SpringBoot之Shiro权限认证学习五

最新推荐文章于 2021-04-22 23:45:18 发布
最新推荐文章于 2021-04-22 23:45:18 发布
阅读量606 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43288858/article/details/103250616
版权

核心过滤器类:DefaultFilter, 配置哪个路径对应哪个拦截器进行处理
authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter
需要认证登录才能访问
user:org.apache.shiro.web.filter.authc.UserFilter
用户拦截器,表示必须存在用户。
anon:org.apache.shiro.web.filter.authc.AnonymousFilter
匿名拦截器,不需要登录即可访问的资源,匿名用户或游客,一般用于过滤静态资源。
roles:org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
角色授权拦截器,验证用户是或否拥有角色。
参数可写多个,表示某些角色才能通过,多个参数时写 roles[“admin,user”],当有多个参数时必须每个
参数都通过才算通过
perms:org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
权限授权拦截器,验证用户是否拥有权限
参数可写多个,表示需要某些权限才能通过,多个参数时写 perms[“user, admin”],当有多个参数时必
须每个参数都通过才算可以(必须满足全部条件)
authcBasic:org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
httpBasic 身份验证拦截器。
logout:org.apache.shiro.web.filter.authc.LogoutFilter
退出拦截器,执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(); 设置的 url
port:org.apache.shiro.web.filter.authz.PortFilter
端口拦截器, 可通过的端口。
ssl:org.apache.shiro.web.filter.authz.SslFilter
ssl拦截器,只有请求协议是https才能通过。
在这里插入图片描述
讲解Filter配置路径
/admin/video /user /pub

  • 路径通配符支持 * ?、星、星星,注意通配符匹配不 包括目录分隔符“/”
    心 可以匹配所有,不加可以进行前缀匹配,但多个冒号就需要多个 * 来匹配
    URL权限采取第一次匹配优先的方式
    ? : 匹配一个字符,如 /user? , 匹配 /user3,但不匹配/user/;
    星 : 匹配零个或多个字符串,如 /add     ,匹配 /addtest,但不匹配 /user/1
    星星 : 匹配路径中的零个或多个路径,如 /user/星星 将匹 配 /user/xxx 或 /user/xxx/yyy
    例子
    /user/**=filter1
    /user/add=filter2
    请求 /user/add 命中的是filter1拦截器
    性能问题:通配符比字符串匹配会复杂点,所以性能也会稍弱,推荐是使用字符串匹配方式(遵循优先配置原则)

数据安全核心知识,介绍常见的处理办法,Shiro 里的 CredentialsMatcher使用
为啥要加解密
明文数据容易泄露,比如密码明文存储,万一泄露则会造成严重后果
什么是散列算法
一般叫hash,简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数,适合存储
密码,比如MD5
什么是salt(盐) 667788——》aabbcc
如果直接通过散列函数得到加密数据,容易被对应解密网站暴力破解,一般会在应用程序里面加特殊的
自动进行处理,比如用户id,例子:加密数据 = MD5(明文密码+用户id), 破解难度会更大,也可以使用
多重散列,比如多次md5
Shiro里面 CredentialsMatcher,用来验证密码是否正确,

源码:AuthenticatingRealm -> assertCredentialsMatch()

一般会自定义验证规则

@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher(){
HashedCredentialsMatcher hashedCredentialsMatcher = new
HashedCredentialsMatcher();
//散列算法,使用MD5算法;
hashedCredentialsMatcher.setHashAlgorithmName("md5");
//散列的次数,比如散列两次,相当于 md5(md5("xxx"));
hashedCredentialsMatcher.setHashIterations(2);
return hashedCredentialsMatcher;
}

讲解权限角色控制 @RequiresRoles, @RequiresPermissions等注解的使用和编程式控制
配置文件的方式
使用ShiroConfig
注解方式
@RequiresRoles(value={“admin”, “editor”}, logical= Logical.AND)
需要角色 admin 和 editor两个角色 AND表示两个同时成立
@RequiresPermissions (value={“user:add”, “user:del”}, logical= Logical.OR)
需要权限 user:add 或 user:del权限其中一个,OR是或的意思。
@RequiresAuthentication
已经授过权,调用Subject.isAuthenticated()返回true
@RequiresUser
身份验证或者通过记 住我登录的
编程方式

Subject subject = SecurityUtils.getSubject();
//基于角色判断
if(subject.hasRole(“admin”)) {
//有角色,有权限
} else {
//无角色,无权限
}
//或者权限判断
if(subject.isPermitted("/user/add")){
//有权限
}else{
//无权限
}

常见API
subject.hasRole(“xxx”);
subject.isPermitted(“xxx”);
subject. isPermittedAll(“xxxxx”,“yyyy”);
subject.checkRole(“xxx”); // 无返回值,可以认为内部使用断言的方式,如果不行就抛异常
缓存的作用和Shiro的缓存模块
什么是shiro缓存
shiro中提供了对认证信息和授权信息的缓存。
默认是关闭认证信息缓存的,对于授权信息的缓存shiro默认开启的(因为授权的数据量大)
AuthenticatingRealm 及 AuthorizingRealm 分别提供了对AuthenticationInfo 和 AuthorizationInfo 信息的缓
存。

Shiro Session模块讲解
简介:讲解Shiro Session模块作用和SessionManager
什么是会话session
用户和程序直接的链接,程序可以根据session识别到哪个用户,和javaweb中的session类似
什么是会话管理器SessionManager
会话管理器管理所有subject的所有操作,是shiro的核心组件
核心方法:
//开启一个session
Session start(SessionContext context);
//指定Key获取session
Session getSession(SessionKey key)
shiro中的会话管理器有多个实现
SessionDao 会话存储/持久化
SessionDAO 》AbstractSessionDAO 》CachingSessionDAO 》EnterpriseCacheSessionDAO》MemorySessionDAO
核心方法
//创建

Serializable create(Session session);
//获取
Session readSession(Serializable sessionId) throws UnknownSessionException;
//更新
void update(Session session)
//删除,会话过期时会调用
void delete(Session session);
//获取活跃的session
Collection<Session> getActiveSessions();
会话存储有多个实现

RememberMe
1、 Cookie 写到客户端并 保存
2、 通过调用subject.login()前,设置 token.setRememberMe(true);
3、 关闭浏览器再重新打开;会发现浏览器还是记住你的
4、 注意点:

  • subject.isAuthenticated() 表示用户进行了身份验证登录的,即Subject.login 进行了登录
  • subject.isRemembered() 表示用户是通过RememberMe登录的
  • subject.isAuthenticated()==true,则 subject.isRemembered()==false, 两个互斥
  • 总结:特殊页面或者API调用才需要authc进行验证拦截,该拦截器会判断用户是否是通过
    subject.login()登录,安全性更高,其他非核心接口或者页面则通过user拦截器处理即可
捡黄金的少年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro 的身份认证
dream_heheda的博客
09-27 382
1.基本验证步骤 2.Remebered(记住我)和Authenticated(已认证
Shiro 登录认证源码详解
热门推荐
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从源码实现的角度去介绍 Shiro 的登录认证(Authentication)功能。
Shiro的授权与认证(简单入门)
qq_38319566的博客
08-19 175
一.Shiro认证逻辑 代码演示 先在pom中配置依赖 <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <...
Shiro Review——Shiro介绍
weixin_34198797的博客
06-09 101
一,Shiro整体介绍 shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用...
Shiro 认证(Authentication)
weixin_45857926的博客
09-16 884
Shiro 认证(Authentication)Shiro 简介 Shiro 简介
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
springboot-shiro权限管理系统.zip
07-05
总的来说,"springboot-shiro权限管理系统"是一个集成了SpringBootShiro和Bootstrap的高效解决方案,它为开发者提供了便捷的身份认证权限控制和日志管理功能,是构建企业级Web应用的理想选择。通过理解和掌握这...
Springboot+shiro权限管理
01-30
本文将深入探讨"Springboot+shiro权限管理"的主题,旨在提供最详尽、最清晰的理解路径。 首先,Spring Boot 是一个基于 Spring 框架的轻量级开发工具,它简化了初始化、配置以及运行Spring应用程序的过程。Spring ...
SpringBootShiro整合-权限管理实战源码.zip
05-22
SpringBoot简化了Spring应用程序的配置和开发过程,而Shiro则是一个强大的安全管理框架,专注于身份认证、授权(权限管理)、会话管理和安全性相关的实用工具。下面我们将详细探讨SpringBootShiro整合实现权限管理...
spring boot+shiro 权限认证管理案例
12-20
Spring Boot 和 Apache Shiro 的整合是企业级应用中常见的权限认证和安全管理方案。Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。...
Shiro认证
Dream it Possible
07-24 847
【知识回顾】    在上篇博客中,通过对Shiro架构及其组件的总结学习,对Shiro有了一个整体的认识。    本篇博客将进一步学习认证组件,Authentication: 身份认证/登录,验证用户是不是拥有相应的身份;【认证流程图】                【认证流程描述】        1. 获取当前的Subject,调用SecurityUtils.getSubject();
Shiro身份验证(三)
小小舒宸的专栏
11-27 8692
身份验证就是验证身份的过程,即在应用程序中验证他们到底存不存在。为了验证他们的身份,他们需要提供一些让应用程序信任的标识信息。 在Shiro中,用户必须提供principals(身份)和credentials(凭证)给Shiro,让应用程序验证用户身份。 Principals是一个主体的标识属性,它可以是任何东西,比如用户名、邮箱和手机等唯一标识。虽然Subject可以有任意数量pri
解决shiro登录后,isAuthenticated还是false问题
weixin_34402090的博客
02-22 6204
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro学习笔记(三)——shiro实现认证
驼君的小小博客园
02-07 363
基本概念 身份验证 即在应用中谁能证明他就是他本人。一般提供如他们的身份ID 一些标识信息来 表明他就是他本人,如提供身份证,用户名/密码来证明。 在 shiro 中,用户需要提供 principals 和 credentials 给shiro,从而应用能验证用户身份 principals 身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principal...
Shiro框架简介
weixin_34228617的博客
11-20 158
Apache Shiro是Java的一个安全框架。对比另一个安全框架Spring Sercurity,它更简单和灵活。 Shiro可以帮助我们完成:认证、授权、加密、会话管理、Web集成、缓存等。 Apache Shiro特性 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即验证权限,验证某个已认证的用户是否拥有某个...
shiro学习笔记(一)shiro实现用户认证
今晨的个人博客
04-22 256
shiro学习笔记(一)shiro实现用户认证 认证 ​ 用户认证,就是将用户输入的用户名和密码与数据库中的用户名和密码进行比较,来判断一个用户是否是一个合法的用户。 shiro认证用到的方法和关键对象 Subject:主体 访问系统的用户,可以是用户也可以是程序,需要进行认证的都可以成为主体。 Principal:身份信息 是主体进行身份认证的标识,标识必须唯一,如用户名、身份证号、邮箱地址等。一个主体可以有多个身份但是必须有一个主身份。 credential:凭证信息 只有主体知
Shiro之实现认证
小宋的博客
06-18 5486
本篇博客带大家学习Shiro怎样实现认证Shiro认证过程 1.创建Security Manager对象去构建Security Manager的环境。(用于提供安全服务) 2.主体提交认证请求给Security Manager,Security Manager去通过Authenticator(认证器)来从Realms中获取认证信息,然后用Realms从数据库中获取的认证信息和主体提交过...
Shiro身份认证Authenticator
Wayne_y的博客
04-17 1745
·身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:·principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有...
SpringBootShiro权限管理实战教程
3. **SpringBootShiro整合实现用户认证**:主要内容是教学如何在SpringBoot项目中集成Shiro来处理用户的登录验证,确保只有授权的用户才能访问系统资源。 4. **SpringBootShiro整合实现用户授权**:深入讲解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值