shiro 安全框架

最新推荐文章于 2024-05-24 09:48:20 发布
最新推荐文章于 2024-05-24 09:48:20 发布
阅读量150 收藏
点赞数
分类专栏: shiro 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44545652/article/details/114084516
版权

shiro 安全框架

缘由

这周入职了一家新公司,在撸登录认证代码的时候看到了shiro框架,当时对源码一脸懵逼,特意学习了一番,下边是我自己的学习成果及参考前人的总结吐血整理

shiro简介

Apache Shiro 是一个强大且易用的Java安全框架,能够用于身份验证、授权、session管理、加密等功能。

shiro能做什么
  • 验证用户身份
  • 用户访问权限控制 如不同用户对不同url有不同的访问权限
  • 可以响应认证、访问控制
  • 单点登录SSO#### shiro框架

img

Authentication、Authorization、SessionManagement、Crytography 被Shiro框架开发团队称之为应用安全的四大基石。

  • Authentication:认证,用户身份识别,也就是常说的登录

  • Authorization:授权,访问控制,对某个用户授权,判断用户使用权限

  • SessionMangament:特定于用户的会话管理

  • Cryptography:对数据元进行加密

高级概述

在概念层,Shiro架构主要包含三个主要理念:Subject、SecurityManager、Realm。

img

  • **Subject:**当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。
  • **SecurityManager:**管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
  • **Realms:**用于进行权限信息的验证,我们自己实现。Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

我们需要实现Realms的Authentication 和 Authorization。其中 Authentication 是用来验证用户身份,Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

shiro认证过程

在这里插入图片描述

具体demo:

// 1.构建SecurityManager环境
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
defaultSecurityManager.setRealm(simpleAccountRealm);

// 2.主体提交认证请求
SecurityUtils.setSecurityManager(defaultSecurityManager); // 设置SecurityManager环境
Subject subject = SecurityUtils.getSubject(); // 获取当前主体

UsernamePasswordToken token = new UsernamePasswordToken("wmyskxz", "123456");
subject.login(token); // 登录

这里特别提一点,subject也就是认证的入口,从这个入口点进去,我们就可以知道shiro到底是如何一步一步认证的,我们在写自定义类实现方法是如何运行的
大概流程:

  1. shiro在系统初始化时,一般会在SecurityUtil注入SecurityManager,党委工会的代码是通过xml bean注入的。

  2. 当用户登录时,会从SecurityUtil获取本次登录的主体对象subject

  3. 解析用户登录的用户名及密码,生成token,subject进行登录

    原理流程图如下

    img

    1. 首先调用 Subject.login(token) 进行登录,其会自动委托给 Security Manager,调用之前必须通过 SecurityUtils.setSecurityManager() 设置;
    2. SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
    3. Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
    4. Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
    5. Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回 / 抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。
shiro授权过程

跟认证相似,只不过认证用的是Authenticator,而授权用的是Authorizatior。其他一致。

自定义Realm

从上边的认证及授权流程可以得知,认证和授权都需要借助Realm来实现,Realm也就是我们存储数据的地方,Shiro 框架内部默认提供了两种实现,一种是查询.ini文件的IniRealm,另一种是查询数据库的JdbcRealm。在实际应用中我们会在数据库的基础上进行增强,因此主要记录一下自定义Realm。

public class ShiroDbRealm extends AuthorizingRealm {
    private static Logger log = LogManager.getLogger(ShiroDbRealm.class);

    /**
     * 登录认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
        log.info("Shiro登录认证启动");

        IShiro shiroFactory = ShiroManager.me().getDefaultShiroFactory();
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

        User user = shiroFactory.user(token.getUsername());

        if (StrKit.isEmpty(user.getRoleid())) {
            throw new NoRoleException("登录人【" + user.getAccount() + "】没有角色,不能访问系统");
        }

        ShiroUser shiroUser = shiroFactory.shiroUser(user);

        SimpleAuthenticationInfo info = shiroFactory.info(shiroUser, user, getName());

        log.info("Shiro登录认证完毕");
        return info;
    }

    /**
     * 权限认证
     */
    @SuppressWarnings({"rawtypes"})
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        IShiro shiroFactory = ShiroManager.me().getDefaultShiroFactory();
        ShiroUser shiroUser = (ShiroUser) principals.getPrimaryPrincipal();
        Object userId = shiroUser.getId();
        List<Integer> roleList = shiroUser.getRoleList();
        Set<String> urlSet = new HashSet<>();
        Set<String> roleNameSet = new HashSet<>();
        for (Integer roleId : roleList) {
            List<Map> permissions = shiroFactory.findPermissionsByRoleId(userId, roleId);
            if (null != permissions) {
                for (Map map : permissions) {
                    if (!Func.isEmpty(map.get("URL"))) {
                        urlSet.add(Func.toStr(map.get("URL")));
                    }
                }
            }
            String roleName = shiroFactory.findRoleNameByRoleId(roleId);
            roleNameSet.add(roleName);
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermissions(urlSet);
        info.addRoles(roleNameSet);
        return info;
    }

    /**
     * 设置认证加密方式
     */
    @PostConstruct
    public void setCredentialMatcher() {
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName(ShiroKit.hashAlgorithmName);
        credentialsMatcher.setHashIterations(ShiroKit.hashIterations);
        setCredentialsMatcher(credentialsMatcher);
    }

}

看到这里不知道是否有一个疑问:

我们在访问资源的时候shiro是如何进行拦截的。 可以看下边xml里的拦截器配置,shiro是以url为单位进行拦截的,有几个过滤器简称
其中 DefaultWebSecurityManager 的配置可以使用xml的形式配置,也可以使用注解的形式都可以。

#rootroot
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限管理Shiro系统-Apache开源顶级项目shiro-SpringMVC_Shiro项目
08-04
权限管理Shiro系统-Apache开源顶级项目shiro-SpringMVC_Shiro项目
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
学习开源项目时遇到shirojava安全框架)后的学习体会
weixin_43912702的博客
12-18 141
全文目录: Shiro的简介 Shiro具有的功能特性 Shiro的架构 Shiro的认证过程 Shiro的授权过程 自定义Realm Shiro加密及(加盐+多次加密) 项目中的使用 Shiro的简介 Apache Shiro 是一个能够完全处理身份验证、授权、加密和会话管理的强大灵活的开源安全框架。 注意: Shiro不会去维护用户、维护权限,这些需要我们自己去设计/提供,然后通过相应的接口注入给Shiro Shiro具有的功能特性 [外链图片转存失败,源站可
Java安全框架
追风_CJJ的博客
04-12 9200
Java安全框架 文章目录Java安全框架前言一、Spring Security二、Shiro三、对比总结 前言 本文将介绍两个常见且强大的安全框架Spring Security和Shiro。 一、Spring Security Spring 家族的一员。 通过提供完整可扩展的认证和授权支持保护你的应用程序。 https://spring.io/projects/spring-security SpringSecurity特点: 和 Spring 无缝整合。 全面的权限控制。 专门为 Web 开发而
shiroSecurityUtil.getSubject逻辑
pscool的博客
03-14 349
关于Java的那些安全框架
不愧是暮言的博客
05-19 2172
Java开发中,安全是一项至关重要的特性,不仅仅是因为它保护我们的数据和系统免受恶意攻击,还因为它保护着我们和我们的用户的隐私。因此,Java安全框架的选择至关重要。在本篇博客中,我们将探讨一些常见的Java安全框架,以及如何使用它们来保护我们的应用程序。以上是一些常见的Java安全框架,每个框架都有其独特的特性和使用方式。在选择使用任何一种安全框架之前,需要仔细考虑自己的需求,并选择最适合自己需求的框架。好的安全实践是保护我们的数据和系统的关键。
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
shiro安全框架
09-19
综上,Shiro安全框架与Spring的集成使得OA项目安全性得到了有效保障,通过合理的配置和使用,可以轻松实现用户认证、授权、会话管理和数据加密等功能,为开发人员提供了一种简单高效的安全解决方案。
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
shiro 数据权限_安全框架 shiro
weixin_39931101的博客
12-05 135
Shiro简介SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Authentication:身份认证/登录,验证用户是不是拥有相应的身份;Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某...
Shiro完整项目
11-24
[Apache Shiro] is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
java安全框架-Shiro学习笔记(一)-入门小案例
绝版灬小伙的博客
06-26 4825
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。 我们先来输出一个hello word。 1、创建maven项目 2、将依赖jar包引入项目中,包括shiro和slf4j。 注意:不要忘记把log4j.properties加载到项目路径下 3、添加配置文件,shiro.ini,模拟从数据库中查询登录名称和密码 [users]:代
Oauth与Shiro整合的开源项目
热门推荐
MONKEYK
10-11 1万+
Apache OLTU 是JAVA的OAUTH参考实现; Shiro是轻量级的权限管理框架; 二者整合, 提供一个轻量的OAUTH2应用框架, 并根据不同的应用场景提供不同的实现(WEB,移动端); 提供基于OAUTH的5类grant_type的实现; 相比之前已经实现的 spring-oauth-server 项目, 该项目具有以下特点: 更加透明 --
apache开源项目--Shiro
weixin_33862514的博客
01-05 68
安全是企业应用中不可缺少的功能,在众多权限框架中,Shiro(其前身是JSecurity)因其简单而又不失强大的特点引起了不少开发者的注 意。随着Grails的关注度越来越高,在Grails社区也出现了Shiro的插件。 Shiro最早的名字是JSecurity,后来更名为Shiro并成为Apache的孵化项目。这次改名也同样影响了Grails Shiro Plugin。它最早在Shiro还未改...
github开源项目 eval-shiro 权限控制+数据过滤框架
谢文峰的博客
05-16 2317
1.项目简介 项目实现的思想和shiro框架类似,并在此基础之上扩展了数据过滤的功能 >有碰到和作者一样问题的人欢迎交流 < 1.1功能点 @ExtRequiresPermissions注解进行权限验证 注解中的filterCondition参数进行数据过滤 都可以单独使用 2.项目背景 项目中需要做权限控制,到接口级别 更加喜欢注解方式的控制,简单直观 集成shiro不成功,项...
推荐开源项目Shiro整合SpringBoot实现高效安全控制
gitblog_00079的博客
05-08 577
推荐开源项目Shiro整合SpringBoot实现高效安全控制 项目地址:https://gitcode.com/HowieYuan/Shiro-SpringBoot 在软件开发中,保证系统的安全性是至关重要的任务。Apache Shiro是一款强大且易用的Java安全框架,它提供了身份认证、授权、会话管理和加密等功能。如今,Shiro已经与流行的Spring Boot框架相结合,创建出一套高效...
老司机带你手写shiro框架!!!
码猿技术专栏
03-15 647
导读前两年接触到了Shiro框架,一个安全认证授权的框架,相信在行业内盛名已久,究竟性能,安全方面的怎么样这里就不再细说了。前几天自己的闲的无聊,结合JWT+SpringBoot+Red...
springboot整合shiro+jwt+redis实现权限校验,项目实战,有开源项目
Think_and_work的博客
02-13 3256
本文介绍了springboot整合shiro实现基本权限管理功能,是一个权限管理的实战项目,又开源项目地址,希望能够帮助到你
推荐开源项目:Shisho - 轻量级代码静态分析工具
最新发布
gitblog_00005的博客
05-24 358
推荐开源项目:Shisho - 轻量级代码静态分析工具 项目地址:https://gitcode.com/flatt-security/shisho 在软件开发过程中,确保代码质量与安全性是至关重要的。为此,我们向您推荐一款名为Shisho的开源工具,它是一个轻量级的静态代码分析器,专为开发者打造,旨在帮助您提升代码的质量,发现潜在问题,并提前预防安全风险。 项目介绍 Shisho 是一个强大的...
Apache Shiro 安全框架教程
Apache Shiro 是一个 Java 安全框架,目前越来越多的人使用它,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值