Shiro框架快速上手操作学习

最新推荐文章于 2023-06-01 18:13:51 发布
最新推荐文章于 2023-06-01 18:13:51 发布
阅读量163 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42728895/article/details/105798750
版权

参考博客:

https://blog.csdn.net/aimashi620/article/details/80880007

https://blog.csdn.net/pengjwhx/article/details/84867112?depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-4&utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-4

https://blog.csdn.net/weixin_30263277/article/details/95053586?depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-26&utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-26

https://blog.csdn.net/qq_41717874/article/details/84989988?depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-1&utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-1

1.shiro功能

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。

在这里插入图片描述
主要功能
Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份,通常用来做登录验证的;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web 支持,可以非常容易的集成到 Web 环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

2 Shiro的架构

在这里插入图片描述
可以看到:应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外 API 核心就是 Subject;

Subject:主体,代表了当前 “用户”

SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;

Realm:域,Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。

最简单的一个 Shiro 应用:
应用代码通过 Subject 来进行认证和授权,而 Subject 又委托给 SecurityManager;我们需要给 Shiro 的 SecurityManager 注入 Realm,从而让 SecurityManager 能得到合法的用户及其权限进行判断。

3 身份验证

在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份:

principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名 / 密码 / 手机号。

credentials:证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等。
在这里插入图片描述流程如下:
1) 首先调用 Subject.login(token) 进行登录,其会自动委托给 Security Manager,调用之前必须通过 SecurityUtils.setSecurityManager() 设置;
2 )SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
3 )Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
4 )Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
5 ) Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回 / 抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。

4 maven相关依赖

 <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-all</artifactId>
    <version>1.4.0</version>
    <type>pom</type>
 </dependency>
 <dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-core</artifactId>
	<version>${shiro-version}</version>
  </dependency>
  <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>${shiro.version}</version>
  </dependency>
  <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>${shiro.version}</version>
  </dependency>
  <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-quartz</artifactId>
    <version>${shiro.version}</version>
  </dependency>

5 Realm

在这里插入图片描述自定义realm一般继承 AuthorizingRealm(授权)即可,重写里面AuthenticationInfo 认证和doGetAuthorizationInfo授权方法。

6 用户登录demo

一、用户认证
1 Subject currentUser = SecurityUtils.getSubject();
2 UsernamePasswordToken token = new UsernamePasswordToken(username, password.toCharArray());
3 currentUser.login(token);

@Slf4j
@RestController
public class LoginController {

   @PostMapping("/login")
   @ResponseBody
   public Object loginPost(String username, String password) {
       
       if (StringUtils.isBlank(username)) {
           return renderError("用户名不能为空");
       }
       if (StringUtils.isBlank(password)) {
           return renderError("密码不能为空");
       }
       //Shiro加密
       // UserRealm userRealm = new UserRealm();
       // HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
       // matcher.setHashAlgorithmName("md5");//设置加密算法名称
       // matcher.setHashIterations(1);//设置加密的次数
       // userRealm.setCredentialsMatcher(matcher);
       Subject user = SecurityUtils.getSubject();
       UsernamePasswordToken token = new UsernamePasswordToken(username,password);
       Result result=new Result();
       try {
           //在这一步跳入入自己实现的域即shiroDbRealm中验证
           user.login(token);                                                                                                                                                            
           result.setMsg("登录成功");
           return result;
       } catch (UnknownAccountException e) {
       result.setMsg("账号不存在");
       return result;
       } catch (DisabledAccountException e) {
       result.setMsg("账号未启用");
       return result;
       } catch (IncorrectCredentialsException e) {
       result.setMsg("密码错误,请重试");
       return result;
       } catch (Throwable e) {
       result.setMsg("未知错误,请联系管理员");
       return result;
       }
      
   }
}

二、自定义Realm

@Slf4j
public class UserRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;
    @Autowired
    private AuthorityService authorityService;

    /**
     * 权限认证
     * 取得当前用户权限
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //取得当前用户权限
        String permission= this.authorityService.getPermissionsForCurrentUser();
        Set<String> permissions = new HashSet<>();
        for(String element : permission.split(";")) {
            permissions.add(element);
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermissions(permissions);
        return info;
    }

    /**
     * 登录认证
     * 验证用户输入到用户密码是否正确
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //第一种方式 获取用户的输入的账号.
        // UsernamePasswordToken mytoken=(UsernamePasswordToken) token;
        // String username=mytoken.getUsername();
        // String password = mytoken.getPassword().toString();

        //第二种  获取用户的输入的账号.
        String username = (String)token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
        //根据用户名称查询数据库
        UserEntity userEntity = userService.queryUserByName(username);
        //账号不存在
        if(userEntity == null) {
            //用户不存在
			return null;
        }
        
        //如果能查询到,再由框架比对数据库中查询到的密码和页面提交的密码是否一致
        return new SimpleAuthenticationInfo(userEntity, password, getName());
    }
}

三、Shiro配置

@Configuration
@Slf4j
public class ShiroConfig {

	@Bean
	public FilterRegistrationBean delegatingFilterProxy(){
		FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
		DelegatingFilterProxy proxy = new DelegatingFilterProxy();
		proxy.setTargetFilterLifecycle(true);
		proxy.setTargetBeanName("shiroFilter");
		filterRegistrationBean.setFilter(proxy);
		return filterRegistrationBean;
	}

    /**
     * Shiro的过滤器链
     */
	@Bean("shiroFilter")
	public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		/**
		 * 配置shiro拦截器链
		 * anon  不需要认证
		 * authc 需要认证
		 * 顺序从上到下,优先级依次降低
		 *
		 */
		Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
		filterChainDefinitionMap.put("/user/logind", "anon");
		filterChainDefinitionMap.put("/user/logoutd", "anon");
		filterChainDefinitionMap.put("/hive/sql", "anon");
		filterChainDefinitionMap.put("/cluster/host/services/**", "anon");
		filterChainDefinitionMap.put("/**.png", "anon");
		filterChainDefinitionMap.put("/static/**", "anon");
		filterChainDefinitionMap.put("/**.js", "anon");
		filterChainDefinitionMap.put("/**.jpg", "anon");
		filterChainDefinitionMap.put("/**.less", "anon");
		filterChainDefinitionMap.put("/**.css", "anon");
		filterChainDefinitionMap.put("/index.html", "anon");
		filterChainDefinitionMap.put("/", "anon");
		filterChainDefinitionMap.put("/public/**", "anon");
		filterChainDefinitionMap.put("/**", "login");

		// 默认的登陆访问url,如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
		shiroFilterFactoryBean.setLoginUrl("/unauth");
		//没有权限跳转的url
		shiroFilterFactoryBean.setUnauthorizedUrl("/403");
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

		shiroFilterFactoryBean.getFilters().put("login", new ShiroLoginFilter());
		shiroFilterFactoryBean.getFilters().put("perms", new ShiroPermsFilter());

		return shiroFilterFactoryBean;
	}


    /**
     * 项目自定义的Realm
     */
	@Bean
	public UserRealm myShiroRealm(){
		return new UserRealm();
	}


    /**
     * 安全管理器
     * @return
     */
	@Bean
	public SecurityManager securityManager(){
		DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
		securityManager.setRealm(myShiroRealm());
		securityManager.setCacheManager(ehCacheManager());
		securityManager.setSessionManager(sessionManager());
		return securityManager;
	}


	/**
	 * 设置session超时时间
	 * @return
	 */
	@Bean
	public SessionManager sessionManager(){
		DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
		sessionManager.setGlobalSessionTimeout(60*60*1000); //一个小时
		sessionManager.setSessionValidationSchedulerEnabled(true);
		sessionManager.setSessionIdUrlRewritingEnabled(false);
		return sessionManager;
	}
    /**
     * 记住密码Cookie
     * 新增
     */
    @Bean
    public SimpleCookie rememberMeCookie() {
        SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
        simpleCookie.setHttpOnly(true);
        simpleCookie.setMaxAge(7 * 24 * 60 * 60);//7天
        return simpleCookie;
    }

	/**
	 *  开启shiro aop注解支持.
	 *  使用代理方式;所以需要开启代码支持;
	 * @param
	 * @return
	 */

	@Bean
	public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
		DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
		advisorAutoProxyCreator.setProxyTargetClass(true);
		return advisorAutoProxyCreator;
	}


	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
		return authorizationAttributeSourceAdvisor;
	}
	
	/**
     * shiro缓存管理器
     *
     * @return
     */
    @Bean
    public EhCacheManager ehCacheManager(){
       log.info("ShiroConfig.getEhCacheManager()");
       EhCacheManager cacheManager = new EhCacheManager();
       //classpath:org/apache/shiro/cache/ehcache/ehcache.xml
       cacheManager.setCacheManagerConfigFile("classpath:ehcache-shiro.xml");
       return cacheManager;
    }

}

7 Shiro常用的方法

得到 Subject 及创建用户名/密码身份验证 Token(即用户身份/凭证)
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");

登录,即身份验证
subject.login(token);

判断用户是否经过验证
subject.isAuthenticated()

退出
subject.logout();

检查用户是否有admin 角色
subject.checkRole("role1")
subject.hasRole("role1")
subject.checkRoles("admin");
subject.hasAllRoles(Arrays.asList("role1", "role2"))

检查用户是否有user:delete权限
subject.isPermitted("user:create")
subject.isPermittedAll("user:update", "user:delete")
subject.checkPermission("user:create");  
subject.checkPermissions("user:delete", "user:update");
这个操蛋的人生!!!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Shiro权限框架快速上手
qq_46680783的博客
01-05 204
Shiro权限框架 概述 Shiro 可以帮助我们完成:认证(登录)、授权(访问控制)、密码加密、会话管理、与 Web 集成、缓存等 Shiro 主要组件: Subject:主体可以是当前的操作用户、程序等,在程序任意位置可使用:Subject subject = SecurityUtils.getSubject() 获取到 Subject 主体对象 SecurityManager:它是 Shiro 功能实现的核心,负责与其他组件(认证器,授权器,缓存控制器等)进行交互,实现 Subject 委托的各种功能
shiro(一)
遥是此间桃花庵
11-29 169
文章目录1.shiro的简介:2.在应用程序角度来观察如何使用Shiro完成工作3.shiro架构Shiro入门案例 1.shiro的简介: shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于s...
shiro框架--从小白到入门,立即上手
qq_41908272的博客
02-20 844
这是我在网上看到的shiro框架,我看写的十分详细,在这里把文章地址附上: https://blog.csdn.net/wohaqiyi/article/details/79322375
shiro快速上手
wh柒八九的博客
04-22 297
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架Shiro 要简单的多。本教程只介绍基本的 Shiro 使用,不会过多分析源码等,重在使用。 文章目录shiro概述 shiro概述 Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authent.
Shiro快速上手
愿你有前程可奔赴,亦有青春可回顾
04-14 538
1. Shiro简介 1.1 什么是Shiro Apache Shiro是一个Java的安全(权限)框架Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 下载地址: http://shiro.apache.org/ 1.2 有哪些功能? 1.3 Shiro架构 (外部) 从外部来看Shiro,即从应用程序角度来观察如何使用shiro完成工作: 1.4 Shiro架构
快速上手一个Shiro安全框架
04-03
在这个“快速上手一个Shiro安全框架”的项目中,我们将探讨如何在Spring Boot应用中集成Shiro,实现用户认证和授权。 首先,我们从基础开始。Shiro的核心组件包括Subject、Realms、Cryptography和Session ...
shiro框架的基础学习
02-02
6. **简单易用的 API**:Shiro 的 API 设计简洁明了,使得开发者能够快速上手。例如,`Subject` 接口代表当前操作的主体,可以进行登录、注销等操作;`SecurityManager` 是 Shiro 的核心,负责管理所有安全相关的...
shiro框架学习心得
06-27
学习Shiro框架的过程中,首先需要理解它的核心概念: 1. **认证**:这是验证用户身份的过程。Shiro 提供了多种方式来实现用户登录,如基于用户名和密码的登录。用户信息通常存储在 Realm(域)中,Shiro 通过与 ...
shiro框架整合(全包)
05-20
总的来说,"shiro框架整合(全包)"提供了构建安全应用所需的一切,从基础的认证和授权,到高级的缓存配置和Spring集成,是开发者快速上手Shiro并实现安全功能的理想资源。通过这个压缩包,你可以便捷地在项目中集成...
安全控制框架教程shiro
10-29
本教程主要关注Shiro的基本使用,旨在帮助开发者快速上手并将其集成到自己的项目中。 ### 1. 认证与授权 Shiro的认证过程涉及用户提交凭证(如用户名和密码)来验证其身份。Shiro提供了简单的API和内置的Realm(域...
ShiroDemo:一个简单的shiro demo用于快速上手shiro
02-23
ShiroDemo 一个简单的shiro demo用于快速上手shiro 为了最简明教程没有使用数据库 测试用户: 管理员管理员 测试一下 登录接口localhost:8098 / api / user / login 可以使用Postman等工具测试
快速上手Shiro
Gosions的博客
04-03 162
Shiro 如果大家不太好理解的话我会把这些的代码放在上面大家下载即可。下载地址 Shiro是一个强大易用的Java安全框架,执行身份验证、授权、密码和会话管理。 1·我们第一步是先导入shiro要使用的依赖包: <!--Shiro整合Spring--> <dependency> <groupId>org.apache....
快速入门Shiro
最新发布
JunDong的博客
06-01 2249
讲解结合案例,Shiro入门,看这篇就够了。
10 分钟快速上手 Shiro 新手教程
Java技术栈,分享最主流的Java技术
06-24 1108
当前用户 现在我们能够开始做一些我们真正关心的事情——执行安全操作。 当保护我们的应用程序时,我们对自己可能提出的最为相关的问题是“当前用户是谁”或“当前用户是否被允许做XXX”。 当我们编写代码或设计用户接口时,问这些问题是很常见的:应用程序通常是基于用户的背景情况建立的,且你想基于每个用户标准体现(保障)功能。因此,对于我们考虑应用程序安全的最自然的方式是基于当前用户。 Shiro的API使用它的Subject概念从根本上代表了“当前用户”的概念。 几乎在所有的环境中,你可以通过下面的调用获取当前正在执
spring boot 前后端分离整合shiro(一)快速上手
HuYiAn1004的博客
07-09 857
spring boot 前后端分离整合shiro(一)快速上手 前言 第一次写博客,可能有些地方表达不是很好,不对的地方欢迎大家指出。 shiro简介 shiro是apache的一个权限框架,相比spring security更简单易用。在使用shiro前一定要对它执行的一个基本流程、内部组件有一个大概的了解。 shiro中有三个重要的概念: Subject 主体。可以是一个程序、一个用户,用来...
shiro框架使用梳理及学习过程分享
hzdoudou的博客
05-07 165
本人小白一枚,初次使用springmvc框架,在使用过程中引入了shiro框架,MyBatis框架... 为了方便自己学习特意整理了shiro部分的使用资料也希望可以帮助到同样刚刚开始使用这些东西的小白,对于书写有误或误导的地方敬请谅解并帮忙指出,本资料只对使用流程上的东西进行梳理且只介绍了认证这个过程,对于使用过程中接合的其他技术及内部实现不再展开,以下涉及到的代码只是作为配合描述...
Shiro手把手教你上手(通俗易懂版,看完即用)
qq_42437597的博客
02-25 343
Shiro(Springboot版) 1.Shiro的三大核心API 1.1 Subject:用户主体,把操作交给SecurityManager 1.2 SecurityManager:安全管理器,与Realm相关联 1. 3 Realm:Shiro数据连接的桥梁,保证数据访问控制,用于身份验证与权限获取,这也是shiro的主要功能 2.Controller 之前都是从前台获取username与password来进行数据库验证,然后判断是不是相同,但是现在是运用shiro验证 Subject subject
Shiro入门总结(适合初学者快速入门)
小异常的博客
07-13 375
Shiro 是一款主流的 Java 安全框架,它不依赖任何容器,可以独立运行在 Java SE 和 Java EE 项目中,它的主要作用是对访问系统的用户进行身份认证(身份认证也就是登录)、授权、会话管理、加密等操作。说的简单点它就是用来解决安全管理的系统化框架Shiro 主要有两个重要部分:认证和授权,这两部分搞定了,Shiro 就没啥问题了。 本篇博客只以一个认证小栗子带初学者快速入门,大牛牛们请绕道。
shiro学习
拒绝平庸的Yjanuary
05-15 357
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如CS程序。 可以使用多个用户数据
学习shiro快速上手spring security吗
06-01
学习Shiro可以让你更好地理解安全框架的设计思想和实现原理,从而可以更好地应对各种安全问题。同时,学习Shiro也能够让你掌握一些常见的安全功能和实现方式,比如身份认证、授权、加密、会话管理等。这些知识对于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

这个操蛋的人生!!!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值