Shiro:核心组件、配置类、多Realm场景、自定义拦截器、实战场景

已于 2023-02-02 17:03:51 修改
阅读量1k 收藏
点赞数 2
分类专栏: Java 文章标签: java
于 2023-01-18 10:47:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45005846/article/details/128618935
版权
本文详细介绍了Shiro的核心组件,包括Realm、SecurityManager和Subject,并深入讲解了Shiro的认证和授权流程。在多Realm场景下,探讨了自定义过滤器和模块化Realm认证器的实现。此外,提供了实际的配置类ShiroConfig,以及涉及的Login、BearerTokenRealm、PermissionsFilter等关键代码示例,帮助理解Shiro在用户认证授权中的应用。
摘要由CSDN通过智能技术生成

目录

Shiro 的核心组件

Realm、SecurityManager、Subject

Shiro 认证流程

在这里插入图片描述
1、首先调用Subject.login(token)进行登录,其会自动委托给SecurityManager;
2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

原文链接:https://blog.csdn.net/geejkse_seff/article/details/124345585

Shiro 授权流程

在这里插入图片描述

案例:前后端分离 springboot+vue 项目

前提:不同权限的用户登入(认证)之后,都能看到所有菜单栏。管理员用户和普通用户的区别在于,普通用户点击【用户管理】没有权限。

在这里插入图片描述
ShiroRealm.java

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    UserSession userSession = (UserSession) SecurityUtils.getSubject().getPrincipal();
    Long operatorId = userSession.getOperatorId();

    SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

    List<CommRoleResponseDTO> roleList = roleAppService.findOperatorRole(operatorId);
    Set<String> roleSet = roleList.stream().map(CommRoleResponseDTO::getRoleName).collect(Collectors.toSet());
    simpleAuthorizationInfo.setRoles(roleSet);
    return simpleAuthorizationInfo;
}

ShiroConfig.java

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

    shiroFilterFactoryBean.setSecurityManager(securityManager);
    Map<String, String> mapFilter = new LinkedHashMap<>();
    String[] filters = globalPropertiesCache
    //登入请求放行
    mapFilter.put("/app/login", "anon");
    //只有admin才能访问用户管理的交易
    //页面点击【用户管理】,触发【/app/用户管理】这个交易,判断用户的角色
	mapFilter.put("/app/用户管理", "roles[admin]");
    mapFilter.put("/**", "authc");
    //未授权跳转到 /app/noAnon
    shiroFilterFactoryBean.setLoginUrl("/app/noAnon");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(mapFilter);
    return shiroFilterFactoryBean;
}

//这行代码也可以替换成其他,Shiro支持的授权写法:
mapFilter.put("/app/用户管理", "roles[admin]"); 	


//当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称
        /**
         * anon---------------org.apache.shiro.web.filter.authc.AnonymousFilter 没有参数,表示可以匿名使用。
         * authc--------------org.apache.shiro.web.filter.authc.FormAuthenticationFilter 表示需要认证(登录)才能使用,没有参数
         * authcBasic---------org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter 没有参数表示httpBasic认证
         * logout-------------org.apache.shiro.web.filter.authc.LogoutFilter
         * noSessionCreation--org.apache.shiro.web.filter.session.NoSessionCreationFilter
         * perms--------------org.apache.shiro.web.filter.authz.PermissionAuthorizationFilter 参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
         * port---------------org.apache.shiro.web.filter.authz.PortFilter port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
         * rest---------------org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter 根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
         * roles--------------org.apache.shiro.web.filter.authz.RolesAuthorizationFilter 参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
         * ssl----------------org.apache.shiro.web.filter.authz.SslFilter 没有参数,表示安全的url请求,协议为https
         * user---------------org.apache.shiro.web.filter.authz.UserFilter 没有参数表示必须存在用户,当登入操作时不做检查
         */
 
        /**
         * 通常可将这些过滤器分为两组
         * anon,authc,authcBasic,user是第一组认证过滤器
         * perms,port,rest,roles,ssl是第二组授权过滤器
         * 注意user和authc不同:当应用开启了rememberMe时,用户下次访问时可以是一个user,但绝不会是authc,因为authc是需要重新认证的
         * user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe 说白了,以前的一个用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc
         *
         *
         * 举几个例子
         *  /admin=authc,roles[admin]      表示用户必需已通过认证,并拥有admin角色才可以正常发起'/admin'请求
         *  /edit=authc,perms[admin:edit]  表示用户必需已通过认证,并拥有admin:edit权限才可以正常发起'/edit'请求
         *  /home=user     表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态就可以正常发起'/home'请求
         */
 
 
        /**
         * 各默认过滤器常用如下(注意URL Pattern里用到的是两颗星,这样才能实现任意层次的全匹配)
         * /admins/**=anon             无参,表示可匿名使用,可以理解为匿名用户或游客
         *  /admins/user/**=authc       无参,表示需认证才能使用
         *  /admins/user/**=authcBasic  无参,表示httpBasic认证
         *  /admins/user/**=ssl         无参,表示安全的URL请求,协议为https
         *  /admins/user/**=perms[user:add:*]  参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/**=perms["user:add:*,user:modify:*"]。当有多个参数时必须每个参数都通过才算通过,相当于isPermitedAll()方法
         *  /admins/user/**=port[8081] 当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString。其中schmal是协议http或https等,serverName是你访问的Host,8081是Port端口,queryString是你访问的URL里的?后面的参数
         *  /admins/user/**=rest[user] 根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等
         *  /admins/user/**=roles[admin]  参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如:/admins/user/**=roles["admin,guest"]。当有多个参数时必须每个参数都通过才算通过,相当于hasAllRoles()方法
         *
         */

原文链接:https://
最低0.47元/天 解锁文章
周里奥
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro入门3:Shiro主要架构、组件介绍
机智猫
03-23 1万+
简单介绍Shiro的主要组件以及功能
Shiro实现多realm方案
程序员田同学的博客
07-02 3093
公司开始了新项目,新项目的认证采用的是Shiro实现。由于涉及到多端登录用户,而且多端用户还是来自不同的表。 这就涉及到了Shiro的多realm,今天的demo主要是介绍Shiro的多realm实现方案,文中包含所有的代码,需要的朋友可以无缝copy。...
Springboot集成shiro--登录拦截/权限控制
最新发布
weixin_68693132的博客
07-16 980
anon: 匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例“/static/**=anon”authc: 表示需要认证(登录)才能使用;示例“/**=authc”authcBasic:Basic HTTP身份验证拦截器roles: 角色授权拦截器,验证用户是否拥有资源角色;示例“/admin/**=roles[admin]”perms: 权限授权拦截器,验证用户是否拥有资源权限;示例“/user/create=perms["user:create"]”user。
Shiro核心组件
chennei5176的博客
04-08 663
Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互 的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定 到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityMana...
简述Shiro核心组件
weixin_46503633的博客
01-07 793
简述Shiro核心组件Shiro 架构 3 个核心组件: (1)Subject:正与系统进行交互的人, 或某一个第三方服务。所有 Subject 实例都被绑定到(且这是必须的)一个SecurityManager 上。 (2)SecurityManager:Shiro 架构的心脏, 用来协调内部各安全组件, 管理内部组件实例, 并通过它来提供安全管理的各种服务。当Shiro 与一个 Subject 进行交互时, 实质上是幕后的 SecurityManager 处理所有繁重的 Subject 安全操作。
细说shiro之二:组件架构
weixin_30460489的博客
04-27 89
官网:https://shiro.apache.org/ Shiro主要组件包括:Subject,SecurityManager,Authenticator,Authorizer,SessionManager,CacheManager,Cryptography,Realms。 1. SubjectSubject表示与系统交互的对象,可以是登录系统的操作用户,也可能是另外一个软件系统。Sub...
SpringBoot集成Shiro,并使用多个Realm
GDUT_Trim的博客
04-26 810
Realm的执行自定义Token自定义ModularRealmAuthenticator创建多个RealmUserRealmManagerRealm和MerchantRealm配置ShiroConfig测试 Realm是用来做授权和认证的。 最近项目上有个需求是添加上一个新角色,导致要重写整个登录接口,又不太想修改原来的代码,看着那堆屎山就有点烦,所以就打算直接加一个RealmRealm的执行 首先,我们先看Realm是怎么被执行的 Realm是被一个名叫ModularRealmAuthenticat.
shiro整合springboot实战:二、Shiro配置自定义Realm
qq_31587795的博客
10-15 506
1.写几个登录接口和测试接口 @RestController public class LoginController { /** * 登录接口 * @param loginDTO * @param request * @param response * @return */ @PostMapping("login")...
hx-permission-shiro:权限配置
04-30
6. 控制器(Controller)与拦截器(Filter)配置: 在Spring MVC或其它MVC框架中,我们需要配置Shiro Filter来拦截请求并进行权限检查。例如,在Spring Boot项目中,可以在`WebSecurityConfig`中添加以下配置: ``...
shiro过滤html页面,SpringBoot:集成Shiro拦截器配置
weixin_39555179的博客
06-04 536
前言前面的几篇博客都是说的用户如何认证,如何授权,那么用户认证授权之后,我们该如何使用这些信息呢?这里我们就需要使用到Shiro框架中的拦截器功能.通过拦截器功能实现用户权限和角色的应用,下面我们就来看一下我们如何使用拦截器实现用户权限认证的应用.拦截器说明在配置拦截器之前,我们需要先了解Shiro本身给我们提供的拦截器都有什么,都有着什么样的特点.下面我们就来用表格的形式来看一下各种拦截器的...
spring-shiro:Spring Mvc 搭配shiro Demo
06-21
2. 配置Shiro:创建Shiro配置配置Realm(认证和授权信息来源),以及过滤器链。 Realm通常会连接到数据库或其他数据源,获取用户的认证和权限信息。 3. 自定义Realm:实现AuthorizingRealm接口,重写...
shiro配置拦截器
分享日常bug
11-10 705
如果你是从第一节配置shiro过来的!记得在ShiroFilterFactoryBean 上面添加@Bean注解。
shiro默认拦截器
sen19910708的专栏
10-01 9106
Shiro内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器:   默认拦截器拦截器 说明(括号里的表示默认值) 身份验证相关的     authc org.apac
shiro篇---配置多个realmrealms】
m0_67393157的博客
04-07 610
securityManager的配置 当调用SecurityUtils. getSubject().login( token); 即subject的login 方法;默认会调用realm里面的 doGetAuthenticationInfo方法进行身份验证。但上面设置了配置使用自定义认证器 会先进入这个,再决定进入哪个realm. 验 证成功后会进入当前realm的 doGetAuthorizationInfo 方法进行授权 ...
shiro基本组件
燃正科技
03-25 1294
1.Subject Subject表示与系统交互的对象,可以是登录系统的操作用户,也可能是另外一个软件系统。 2.SecurityManager SecurityManager是Shiro架构最核心组件。实际上,SecurityManager就是Shiro框架的控制器,协调其他组件一起完成认证和授权。 3.Authenticator Authenticator用于认证,协调一个或者多个Realm...
系列二、Shiro核心组件
仰望星空,脚踏实地!安全感是自己给的,努力才是一辈子的安全感。
11-09 149
封装了用户的登录信息,使用用户的登录信息来创建TokenShiro核心组件,负责安全认证和授权Shiro的一个抽象概念,包含了用户信息# 4、Realm开发者自定义的模块,根据项目的需求,验证和授权的逻辑写在这里用户的角色信息集合,认证时使用用户的权限信息集合,授权时使用安全管理器,开发者自定义Realm需要注入到此进行管理,才能生效。
Shiro的三大核心组件是什么?请分别解释一下它们的作用。Shiro中的Realm是什么?它在Shiro中扮演了什么样的角色?Shiro如何处理密码加密和验证?它支持哪些加密算法?
Aaron的博客
03-24 524
然而,需要注意的是,正确的密码管理和安全策略同样重要,仅仅依赖框架本身并不能完全保证系统的安全。在密码验证方面,Shiro会将用户输入的密码按照相同的哈希算法和salt进行加密,然后将生成的哈希值与数据库中存储的哈希值进行比对。总的来说,RealmShiro中扮演着提供身份验证和授权数据的关键角色,它使得Shiro能够与应用程序的安全数据源无缝集成,从而实现强大的安全功能。除了上述的基本加密和验证方式,Shiro还支持多次迭代加密,即多次使用哈希算法对密码进行加密,以进一步增加密码的复杂度,提高安全性。
Shiro——多个Realm的使用与实现
程序员阿皓的博客
05-07 441
Shiro——多个Realm的使用与实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值