Shiro的原理及Web搭建

最新推荐文章于 2024-03-20 07:22:55 发布
最新推荐文章于 2024-03-20 07:22:55 发布
阅读量141 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44433649/article/details/89605087
版权

Shiro(Java安全框架)

以下都是综合之前的人加上自己的一些小总结~
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro 主要分为来个部分就是认证和授权,在个人感觉来看就是查询数据库做相应的判断而已,Shiro只是一个框架而已,其中的内容需要自己的去构建,前后是自己的,中间是Shiro帮我们去搭建和配置好的
个人认为需要看一下其中的一些源码,更有帮助的深入的去了解Shiro的原理。
Shiro的主要框架图如下:
在这里插入图片描述
在这里插入图片描述

方法类的走向:

在这里插入图片描述

对一些其中的方法的简单说明:

Subject

Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权
SecurityManager(安全管理器)

SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer(授权人)进行授权,通过SessionManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。
Authenticator(认证者)

Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。
Authorizer(授权器)

Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
realm(领域)

Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。
sessionManager(会话管理)

sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
SessionDAO(会话dao)

SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。
CacheManager(缓存管理)

CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
Cryptography

Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

Shiro认证与授权的在Web中实现

第一步:添加jar包

<!-- shiro -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
第二步:配置web.xml
<!-- shiro 过滤器 start -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<!-- 设置true由servlet容器控制filter的生命周期 -->
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- shiro 过滤器 end -->

第三步:

  • 自定义Realm
  • 继承 AuthorizingRealm
  • 重写 AuthorizationInfo(授权)
  • 重写 AuthenticationInfo(认证)

以下只是简单的测试
以下都是根据个人的设置和需求改变的。现在数据是死的,运用的时候需要从数据库中得到

/**
* @author zhouguanglin
* @date 2018/2/26 14:05
*/
public class CustomRealm extends AuthorizingRealm {
/**
* 授权
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
String userName = (String) principalCollection.getPrimaryPrincipal();
List<String> permissionList=new ArrayList<String>();
permissionList.add("user:add");
permissionList.add("user:delete");
if (userName.equals("zhou")) {
permissionList.add("user:query");
}
SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
info.addStringPermissions(permissionList);
info.addRole("admin");
return info;
}
/**
* 认证
* @param authenticationToken
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
String userName = (String) authenticationToken.getPrincipal();
if ("".equals(userName)) {
return null;
}
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userName,"123456",this.getName());
return info;
}
}
第四步:配置spring-shiro.xml

这里面都是按照自己的需求去配置的

<?xml version="1.0" encoding="UTF-8"?>

/share = authc /logout = logout

一些属性的意义:

securityManager: 这个属性是必须的。
loginUrl: 没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。
successUrl: 登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。
unauthorizedUrl: 没有权限默认跳转的页面。

Shiro中默认的过滤器
在这里插入图片描述

在spring中直接引入

第五步:在spring-mvc.xml中配置权限的控制 异常的跳转

/403 /403

403是错误页面
第六步:在controller中测试使用的验证登入

@RequestMapping(value = “/login”, method = RequestMethod.POST)
public String login(String userName, String passwd, Model model) {
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(userName, passwd);
try {
subject.login(token);
} catch (UnknownAccountException e) {
e.printStackTrace();
model.addAttribute(“userName”, “用户名错误!”);
return “login”;
} catch (IncorrectCredentialsException e) {
e.printStackTrace();
model.addAttribute(“passwd”, “密码错误”);
return “login”;
}
return “index”;
}

之后的都是HTML页面的跳转

有关HTML中的一些shiro设置:

在使用Shiro标签库前,首先需要在JSP引入shiro标签:

<%@ taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %>

1、介绍Shiro的标签guest标签 :验证当前用户是否为“访客”,即未认证(包含未记住)的用户。

shiro:guest
Hi there! Please Login or Signup today!
</shiro:guest>

2、user标签 :认证通过或已记住的用户。

shiro:user
Welcome back John! Not John? Click here to login.
</shiro:user>

3、authenticated标签 :已认证通过的用户。不包含已记住的用户,这是与user标签的区别所在。

shiro:authenticated
Update your contact information.
</shiro:authenticated>

4、notAuthenticated标签 :未认证通过用户,与authenticated标签相对应。与guest标签的区别是,该标签包含已记住用户。
shiro:notAuthenticated
Please login in order to update your credit card information.
</shiro:notAuthenticated>
5、principal 标签 :输出当前用户信息,通常为登录帐号信息。
Hello, shiro:principal/, how are you today?
6、hasRole标签 :验证当前用户是否属于该角色。
<shiro:hasRole name=“administrator”>
Administer the system
</shiro:hasRole>
7、lacksRole标签 :与hasRole标签逻辑相反,当用户不属于该角色时验证通过。
<shiro:lacksRole name=“administrator”>
Sorry, you are not allowed to administer the system.
</shiro:lacksRole>
8、hasAnyRole标签 :验证当前用户是否属于以下任意一个角色。
<shiro:hasAnyRoles name=“developer, project manager, administrator”>
You are either a developer, project manager, or administrator.
</shiro:lacksRole>
9、hasPermission标签 :验证当前用户是否拥有指定权限。
<shiro:hasPermission name=“user:create”>
Create a new User
</shiro:hasPermission>
10、lacksPermission标签 :与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过。

<shiro:hasPermission name=“user:create”>
Create a new User
</shiro:hasPermission>

luoming-13927419531
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro-web-1.3.2.jar包
02-24
Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。
java shiro_shiro(java安全框架)
weixin_42723849的博客
02-12 868
shiro(java安全框架)以下都是综合之前的人加上自己的一些小总结Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro 主要分为来个部分就是认证和授权,在个人感觉来看就是查询数据库做相应的判断而已,Shiro只是一个框架而...
shiro入门
weixin_45176963的博客
11-03 130
Shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shir...
shiro集成web
jasnet_u的博客
03-25 359
一、shiro集成web的步骤 参考 http://shiro.apache.org/web.html 1.1、在pom.xml中引入 shro-web.jar <!-- shiro-web引入 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>...
Shiro 的 的 Web开发
宇默
05-22 146
一、依旧maven项目,追加Servlet坐标&lt;!-- servlet,jsp坐标 --&gt;      &lt;dependency&gt;         &lt;groupId&gt;javax.servlet&lt;/groupId&gt;         &lt;artifactId&gt;javax.servlet-api&lt;/artifactId&gt;         ...
Shiro框架详解.pptx
01-20
Shiro 框架详解 Shiro 框架是一种基于 Java 的开源安全框架,主要用来实现身份验证、授权...Shiro 框架是一种功能强大、灵活性高的安全框架,提供了身份验证、授权和会话管理等功能,广泛应用于 Java Web 应用程序中。
shiro认证绕过漏洞分析(CVE-2020-13933)1
08-03
在讨论Shiro的认证绕过漏洞CVE-2020-13933之前,我们首先需要了解Shiro的基本工作原理Shiro的认证过程通常包括以下几个步骤: 1. 用户提交凭证(如用户名和密码)。 2. Shiro的 Realm 对象验证这些凭证, Realm ...
Guns后台视频教程.txt
07-05
2、项目搭建;3、项目介绍;4、用Guns进行开发;5、Spring Boot精要;6、Spring Boot实战;7、多数据源配置和使用;8、map+warpper介绍;9、日志系统;10、swagger讲解;11、3.0项目介绍与拆分;12、shiro与权限系统...
亿级流量网站架构核心技术 跟开涛学搭建高可用高并发系统_PDF电子书下载 高清 带索引书签
01-22
通过梳理大型网站技术发展历程,剖析大型网站技术架构模式,深入讲述大型互联网架构设计的核心原理,并通过一组典型网站技术架构设计案例,为读者呈现一幅包括技术选型、架构设计、性能优化、Web 安全、系统发布、...
JavaEE求职简历-姓名-JAVA开发工程师.doc
06-03
熟悉JavaSE/JavaEE,具有面向对象的思维认知; 熟悉Spring、Spring MVC、MyBatis、Hibernate、Spring Boot、SpringData等主流开发框架,能进行SSH、SSM、SSS框架整合开发;...了解Web service及CXF框架;
shirodemo实现web登陆
10-10
shiroweb的实现,使用jsp实现,给html实现了登陆测试。
Shiro web 和spring
冬青的专栏
01-04 625
1、工程结构如图: 2、pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.a
Shiro授权
abcdefgh666的博客
09-19 95
术语简介 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 *主体 主体,即访问应用的用户,在Shiro中使用Subject代表用户。用户只有授权后才允许访问相应的资源。 *资源 在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只有授权后才能访问。 *权限 安全策略中的原子授权单位,通过权限我们可以表示在
Shiro入门以及Shiroweb整合
ahong_1920的博客
02-17 2966
标题Shiro入门以及Shiroweb整合 Shiro框架 - 什么是Shiro? Apache shiro是一个强大,易用的java安全框架执行身份认证,授权,密码和会话管理。 Shiro框架的核心组件 主要核心组件:Subject, Security Manager Realms 1. Subject: 即“当前操作的用户”,但是,在shiro中,Subject这一概念不仅仅指人,也可以是...
web 简单的整合shiro
Ag少的博客
07-01 723
之前项目中用到shiro作为身份认证和授权的框架,自己也只是看了一下里面的内容,理解不是十分的深。前些天自己简单的在web中整合shiro,并分享给大家!        主要用的shiro的jar包如下:        接下来在web.xml中需要加入shiro 过滤器,发来的请求都会经过shiro过滤器进行认证,具体配置如下: 在web.xml中配置以后,配置xxx-s
ShiroWeb集成
这天有点热的博客
05-09 323
ShiroWeb集成,主要是通过配置一个ShiroFilter拦截所有URL,其中ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,是所有请求入口点,负责根据配置如(ini配置文件),判断请求进入URL是否需要登录/权限等工作。 老规矩先贴项目结构: pom文件: <?xml version="1.0" encoding="UTF-8"?...
Shiro权限框架-Springboot集成Shiro(5)
魔法革1996
04-03 118
1、技术栈 主框架:springboot 响应层:springMVC 持久层:mybatis 事务控制:jta 前端技术:easyui 2、数据库设计 【1】数据库图解 sh_user:用户表,一个用户可以有多个角色 sh_role:角色表,一个角色可以有多个资源 sh_resource:资源表 sh_user_role:用户角色中间表 sh_role_resource:角色资源中间表 【2】数据库脚本 sh_user CREATE TABLE `sh_user` (
shiro学习基础(二)之web例子
qq_45321679的博客
02-16 299
文章目录前言以下教程来源在web中使用shiro注意有的变化 前言 这是shiro的初期学习笔记,如有错误,欢迎各位大佬指出错误! 以下教程来源 how2j学习教程 在web中使用shiro 在数据库中能够加密支持了,那么现在就得真正的在web上支持了; 重新创建一个项目,web项目就行;项目结构如下: 首先是添加依赖,如下: 注意 a.必须要有slf4j的依赖 b.加了log4j的依赖,是为了让控制台更好的显示错误 数据库中需要创建User表,这个User表在shiro学习基础(一)之ee例子已经
shiro简介,入门案例,及shiroweb容器的集成,web应用程序开发
最新发布
2301_79058150的博客
03-20 717
-解决mybatis-generator-maven-plugin运行时没有将jdbc.properites文件放入target文件夹的问题-->--解决mybatis-generator-maven-plugin运行时没有将XxxMapper.xml文件放入target文件夹的问题-->-- ********************** 日志配置 ********************** -->--4) web工程需要包含log4j-web,非web工程不需要-->
shiro web 登录流程
06-09
Shiro Web 登录流程一般分为以下步骤: 1. 用户在 Web 页面中输入用户名和密码,提交表单至服务端。 2. 服务端接收到表单数据后,将用户名和密码封装成一个 UsernamePasswordToken 对象。 3. 然后创建一个 SecurityUtils 对象,通过该对象获取当前的 Subject。 4. 调用 Subject 的 login 方法,将 UsernamePasswordToken 对象作为参数传入进行身份认证。 5. 身份认证成功后,Shiro 会将用户信息保存到一个 Subject 对象中。 6. 然后重定向到用户原来请求的页面或者登录成功后的首页。 7. 在用户后续的请求中,Shiro 会从 Subject 对象中获取当前用户的身份和权限信息,进行授权操作。 需要注意的是,Shiro Web 登录流程中,Shiro 会自动跳转到一个默认的登录页面,并且该页面需要配置在 Shiro 的配置文件中。如果需要自定义登录页面,可以通过编写 Shiro 的过滤器来实现。在登录成功后,Shiro 会跳转到用户原来请求的页面或者配置的默认首页,这也需要在 Shiro 配置文件中进行配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值