Shiro框架学习笔记

最新推荐文章于 2024-05-01 06:09:37 发布
最新推荐文章于 2024-05-01 06:09:37 发布
阅读量153 收藏
点赞数
分类专栏: 后端开发 文章标签: java shiro maven spring 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46577581/article/details/108293739
版权

一、概念

shiro是一个安全框架,主要可以帮助我们解决程序开发中认证和授权的问题。基于拦截器做的权限系统,权限控制的粒度有限,为了方便各种各样的常用的权限管理需求的实现,我们有必要使用比较好的安全框架,于是就出现了shiro安全框架,学习成本降低了很多,而且基本的功能也比较完善。

二、shiro提供的功能

1、Authentication:身份认证/登陆,验证用户是不是拥有相对应的身份;

2、Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者粒度的验证某个用户对某个资源是否具有权限;

3、Session Manager:会话管理,即用户登陆后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是Web环境的;

4、Cryptographt:加密,保护数据,如密码加密存储到数据库,而不是明文存储;

5、Web Support:Web支持,可以非常容易的继承到Web环境的;

6、Caching:缓存,比如用户登陆后,其用户信息、拥有的角色/权限不必每次去查,这样提高效率;

7、Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

8、Testing:提供测试支持;

9、Run As:允许一个用户假装另一个用户(如果我们允许)的身份进行访问;

10、Remember Me:记住我,这个是非常常见的功能,即一次登陆后,下次再来的话不用登陆了。

三、Shiro实现原理理解

也就是说对于我们而言,最简单的一个 Shiro 应用,通过 Subject 来进行认证和授权,而 Subject 又委托给 SecurityManager; 我们需要给 Shiro 的 SecurityManager 注入 Realm,从而SecurityManager 能得到合法的用户及其权限进行判断。

四、shiro的认证示例(Maven工程)

1.在pom.xml引入需要的jar包,可以去maven仓库官网复制

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.hyt</groupId>
<artifactId>blog</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>war</packaging>
<dependencies>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId><version>1.0.4</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.3.0</version>
</dependency>
  <!-- 导入shiro和spring继承的jar包 -->
            <dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-spring</artifactId>
                <version>1.2.3</version>
            </dependency>
            <!-- 导入shiro和web的jar包-->
            <dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-web</artifactId>
                <version>1.2.3</version>
            </dependency>
</dependencies>
</project>

2.在web.xml中声明shiro拦截权限的过滤器

<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<!--保证该过滤器的生命周期和spring 工厂中shiro过滤器对象的生命周期一致-->
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!--声明该过滤器代理工厂类中的id为什么的shiro过滤器对象-->
<init-param>
<param-name>targetBeanName</param-name>
<param-value>shiroFilter</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

3.在spring的主配置文件汇总声明shiro的配置信息

<!--创建自定义域对象-->
<bean id="MyRealm" class="com.hyt.realm.MyRealm"></bean>
<!--创建shiro的安全管理器对象-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!--要声明域,在域中读取认证和授权的数据-->
<property name="realm" ref="MyRealm"></property>
</bean>
<!--创建shiro的过滤器对象-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!--要注入安全管理器对象-->
<property name="securityManager" ref="securityManager"></property>
<!--配置登录请求的路径-->
<property name="loginUrl" value="/user/login.do"></property>
<!--配置shiro认证和授权的过滤器-->
<property name="filterChainDefinitions">
<value>
<!--对静态资源不拦截-->
<!--anon指匿名访问的过滤器,所有匿名用户都可以访问static下面的资源-->
/login.jsp=anon
<!--authc指必须经过认证(登录过之后)才能访问的请求 /*代表所有有一个斜杠的请求都要经过认证 -->
/admin/**=authc
</value>
</property></bean>
</beans>

4.创建自定义域对象MyRealm

package com.hyt.realm;

import javax.annotation.Resource;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.hyt.entity.Blogger;
import com.hyt.service.BloggerService;
import com.hyt.util.Const;

public class MyRealm extends AuthorizingRealm {
	@Resource
	private BloggerService bloggerService;
	
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		// TODO Auto-generated method stub
		return null;
	}
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		
		String userName=(String)token.getPrincipal();
		Blogger blogger=bloggerService.getByUserName(userName);
		if(blogger!=null) {
			SecurityUtils.getSubject().getSession().setAttribute(Const.CURRENT_USER, blogger);
			AuthenticationInfo authenInfo=new SimpleAuthenticationInfo(blogger.getUserName(), blogger.getPassword(),getName());
			return authenInfo;
		}
		return null;
	}

}

5.在控制器(Controller)中使用shiro去做登陆认证

package com.hyt.controller;

import javax.servlet.http.HttpServletRequest;    
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

import com.hyt.entity.Blogger;
import com.hyt.util.CryptographyUtil;
/**
 * 博主登录相关
 *
 */
@Controller
@RequestMapping("/blogger")
public class BloggerController {
	@RequestMapping("/login")
	public String login(Blogger blogger,HttpServletRequest request) {
		String userName=blogger.getUserName();
		String password=blogger.getPassword();
		String pw=CryptographyUtil.md5(password,"amos");
		
		Subject subject=SecurityUtils.getSubject();
		UsernamePasswordToken token=new UsernamePasswordToken(userName,pw);
		
		try {
			//传递token给shiro的realm
			subject.login(token);
			return "redirect:/admin/main.jsp";
		} catch (Exception e) {
			e.printStackTrace();
			request.setAttribute("blogger", blogger);
			request.setAttribute("errorInfo", "用户名或密码错误!");
		}
		//return "redirect:../login.jsp";
		return "login";
	}
	
}

6.采用MD5加密,以下是MD5加密工具类(给md5加点“盐”,加密型更高)

package com.hyt.util;

import org.apache.shiro.crypto.hash.Md5Hash;

public class CryptographyUtil {
	
	public static String md5(String str,String salt) {
		return new Md5Hash(str,salt).toString();
	}

	public static void main(String[] args) {
		System.out.println(md5("991109","amos"));

	}

}

密码加密存储之后,使用shiro做校验时,应该在realm中做如下配置:

<!--创建自定义域对象-->
<bean id="MyRealm" class="com.hyt.realm.MyRealm">
    <property name="credentialsMatcher" ref="credentialsMatcher"></property>
</bean>
<!-- 创建凭证匹配器对象-->
<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    <!--指定要对用户传过来的明文的密码最什么加密-->
    <property name="hashAlgorithmName" value="md5"></property>
    <!--指明hash迭代的次数-->
    <property name="hashIterations" value="10"></property>
</bean>

以上代码内容提取于最近在写的SSM框架下的个人博客项目。

漪浅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro安全框架——【快速入门、登录拦截、用户认证、请求授权】
2401_83329718的博客
04-17 415
由于文案过于长,在此就不一一介绍了,这份Java后端架构进阶笔记内容包括:Java集合,JVM、Java并发、微服务、SpringNetty与 RPC 、网络、日志 、Zookeeper 、Kafka 、RabbitMQ 、Hbase 、MongoDB、Cassandra 、Java基础、负载均衡、数据库、一致性算法、Java算法、数据结构、分布式缓存等等知识详解。本知识体系适合于所有Java程序员学习,关于以上目录中的知识点都有详细的讲解及介绍,掌握该知识点的所有内容对你会有一个质的提升,
shiro学习笔记
12-20
本资源详细的介绍了有关shiro的基础知识,并与spring等相关框架的整合。还有相关的例子供参考。
shiro框架学习
qq_63897791的博客
10-15 1355
Apache·Shiro是一个功能强大且易于使用的Java权限框架shiro可以完成认证、授权、加密、会话管理、与web集成、缓存等。shiro官网地址shiro默认的登录认证不加密,若想实现加密认证需要自定义登录认证,自定义Realm。
Shiro-全面详解(学习总结---从入门到深化)
12-01 1524
身份认证/登录。权限验证,即判断用户是否能在系统中做某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。提供测试支持。
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
05-01 259
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
shiro安全框架学习
souyin的博客
03-08 129
shiro安全框架
自学Shiro框架笔记
偏执即为魔的博客
02-14 2500
Shiro框架笔记 一、Shiro概述 1.1 什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 2.shiro特性: Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限。如:验证某个用户是否拥有某个角色,
shiro权限框架资料.zip
06-21
shiro 权限框架学习资料, 从最基本的maven 工程到springboot 的整合, 再到一个通用的RBAC 权限框架模板的设计与创作, 包括视频, 源码, 资料, 稳定, 笔记, 软件, 依赖等等
java学习笔记
12-27
Java 学习笔记总结 本资源是 Java 开发者的学习笔记,涵盖了项目管理、权限管理、自动编号、Ajax 访问 servlet、数据库查询、字符串处理、数据加密、jQuery 弹框插件、乱码解决方案、版本控制、流程中加载 Java ...
狂神说springboot笔记以及代码
01-29
在自学的过程中,小生不才,整理了一点狂神的笔记同大家分享,这是狂神说SpringBoot的全部笔记及代码,之前已经将SSM框架的都已经整理上传了,需要的伙伴可以自行下载,也有整套笔记在主页!后续还会有mybatis-puls...
maven的ssm整合shiro
12-26
maven的ssm框架整合shiro实现权限验证,压缩文件包含需要jar包
shiro框架教案+笔记+sql脚本+项目案例
08-14
shiro框架教案+笔记+sql脚本+项目案例,一键解压,资源全面
Shiro权限框架完整源码
06-30
这个源码很详细 可以配合之前我上传的shiro框架技术的pdf文档结合起来参考学习
shiro框架学习心得
06-27
shiro框架学习心得,简介!
最全的安全框架shiro学习视频
08-09
最全的安全框架学习视频,很全很完整,有代码,很不错的学习资料
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 3908
Shiro入门概述与基本使用
Shiro安全框架入门学习
辰兮要努力
03-17 6145
Shiro安全框架入门学习
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache ShiroSpring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
Shiro框架学习(*)
weixin_42408447的博客
11-04 171
shirojava安全框架) Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物
shiro框架如何学习
07-15
学习Shiro框架可以按照以下步骤进行: 1. 了解基础概念:首先,你需要了解Shiro的基本概念和术语,例如主体(Subject)、认证(Authentication)、授权(Authorization)、Realm等。可以阅读Shiro的官方文档或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值