Java安全框架之Shiro

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量175 收藏
点赞数
文章标签: shiro java spring 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43943259/article/details/103601188
版权

**

SpringBoot搭建环境

**
**

介绍

**:
Shiro是java的一个安全框架,Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。 三个核心组件:Subject, SecurityManager 和 Realms.

  • Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。

  • Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。

  • SecurityManager:它是Shiro 框架的核心,典型的Facade
    模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

  • Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

**

Shiro主要的四个组件

**

  1. SecurityManager
    典型的 Facade,Shiro 通过它对外提供安全管理的各种服务。
  2. Authenticator
    对“Who are you ?”进行核实。通常涉及用户名和密码。 这个组件负责收集 principals 和 credentials,
    并将它们提交给应用系统。如果提交的 credentials 跟应用系统中提供的 credentials 吻合,就能够继续访问,
    否则需要重新提交 principals 和 credentials, 或者直接终止访问。
  3. Authorizer
    身份份验证通过后,由这个组件对登录人员进行访问控制的筛查,比如“who can do what”, 或者“who
    can do which actions”。 Shiro 采用“基于 Realm”的方法,即用户(又称 Subject)、 用户组、角 色和
    permission 的聚合体。
  4. Session Manager
    这个组件保证了异构客户端的访问,配置简单。它是基于 POJO/J2SE 的,不跟任何的客户 端或者协议绑定。

Shiro运行原理

  1. Application Code:应用程序代码,就是我们自己的编码,如果在程序中需要进 行权限控制,需要调用 Subject 的
    API。

  2. Subject:主体,代表的了当前用户。所有的 Subject 都绑定到 SecurityManager, 与 Subject
    的所有交互都会委托给 SecurityManager,可以将 Subject 当成一个 门面,而真正执行者是
    SecurityManager 。

  3. SecurityManage:安全管理器,所有与安全有关的操作都会与 SecurityManager 交互,并且它管理所有的
    Subject 。

  4. Realm:域 shiro 是从 Realm 来获取安全数据(用户,角色,权限)。就是说 SecurityManager
    要验证用户身份, 那么它需要从 Realm 获取相应的用户进行比较以确定用户 身份是否合法;也需要从Realm
    得到用户相应的角色/权限进行验证用户是否 能进行操作; 可以把 Realm 看成 DataSource,即安全数据源 。

Shiro的四种权限控制方式
url 级别权限控制
方法注解权限控制
代码级别权限控制
页面标签权限控制

##Shiro中过滤器
###认证相关
Anon:允许匿名
Authc:必须登录后才能访问
Logout:登出
###权限相关
Roles:角色授权过滤器,给某个Url设置特定的角色才能访问
Perms:权限过滤器,给某个url设置特定权限才能访问
##Shiro中标签
• p shiro:guest=””: 验证当前用户是否为”访客“,即未认证的(包含未记住的)用户
• shiro:user=””: 认证通过或者已经记住的用户
• shiro:authenticated=””: 已经认证通过的用户,不包括记住的用户,这是与user标签的本质区别
• shiro:principal: 用户名
• shiro:notAuthenticated: 未通过认证的用户,与authenticated相对应,与guest标签的区别是,该标签包含已经记住的用户
• shiro:hasRole=”admin“: 验证当前用户是否属于该角色
• shiro:lacksRole: 与hasRole逻辑相反,当用户不属于该角色时验证通过
• shiro:hasAllRoles=”admin, user, vip”: 验证当前用户是否属于标签中列出的所有角色
• shiro:hasAnyRoles=”admin, vip, developer”: 验证当前用户是否拥有标签中所列的任意一个用户
• shiro:hasPermission=”user:add”: 验证当前用户是否拥有制定权限
• shiro:lacksPermission=”user:del”: 与hasPermission逻辑相反。当前用户没有该权限时验证通过
• shiro:hasAllPermissions=”user:add, user:del”: 验证当前用户是否拥有标签中所列的所有权限
• shiro:hasAnyPermissions=”user:view, user:del”: 判断当前用户是否拥有标签中所列的任意一个权限
##Shiro中注解
• @RequiresAuthentication:表示当前subject已经通过login进行身份验证,即subject.isAuthenticated()返回true
• @RequiresUser:表示当前subject已经身份验证或者通过记住我登录
• @RequiresGuest:表示当前subject没有身份验证或者通过记住我登录,即游客身份
• @RequiresRole(value={“admin”,”user”},logical=logical.and):表示当前subject需要角色admin和user
• @RequestPermissions(value={“user:a”,”user:b”},logical=logical.or):表示当前subject需要权限user:a或者user:b
##Shiro与SpringBoot整合
###html/jsp部分

   jsp:<%@ taglib prefix=”shiro” uri=http://shiro.apache.org/tags %>
   html:<html lang=”zh_CN” xmlns=”http://www.w3.org/1999/xhtml”
            xmlns:th=”http://www.thymeleaf.org”
            xmlns:shiro=”http
最低0.47元/天 解锁文章
不乖的卒子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java安全框架Shiro电子书
04-07
Apache ShiroJava 的一个安全框架。目前,使用Apache Shiro 的人越来越多,因为它相 当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以使用小而简单的Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本的Shiro使用,不会过多分析源码等,重在使用。
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
java 框架 安全_java安全框架shiro(一)
weixin_34195649的博客
02-21 92
第一个简单的案例 ,通过读取.ini文件的方式模拟登陆,1.通过Factory工厂的getInstance()方法来获取SecurityManager的实例,实例化Factory需要一个ini文件的路径作为参数;2.将上面获取的实例set到 SecurityUtils这个类里,SecurityUtils类有一个get方法来获取Subject类3.Subject这个类就是用来登陆和退出的,但是需要一...
ShiroJava安全框架
m0_55070913的博客
04-25 345
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的
JAVA安全框架shiro
xindongyuni666的博客
09-28 1423
一个容易,简单,安全,易上手的框架shiro
Java安全框架Shiro
lihangfu的博客
07-17 839
一、Shiro 为什么要用shiro: 1、项目中的密码是否可以明文存储? 2、是否任意访客,无论是否登录都可以访问任何功能? 3、项目中的各种功能操作,是否是所有用户都可以随意使用? 1.1 Shiro是什么 * Apache ShiroJava 的一个安全框架。 * 对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。 * Shiro 可以帮助我们完成:认证、授权、加
安全认证框架Shiro详解
weixin_46178852的博客
05-14 2449
1. RBAC权限设计模型1.1. RBAC模型关键元素1.1.1. 权限1.1.2. 用户1.1.3. 角色1.1.4. 组1.2. 关键元素关系图1.3. 设计权限表结构1.3.1. RBAC权限设计(传统5张表) 1. RBAC权限设计模型         基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。\
Shiro安全框架
zeroone的博客
11-12 972
介绍shiro,整合shirospringboot
java集成shiro框架shiro.rar
09-13
java集成shiro框架,全jar 包,java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架java集成shiro框架
java 安全框架Shiro,pdf版
11-22
Apache ShiroJava 的一个安全框架。目前,使用Apache Shiro 的人越来越多,因为它相 当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以...
shiro安全框架(一)框架的简介及框架结构的介绍
12-13
Apache Shirojava的一个安全框架。它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Java安全框架shiro(一)
qq_65647788的博客
01-31 483
shiro是一个功能强大且易于使用的Java安全框架,用于执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序。
java之路 —— 带你了解安全框架Shiro
m0_68987535的博客
06-24 367
在学习之前,让我们先了解一下什么是shiroShiro(Apache Shiro)是一个Java安全框架,提供了身份认证、授权、加密和会话管理等功能。它的设计目标是简单、易用和灵活。Shiro提供了多种身份认证方式,包括基于表单、HTTP基本认证、LDAP和OAuth等。开发人员可以根据应用程序需求选择适合的认证方式。通过Shiro的授权机制,开发人员可以定义用户角色和权限,并通过编程方式或配置文件来限制用户对资源的访问。Shiro支持基于角色和权限的细粒度授权管理。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 991
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 790
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 291
【代码】Java手动启动jar包。
java调用cmd执行命令
weixin_45210565的博客
05-28 257
3、exec(String command, String[] envp) ,在调用外部程序之前设置系统环境变量,该变量仅供command入参使用,envp每个元素为一个系统环境变量,并且字符串格式为“环境变量名=环境变量值”。2、exec(String[] cmdArray) ,调用外部程序,入参cmdArray的元素将组合成为一条完整的外部可执行程序的启动路径或命令。1、exec(String command) ,调用外部程序,入参command为外部可执行程序的启动路径或命令。
java多线程创建方式
weixin_57763462的博客
05-28 1075
这种方式是通过创建一个实现了Runnable接口的类,并实现run()方法来创建线程。然后将这个类的对象作为参数传递给Thread类的构造器,并调用Thread对象的start()方法来启动线程。这种方式是通过创建一个实现了Callable接口的类,实现call()方法,并使用FutureTask或者ExecutorService来创建线程。这种方式的优点在于,由于Java不支持多重继承,如果你的类需要继承其他类,那么实现Runnable接口将是唯一的选择。// 在这里定义线程的执行逻辑。
java安全框架shiro的优点
04-13
Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。以下是Shiro框架的几个优点: 1. 简单易用:Shiro的设计目标之一是简化安全操作,提供了简单易用的API和配置方式,使得开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值