Shiro的入门以及使用全解

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量191 收藏 1
点赞数
分类专栏: 网络运维 文章标签: 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58473601/article/details/124138198
版权

        Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

使用shiro首先就是导入相关依赖

<!-- springboot中shiro的环境启动包 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.9.0</version>
        </dependency>
        <!--        thymeleaf整合shiro的包-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.1.0</version>
        </dependency>

随后编写配置类

 

其中大部分代码都是固定架构

@Configuration
public class ShiroConfig {
    /**
     *     ShiroFilterFactoryBean
     *     Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL
     */

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("getSecManager") DefaultWebSecurityManager secManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(secManager);
        /*
        添加shiro的内置过滤器
        anon:无需认证可以访问
        authc:必须认证才能访问
        user:必须拥有记住我功能才能用
        perms:拥有某个资源的权限才能访问
        role:拥有某个角色权限才能访问
         */

        //登录拦截
        Map<String, String> filterMap = new LinkedHashMap<>();

        filterMap.put("/toAdd","anon");
        filterMap.put("/toUpdate","perms[Update]");

        //设置登录的请求
        bean.setLoginUrl("/toLogin");

        //设置没有权限的请求的访问地址
        bean.setUnauthorizedUrl("/unAuthorized");

        bean.setFilterChainDefinitionMap(filterMap);

        return bean;
    }
    /**
     *  DefaultWebSecurityManager
     *  DefaultWebSecurityManager类主要定义了设置subjectDao,获取会话模式,设置会话模式,设置会话管理器,是否是http会话模式等操作
     */
    @Bean(name = "getSecManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //关联自定义的UserRealm
        defaultWebSecurityManager.setRealm(userRealm);
        return defaultWebSecurityManager;
    }
    /**
     *  realm对象
     *  Realm是一个接口,在接口中定义了根据token获得认证信息的方法。
     */
    @Bean
    public UserRealm userRealm(){

        return new UserRealm();
    }
    /**
     * 整合shiro和Thymeleaf
     * @return
     */
    @Bean
    public ShiroDialect shiroDialect(){
        return new ShiroDialect();
    }
}

重新自定义UserReaml类,其中重写认证和授权方法

public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserService userService;
    /**
     *
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取token令牌 里面是控制层封装好的前端传过来的数据
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;

        //数据库中拿出用户信息,与输入的用户信息进行比对。
        User user = userService.selectOneByUsername(userToken.getUsername());
        if (user==null){
            return null;
        }
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();
        session.setAttribute("loginUser",user);
        //第一个参数将查出来的user传给授权中,然后第二个参数比对密码。有一定的加密
        return new SimpleAuthenticationInfo(user,user.getPassword(),"");
    }

    /**
     *
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //获取当前用户
        Subject subject = SecurityUtils.getSubject();
        //将认证中传进去的真正的user拿出来
        User principal = (User) subject.getPrincipal();
        //为这个user开启权限。
        simpleAuthorizationInfo.addStringPermission("Update");
        return simpleAuthorizationInfo;
    }
}

控制器层 三个控制器尤其重要

    /**
     * 这个是注销方法
     * @return
     */
    @RequestMapping("logout")
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();//删除session会话
        return "login";
    }

    /**
     * 没有权限的跳转方法
     * @return
     */
    @RequestMapping("unAuthorized")
    public String unAuthorized(){
        return "unAuthorized";
    }

    /**
     * 
     * @param username
     * @param password
     * @param model
     * @return 登录方法
     */
    @RequestMapping("login")
    public String login(String username, String password, Model model){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        try {
            subject.login(token);
            return "index";
        }catch (UnknownAccountException uae){
            model.addAttribute("msg","用户名错误");
            return "login";
        }catch (IncorrectCredentialsException ice){
            model.addAttribute("msg","密码错误");
            return "login";
        }catch (LockedAccountException lae){
            model.addAttribute("msg","用户已经被锁定不能登录,请与管理员联系!");
            return "login";
        }
    }

前端整合

<!--假设session中没有-->
<div th:if="${session.loginUser==null}">
    ssss
</div>
<!--假设没有权限-->
<div shiro:hasPermission="权限名">
    <a th:href="@{toAdd}">add</a>
</div>

<a th:href="@{/logout}">注销</a>

LeeGaKi
关注
专栏目录
shiro入门
trasewell的博客
09-25 905
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro简介及入门
qq_44847231的博客
10-13 574
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiro与web容器的集成 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
Shiro详解
最新发布
weixin_57356976的博客
08-11 502
在web.xml文件里配置shiro的过滤器shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</
Shiro入门使用
yjt520557的博客
02-19 369
1. 什么是shiro  shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。    spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。    shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,    分布式系统权限管...
shiro入门(一)
qq_43059674的博客
10-12 148
Shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shi...
Shiro入门.rar
06-12
在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一、Shiro基本概念** 1. **认证**:也称为身份验证,是确认用户身份的过程,通常通过用户名和密码进行验证。 2. **授权**:也称为...
shiro入门demo
04-18
通过这个入门 demo,你将对 Shiro 的主要功能有一个直观的认识,了解如何配置和使用 Realm,以及如何进行认证和授权操作。继续深入学习 Shiro,你会发现它能有效地帮助你在项目中构建安全机制。
Shiro入门到精通
06-26
本课程“Shiro入门到精通”旨在帮助开发者全面理解和掌握Shiro使用,通过与Spring Security的对比,进一步突出Shiro在实际开发中的优势和适用场景。 首先,我们来探讨Shiro的基础知识。Shiro的核心组件包括...
shiro入门学习.ppt
06-15
它负责获取并验证安全数据,判断Subject是否可以登录,以及其具有的权限。Shiro内置了多种Realm实现,如JndiLdapRealm(用于LDAP)、JdbcRealm(用于JDBC)、IniRealm(用于INI配置文件)和PropertiesRealm(用于...
Shiro入门教程
08-08
Shiro入门实例 Shiro入门教程 Shiro框架学习demo http://www.xttblog.com/?p=669 权限管理教程。Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Shiro可以在任何环境下运行,小到最...
Shiro使用手册
03-29
这个文档是Apache中的开源项目shiro使用手册,仅供参考
shiro介绍和使用
myStyle的博客
03-06 1342
什么是shiroshiro是apache的一个开源框架,是一个权限管理的框架,实现用户认证、用户授权、会话管理等。 shiro的功能: 1、Authentication认证 -- 用户登录 2、Authorization授权-- 用户具有哪些权限 (1) 、编程式:通过写if/else 授权代码块完成 (2)、注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常, 例如:@RequiresPermissi...
Shiro 入门教程
让我们荡起双桨的博客
06-07 2237
一、名词解释 1、Subject:即" 当前操作用户 "。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 2、SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。 3、Realm:Realm充当了Shiro与应用安全
Shiro入门(一)
小狐狸的博客
04-04 811
0. Shiro是什么? 简单的来说 Apache Shiro 是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、加密和会话管理。 shiro的四大基石 Authentication(认证):用户身份识别,通常被称为用户“登录” Authorization(授权): 访问控制。比如某个用户是否具有某个操作的使用权限。 Session Management(会话管理): 特定于用户的会话管理,甚至在非web 或 EJB 应用程序。 Cryptography(加密): 在对数据源使用加密
shiro 入门
客人
02-28 252
一、概述Apache ShiroJava的一个安全框架,旨在简化身份验证和授权。ShiroJavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下:(1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或...
Java私塾:Shiro入门与实战全解
2. **Shiro入门**:首先阐述Shiro的定义、主要功能以及整体架构,接着通过一个简单的HelloWorld例子,让学员对Shiro有个初步认识。 3. **Shiro的配置**:讲解程序和配置文件(ini)的配置方法,涉及权限字符串配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LeeGaKi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值