shiro的简单介绍

已于 2022-05-03 15:45:23 修改
阅读量2.1k 收藏 1
点赞数 1
分类专栏: java 框架 文章标签: java 安全 web安全
于 2022-05-03 15:39:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42063820/article/details/124555272
版权
java 同时被 2 个专栏收录
33 篇文章 2 订阅
订阅专栏
框架
1 篇文章 0 订阅
订阅专栏

1.Shiro的简单配置

1) 获取ShiroFilterFactoryBean,作用是在执行相关操作前,先进行功能过滤,拦截所有请求,进入到shiro中进行认证与授权
例如:设置一些拦截的请求
// 身份认证失败,则跳转到登录页面的配置
bean.setLoginUrl(“/tologin”);
// 权限认证失败,则跳转到指定页面
bean.setUnauthorizedUrl(“/tologin”);

2) 创建SecurityManager,来管理shiro;Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

3) Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 中查找用户及其权限信息,可见Realm的重要。
当配置 Shiro时,你必须至少指定一个 Realm ,用于认证和(或)授权。配置多个 Realm 是可以的,但是至少需要一个。

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm,以userRealm为例子。

shiroConfig配置:

package com.example.demo.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    //ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);

       /* // 身份认证失败,则跳转到登录页面的配置
        bean.setLoginUrl("/tologin");
        // 权限认证失败,则跳转到指定页面
        bean.setUnauthorizedUrl("/tologin");*/

        //添加shiro的内置过滤器

        /**
         * anno 无需认证就可以访问必须认证了才能访问
         *authc
         * user:必须拥有记住我功能才适用
         * perms :拥有对某个资源的权限才能访问
         * role:拥有某个角色的权限
         */

        //拦截请求
//        Map<String,String> filterChainDefinitionMap =new LinkedHashMap<>();

//        filterChainDefinitionMap.put("/tologin","authc");//免登录验证

//        filterChainDefinitionMap.put("/user/update","anon");//免登录验证
//        filterChainDefinitionMap.put("/user/**","authc");//支持通配符操作  authc
//        filterChainDefinitionMap.put("/user/add","authc");//身份验证

        //方式一:anon,authc
        Map<String,String> filterChainDefinitionMap =new LinkedHashMap<>();

        filterChainDefinitionMap.put("/user/add","anon");
        filterChainDefinitionMap.put("/user/update","authc");
//        filterChainDefinitionMap.put("/**","authc");//支持通配符操作  authc
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);


       /*
       //方式二:perms
       Map<String,String> filterMap =new LinkedHashMap<>();

        filterMap.put("/user/add","perms[user:add]");
        filterMap.put("/user/update","perms[user:update]");
        bean.setFilterChainDefinitionMap(filterMap);*/


       //方式三:roles  加上roleFilter 类,并在UserRealm增加info.addRole("user");
       /*Map<String,String> filterMap =new LinkedHashMap<>();

        filterMap.put("/user/add","roles[user]");
        filterMap.put("/user/update","roles[leader]");
        bean.setFilterChainDefinitionMap(filterMap);*/



        bean.setLoginUrl("/tologin");
        //设置未授权的请求
        bean.setUnauthorizedUrl("/noauth");

        return bean;
    }

    //方式二:user

    /*
    登录接口加上  token.setRememberMe(true);

    <shiro:user>
       当有记住我信息,或已登录,则显示标签体内容
    </shiro:user>

     */

    //DefaultWebSecurityManager2
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager =new DefaultWebSecurityManager();
        //关联userRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //创建realm对象,需要自定义类1
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

    //整合shiroDialect:用来整合shiro thymeleaf
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }
}

userRealm配置

package com.example.demo.config;


import com.example.demo.pojo.User;
import com.example.demo.service.imp.UserServiceImpl;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserServiceImpl userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了=>授权");
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();

//        info.addRole("user");

        info.addStringPermission("user:update");
        info.addStringPermission("user:add");


        //拿到当前用户登陆对象
        Subject subject= SecurityUtils.getSubject();
        User currentUser= (User) subject.getPrincipal();//拿到User对象
//        info.addStringPermission(currentUser.getPerms());//设置当前用户对象

        return info;
    }

    //认证(用户的权限)
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了=>认证");


//        String name="陈汝旭";
//        String password="123456";

        //连接真实数据库
        UsernamePasswordToken userToken =(UsernamePasswordToken) authenticationToken;
//        if (!userToken.getUsername().equals(name)){
//            return null; //抛出异常 unkonwAccountexception登录失败
//        }
//        //密码认证
//        return new SimpleAuthenticationInfo("",password,"");

        User user=userService.queryUserByName(userToken.getUsername());//获取用户名

        String name=user.getName();
        String password=user.getPwd();
        if(user==null){//说明查无此人
            return null;
        }
        return new SimpleAuthenticationInfo(user,password,name);
    }


}

问题:“当对用户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 中查找用户及其权限信息。”,怎么实现?

2.认证的代码流程

1)执行登录的方法
subject.login(token);//执行登陆的方法
2)研究一下login()的方法,进入源码
在这里插入图片描述

3)再进入实现类
(这个login方法大多都是赋值的操作,我们可以只抓住主要的语句分析)
在这里插入图片描述
4)进入这个方法Subject subject = this.securityManager.login(this, token);的实现类
在这里插入图片描述
5)
在这里插入图片描述
6)都是一些异常处理信息,主要研究info = this.doAuthenticate(token);
在这里插入图片描述
7)这里以单realm来研究 doSingleRealmAuthentication
()
在这里插入图片描述
8)再继续下钻到了这里,主要研究 realm.getAuthenticationInfo(token);可以发现getAuthenticationInfo原来是抽象接口Realm的其中一个方法
在这里插入图片描述
9)紧接着进入realm的其中一个实现类AuthenticatingRealm
(个人觉得研究源码可以不全看懂,尽量抓住主要的语句即可,因为获取缓存中的信息无法帮助我们研究流程,可以先不理会)
在这里插入图片描述

10)doGetAuthenticationInfo一直下钻进来,可以看到我们继承的子类的方法AuthenticationInfo,然后在自定义的AuthenticationInfo进行用户认证的操作。
在这里插入图片描述
在这里插入图片描述

3.授权的代码流程

shiro判断权限的方法有subject.isPermitted(“user”),subject.hasRole(“user”);等
以subject.isPermitted(“user”)作为研究

1)点进去它的实现类DelegatingSubject,先判断身份this.hasPrincipals(),在判断授权,所以主要研究isPermitted()
在这里插入图片描述
2)再继续点进去实现类AuthorizingRealm

在这里插入图片描述
3)主要研究getAuthorizationInfo()这个方法

在这里插入图片描述
4)根据上面说的经验,缓存的方法可以先不理会,这里大多也是一些异常处理信息,所以主要研究 info = this.doGetAuthorizationInfo(principals);

在这里插入图片描述
5)再点击进去,又到了我们的老朋友userRealm的doGetAuthorizationInfo
在这里插入图片描述

正常情况这里将从数据库中获取到相对应的权限信息
(为了偷懒,这里就采用写死的方式获取权限)
在这里插入图片描述

4.三种权限认证的方式

在这里插入图片描述

scanner小霸王
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Burpsuite Shiro检测插件—ShiroScanner&ShiroScan&BurpPlugin_Shiro
afei001
04-05 3228
目录 1.前言 2.ShiroScanner插件 2.1 ShiroScanner介绍&导入 2.2 ShiroScanner的使用 3.ShiroScan插件 4.BurpPlugin_Shiro插件 1.前言 在对网站进行渗透时,如何判断网站是否使用了Shiro安全框架,以及如何检测是否存在Shiro反序列化漏洞呢?相关的Burp插件,已经有大佬写出来了。希望未来某一天,自己也能写一个。 2.ShiroScanner插件 2.1 ShiroScann...
SpringBoot学习笔记(十六:Shiro )(1),蚂蚁金服Java笔试
2401_83740129的博客
04-02 261
为什么我不完全主张自学?①平台上的大牛基本上都有很多年的工作经验了,你有没有想过之前行业的门槛是什么样的,现在行业门槛是什么样的?以前企业对于程序员能力要求没有这么高,甚至十多年前你只要会写个“Hello World”,你都可以入门这个行业,所以以前要入门是完全可以入门的。②现在也有一些优秀的年轻大牛,他们或许也是自学成才,但是他们一定是具备优秀的学习能力,优秀的自我管理能力(时间管理,静心坚持等方面)以及善于发现问题并总结问题。
ShiroShiroFilterFactoryBean(*)
weixin_42408447的博客
11-16 2497
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制。本文主要介绍在spring-boot 中用ShiroFilterFactoryBean 来创建ShiroFilter: @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { # 创建ShiroFilterFactoryBean对象 ShiroFilterFactor
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
05-01 325
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
Springboot整合Shiro 学习笔记
kay523393的博客
04-07 775
Springboot整合Shiro 学习笔记 环境搭建 1.引入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> 2.编写配置类 自定义Realm shiro需要我们提供do
权限管理系统之集成Shiro实现登录、url和页面按钮的访问控制
MarkerHub的博客
09-01 789
小Hub领读:SpringBoot整合Shiro,如何做按钮级别的控制,看完就懂了!作者:小崔笔记本https://www.cnblogs.com/5ishare/p/10461073....
Spring-shiro-Boot-1 整合shiro的配置文件1-ShiroConfig
良之才的专栏
03-04 1208
shiro是纯java的权限管理框架,可以处理认证、权限、加密等标准需求。 shiro的思路就是给控制处理。封装处理的其实很不错,使用起来很方便。 但是,使用shiro得了解一些它的基本特点。 ======================================= 一、shiro权限模型 (1)配置之前,需要知道基本的权限控制概念。这里使用数据库模型控制。【用户-角色-权限】 (2)权限表--sys_permission (3)角色表-sys_role (4)角色...
Shiro数据库简单介绍
10-09
RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离,极大地方便了权限的管理,在讲解之前,先介绍一些名词: User(用户):每个用户都有唯一的UID识别,并被授予...
shiro简单的demo.zip
07-14
**标题解析:**"shiro简单的demo.zip" 这个标题表明我们正在处理一个关于Apache Shiro简单演示项目,这个项目已经集成了SpringBoot框架,并且使用Redis作为缓存来处理权限认证。Shiro是一个强大的Java安全框架,...
shiro简单登录+logback日志记录
06-06
Shiro简单登录+Logback日志记录》 在现代Web开发中,权限管理和日志记录是两个不可或缺的环节。Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、会话管理和加密等功能,而Logback作为Log4j的替代...
jfinal培训+shiro介绍
08-31
jfinal培训+shiro介绍 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被...
Nginx 跳转 Shiro 未登录 setLoginUrl 页面 接口 404
半只
04-25 3874
/admin/pro-order/pageQueryUseOrderRecord,未登录访问这个接口会跳转到 /xxx/xxx /unlogin 未登录接口不要在意图片。截图的时候少打了一个/ 但是没加任何处理 会出现 被重定向到 80端口去,端口 服务名缺失 再次访问 端口是有了,但是 服务名不对,应该是 pmsApi 才对,因为Nginx 6060端口配置的 后台服务名是 pmsApi, 而不是 pms 再次访问: 访问 6060/pms 已经转发过去
shiro动态配置过滤器
yaoct的博客
05-14 3651
在创建AbstractShiroFiltershiro过滤器)时,可以配置过滤器,比如: @Bean("shiroFilter") @DependsOn({"securityManager"}) public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBea
Spring boot开发总结四(整合shiro)
zp的博客
07-16 709
1. shiro简单配置 1.1 pom坐标 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <ve...
被动式shiro检测插件-BurpShiroPassiveScan
siu~
08-24 925
一款基于BurpSuite的被动式shiro检测插件
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5012
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
spring 整合shiro ,并实现动态url 配置
relax
04-19 9965
shiro 与Spring 结合 maven 导入相关包 <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-c
教你 Shiro 整合 SpringBoot,避开各种坑
WLANQY的博客
02-02 188
我们首先要继承 AuthorizingRealm 类来自定义我们自己的 realm 以进行我们自定义的身份,权限认证操作。记得要 Override 重写 doGetAuthenticationInfo 和 doGetAuthorizationInfo 两个方法(两个方法名很相似,不要搞错)}/** * 获取身份验证信息 * Shiro中,最终是通过 Realm 来获取应用程序中的用户、角色及权限信息的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值