代码);区别:数据库获取信息。

六、如何自定义Realm

自定义Realm,可以注入给securityManager更加灵活的安全数据源(例如, JDBCRealm中表和字段都限定了) 通过实现Realm接口,或根据需求继承他的相应子类即可。

实现步骤:

1添加jar包

2编写自定义Realm 

public class CustomRealm extends AuthenticatingRealm {
	private String principal;
	private String credentials;
	private ResultSet rs;
	private Statement state;
	private Connection conn;

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		//使用JDBC,从数据库获取数据
		try {
			//1.注册驱动
			Driver driver = new Driver();
			DriverManager.registerDriver(driver);
			//2.获取连接对象
			String url ="jdbc:mysql:///test";
			String user = "root";
			String password = "123456";
			conn = DriverManager.getConnection(url , user , password );
			state = conn.createStatement();
			//4.执行sql语句
			String sql = "select userName,passwd from starLogin";
			rs = state.executeQuery(sql );
			//5.处理结果集
			while (rs.next()) {
				principal = rs.getString("userName");
				credentials = rs.getString("passwd");
			}
		} catch (SQLException e) {
			e.printStackTrace();
		}finally{
			if(rs != null){
				try {
					rs.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
			if(state != null){
				try {
					state.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
			if(conn != null){
				try {
					conn.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
		}
		
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal, credentials, "customRealm");
		return simpleAuthenticationInfo;
	}

}

3编写shiro.ini 

[main]
#配置Realm
customRealm = 全限定列名

#将Realm注入给SecurityManager
securityManager.realm = $customRealm

4编写测试类

七、Shiro之加密

1.几种常见加密算法比较

对称加密算法(加密与解密密钥相同)

e8f70f542a53a6fcbff34d0c0ebb7658.png

非对称算法(加密密钥和解密密钥不同)

f32d99a57ac5826cf22045e2341c1be0.png

对称与非对称算法比较

8efde1f28d7973f9a5ce3cdb22729f36.png

散列算法比较

6e92963cff18c5c47c4d5c86ccd87313.png

2.MD5加密、加盐与迭代

加盐: 使用MD5存在一个问题,相同的password生产的Hash值是相同的,如 果两个用户设置了相同的密码,那么数据库当就会存储相同的值,这样是极 不安全的。 加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点 “佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时), 由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时, 系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,来 确定密码是否正确。

加盐原理: 给原文加入随机数生成新的MD5值。

迭代:加密的次数 

//MD5加密,加盐以及迭代
public class MD5Test {
   
	@Test
	public void testMD5() {
      //MD5加密
		Md5Hash md5 = new Md5Hash("123456");
		System.out.println(md5);
     //加盐
	   md5 = new Md5Hash("123456","dd");
	   System.out.println(md5);
	 //迭代
	   md5=new Md5Hash("123456","dd",3);
	   System.out.println(md5);
	}
}

3.凭证匹配器

在Realm接口的实现类AuthenticatingRealm中有credentialsMatcher属性。 意为凭证匹配器。常用来设置加密算法及迭代次数等。

八、Shiro之授权

1.授权,又称作为访问控制,是对资源的访问管理的过程。即对于 认证通过的用户,授予他可以访问某些资源的权限。

2.Shiro 支持三种方式的授权:代码触发、注解触发、标签触发 。

weixin_39953244
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro-1.9.0版本jar包
05-10
shiro-1.9.0版本jar包,官网:https://mvnrepository.com/artifact/org.apache.shiro/shiro-core/1.9.0
shiro中文api_Shiro
qq_43842093的博客
09-22 977
1 shiro Apache shiro 是一个 Java 安全框架。 功能:认证、授权、加密和会话管理功能 应用环境:JavaEE、JavaSE Subject 可看做成一个用户 SecurityManager 框架的核心API Reaim 域对象,用于取数据库中的数据,进行权限比对。 | 名词 | 名词中文解释 | | -------------- | ------------ | | Subject | 主体 | | Security | 安全 | | Realm | 领域、范围 | | Aut.
Apache shiro 官方API (中文版)(承蒙大佬们看重 小弟整理了下 无需积分 编辑的不好 希望帮到你们)
web18484626332的博客
09-02 308
链接 :密码 :ijiz。
apache shiro jar包_springboot集成shiro
weixin_39831503的博客
11-26 363
通过Shiro的认证与授权可以搭建一个有认证和权限体系的项目,用户需要登录之后才能访问应用服务。官方文档: https://shiro.apache.org/spring-boot.html1.集成导入jar包 org.apache.shiro shiro-spring-boot-web-starter 1.4.2官方提供了属性参数以及一些默认值。2.修改配置文件applica...
shiro用户加密默认方式_Shiro-密码的MD5加密
weixin_39821035的博客
12-22 772
1.密码的加密在数据表中存的密码不应该是123456,而应该是123456加密之后的字符串,而且还要求这个加密算法是不可逆的,即由加密后的字符串不能反推回来原来的密码,如果能反推回来那这个加密是没有意义的。著名的加密算法,比如 MD5,SHA12.MD5加密1). 如何把一个字符串加密为MD52). 使用MD5加密算法后,前台用户输入的字符串如何使用MD5加密,需要做的是将当前的Realm 的cr...
Apache Shiro核心jar包shiro-core-1.3.2
12-07
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
shiro jar包及源码下载
10-09
shiro权限验证jar包及源码 shiro-1.3.2jar包及源码下载
shiro 1.4.0所有jar包(全)
02-15
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
shiro所有jar包
02-28
shiro所有jar包 集成spring用到的 shiro所有jar包 集成spring用到的 shiro所有jar包 集成spring用到的 shiro所有jar包 集成spring用到的
Apache_Shiro参考手册中文版_shiro_
10-01
shiro文档 java相关项目开发短信功能使用的jar包
中文版参考手册Shiro_API.rar
06-11
Apache_Shiro中文参考手册,拿去用吧,学习Shiro用得着啊,不客气了!
Apache Shiro 1.2.4反序列化漏洞复现
DXfighting_的博客
04-15 1662
下载使用反序列化利用工具ysoserial 项目地址:https://github.com/frohoff/ysoserial 适用maven在命令行下打包: mvn clean package -DskipTests(在项目目录下执行) 使用ysoserial生成CommonsBeanutils1的Gadget: java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "touch /tmp/success" &...
JavaWeb登录功能
syy567的博客
10-05 2657
利用JavaWeb开发一个旅游项目的登录功能。 后台代码 实体类User.java 个人习惯,先准备好实体类User.class public class User { private int uid; private String username; private String password; private Date birthday; private String name; private String sex; private Stri
apache shiro jar包_只需要6个步骤,springboot集成shiro,并完成登录
weixin_39644139的博客
11-22 574
小Hub领读:导入jar包,配置yml参数,编写ShiroConfig定义DefaultWebSecurityManager,重写Realm,编写controller,编写页面,一气呵成。搞定,是个高手~上面一篇文章中,我们已经知道了shiro的认证与授权过程,这也是shiro里面最核心常用的基础功能。现在我们把shiro集成到我们的项目中,开始搭建一个有认证和权限体系的项目,比如用户中心需要登录...
shiro安全框架简介
最新发布
m0_73199459的博客
09-14 791
菜鸟
Shiro
weixin_30487701的博客
09-28 222
Shiro简介 SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个...
Shiro反序列化漏洞利用笔记
文公子的博客
12-11 626
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache S
Shiro入门简介
Yang_Hui_Liang的博客
04-02 626
一、shiro简介 Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户“登录”; ...
shiro--jar包导入
embelfe_segge的博客
08-24 218
shiro-core核 心。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值