shiro学习

最新推荐文章于 2023-07-11 20:42:20 发布
最新推荐文章于 2023-07-11 20:42:20 发布
阅读量215 收藏 4
点赞数 1
分类专栏: 权限控制 shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43306301/article/details/111127977
版权

shiro

一、认识Shiro

  1. 什么是shiro?

    shiro是一个基于java的开源的安全管理框架,可以完成认证、授权、会话管理、加密、缓存等功能。

  2. 为什么学习shiro?

    在java的世界中,安全管理框架有spring securityshirospring security要依赖于spring,并且比较复杂。shiro比较简单且比较独立,既可以在Java SE中使用,也可以在Java EE中使用,并且在分布式集群环境下也可以使用。

  3. Shiro的结构体系:

    shiro结构图

    Authentication:认证

    ​ 验证用户是否合法,也就是登陆。

    Authorization:授权

    ​ 授予访问访问某些资源的权限。

    Session Management:会话管理

    ​ 用户登陆后的用户信息通过Session Management来进行管理,不管在什么应用中。

    Crytography:加密

    ​ 提供了常见的一些加密算法,使得在应用中可以很方便的实现数据安全。并且使用很便捷。

    Web SupportWeb应用程序支持

    Shiro可以很方便的集成到web应用程序中。

    Caching:缓存

    Shiro提供了对缓存的支持,支持多种缓存架构;如:ehcache,还支持缓存数据库,如:Redis

    Concurrency:并发支持

    ​ 支持多线程并发访问。

    Testing:测试

    Run As:允许用户假设为另一个用户进行登陆。

    Remember me:记住我。

  4. Shiro架构:

    shiro架构图

    subject主体,可以是用户,也可以是第三方程序等,可以用于获取主体信息,Principals和Credentials

    Security Manager安全管理器

    ​ 安全管理器是Shiro架构的核心。由其来协调管理Shiro各个组件之间的工作。

    Authenticator:认证器

    ​ 负责验证用户的身份

    Authorizer:授权器

    ​ 负责为合法的用户指定其权限。控制用户可以访问哪些资源。

    Realms

    ​ 用户通过Shiro来完成相关的安全工作,Shiro是不会去维护数据信息的。在Shiro的工作过程中,数据的查询和获取工作是通过Realm从不同的数据源来获取的。Realm可以获取数据库信息,文本信息等。在Shiro中可以有一个Realm,也可以有多个。

用户认证

  1. Authentication用户认证

    ​ 验证用户是否合法:需提供用户的身份(Principals)和凭证给Shiro

    principals:用户的身份信息,是subject的标识属性。能够唯一标识subject。如:电话号码、邮箱、身份证等。

    Credentials凭证:密码。是值被subject知道的秘密值。可以是密码,也可以是数字证书等。

    ​ **Principals/Credentials**最常见的组合:用户名/密码。在Shiro中通常使用 UsernamePasswordToken来指定身份和凭证信息。

二、HelloWord

1、pom文件

<dependencies>

        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-all -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.4.1</version>
            <type>pom</type>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-api -->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-api</artifactId>
            <version>1.7.12</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-log4j12 -->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>1.7.12</version>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-simple</artifactId>
            <version>1.6.6</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/log4j/log4j -->
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/commons-logging/commons-logging -->
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>


    </dependencies>

2、配置

shiro.ini文件

[users]
dtz=123,admin
ylz=456,manager,seller
xlz=789,clerk
# --------------------------------------------------------------------------
# 角色及其权限信息
# 预定权限:user:query
#           user:detail:query
#           user:update
#           user:insert
#           user:update
#           .....
[roles]
# admin 拥有所有的权限,用*标识
admin = *
# clierk 只有查询权限
clerk = user:query,user:detail:query
# manager 有user的所有权限
manager=user:*

3、代码

package com.dtz.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.apache.shiro.mgt.SecurityManager;

public class HelloWorld {
   
    public static void main(String[] args) {
   
        //创建SecurityFactory,加载ini配置文件,并通过它创建SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //Shiro核心:SecurityManager
        SecurityManager securityManager = factory.getInstance();
        //将SecurityManager托管到SecurityUtils工具类中(ops:之后可以不必关心SecurityManager)
        SecurityUtils.setSecurityManager(securityManager);
        //获取主体:Subject,作用:直接由用户使用,调用功能简单,其底层调用SecurityManager的相关流程
        //通过subject可以执行shiro的相关功能(身份认证或权限校验)
        Subject subject = SecurityUtils.getSubject();

        //身份认证(类似登陆逻辑)
        //通过subject获取当前用户的登陆状态(ops:从session中同步信息)
        if (!subject.isAuthenticated()) {
       //判断是否登陆
            //通过subject进行身份认证
            UsernamePasswordToken token = new UsernamePasswordToken("ylz", "456");
            try {
   
                subject.login(token);
            } catch (UnknownAccountException e) {
   
                System.out.println(token.getPrincipal() + "用户不存在");
            } catch (IncorrectCredentialsException e1) {
   
                System.out.println(token.getPrincipal() + "密码错误");
            } catch (LockedAccountException e2) {
   
                System.out.println(token.getPrincipal() + "账户冻结");
            } catch (AuthenticationException e3) {
   
                e3.printStackTrace();
            }

        }

        //角色验证
        boolean isAdmin = subject.hasRole("admin");
        System.out.println("isAdmin:" + isAdmin);
        System.out.println("isManager:" + subject.hasRole("manager"));

        //权限校验
        System.out.println(subject.isPermitted("a:b"));
        System.out.println(subject.isPermitted("user:query"));

        //登出:身份信息,登陆状态信息,权限信息,角色信息,会话信息全部抹除
        subject.logout();
    }
}

4、权限规则

1> user:query,user:insert,order:delete,menu:show

​	【:】作为分隔符,分隔资源和操作【资源:操作】
​	【,】作为分隔符,分隔多个权限【权限1,权限2,权限3】

2> user:*, *:query

​	【*】作为通配符,代表所有操作,资源
​	【user:*】即user的所有操作
​	【*:query】即所有资源的查询操作

3> *

​	代表一切资源的一切权限 = 最高权限

4> 细节:

​	1)user:*  可以匹配 user:xx, user:xx:xxx
​		  *:query 只可以匹配 xx:query,不能匹配 xx:xxx:query,除非是 * : * : query

​	2)user:update,user:insert 可以简写为 "user:update,insert",注意加引号

​		 [roles]

​		 manager1 = user:query,user:update,user:insert

​		 manager2 = "user:query,update,insert",注意要加引号

​		 如上manager1和manager2权限等价

​		 subject.isPermittedAll("user:update","user:insert","user:query")

实例级权限标识:【标识:操作:实例】,粒度细化到具体某个资源实例

1> user:update:1 , user:delete:1
	对用户1可以update,对用户1可以delete
	
2> "user:update,delete:1" 和上面等价

​	subject.isPermittedAll("user:update,delete:1", "user:update", "user:delete:1");

3> user:*:1 , user:update:* , user:*:

三、与web集成

与web项目集成后,Shiro的工作模式如下:

shiro工作模式

如上:ShiroFilter拦截所有请求,对于请求做访问控制

如请求对应的功能是否需要有认证身份,是否需要某种角色,是否需要某种权限

1> 如果没有做身份认证,则将请求强制跳转到登陆页面。

​ 如果没有充分的角色或权限,则将请求跳转到权限不足的页面。

2> 如果校验成功,则执行请求的业务逻辑

pom

<dependencies>
        <!-- servlet -->
        <!-- https://mvnrepository.com/artifact/javax.servlet/servlet-api -->
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
最低0.47元/天 解锁文章
weixin_43306301
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro入门
trasewell的博客
09-25 847
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro
MinggeQingchun的博客
08-27 3万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
shiro权限
天地无名
09-30 666
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
Shiro简介
hmj2181629495的博客
08-30 5732
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。...
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 4827
Shiro入门概述与基本使用
shiro学习示例
02-07
在"shiro学习示例"中,我们可以深入理解Shiro的核心概念和实际应用。 1. **Shiro基本概念** - **认证**:确认用户身份的过程,即用户输入用户名和密码,系统通过验证来确认用户的身份。 - **授权**:确定用户是否...
shiro 学习资料
12-27
学习 Apache Shiro 的过程中,你需要理解它的核心组件、配置方式以及如何与具体应用结合。Shiro 的灵活性和易用性使其成为 Java 开发者处理安全问题的首选工具之一。通过深入学习和实践,你可以更好地掌握这个框架...
shiro学习资料
08-29
这个压缩包包含了几个关键的学习资源,可以帮助你全面理解并掌握Shiro的使用。 首先,"Apache_Shiro_reference(中文版).pdf"是Shiro的官方中文参考手册。这个文档详细介绍了Shiro的各种组件和API,包括核心概念如...
Shiro
小牧的博客
08-03 624
Shiro Apache旗下的一款安全权限框架 shiro可以完成:认证,加密,授权,会话管理,以及web集成, 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 Apache Shiro 特性 Apache Shiro是一个全面的、蕴含丰富功能的安全框架 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现`对用户访问系统的
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2826
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
什么是Shiro
星空椰
02-16 2411
Shiro是一款功能强大且易于使用的 Java 安全框架,是实现安全认证和权限控制的必选框架之一一、Shiro是什么?使用Shiro的好处?
shiro 简介
快乐的小三菊的博客
04-29 2483
shiro 简介
授权 - Spring Security简单案例
个人纪录、总结!
10-21 558
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
Shiro 权限管理
心猿意码
06-24 3885
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
Shiro介绍及解析
m0_67393827的博客
08-24 7525
3.之后配置/login的登陆的认证,划红线的都是重点,里边首先生成一个Subject对象,然后生成touken,并且利用这个token传入到sub.login方法中,这个方法会将token传到SecurityManager,SecurityManager然后传给AuthRealm的认证方法doGetAuthenticationInfo,之后这个方法里边开始校验账号和密码的逻辑,并且利用XXXMatcher方法校验。1.2 然后配置授权的方法,也就是说当调用到具体方法的时候会去回调这个方法。
快速入门Shiro
JunDong的博客
06-01 2128
讲解结合案例,Shiro入门,看这篇就够了。
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
shiro框架如何学习
最新发布
07-15
学习Shiro框架可以按照以下步骤进行: 1. 了解基础概念:首先,你需要了解Shiro的基本概念和术语,例如主体(Subject)、认证(Authentication)、授权(Authorization)、Realm等。可以阅读Shiro的官方文档或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值