shiro-安全框架

已于 2023-07-05 19:41:37 修改
阅读量263 收藏
点赞数 1
文章标签: 安全 架构
于 2023-07-05 19:34:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64353239/article/details/131562204
版权

目录

一、权限的管理

1.1 什么是权限管理

1.2 什么是身份认证

1.3 什么是授权

二、什么是shiro

1.2 为什么学shiro--简单--安全

1.3 shiro的核心组件

1.4 使用shiro完成认证-ini

1.5 使用shiro完成授权功能--ini

1.6 使用shiro完成认证--数据源(这里不连接数据库,写死了假数据)

 1.7 使用shiro完成授权---数据源

一、权限的管理

1.1 什么是权限管理

基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理==实现对用户访问系统的控制==,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户==身份认证==和==授权==两部分,简称==认证授权==。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。

1.2 什么是身份认证

==身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。

1.3 什么是授权

==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的

如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。

使用比较多的第三方框架---shiro和springsecurity安全框架。shiro使用比较简单。而且它可以单独使用也可以和spring框架整合。

二、什么是shiro

Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
​
​
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security,Shiro 要简单的多.

Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

1.2 为什么学shiro--简单--安全

Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。

1.3 shiro的核心组件

  • Subject

Subject主体,外部应用与subject进行交互,subject将用户作为当前操作的主体,这个主体:可以是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权

  • SecurityManager

SecurityManager权限管理器,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口

  • Authenticator

Authenticator即认证器,对用户登录时进行身份认证

  • Authorizer

Authorizer授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

  • Realm(数据库读取+认证功能+授权功能实现)

Realm领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据
比如:
    如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
注意:
    不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。 

  • SessionManager

SessionManager会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。

  • SessionDAO

SessionDAO即会话dao,是对session会话操作的一套接口
比如:
    可以通过jdbc将会话存储到数据库
    也可以把session存储到缓存服务器redis

  • CacheManager

CacheManager缓存管理,将用户权限数据存储在缓存,这样可以提高性能

  • Cryptography

Cryptography密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、md5等功能

1.4 使用shiro完成认证-ini

用户的信息存在--ini文件【实际开发存储数据库】。

(1)创建java的maven工程并引入shiro依赖

    <dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.7.0</version>
        </dependency>
    </dependencies>

(2)创建一个ini文件

# [users]定义用户的信息--当对于表名叫users
[users]
# =左边表示用户名  =右边表示密码
zhangsan=123456
lisi=123456

(3)编写代码

package demo01;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

/**
 * @Title: shiro
 * @Package demo01
 * @Author 常小明
 * @Date 2023/7/5 11:27
 * @program
 */
public class login {
    public static void main(String[] args) {
        // DefaultSecurityManager securityManager=new DefaultSecurityManager();
        //获取securityManager对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //w为securityManager合适的realm
        IniRealm realm = new IniRealm("classpath:shiro.ini");
        securityManager.setRealm(realm);
        //将securityManager放到上下文中
        SecurityUtils.setSecurityManager(securityManager);
        //获取subject对象
        Subject subject = SecurityUtils.getSubject();
        //shiro把用户输入的账号和密码封装到UsernamePasswordToken类中
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123456");

        try {
            subject.login(token);
            System.out.println("登录成功");
        }catch (Exception e ){
            e.printStackTrace();
            System.out.println("登录失败");
        }
    }
}

流程图:

1.5 使用shiro完成授权功能--ini

一定是认证后才能对权限判断

(1)修改ini文件

# [users]定义用户的信息--当对于表名叫users
[users]
# =左边表示用户名  =右边表示密码和对应的角色
zhangsan=123456,admin
lisi=123456,role1,role2
#[roles]定义角色信息以及该角色具有的权限信息。
[roles]
#=左边:角色名  =右边: 该角色具有的权限
admin=user:query,user:insert,user:delete,user:update
role1=user:query,user:export
role2=user:delete,user:update

(2)修改代码

package demo01;

import com.sun.corba.se.impl.encoding.CDROutputObject;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

/**
 * @Title: loginAndQuanxian
 * @Package demo01
 * @Author 常小明
 * @Date 2023/7/5 15:05
 * @program
 */
public class loginAndQuanxian {
    public static void main(String[] args) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        IniRealm realm = new IniRealm("classpath:shiro.ini");
        securityManager.setRealm(realm);
        SecurityUtils.setSecurityManager(securityManager);

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123456");
        try {
            subject.login(token);
            System.out.println("登陆成功");
                   }catch (Exception e){
            e.printStackTrace();
            System.out.println("登录失败");
        }

    }

}

流程图:

1.6 使用shiro完成认证--数据源(这里不连接数据库,写死了假数据)

上面我们通过读取ini文件,可以获取数据源。IniRealm完成的读取。而现在如果要读取数据源的数据完成认证,则需要自定义realm类。

(1)引入依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.7.0</version>
</dependency>
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <version>1.18.28</version>
</dependency>

(2)创建一个MyRealm类并继承AuthorizingRealm

package demo02;

import com.sun.scenario.effect.impl.sw.java.JSWBlend_SRC_OUTPeer;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.List;

/**
 * @Title: MyRealm
 * @Package demo02
 * @Author 常小明
 * @Date 2023/7/5 16:53
 * @program
 */
public class MyRealm extends AuthorizingRealm {
    private UserService userService =new UserService();
    @Override
    //权限
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("———————权限分配————————");
    
        return null;
    }
    @Override
    //认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("~~~~~~~登录认证~~~~~~~");
        //获取当前登录的账号
        String username =token.getPrincipal().toString();
        //根据账号查询数据库中是否存在对应的记录。
        User user=userService.findByUsername(username);
        if(user!=null){
            //Object principal  账号
            // Object credentials 数据库中查询到的该用户密码
            // String realmName:realm的名称---随便起---内置一个方法getName
            SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(username,user.getPassword(),this.getName());
            return info;
        }
        return null;
    }
}

(3)UserService类

package demo02;

import java.util.ArrayList;
import java.util.List;

/**
 * @Title: UserService
 * @Package demo02
 * @Author 常小明
 * @Date 2023/7/5 17:00
 * @program
 */
    public class UserService {
    public User findByUsername(String username) {
        if ("admin".equals(username)) {
            return new User(1, "admin", "123456", "管理员");
        } else if ("lisi".equals(username)) {
            return new User(2, "lisi", "123456", "李四");
        } else if ("zhangsan".equals(username)) {
            return new User(3, "zhangsan", "123456", "张三");
        }
        return null;
    }

}

(4)修改测试类

 1.7 使用shiro完成授权---数据源

(1)在myRealm中增加权限方法的编写。

 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("———————权限分配————————");
        String user =principals.getPrimaryPrincipal().toString();
        List<String> permission = userService.findPermissionByUsername(user);
        if(permission.size()!=0){
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            info.addStringPermissions(permission);
            return  info;
        }
        return null;
    }

(2)编辑UserService代码---根据用户名查询对应的权限 

 public List<String> findPermissionByUsername(String username) {
        List<String> list = new ArrayList<String>();
        if ("admin".equals(username)) {
            list.add("user:query");
            list.add("user:delete");
            list.add("user:update");
            list.add("user:insert");
        } else if ("lisi".equals(username)) {
            list.add("user:query");
            list.add("user:export");
        } else if ("zhangsan".equals(username)) {
            list.add("user:query");
            list.add("user:delete");
            list.add("user:update");
        }
        return list;
    }

(3)修改一个测试类

 System.out.println("~~~~~~~~~~~权限校验~~~~~~~~~~~~~~~~");
            boolean permitted = subject.isPermitted("user:query");
            System.out.println(token.getUsername()+"具有的的权限为"+permitted);
            boolean[] permitted1 = subject.isPermitted("user:query", "user:update");
            System.out.println(token.getUsername()+"具有的的权限为"+permitted1);
            boolean permittedAll = subject.isPermittedAll("user:query", "user:update");
            System.out.println(token.getUsername()+"具有的的全部权限为"+permittedAll);

尘乂不落蒂
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Shiro安全框架
Ysuhang的博客
08-04 1490
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理==实现对用户访问系统的控制==,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户==身份认证==和==授权==两部分,简称==认证授权==。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问==身份认证==,就是判断一个用户是否为合法用户的处理过程。...
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
springboot集成shiros自定义md5加密自定义token认证
最新发布
a360284634的博客
06-18 828
spring boot 集成 shiroshiro介绍,shiro与springSecurity区别,shiro优缺点
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2853
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Shiro框架
2301_78021017的博客
05-30 262
求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自。对于细颗粒度的授权不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务。理称为粗颗粒度权限控。,即只控制到菜单、按。、方法,粗粒度的例子。
shiro权限
天地无名
09-30 668
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
shiro-1.7.1.zip
02-07
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)、会话管理(Session Management)和加密(Cryptography)等核心功能。`shiro-1.7.1.zip`是一个包含...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
shiro-1.9.0版本jar包
05-10
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。Shiro 不仅可以用于Java Web 应用,也可以用于独立的Java应用,如Swing或Android等。在...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以简化开发人员处理安全的复杂性。在"shiro-root-1.2.3-source-release zipa包"中,包含了Shiro框架的核心源代码,允许...
shiro-redisson基于Redis的ShiroCache和Session实现
08-06
Apache Shiro 是一款广泛使用的 Java 安全框架,它提供了身份认证、授权、会话管理和密码加密等功能。在分布式环境中,传统的内存缓存和会话管理方式无法满足需求,因此引入了 Redis 这种分布式键值存储系统。`shiro...
shiro入门
trasewell的博客
09-25 854
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro框架总结
cxmengxin的博客
07-08 1088
Shiro框架总结 一、Shrio框架 1、Shiro介绍 (1)RBAC Shiro是一款基于资源的访问控制框架即RBAC(Resource-Based Access Control),其将安全认证等相关功能全部提取出来抽象成了一个框架,使用Shiro能够轻松方便的完成认证、授权、加密等功能的开发。 (2)角色(roles)与权限(Permission) 角色与权限是Shiro认证授权的核心概念。在用户登录时,Shiro对用户进行认证,并授予其相应的角色,而角色也有其对应的权限,根据角色所具有的权限从而可
shiro安全框架初识--shiro简介、认证与授权
qq_44189274的博客
08-03 798
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和session会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security,Shiro 要简单的多.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。...
shiro(一)
遥是此间桃花庵
11-29 169
文章目录1.shiro的简介:2.在应用程序角度来观察如何使用Shiro完成工作3.shiro架构Shiro入门案例 1.shiro的简介: shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于s...
权限管理框架Shiro简介
weixin_38526781的博客
09-01 2205
权限管理框架shiro
shiro 简介
快乐的小三菊的博客
04-29 2492
shiro 简介
【基础框架】Shrio安全框架
博客包含书籍、B站、其他博主博客等内容,只为了记录笔记,作业,问题,软件配置等,为了以后方便查阅,如有侵权,请联系删除
03-16 2546
基于主页的权限管理(不同用户使用不同的主页,权限通过主页功能菜单进行限制)基于用户和权限的权限管理基于角色的访问控制认证:对用户的身份进行检查(登录验证)授权:对用户的权限进行检查(是否有对应的操作权限)流程示意图: 认证,验证用户是否有相应的身份—登录认证; 授权,即权限验证;对已经通过认证的用户检查是否具有某个权限或者角色,从而控制是否能够进行某种操作;会话管理,用户在认证成功之后创建会话,在没有退出之前,当前用户的所有信息都会保存在这个会话中;可以是普通的JavaSE应用,也可以是web应用;加密
Shiro安全框架深度解析
"这篇文档是关于Apache Shiro安全框架的全程讲解,涵盖了从基础到高级的各种功能,包括身份验证、授权、配置、Web集成、拦截器机制、JSP标签、会话管理和缓存机制,以及如何与Spring框架进行集成。" Apache Shiro是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值