Shiro 安全框架-简单使用

最新推荐文章于 2023-08-02 15:25:46 发布
最新推荐文章于 2023-08-02 15:25:46 发布
阅读量504 收藏
点赞数
分类专栏: 博客 文章标签: 安全 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50566466/article/details/125425223
版权

Shiro 简介概述

​Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。

image.png
常用功能

  • Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;
  • Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;
  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

核心组件:Subject (当前操作用户及其操作)、SecurityManager(安全管理器)、Realms(数据源,操作数据源)。
image.png

RBAC权限模型

RBAC(Rela Based Access Controller 基于角色访问的),在数据库中就是角色表、行为表、权限表之间的关系绑定,权限绑定角色和行为。
image.png

Shiro 基本使用

框架搭建

  1. 引入相关依赖
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.7.0</version>
</dependency>
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-web</artifactId>
  <version>1.7.0</version>
</dependency>
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.7.0</version>
</dependency>
  1. 定义数据源
@Component()
public class CustomRealm extends AuthorizingRealm {
    
    //认证信息
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }
    
    //授权信息
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        return null;
    }
}
  1. 创建配置文件

@Configuration
public class ShiroConfig {
    
    
    /**
    * 配置数据源,实则可以在服务层将数据传递进来
    * @return
    */
    @Bean("realm")
    public Realm realm(CustomRealm realm){
        return realm;
    }
    
    /**
    * 创建安全管理器,并配置数据源
    * @param realm 数据源
    * @return
    */
    @Bean("securityManager")
    public DefaultWebSecurityManager securityManager (@Qualifier("realm") Realm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }
    
    /**
    * 创建请求过滤器
    * @param securityManager 安全管理器
    * @return
    */
    @Bean("shiroFilterFactoryBean")
    public ShiroFilterFactoryBean shiroFilterFactoryBean (@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        
        //注册过滤器
        shiroFilterFactoryBean.setFilters();
        
        //用户认证时path
        shiroFilterFactoryBean.setLoginUrl("path");
        //用户认证成功后的path
        shiroFilterFactoryBean.setSuccessUrl("path");
        
        //设置未授权跳转path
        shiroFilterFactoryBean.setUnauthorizedUrl("path");
        
        //注入securityManager
        factoryBean.setSecurityManager(securityManager);
        return factoryBean;
    }
    
}

认证授权

  1. 配置数据源
//从Mysql中读取数据,配置数据源

@Component()
public class CustomRealm extends AuthorizingRealm {
    
    //认证信息
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        
        //创建授权对象
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        
        //获取主体也就是->用户名
        String username = (String) principalCollection.getPrimaryPrincipal();
        
        //根据获取的用户名查询访问权限(访问路径)->从底层数据库中读取
        List<Strinrg> privileges = userService.findPrivilegedByUsername(username); 
        
        //绑定用户和权限
        simpleAuthorizationInfo.addRoles(privileges);
       
        return simpleAuthorizationInfo;
    }
    
    //授权信息
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        
        //获取传递过来的用户名->也就是登录时的用户名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername()
        
        //通过得到的用户名查询数据库存储的密码->在此之前可以确认用户名是否存在
        String password = userServer.findPassword(username);
        
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password, this.getName());
        return info;
    }
}
  1. 身份验证
//获取用户账号和密码
UsernamePasswordToken token = new UsernamePasswordToken(username, password);

//创建委托人
Subject currentUser = SecurityUtils.getSubject();

//查看处理结果
try {
    subject.login(token);
} catch (UnknownAccountException e) {
    error = "用户名/密码错误";
} catch (IncorrectCredentialsException e) {
    error = "用户名/密码错误";
} catch (AuthenticationException e) {
    //其他错误,比如锁定,如果想单独处理请单独catch处理
    error = "其他错误:" + e.getMessage();
}
  1. 授权管理
//使用注解 @RequiresAuthentication 需要完成用户登录 或者 @RequiresPermissions() 需要对应的权限
@RequestMapping("/user")
public class ProjectController {
    
    /**
    * 使用@RequiresAuthentication注解,检验是否完成用户登录
    * 使用@RequiresPermissions() 需要对应的权限
    */
    @RequiresPermissions("/queryAllPrincipal")
    @PostMapping("/queryAllPrincipal")
    public ResponseResult searchAllLikePrincipal(@RequestBody FrontProject frontProject, @RequestParam(required = false,defaultValue = "1") int pageNum, @RequestParam(required = false,defaultValue = "10") int pageSize){
        ResponseResult result = new ResponseResult();
        result.setData(this.projectService.queryAllPrincipal(frontProject,pageNum,pageSize));
        return result;
    }
    
}
居無何
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单Shiro 就足够了。本文使用Shiro整合Mybatis,利用Druid数据库连接池,实现用户认证和授权。 ———————————————— 版权声明:本文为CSDN博主「全村第二帅」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/qq_53860947/article/details/124307116
Shiro详细使用
残影的博客
10-10 960
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
授权 - Spring Security简单案例
个人纪录、总结!
10-21 530
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
shiro框架使用流程
weixin_47847063的博客
03-08 1078
如果登录成功,则输出"登录成功!否则根据不同的异常类型输出相应的错误消息。在这里,我们直接将用户名和密码固定为"admin"和"123456",实际应用中需要从数据库或其他数据源中获取。总的来说,Shiro框架使用主要包括引入Shiro依赖、配置Shiro环境、编写Realm对象、实现认证和授权操作、通过SecurityManager对象进行访问控制,以及实现会话管理等步骤。总的来说,Shiro框架的认证流程主要包括提交认证请求、创建Token对象、执行认证操作、认证成功处理和认证失败处理等步骤。
Shiro权限管理框架详解
WGH100817的博客
01-25 1540
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
Shiro使用
qq_43460315的博客
08-15 1784
关于shiro使用方法
Shiro之基本使用
每天至少八杯水的博客
03-31 9341
1.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在.
权限验证框架Shiro使用详解
想作会飞的鱼的博客
06-08 6047
一、简介Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如CS程序。 可以使
Shiro安全框架讲解及应用
weixin_54065960的博客
07-08 276
shiro安全框架进行讲解,以及认证、授权运用
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 2817
Shiro入门概述与基本使用
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
shiro-all-1.2.6.jar
08-31
Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而...
shiro-all-1.4.0.jar
04-24
ShiroJava 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相 当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以使用...
shiro安全框架
01-29
shiro springMVC 权限框架 安全框架 demo 实现shiro与springMVC配置 和简单的功能权限操作
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2619
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
shiro(一)
遥是此间桃花庵
11-29 161
文章目录1.shiro的简介:2.在应用程序角度来观察如何使用Shiro完成工作3.shiro架构Shiro入门案例 1.shiro的简介: shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单shiro不依赖于s...
Shiro框架基本使用
weixin_51722520的博客
08-02 313
SpringBoot+mybatis+MySQL+Shiro框架整合
shiro入门
trasewell的博客
09-25 792
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro
余笙的博客
05-02 358
一、Shiro概述 1、什么是Shiro Apache ShiroJava 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 2、为什么要学Shiro shiro安全认证相关的功能抽取出来组成一个框架使用shiro就可以非常快...
shiro-spring-boot-starter
最新发布
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-Starter,你可以轻松地配置和使用 Shiro,无需繁琐的手动配置。 该起步依赖提供了一些默认的配置,同时也允许你根据自己的需求进行自定义配置。它还提供了一些自动配置的功能,如自动注入 Shiro 的核心组件和自动注册 Shiro 的过滤器链等。 使用 Shiro-Spring-Boot-Starter,你只需要添加相应的依赖到你的项目中,并进行一些简单的配置,即可快速搭建一个安全可靠的应用程序。你可以在你的代码中使用 Shiro 的注解和 API 来进行身份认证和授权操作。 总之,Shiro-Spring-Boot-Starter 是一个方便的工具,可以简化 Shiro 在 Spring Boot 中的集成和配置过程,帮助你快速构建安全的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值