Shiro基操

于 2022-09-14 20:35:37 发布
阅读量131 收藏
点赞数 1
文章标签: servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45642118/article/details/126858107
版权
本文详细介绍了Apache Shiro的使用,包括Shiro的基本API、工作原理和 Realm 的实现。通过一个简单的 Realm 示例展示了如何进行身份认证,并讲解了如何将Shiro集成到SpringBoot应用中,包括配置类的编写和过滤器链的定义。
摘要由CSDN通过智能技术生成

Shiro基操

Shiro简介

Apache Shiro 是 Java 的一个轻量级安全框架。虽说没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个需要根据业务需求来决定 。

Shiro的基本API


上图为Shiro的基本功能模块

  • Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;
  • Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
  • Session Management:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
  • Web Support:Web 支持,可以非常容易的集成到 Web 环境;
    Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率:
  • Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
  • Testing:提供测试支持;
  • Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
  • Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
    注意:Shiro 不会去维护用户、维护权限;需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 。

Shiro的工作原理

在这里插入图片描述
可以看到:应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外 API 核心就是 Subject;其每个 API 的含义:

  • Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面;SecurityManager 才是实际的执行者;

  • SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行交互,如果学习过 SpringMVC,你可以把它看成 DispatcherServlet 前端控制器;

  • Realm:域,Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。

也就是说对于我们而言,最简单的一个 Shiro 应用:

  1. 应用代码通过 Subject 来进行认证和授权,而 Subject 又委托给 SecurityManager;
  2. 我们需要给 Shiro 的 SecurityManager 注入 Realm,从而让 SecurityManager 能得到合法的用户及其权限进行判断。

从以上也可以看出,Shiro 不提供维护用户 / 权限,而是通过 Realm 让开发人员自己注入

编写一个简单的Realm (未集成SpringBoot)

从上文中可以知道,shiro所提供的安全保障是基于 Realm 所提供的数据支持 , 现在我们来简单配置一个自己的Realm , 本文采用阿里巴巴的 Druid-1.1.22 数据源管理

一、新建Shiro配置信息(shiro.ini)

#声明一个自定义的的realm
customRealm=com.woniuxy.framework.component.MyRealm
#将realm注入到securityManager中
securityManager.realms=$customRealm

创建Realm类 (MyRealm.java)

这里做一个简单的登录验证

//自定义Realm类需要实现Shiro接口 AuthorizingRealm 
public class MyRealm extends AuthorizingRealm {
	//建立数据源
    private static JdbcTemplate jdbcTemplate = null;
    static{
        DruidDataSource dataSource = new DruidDataSource();
        dataSource.setUrl("jdbc:mysql://localhost:3306/edu");
        dataSource.setUsername("root");
        dataSource.setPassword("123321");
        dataSource.setDriverClassName("com.mysql.jdbc.Driver");
        jdbcTemplate =  new JdbcTemplate(dataSource);
    }
     @Override
     //这是授权验证功能
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
    @Override
    //AuthenticationToken:认证令牌,认证入参
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("进入获取认证信息方法:"+token);
        //获取到用户名
        Object username = token.getPrincipal();

        //在数据库中查询用户是否存在
        List<User> userList = jdbcTemplate.query(
                "select * from edu_user where username=?",  //sql
                new BeanPropertyRowMapper<User>(User.class), //结果映射器,将ResultSet中的内容自动映射到User类上
                username);//参数

        //判断结果
        if(userList.size()==0){
            throw new UnknownAccountException(username+"用户不存在");
        }
        if(userList.size()>1){
            throw new AccountException("系统异常,找到多个用户"+username);
        }

        //适配返回对象, 用户、密码、Realm名字
        return new SimpleAuthenticationInfo(userList.get(0),userList.get(0).getPassword(),MyRealm.class.getName());
    }
}

三、进行测试

	 //加载配置文件,创建工厂类
        IniSecurityManagerFactory iniSecurityManagerFactory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //创建安全管理器
        SecurityManager securityManager = iniSecurityManagerFactory.getInstance();
        //将安全管理器设置到SecurityUtils中
        SecurityUtils.setSecurityManager(securityManager);
        //获取Subject对象,代表一个用户
        Subject subject = SecurityUtils.getSubject();

        //认证
        subject.login(new UsernamePasswordToken("username","password"));
		
        System.out.println("确认验证是否通过"+subject.isAuthenticated());

在这里插入图片描述
这是Subject源码中关于subject.login的描述 , 如果验证失败则会报错 , 可以通过try…catch处理

集成SpringBoot

需要导入 shiro-spring-boot-starter
本次不考虑实现前后端分离 , 简单的写一个静态登录页面即可

一、修改配置选项

1) 新建一个配置类
@Configuration
public class SecurityConfig {

    @Bean
    public Realm shiroRealm(){
        return new ShiroRealm();
    }

    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition(){
        DefaultShiroFilterChainDefinition dsfcd = new DefaultShiroFilterChainDefinition();
        //anon为shiro自带的过滤器名称
        /**
        * anon:无需认证即可访问
        * authc:需要认证才可访问
        * user:点击“记住我”功能可访问
        * perms: 拥有权限才可以访问
        * role: 拥有某个角色权限才能访问
        */
        dsfcd.addPathDefinition("/","anon");
        dsfcd.addPathDefinition("/login","anon");
        dsfcd.addPathDefinition("/login.html","anon");
        //登出
        dsfcd.addPathDefinition("/logout","logout");
        //其他则需要认证
        dsfcd.addPathDefinition("/**","user");
        return dsfcd;
    }

    @Bean
    public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();

        /**
         * setUsePrefix(false)用于解决一个奇怪的bug。在引入spring aop的情况下。
         * 在@Controller注解的类的方法中加入@RequiresRole等shiro注解,会导致该方法无法映射请求,导致返回404。
         * 加入这项配置能解决这个bug
         */
        defaultAdvisorAutoProxyCreator.setUsePrefix(true);
        return defaultAdvisorAutoProxyCreator;
    }
}
2)在SpringBoot主配置文件中添加(本文使用properties格式文件)
shiro.loginUrl=/login.html

二、实现ShiroRealm

// 将上文Realm内容中的查询语句用Mybatis等重新编写一下即可 , 本文采用Mybatis-plus
public class MyRealm extends AuthorizingRealm {
	@Resource
	//用户数据调用
    private UserMapper userMapper;

    @Resource
    //角色数据调用
    private RoleMapper roleMapper;

    @Resource
	//权限数据调用
    private PermMapper permMapper;
     @Override
     //这是授权验证功能
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
    @Override
    //AuthenticationToken:认证令牌,认证入参
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        log.info("进入获取认证信息方法:"+token);
        //获取用户名
        Object username = token.getPrincipal();
        //获取密码
        Wrapper<UserInfo> queryWrapper= new QueryWrapper<UserInfo>()
                .eq("user_name",username);
        UserInfo userInfo = null;
        try{
            userInfo= userMapper.selectOne(queryWrapper);
        }catchException e){
        	throw new AccountException("系统异常,找到多个用户"+username);
        }
        if(userInfo==null){
            throw new UnknownAccountException(username+"用户不存在");
        }
        log.info(">>>>>>>>验证成功!"+userInfo);
        return new SimpleAuthenticationInfo(userInfo,userInfo.getUserPassword(),ShiroRealm.class.getName());
    }
}

编写Controller层

@RestController
@Slf4j
public class LoginController {
    @PostMapping("/login")
    public String login(String username,String password){

        Subject subject = SecurityUtils.getSubject();
        subject.login(new UsernamePasswordToken(username,password));
        return "success";
    }
    @GetMapping("/pay")
    public String pay(){
        return "success";
    }
}

这样前端代码发送请求即可实现验证

小何小何爱打脑壳
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Shiro认证-初学(一)
qq_36472439的博客
12-10 171
Shiro:权限管理,简单灵活,细粒度粗 1:创建SecurityManger---&gt;主体提交认证--&gt;SecurityManger认证---&gt;Authenticator认证--&gt;Realm认证 架构图 Authentication:认证,登录 Authorization:授权 Session Management:回话管理 Cryptography:加密 ...
攻防演练中攻击方是如何打开缺口的方法——总结
HBohan的博客
10-27 634
前言 (可能思路狭隘,有缺有错,师傅们多带带) 【查看资料】 Author: 0ne 本篇文章数据来源于18+省市级别HVV,90+单位失陷报告。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告)思路朴素不包含钓鱼和叼炸天的0day。 突破入口点方法统计图: 攻防演练中得分项只关注两点,权限&数据:权限类型分为系统权限和应用权限,权限高低又分为管理员权限和普通用户权限。数据一般是要四件套,姓名,手机号,身份证,住址。通常敏感数据这样定义,不过看当前的应用可能敏感信息的定义又会不同,比如.
java
fanfan12138的博客
05-21 2466
视频网站 https://edu.51cto.com/lecturer/2086101.html 网址 https://blog.csdn.net/zhangchen124 1 Java 面试宝典 2020 版 前言…13 一. Java 基础部分…14 1、一个".java"源文件中是否可以包括多个类(不是内部类)?有什么限制? …14 2、Java 有没有 goto?..14 3、说说&和&&的区别。 …14 4、switch 语句能否作用在 byte 上,能否作用在 long
记录几个ssm项目遇到的问题。这就是上天对英语贼差还懒的人的报应吗。
SaRAku的博客
03-07 761
1、 Error creating bean with name ‘lifecycleBeanPostProcessor’ defined in class… One or more listeners failed to start. … could not find xxx bean 和这些红字都无关,仔细看灰字,xml等文件配置确认无误,把String写成了Sting。 很多人说这可能和Ma...
最近整理的一些常见的面试题,面试大全,黑马程序员面试宝典题库---框架--篇
高数老师的博客
09-03 2825
框架(评论留言获取原件) 一、 SpringMVC 1. SpringMVC 的工作原理 a. 用户向服务器发送请求,请求被 springMVC 前端控制器 DispatchServlet 捕获; b. DispatcherServle 对请求 URL 进行解析,得到请求资源标识符(URL),然后根据该 URL 调用 HandlerMapping 将请求映射到处理器 HandlerEx...
java面试题(精选版)
LSM1999的博客
12-03 450
目录 一、JavaSE编程基础…6 1.JDK,JRE,JVM三者关系?..6 2.面向过程和面向对象的区别?.. 6 3.Java有哪些基本数据类型?..6 4.什么Java注释?.. 6 5.数组和集合有什么区别?..6 a、数组的长度时固定的,集合的长度时可变的.数组中存储的是一种类型的元素,可以存储任意类型数据…6 b、集合存储的都是引用数据类型,如果想存储基本类型数据需要存储对应的包装类型… 6 6.final 有什么用?..6 7.final fially finalize区别…7 8.面向对象
2020年Java最新面试题整理题库完整版
xia1140418216的博客
07-23 2318
JAVA面试题 一、JavaSE编程基础 JDK,JRE,JVM三者关系 a. 、jdk是JAVA程序开发时用的开发工具包,其内部也有JRE运行环境JRE。 b. 、JRE是JAVA程序运行时需要的运行环境,就是说如果你光是运行JAVA程序而不是去搞开发的话,只安装JRE就 能运行已经存在的JAVA程序了。 c. 、JDk、JRE内部都包含JAVA虚拟机JVM,JAVA虚拟机内部包含许多应用程序的类的解释器和类加载器等等。 面向过程和面向对象的区别 a. 、两者都是软件开发思想,先有面向过程,后
java面试题-最新整理
qq_44303191的博客
07-24 1380
温馨提示: 全选黏贴到word里观看效果更佳! JAVA面试题 Java面试题… 1 一、JavaSE编程基础… 1 二、JDBC技术… 5 三、Mysql数据库技术… 7 四、JavaScript语言和jQuery技术… 9 五、JSP技术… 10 六、Spring框架… 14 七、SpringMVC框架… 15 八、Mybatis框架… 17 九、shiro安全框架… 19 十、maven… 20 十一、Linux系统… 21 十二、Redis存储系统… 22 十三、SpringBoot框架… 23 十
CDQZ多校集训记
weixin_30673715的博客
12-19 180
20171218 DAY0 初相逢   今天的阳光很好,确实好极了。下午开始时,mercer说门外站了一堆人,我看都不用看就知道是衡水的。衡水人,怎么说呢,觉得还是挺不一样的。不知道像凡哥和超哥这种奇异的生物究竟是如何得以存在的……可以想到,他们的生活确实十分的简朴,一个年级可以被硬生生切成3块,A部B部C部鼓励无端竞争,每个部20个班,每个班80个人,一个年级就能有将近5000人之多。这简直是...
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
shiro1.7.1.zip
04-12
在使用Shiro 1.7.1时,开发者可以根据具体需求选择合适的模块进行集成,例如,Web应用可能会主要依赖`shiro-core`、`shiro-web`和`shiro-spring`,而需要进行复杂加密操作的应用可能需要`shiro-crypto-hash`和`shiro...
shiro1.5.3
05-11
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。你提到的 "shiro1.5.3" 是Shiro框架的一个特定版本,包含了该版本的所有核心组件和相关...
shiro1.6版本
09-07
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,简化了企业级应用的安全实现。在本文中,我们将深入探讨Apache Shiro 1.6版本的重要更新,以及它如何修复了一个绕过认证...
shiro_shiro_
10-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。Shiro 不仅可以用于Java Web 应用,也可以用于独立的Java应用,如Android应用或者桌面...
JVC AV-29L31彩电维修手册和图纸.rar
08-19
JVC AV-29L31彩电维修手册和图纸
树状数组:数据结构中的瑞士军刀
最新发布
08-19
数据结构是计算机科学中的一个基本概念,它指的是数据的组织、管理和存储方式,以及对数据的操作。数据结构使得数据的访问和修改更加高效和有序。常见的数据结构包括: 1. **数组**(Array):一种线性数据结构,可以存储相同类型的元素,并通过索引访问。 2. **链表**(Linked List):一种线性数据结构,由一系列节点组成,每个节点包含数据部分和指向下一个节点的指针。 3. **栈**(Stack):一种后进先出(LIFO, Last In First Out)的数据结构,只能在一端进行添加或删除操作。 4. **队列**(Queue):一种先进先出(FIFO, First In First Out)的数据结构,允许在一端添加元素,在另一端删除元素。 5. **哈希表**(Hash Table):通过键值对存储数据的数据结构,可以快速地通过键来访问数据。 6. **树**(Tree):一种层次结构的数据结构,每个节点有零个或多个子节点,通常用于表示具有层次关系的数据。 7. **图**(Graph):由顶点(节点)和边组成,可以表示复杂的关系和网络结构。 每种数据结构都有其
JVC AV-21H1E彩电电路原理图.rar
08-19
JVC AV-21H1E彩电电路原理图
基于uniapp+springboot的校园失物招领系统的设计与实现--pf.zip
08-19
互联网发展至今,无论是其理论还是技术都已经成熟,而且它广泛参与在社会中的方方面面。它让信息都可以通过网络传播,搭配信息管理工具可以很好地为人们提供服务。针对高校教师成果信息管理混乱,出错率高,信息安全性差,劳动强度大,费时费力等问题,采用校园失物招领系统可以有效管理,使信息管理能够更加科学和规范。 校园失物招领系统使用Java语言进行编码,使用Mysql创建数据表保存本系统产生的数据。系统可以提供信息显示和相应服务,其管理校园失物招领系统信息,查看校园失物招领系统信息,管理校园失物招领系统。 总之,校园失物招领系统集中管理信息,有着保密性强,效率高,存储空间大,成本低等诸多优点。它可以降低信息管理成本,实现信息管理计算机化。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值