2021-11-22最适合入门的Shiro框架教程(一)(权限管理,核心组件,认证流程,基于JavaSE应用)

最新推荐文章于 2024-04-30 17:28:01 发布
最新推荐文章于 2024-04-30 17:28:01 发布
阅读量617 收藏
点赞数 1
分类专栏: 自娱自乐 文章标签: shiro java intellij idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48400115/article/details/121466641
版权

一、引入案例《汽车销售管理系统》

 

基于主页的权限管理(不同用户)

适用于权限管理比较单一,用户少,每类用户权限固定

基于用户和权限的权限管理

可以实现权限的动态分配,但是不够灵活,不适合多个重复角色,

用户表--》用户权限表--》系统权限表(基础三张表  )

二、RBAC权限设计(五张表

        基于角色的访问控制(Role-Based Access  Control)

角色表

角色ID 角色名称 
r001 销售人员
r002 仓管人员

用户角色表

用户ID 角色ID
1r001 
2r002 

用户权限表,可以通过权限直接授予,不想通过角色授予!!

 三、Shiro安全框架简介

3.1认证授权流程

认证:对用户的身份进行检查

授权:对用户的权限进行检查

3.2安全框架

帮助我们完成用户身份认证及权限检查功能框架

常用框架:

  • Shiro:Apache Shiro  强大的java安全框架,可以完成认证,授权,密码及会话管理,主要针对单体项目的权限管理
  • Spring Security:基于Spring的一个安全框架,依赖Spring
  • OAuth2:第三方授权登录
  • 自定义安全认证中心

 四、Shiro的工作原理

4.1Shiro的核心功能

 

 4.2Shiro的核心组件

Architecture

  •  Subject        当前待认证和授权的用户对象

  • Security Manager 通过Security Manager来进行内部实例的管理,并通过它来提供安全管理的各种服务。

  • Realms  相当于Shiro进行认证和授权的数据源,充当了Shiro与安全数据之间的桥梁或者连接器,也就是说,当对用户进行认证和授权验证时,Shiro会用应用配置的realm中查找用户以及权限信息。

 五、基于JavaSE应用-shiro的基本使用

5.1创建Maven项目

5.2导入Shiro依赖库

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.1</version>
</dependency>

5.3创建Shiro配置文件

        创建shiro.inl文件,完成用户、角色以及权限的配置

[user]
zhangsan=123456,seller
lisi=666666,ckmgr
admin=222222,admin

[roles]
admin=*
seller=order-add,order-del,order-list
ckmgr=ck-add,ck-del,ck-list

 5.4shiro基本使用

package com.qfedu.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

import java.util.Scanner;

public class TestShiro {
    public static void main(String[] args) {
        Scanner scanner=new Scanner(System.in);
        System.out.println("请输入账号");
        String username = scanner.nextLine();
        System.out.println("请输入密码");
        String password= scanner.nextLine();
        //创建安全管理器
        DefaultSecurityManager securityManager=new DefaultSecurityManager();
        //构造realm
        IniRealm iniRealm=new IniRealm("classpath:shiro.ini");
        //将realm设置给安全管理器
        securityManager.setRealm(iniRealm);
        //将安全管理器设置给SecurityUtils工作
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        //认证流程
        //a.将认证账号和密码封装到token对象中
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //b.通过subject对象调用login方法进行认证申请
        boolean b=false;
        try {
            subject.login(token);
            b=true;
        }catch (IncorrectCredentialsException e){
            b=false;
        }
        System.out.println(b?"登录成功":"登录失败");

        //授权流程!!!
        //判断是否有角色
        System.out.println(subject.hasRole("seller"));
        //判断是否有权限
        System.out.println(subject.isPermitted("order-del"));

    }
}

六、shiro认证授权流程

账号和密码封装到Token中。

subject会调用login方法,需要token!!

SecurityManager——Authenticator(认证器)——iniRealm<<===shiro.ini安全信息

  1. 通过subject.login(token)进行登录,就会将token包含的用户信息(账号和密码)传递给安全管理器
  2. 安全管理器调用Authenticator认证器进行身份认证
  3. Authenticator把token传递给对应的Realm
  4. Realm根据得到的token,调用doGetAuthenticationInfo方法进行认证(如果认证失败通过抛出异常提示认证器) 
  5. 第五到第七步将校验结果一层一层返回!

不正确的凭证  IncorrectCredentialsException

小李要努力学习
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
0、重点!重点!配套文档地址https://blog.csdn.net/qq_35867875/article/details/125998233?spm=1001.2014.3001.5502 1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。 2、技术选型(全部目前最新版本) springboot、shiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成spring等优点。可以用来用户验证、用户授权、用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
二、了解shiro架构 (10 Minute Tutorial on Apache Shiro
Mr丶Yang
07-12 462
10 Minute Tutorial on Apache Shiro教程:https://shiro.apache.org/10-minute-tutorial.html#overview文档:https://shiro.apache.org/reference.htmlshiro: https://github.com/apache/shiro/blob/master/samples/quick...
Shiro核心概念和基本认证,以及与SpringBoot动态认证的基本步骤
weixin_50253745的博客
09-16 192
Shiro核心概念 四大基石: ShiroShiro开发团队称为“应用程序的四大基石”——身份验证,授权,会话管理和加密作为其目标。 Authentication:有时也简称为“登录”,这是一个证明用户是他们所说的他们是谁的行为。 Authorization:访问控制的过程,也就是绝对“谁”去访问“什么”。 Session Management:管理用户特定的会话,即使在非 Web 或 EJB 应用程序。 Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储。 也
shiro简介及入门
qq_44847231的博客
10-13 426
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiro与web容器的集成 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 2491
Shiro入门概述与基本使用
30分钟学会如何使用Shiro
weixin_30426879的博客
07-22 1097
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
Shiro最全基础教程
思月行云
10-18 2279
以下引自百度百科shirojava安全框架)_百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(一)主要功能三个核心组件:Subject,SecurityManager 和 Realms。
Shiro 实战教程(全)
swy2560666141的博客
04-25 1445
基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问。身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。
精品专题(2021-2022年收藏)shiro安全框架扩展教程如何动态控制页面节点元素的权限.doc
10-02
精品专题课件(2021-2022年收藏)
基于Extjs4和ShiroJava权限管理框架设计源码
04-04
本设计源码提供了一个基于Extjs4和ShiroJava权限管理框架。项目包含2062个文件,主要使用JavaScript、Java和CSS编程语言。文件类型包括1598个GIF图片文件、281个PNG图片文件、50个JavaScript脚本文件、44个Java源...
基于Java的maven-ssm-shiro权限管理系统设计源码
04-09
本项目是基于Java的maven-ssm-shiro权限管理系统设计源码,包含2118个文件,其中975个JavaScript文件,472个PNG文件,247个CSS文件,83个HTML文件,63个Java文件,54个SVG文件,34个GIF文件,24个JSP文件和23个JPG...
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路.
05-24
提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO 测试地址 admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,新增/删除按钮...
shiro认证,授权,加密(ssm+shiro
qq_58003121的博客
01-26 2323
1、shiro 是什么 shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的解决方案的认证,授权,加密,会话管理。 2、Shiro四大核心功能:Authentication,Authorization,Cryptography,Session Management 3.Shiro三个核心组件:Subject, SecurityManager 和 Realms.   Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是S
Shiro教程八步曲(一)Shiro入门,小白菜鸟,也能看懂学会!
qq_44285562的博客
11-09 646
Shiro入门 Shiro 是当下常见的安全框架,主要用于用户验证和授权操作。 Shiro 有相当的复杂性,为了使得学习更加平滑,本系列教程按照如下节奏系统地,循序渐进地,难度平滑提高地展开 在使用Shiro 之前,大家做登录,权限什么的都是五花八门,各种花里胡哨的代码,不同系统的做法很有可能千差万别。 但是使用 Shiro 这个安全框架之后,大家做权限的方式都一致化了,这样的好处就是你的代码我看...
Shiro笔记 教程
huangyueranbbc的博客
11-23 274
     1.什么是shiro? Apache Shiro 是一个基于JAVA的强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Shiro比较简单,而且比较独立。可以在javese和j2ee中使用,并且可以在分布式集群环境下使用。     a) Shiro结构体系   · Authentication:认证。验证用户是否合法。也就是登录。 · ...
shiro实战教程笔记
LIUZEYU12A
07-03 405
1. 权限管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或安全策略控制用户可以访问并且只能访问被授权的资源。 1.2 什么是身份认证 身份认证 就是判断一个用户是否为合法用户的过程,最简单方式就是根据用户输入的用户名和密码,和系统存储层一致不,来判断用户身份是否正确。 1.3 什么是身份授权 身份授权 即访问控制,控制谁能访问那些资源,不同的用户应该拥有不同的资源访问权限,常见的有学校的教务管理系统:有教.
Shiro 完整教程及样例demo
web15687102624的博客
08-24 649
Apache?Shiro是?Java??的一个安全框架。我们经常看到它被拿来和?Spring??的?Security??来对比。大部分人认为?Shiro??比?Security??要简单。首先?Shiro??确实和?Security??是同类型的框架,主要用来做安全,也就是我们俗称的权限校验(控制)。居多人对?Shiro??的定义为好入门。我选型为?Shiro??,主要的原因扩展太easy了,而且我要的功能它都有。,具体配置在中。定义了5个拦截器,具体功能看代码以及代码注释。util:map在?
Shiro完整教程
m0_67402564的博客
03-28 1650
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架Shiro 要简单的多。 Shiro简介 Shiro身份验证 Shiro授权 Shiro授权方式 Shiro授权的访问控制 Shiro 的Permission字符串通配符权限 Shiro授权流程 Shiro InI配置 Shiro编码加密 Shiro Realm Shiro 的AuthenticationToken和A
链表刷题集
最新发布
yajunjiao的专栏
04-30 813
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
shiro核心组件是什么?认证流程是什么?
07-28
Shiro核心组件包括: 1. Subject:表示当前与系统交互的用户,可以是一个人、设备或者其他系统。 2. SecurityManager:管理所有的Subject,负责进行认证(Authentication)和授权(Authorization)等操作。 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值