shiro框架的基本理解

最新推荐文章于 2021-10-30 13:52:47 发布
最新推荐文章于 2021-10-30 13:52:47 发布
阅读量109 收藏
点赞数 1
分类专栏: 框架 文章标签: shiro

1.简介
shiro是一个安全框架,可以进行认证、授权、密码加密、会话管理

从外部来解析shiro框架:

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

1.1功能:
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;

Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web Support:Web支持,可以非常容易的集成到Web环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

Testing:提供测试支持;

Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了
2.如何搭建shiro
2. 1web. xml 配置

使得shiro配置能够生效

shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle true shiroFilter /*

2.2 spring-shiro.xml

注意配置信息的","分隔都是以并且的关系

<?xml version="1.0" encoding="UTF-8"?> 






<!-- 項目自定义的Realm 继承AuthorizingRealm类  用来获取数据库信息-->  
<bean id="shiroDbRealm" class="com.bypx.shiro.ShiroRealm">  
    <property name="cacheManager" ref="cacheManager" />  
</bean>  
<!-- Shiro Filter -->  
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
    <property name="securityManager" ref="securityManager" /> 
     <property name="loginUrl" value="/login.jsp" />  
    <property name="successUrl" value="/view/index.jsp" />  
    <property name="unauthorizedUrl" value="/error/error.jsp" />  
    <property name="filterChainDefinitions">  
        <value>  
        	<!-- 
        		anon  不需要认证
        		authc   需要认证
        		 /view/* 只包括子路进,子路进之下的就不起效
        		 /**  所有子孙路径

perms[]存入的是权限信息 roles[]存入的是角色信
–> /index.jsp= anon /login.jsp= anon /login.do = anon /view/text/text.jsp=authc,perms[“p5”,“p4”],roles[“admin”] /view/** = authc </beans
3 简单使用
3.1 如何调用

UsernamePasswordToken token =new UsernamePasswordToken(name,password);
Subject subject=SecurityUtils.getSubject();
System.out.println(name);
try {
    subject.login(token);//会调用Reaml的认证的内容
  /*  返回成功页面  */
} catch (Exception e) {
   /*  返回失败页面  */
    }

3.2 Reaml部分

public class ShiroRealm extends AuthorizingRealm{
@Autowired
private UserDao dao;
//授权方法
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
System.out.println("------授权------");
String name=(String)arg0.getPrimaryPrincipal();
User user=dao.getByAccount(name);
SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
List roleList=user.getRoles();
//获取所有的角色和权限信息存入info
for(int i=0;i<roleList.size();i++){
info.addRole(roleList.get(i).getFlag());
List perList=roleList.get(i).getPermissions();
for (int j = 0; j <perList.size(); j++) {
info.addStringPermission(perList.get(j).getFlag());
}
}
return info;
}
//认证方法
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken arg0) throws AuthenticationException {
System.out.println("------认证------");
UsernamePasswordToken token=(UsernamePasswordToken)arg0;
token.setRememberMe(true);//设置添加cookie
Subject subject=SecurityUtils.getSubject();//SecurityUtils以获取到我们的全局的资源,和当前的线程相关的
String name=token.getUsername();//获取登陆的用户名
User user=dao.getByAccount(name);//查询是否有这个用户
if (user==null) {
new AuthenticationException();//没有则抛出一个异常
}
//若有这个用户在进行密码的对比
SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(name,user.getPassword(),getName());// 此处数据库密码并没有加密
return info;
}
}
4. shiro标签使用
新建jsp页面,引入shiro标签 <%@ taglib prefix=“shiro” uri=“http://shiro.apache.org/tags”%>

4.1认证标签

用户名 密码

对于用户分为以下的三种

游客

未登录用户

登陆用户

guestshiro:guest游客</shiro:guest>

usershiro:user用户</shiro:user>

authenticatedshiro:authenticated登陆用户</shiro:authenticated>

notAuthenticatedshiro:notAuthenticated未登录用户</shiro:notAuthenticated>

principalshiro:principal输出当前用户信息,通常为登录帐号信息</shiro:principal>
4.2权限标签
hasRole 验证当前用户是否属于该角色

lacksRole 与hasRole标签逻辑相反,当用户不属于该角色时验证通过

hasAnyRole 验证当前用户是否属于以下任意一个角色。
hasPermission 验证当前用户是否拥有指定权限

lacksPermission 与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过。

<shiro:hasAnyRoles name="admin,manager">
<br> 个人办公
</shiro:hasAnyRoles>
<br>
<shiro:hasRole name="admin">
<br> 公文管理
</shiro:hasRole>
<br>
<shiro:lacksRole name="manager">
<br> 行政办公
</shiro:lacksRole>
<br>
<shiro:hasPermission name="p1">
<br> 公共信息
</shiro:hasPermission>
<br>
<shiro:lacksPermission name="p2">
<br> 权限管理
</shiro:lacksPermission>
<br>
<br>

5其他
5.1注销功能

Subject subject=SecurityUtils.getSubject();

subject.logout();//调用注销功能 可以清除cookie内容

5.2会话功能

可以使用subject获取Session

Session session=SecurityUtils.getSubject().getSession();

session.setAttribute(“name”, “459”);//存入你想存放在Session的数据

头发不够长
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro简单配置
都是浮云
04-20 13万+
注:这里只介绍spring配置模式。 因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。 涉及的jar包 Jar包名称 版本 核心包shiro-core 1.2.0 Web相关包shiro-web 1.2.0
细说shiro之一:shiro简介
骏马逸动,心随你动的博客
06-03 657
细说shiro之一:shiro简介 官网:https://shiro.apache.org/ 一. Shiro是什么 Shiro是一个Java平台的开源权限框架,用于认证和访问授权。具体来说,满足对如下元素的支持: 用户,角色,权限(仅仅是操作权限,数据权限必须与业务需求紧密结合),资源(url)。 用户分配角色,角色定义权限。 访问授权时支持角色或者权限,并且支持多级的权限定义。 Q:对组的支持? A:shiro默认不支持对组设置权限。 Q:是否可以满足对组进行角色分配的需求? A:.
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
Shiro框架学习代码
05-03
在这个“Shiro框架学习代码”压缩包中,我们可以看到一些基本的学习资源,用于理解和实践 Shiro 的核心功能。 1. **认证**: 认证是验证用户身份的过程。在 Shiro 中,这一过程通过 `AuthenticationInfo` 类来实现...
初学Shiro框架项目
12-23
初学者在接触Shiro框架时,可能会遇到各种概念和配置,本项目旨在帮助新手理解如何利用Shiro来实现权限管理,特别是针对不同角色显示不同菜单的功能。 首先,Shiro的核心组件包括Subject、Realm、Session管理和...
springmvc+shiro 框架搭建
03-06
这个DEMO应该包含了这些基本步骤的实现,你可以通过阅读代码来理解如何将SpringMVC和Shiro结合在一起。项目中的"project"文件可能包含了一个简单的Web应用程序,其中包含配置文件、Controller、Service、DAO以及...
公司培训的shiro框架 可以下载看一下
12-01
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权(权限控制)、会话管理和加密服务等功能,使得在开发过程中可以轻松地实现安全控制。...记得动手实践,理论结合实际,才能更好地掌握Shiro框架
shiro框架学习心得
06-27
在学习Shiro框架的过程中,首先需要理解它的核心概念: 1. **认证**:这是验证用户身份的过程。Shiro 提供了多种方式来实现用户登录,如基于用户名和密码的登录。用户信息通常存储在 Realm(域)中,Shiro 通过与 ...
shiro理解
01-09
shiro理解
shiro安全框架(一)框架的简介及框架结构的介绍
12-13
Apache Shiro 是java的一个安全框架。它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Shiro理解
YIYIYIPEI的博客
08-05 390
参考文章: https://www.cnblogs.com/learnhow/p/5694876.html https://blog.csdn.net/qixiang_chen/article/details/85559370 参考笔记: 1.、shiro是什么? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 2、shiro的引出...
谈谈你对shiro安全框架理解
qq_42801914的博客
04-25 384
shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,会话管理和加密等等。相对于springsecurity这个安全框架shiro更灵活 个人总结 shiro 主要就是对访问系统需要对系统授权 和认证;他专门有一个安全管理器, 这个安全管理器包含授权器和认证器,方法授权和认证都是通过这两个方法; sessionmanager session 管理器 一般单点登录...
shiro安全框架---shiro的应用理解
凌大大的博客
02-13 7141
shiro的简单介绍   我没有用过Spring Security,听别人说是功能多于shiroshiro简单一些,当然没有用过,我也就不做评价了,因为项目在用shiro,在同事们的帮助下,从零到现在基本能完成登录授权、权限验证、会话管理等的功能,对shiro的问题基本都熟悉了很多了。打算写一下,权当复习一下。   在这里给大家推荐一个文章开涛的博客,我并没有详细看过shiro的概念...
shiro简单理解
east_nan的博客
03-28 1316
Shiro 的优点 &gt; 简单的身份认证, 支持多种数据源 &gt; 对角色的简单的授权, 支持细粒度的授权(方法级) &gt; 支持一级缓存,以提升应用程序的性能; &gt; 内置的基于 POJO 企业会话管理, 适用于 Web 以及非 Web 的环境 &gt; 非常简单的加密 API &gt; 不跟任何的框架或者容器捆绑, 可以独立运行Shiro 的核心组件 Shiro 架构 3 个核心组...
认识Shiro框架
宇宙浪子
04-09 2150
Shiro三大组件: Subject:Subject一般来说代表当前登录的用户,我们可以在自己的代码中很容易的获取到Subject对象 SecurityManager:它是shiro框架的核心。Subject代表某一个用户,而SecurityManager就是对这些Subject进行管理的对象,在web项目中使用shiro的时候,我们通常在xml文件中配置好SecurityManager
Shiro等权限管理框架本质很简单,一个注解+拦截器就可实现
m0_62714732的博客
10-30 271
注解 Java目前只内置了三种标准注解 四种元注解,元注解专职负责注解其他的注解 如何在运行时获取注解的值?java在java.lang.reflect包中定义了AnnotatedElement接口,Class,Method,Field等都实现了该接口,通过该接口提供的方法,就可以获得我们需要的信息,并且该接口的方法返回的数组可以由调用方修改,而不影响返回到其他调用方的数组。 AnnotatedElement接口的一部分方法 java.lang.Class中的getDecl
Shiro的实现机制(源码解析)
夏牧子的博客
04-02 5749
文章目录什么是shiro? 什么是shiro? shiro
全面解析Apache Shiro框架教程
在这一章中,教程介绍了Shiro基本概念,包括它的设计目标、主要功能以及如何在项目中引入Shiro框架。通过阅读这一章,你可以理解Shiro在软件安全中的角色。 **第二章 身份验证** 这部分主要涵盖了用户登录过程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值