springboot+shiro

最新推荐文章于 2023-07-10 15:09:11 发布
最新推荐文章于 2023-07-10 15:09:11 发布
阅读量225 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42465093/article/details/120249480
版权

springboot+shiro的学习

Shiro简介

Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序—从最小的移动应用程序到最大的web和企业应用程序

shiro的核心架构

Subject:
主体,外部的应用与subject交互,记录当前的用户信息,外部应用通过subject进行认证授权,而subject又通过SecurityManager进行认证授权。

SecurityManager:
安全管理器,对subject进行安全管理,是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口

Authenticator:
认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类
Authorizer:
授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限

Realm:
领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,

SessionManager:
会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录

SessionDAO:
会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库

CacheManager:
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能

Cryptography:
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

shiro认证

认证就是判断一个用户是否是合法用户,最简单的就是通过用户名和口令进行认证

Subject:访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体
Principal:身份信息,是主体(subject)进行身份认证的标识,标识必须具有唯一性,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)
credential:凭证信息,是只有主体自己知道的安全信息,如密码、证书等

普通的认证过程

自定义Realm

/**
 * 自定义realm
 */
public class CustomerRealm extends AuthorizingRealm {

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //1.在token中获得用户名,即身份信息
        String principal = (String)token.getPrincipal();
        //2.根据身份信息从数据库中查询(这里只是模拟)
        if ("dong".equals(principal)){
            //参数说明 用户名 |密码|当前realm名字
            //3.认证
            SimpleAuthenticationInfo simpleAuthorizationInfo = new SimpleAuthenticationInfo(principal,"123456",this.getName());
            return  simpleAuthorizationInfo;
        }
        return null;
    }
}

认证

		// 1.创建SecurityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        // 2.设置自定义realm
        defaultSecurityManager.setRealm(new CustomerRealm());
        // 3.设置安全工具类
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 4.通过安全工具类获取subject
        Subject subject = SecurityUtils.getSubject();
        // 5.创建token
        UsernamePasswordToken token = new UsernamePasswordToken("dong", "123456");
        try {
            // 6.登录认证
            subject.login(token);
            System.out.println(subject.isAuthenticated());
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误");
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误");
        }catch (Exception e) {
            e.printStackTrace();
        }

MD5+随机盐方式认证

自定义加密Realm

//认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String principal = (String)authenticationToken.getPrincipal();
        if ("dong".equals(principal)){
            /**
             * 用户名
             * 加密后的密码
             * 随机盐
             * 当前realm的名称
             */
            return new SimpleAuthenticationInfo(principal,
                    "ee31ab9421f9b231ee0d4ced88f48c17",
                    ByteSource.Util.bytes("ruiwe4"),
                    this.getName());
        }
        return null;
    }

加密后的密码可以由 javaMd5Hash md5Hash03 = new Md5Hash("123456","ruiwe4",1024);得到

认证

        // 创建SecurityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        // 设置自定义realm
        CustomerMD5Realm realm = new CustomerMD5Realm();
        // 为realm设置凭证匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        // 设置加密算法
        credentialsMatcher.setHashAlgorithmName("md5");
        // 设置hash次数
        credentialsMatcher.setHashIterations(1024);
        realm.setCredentialsMatcher(credentialsMatcher);

        defaultSecurityManager.setRealm(realm);
        // 设置安全工具类
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 通过安全工具类获取subject
        Subject subject = SecurityUtils.getSubject();
        // 创建token
        UsernamePasswordToken token = new UsernamePasswordToken("dong", "123456");
        try {
            // 登录认证
            subject.login(token);
            System.out.println("认证成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误");
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误");
        }

shiro授权

授权可理解为Who对What进行How操作

授权方式

基于角色的访问控制
RBAC基于角色的访问控制(Role-Based Access Control)是以角色为中心进行访问控制

基于资源的访问控制
RBAC基于资源的访问控制(Resource-Based Access Control)是以资源为中心进行访问控制

权限字符串的规则是:资源标识符:操作:资源实例标识符,意思是对哪个资源的哪个实例具有什么操作
权限的编码方式:编程式、注解式、标签式

授权实现

自定义Realm

	//授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //从系统返回的身份信息集合中获取主身份信息,即用户名
        String primaryPrincipal = (String )principalCollection.getPrimaryPrincipal();
        System.out.println("用户名:"+primaryPrincipal);

        //根据用户名获取当前用户的角色信息以及权限信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

        //将数据库中查询的角色信息赋值给权限对象
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user");

        //将数据库中查询的权限信息赋值给各个权限对象
        simpleAuthorizationInfo.addStringPermission("user:*:01");
        simpleAuthorizationInfo.addStringPermission("product:create");
        return simpleAuthorizationInfo;
    }

授权

		//授权
        if(subject.isAuthenticated()){
            //基于角色权限控制
            System.out.println(subject.hasRole("super"));
            //基于多角色权限控制,同时具有
            System.out.println(subject.hasAllRoles(Arrays.asList("admin","super")));
            //是否具有其中是一角色
            boolean[] booleans = subject.hasRoles(Arrays.asList("admin","super","user"));
            for (boolean aBoolean : booleans){
                System.out.println(aBoolean);
            }

            System.out.println("+++++++++++++++++++++++++++++++");

            //基于权限字符串的访问控制 资源标识符:操作:资源类型
            System.out.println("权限:"+subject.isPermitted("user:update:01"));
            System.out.println("权限:"+subject.isPermitted("product:crate"));

            //分别具有哪些权限
            boolean[] permitted = subject.isPermitted("user:*:01","order:*:10");
            for (boolean b :permitted){
                System.out.println(b);
            }

            //同时具有哪些权限
            boolean permittedAll = subject.isPermittedAll("user:*:01","product:create:01");
            System.out.println(permittedAll);

web项目中使用shiro(springboot)

认证大概过程

先自定义Realm,然后创建一个配置类ShiroConfiguration,在这做一些shiro的配置,比如安全管理器、过滤器、realm等,接下来就可以在controller里面做认证。

MD5+随机盐进行注册

这个比较简单,除了正常的注册流程和shiro配置以外需要增加一个生成随机盐的工具类用来生成随机盐。
代码:

@Override
    public void register(User user) {
        // 生成随机盐
        String salt = SaltUtil.getSalt(ShiroConstant.SALT_LENGTH);
        // 保存随机盐
        user.setSalt(salt);
        // 生成密码
        Md5Hash password = new Md5Hash(user.getPassword(), salt, ShiroConstant.HASH_ITERATORS);
        // 保存密码
        user.setPassword(password.toHex());
        userMapper.insert(user);
    }

MD5+随机盐进行认证

在登陆的基础上修改realm类,把随机盐加进去并且需要从数据库中查询数据

授权过程

基于角色的授权

持久层即数据库中需要创建role、user_role,来用于给用户分配角色
视图层引入java<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>可以通过标签来授权
授权代码:

// 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        //获取主身份信息
        String principal = (String) principals.getPrimaryPrincipal();
        //根据主身份信息获取角色信息
        User user = userService.findUserByUserName(principal);
        List<Role> roles = roleService.getRolesByUserID(user.getId());
        if (!CollectionUtils.isEmpty(roles)){
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            roles.forEach(role ->{
                simpleAuthorizationInfo.addRole(role.getName());
            });
            return  simpleAuthorizationInfo;
        }
        return null;
    }
小柳子的小六
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+shiro整合
weixin_45255645的博客
10-01 308
什么是shiro? Apache shiro是java的一个安全框架,shiro在开发中简单易用,其中shiro可以帮我们做:认证,授权,拦截,加密,会话处理,缓存等一些功能。 什么是认证? 登陆某一个网站的时候,需要判断用户使用已经登陆,判断用户是否登录就是认证 什么是授权? 登陆之后,需要判断用户的权限,然后按照不同的权限跳转到不同的页面。 shiro的三大核心组件: Subject Subject:即“当前操作用发户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是
SpringBootShiro整合
fangliangke的博客
02-01 6111
本文章介绍了Spring boot下shiro与thymeleaf、mybatis的整合过程,Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
Springboot整合Shiro框架入门
web15285868498的博客
04-08 5111
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
SpringBootShiro整合详解
Zero摄氏度的博客
08-04 2319
Apache Shiro 是一个Java的安全(权限)框架 ------- 和SpringSecurity一样是安全框架 2. Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSe环境. 3. Shiro 可以完成: 认证,授权,加密,会话管理,Web集成,缓存等...
SpringBoot +Shiro(框架介绍 + 使用示例)
一只程序猿的博客
06-09 1013
Shiro框架介绍 Shiro是一个功能强大开源的Java安全框架,提供了用户认证、授权、加密、会话管理、缓存等功能。和目前另一款Java安全框架Spring Security相比,Shiro更加轻便,易于上手。 功能点介绍 Authentication:用户身份认证/登录,即验证用户是不是合法用户 Authorization:用户权限验证,即验证用户是否拥有某个角色,是否拥有某个权限 Session Manager:会话管理,即用户登录后就存在一个session,在用户注销前,用户的所有信息都会存在与
ShiroSpringBoot整合
小凯的博客
03-03 1135
Shrio整合springboot及相关案例解析
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
springboot+shiro.zip
05-08
SpringBootShiro是两个非常重要的Java开发框架,它们在构建高效、简洁的Web应用程序时起着关键作用。SpringBoot简化了Spring应用的初始搭建以及开发过程,而Apache Shiro则是一个强大且易用的Java安全框架,负责...
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
本项目采用SpringBoot、Apache Shiro以及LayuiMini框架来实现这一目标。接下来,我们将深入探讨这三个技术栈如何协同工作,构建出高效、安全的权限管理体系。 **SpringBoot** SpringBoot是Spring框架的轻量级衍生品...
springboot+shiro+redis整合
03-12
在IT行业中,SpringBootShiro和Redis是三个非常重要的技术组件,它们分别在不同的领域发挥着关键作用。本文将详细讲解如何将这三个组件整合在一起,实现一个高效、安全的Web应用。 首先,SpringBoot是Spring框架...
springboot+shiro+jpa+email
11-15
本项目“springboot+shiro+jpa+email”结合了这些技术,旨在提供一个简洁的测试示例,同时也展示了如何将它们整合到一起,以实现数据持久化、权限管理以及邮件发送等功能。 首先,SpringBoot是基于Spring框架的轻量...
SpringBoot之整合Shiro(最详细)
热门推荐
Java追求者的博客
05-31 4万+
1.SpringBoot整合Shiro思路 2. 环境搭建 2.1 创建项目 2.2 引入依赖 pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
springboot整合shiro入门,实现认证和授权功能(非常详细)
沐雨橙风ιε的博客
07-02 5543
自定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult<Void> jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
SpringBoot整合Shiro(超详细,适合新手学习,附有源码)
lianaozhe的博客
03-24 1304
shiro是什么呢?Shiro是一个功能强大,简单易用的 Java 安全框架,提供了用户认证、授权、加密、会话管理、缓存等功能。和目前另一款Java安全框架Spring Security相比,Shiro更加轻便,易于上手。各功能点介绍Authentication:用户身份认证/登录,即验证用户是不是合法用户Authorization:用户权限验证,即验证用户是否拥有某个角色,是否拥有某个权限。
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 778
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
Springboot整合shiro
chao的博客
07-10 2268
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
营销策划 -2024非遗大展预热引流策划方案.pptx
最新发布
07-13
营销策划 -2024非遗大展预热引流策划方案.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值