shiro轻量级安全框架

已于 2022-07-01 19:26:40 修改
阅读量3k 收藏 1
点赞数
文章标签: 安全 后端
于 2022-03-05 19:44:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50616848/article/details/123296666
版权

shiro安全框架主要核心功能为认证授权,认证即验证用户信息,是否能登陆,授权即用户是否有权限取执行该请求,方法等。

1、shiro本质是一条过滤器链:

anno :无需任何认证即可访问;

authc :必须认证后才可以访问;

perms:必须具有指定用户权限才可以访问,如perms[user],说明必须有user权限才能访问

user : 必须有记住我才能访问;

role :必须具有某个角色才能访问。

2、springBoot整合shiro

(1)创建对自定义认证和授权类,继承AuthorizingRealm类

        重写认证方法AuthenticationInfo():        

        ①获取登陆用户信息

        ②通过数据库查找对应用户信息

        ③用户名认证,若认证失败,返回null

        ④由shiro框架提供的SimpleAuthenticationInfo("","","")方法进行密码认证,第一个参数为获取用户对象,调用SecurityUtils.getSubject()方法便可以获取用户信息,第二个参数为用户密码,第三个参数为用户角色

例:

 @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //取到登陆用户信息
        UsernamePasswordToken user=(UsernamePasswordToken) authenticationToken;

        //数据库查取
        User user1 = userService.queryUserByName(user.getUsername());

        //用户名认证
        if (user1==null){
            return null;//登陆失败
        }

        //密码认证
        return new SimpleAuthenticationInfo(user1,user1.getPwd(),"");
    }

        重写授权方法:

         ①创建SimpleAuthorizationInfo对象,用于设置用户权限

         ② 从数据库获取对应用户的权限信息

         ③设置用户权限

例:

//授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        //拿到当前用户登陆对象
        Subject subject = SecurityUtils.getSubject();
        User currentUser = (User) subject.getPrincipal();

        //设置当前用户权限
        info.addStringPermission(currentUser.getPerms());

        return info;
    }

  (2)配置shrio配置类

        ①实例自定义Realm类

例:

    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

        ②创建DefaultWebSecurityManager类,用于配置自定义Realm类,@Qualifier注解根据方法名注入对象

例:

    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //关联
        defaultWebSecurityManager.setRealm(userRealm);
        return defaultWebSecurityManager;
    }

        ③注入ShiroFilterFactoryBean方法

         创建map集合用于存储认证以及授权的过滤器

         设置认证方式以及对应拦截路径

         设置授权权限拦截路径

         调用setLoginUrl()方法设置登陆路径

         调用setUnauthorizedUrl()方法设置授权失败自定义界面路径

例:/add请求需要用户有user:add权限才可以访问

 filterMap.put("/add","perms[user:add]");
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);

     

        //拦截
        Map<String,String> filterMap=new LinkedHashMap<>();

        //需要认证才能访问;
        filterMap.put("/update","authc");
        filterMap.put("/add","authc");

        //授权,只有用户user:add才能访问
        filterMap.put("/add","perms[user:add]");
        filterMap.put("/update","perms[user:update]");


        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

        //设置登陆跳转界面
        shiroFilterFactoryBean.setLoginUrl("/login");

        //设置未授权跳转页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/errors");

        return shiroFilterFactoryBean;
    }

 (3)认证controller类

         ①调用SecurityUtils.getSubject()获取用户数据信息

         ②调用UsernamePasswordToken()封装用户登陆信息,对用户信息实现加密处理

         ③执行登陆方法,UnknownAccountException异常为用户名不存在时抛出,IncorrectCredentialsException异常为密码错误时抛出

例:

 @RequestMapping("/logins")
    public String login(String username,String password,Model model){
        //获取当前用户
        Subject subject = SecurityUtils.getSubject();

        //封装用户登录数据
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);

        //执行登陆方法
        try {
            subject.login(usernamePasswordToken);
            return "index";
        } catch (UnknownAccountException e) {
            model.addAttribute("msg","用户名不存在");
            return "login";
        }catch (IncorrectCredentialsException e){
            model.addAttribute("msg","密码错误");
            return "login";
        }
    }
swttws.
关注
Shiro安全框架
m0_46525448的博客
10-31 361
1 Shiro安全框架简介 1.1 Shiro概述 Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/),它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示: 1.2 Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念,如图-2所
基于springmvc的轻量级安全认证框架
08-08
抛弃Shiro、Spring Security等安全框架繁琐的配置,改为注解实现权限管理,配合Spring MVC的RequestMapping注解,完美实现细粒度的权限控制。
轻量级的权限框架shiro
weixin_45739442的博客
11-28 512
文章目录一.认识shiro1.1 shiro的四大基石1.2 重要的对象二.Hello案例2.1 导包2.2 ini文件2.3 功能测试三.自定义Realm3.1 准备自定义Realm3.2 测试自定义Realm四.集成Spring4.1 导包4.2 `web.xml`中配置代理过滤器4.3 准备自定义Realm4.4 准备工厂返回权限4.5 `applicationContext-shiro.x...
轻量级安全框架-Shiro
Swagger尼克杨的博客
05-03 281
目录shiro1.简介2.整体结构与重要组件从demo开始分析3.认证4.授权spring跟shiro整合配置shiro内置过滤器 shiro 1.简介 Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目
java脑洞 springboot 轻量级JWT安全框架
02-10 399
脑洞的由来 场景一:项目转用JWT做权限认证,刚开始选用shiro+jwt,但是发现对于一个无状态认证来说,shiro太重了,原本便捷的功能反而显得很多余 功能需求 从请求中获得token 校验token合法性和时效性 拦截请求校验权限 Git地址 https://gitee.com/wqrzsy/lp-demo/tree/master/lp-springboot-jwt 更多demo请关注 ...
ShiroSimpleAuthenticationInfo使用(*)
weixin_42408447的博客
12-21 5221
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, user.getPassword(), getName() )
最新apache shiro轻量级安全认证授权框架
04-03
apache shiro轻量级安全认证授权框架让你快速搭建中下型企业安全认证模块
java 工作流 轻量级,java轻量级工作流框架
weixin_31460419的博客
03-14 1189
( 基于 Java 平台的 轻量级 IOC 容器) , Hibernate( 基于 Java 平台的数据 持久化框架)和 JBOSSJBPM(JavaBusinessProcessManagement) 开源的轻量级工作流引擎实现 ......目前,基于Java的工作流软件在迅速发展之中。高端产品WebLogic Intearation功能和性能都不错,但售价很高,开源工作流软件最突出的有jBPM...
kvf-admin是一套基于springboot、mybatis、shiro及layui的轻量级快速开发框架、脚手架.zip
最新发布
02-22
为了提高开发效率,许多开发者和团队选择使用现成的开发框架作为基础,而kvf-admin就是这样一套集成了springboot、mybatis、shiro以及layui的轻量级快速开发框架。本文将详细解析这套框架的核心概念、功能特点以及...
ShiroSimpleAuthorizationInfo如何授权
kevin的博客
05-10 1098
本文基于上一篇文章进行介绍【ShiroSimpleAuthenticationInfo如何验证password。经过上一篇文章的探求,这回直接找准方法;我们回过头看下ShiroRealm,它继承了AuthorizingRealm。
springboot集成shiro安全框架实现用户身份认证和授权
weixin_44341110的博客
09-18 934
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能: 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并...
shiro身份验证授权入门
fwdwqdwq的博客
04-22 555
一、 介绍: shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org/reference.html 与spring security区别,个人觉得二者的主要区别是: 1、shir
2.Apache Shiro核心类、接口基本解析
相互学习 共同进步
06-17 892
Subject(主题) Subject就像呈现的视图。所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者 Subject currentUser = SecurityUtils.getSubject(); //获取当前执行(登录)的用户 Session session = currentUser.getSession(); //获取session会
Shiro学习笔记(3)——授权(Authorization
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro权限安全框架
同一片天空
04-05 2187
shiro权限安全框架什么是shiro 认证和授权为什么要学shiro---安全快速入门shiro授权: 什么是shiro 认证和授权 Apache Shiro 是Java 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证【登陆】、授权【权限】、加密【密码】、会话管理、与Web 集成、缓存等。 为什么要学shiro安全 subject: 理解为用户; securityManager: 安全
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
Shiro基础——快速入门
程序无言
09-26 365
Shiro基础 一. Shiro简介 1. Shiro是什么 Apache Shiro是一个Java的一个安全权限框架Shiro可以轻松的完成:身份认证,授权,加密,会话管理等功能。 2. 功能简介 Authentication: 身份认证/登录,验证用户是不是拥有相应的身份。 Authorization: 授权,即验证权限,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作。如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。 Session M
Shiro
weixin_30487701的博客
09-28 245
Shiro简介 SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个...
Apache Shiro:简化身份验证与访问控制的轻量级框架
Apache Shiro开发文档是一份详细介绍Apache Shiro这一开源安全框架的参考资料。Shiro旨在提供一个简洁、易用的解决方案,帮助开发人员处理身份认证、授权、企业会话管理和加密等复杂的安全性需求。相比于Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

swttws.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值