Shiro简介与入门

最新推荐文章于 2023-02-25 16:01:26 发布
最新推荐文章于 2023-02-25 16:01:26 发布
阅读量128 收藏
点赞数
分类专栏: Jpa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjc78242663/article/details/103501590
版权

Shiro简介与入门
Apache Shiro是一个强大且易用的Java安全框架,有身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Spring security 重量级安全框架
Apache Shiro轻量级安全框架
i. 导入jar

org.apache.shiro shiro-core 1.4.0 commons-logging commons-logging 1.2 junit junit 4.12

ii. 准备资源
资源我们可以到shiro的源码文件中拷备:
/shiro-root-1.4.0-RC2/samples/quickstart/src/main/resources
shiro.ini
log4j.properties
注:users下面代表的登录的用户(用户名=密码)
shiro.ini文件(对拷备过来的数据进行了解释):

#-----------------------------------------------------------------------------
 所有的用户与对应的用户密码 ,用户的角色
 -----------------------------------------------------------------------------
[users] root用户有一个密码是secret,他的角色是admin
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
 darkhelmet用户有一个密码是ludicrousspeed,他的角色是darklord, schwartz
darkhelmet = ludicrousspeed, darklord, schwartz
lonestarr = vespa, goodguy, schwartz

-----------------------------------------------------------------------------
#所有的用户的角色
#-----------------------------------------------------------------------------
[roles]
#admin这个角色有所有权限功能
admin = *
#schwartz这个角色可以操作所有的lightsaber权限功能
schwartz = lightsaber:*
#goodguy这个角色可以操作winnebago下面的drive权限的一个eagle5资源
goodguy = winnebago:drive:eagle5
iii.	总结
通过SecurityManger获取Suject :
SecurityUtils.setSecurityManager(securityManager);
Subject currentUser = SecurityUtils.getSubject();
通过Subject来做事情:
获取Session-存值和获取值 Suject.getSession session.setAttribute session.getAttribute
认证(登录):
判断是否登录Suject.isAuthenticated()
如果没有登录,通过用户名和密码创建UsernamePasswordToken
调用subject.login(UsernamePasswordToken)来进行登录判断
登陆成功: 返回principal给当前用户
登陆失败: 抛出异常
授权
判断是否具有某个角色subject .hasRole
判断是否有权限subject .isPrermited(resource:操作)
自定义Realm
i.	准备工作
自定义Realm一般直接继承AuthorizingRealm接口即可(里面包含身份认证与授权两个方法)

```java
/**
 * 自定义一个Realm
 */
public class MyRealm extends AuthorizingRealm {

    //获取到这个Realm的名称(随便取)
    @Override
    public String getName() {
        return "MyRealm";
    }

    //进行授权判断(权限)
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    //进行身份认证(登录)
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
           return null;
    }


}
ii.	身份认证(登录)
身份认证的代码
/**
 * 自定义一个Realm
 */
public class MyRealm extends AuthorizingRealm {

    //获取到这个Realm的名称(随便取)
    @Override
    public String getName() {
        return "MyRealm";
    }

    //进行授权的认证
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    //进行登录的认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //明显的知道:这个authenticationToken就是UsernamePasswordtoken
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
        String username = token.getUsername(); //拿到用户名(注:这个用户名是传过来的)
        //这里根据用户名去获取密码(如果没有获取到,相当于这个用户不存在,就返回null值)
        String password = getByName(username);
        if(password==null){
            return null;
        }
        //创建一个简单的身份信息(把用户名与密码放进去-注:它会自动的比较获取的密码与你传过来的密码)
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username,password,getName());
        return authenticationInfo;
    }

//模拟从数据库中获取信息
    private String getByName(String username) {
        if("admin".equals(username)){
            return "123456";
        }else if("guest".equals(username)){
            return "abcd";
        }
        return null;
    }
}
iii.	授权(权限)认证
授权认证的代码`
public class MyRealm extends AuthorizingRealm {

    //获取到这个Realm的名称(随便取)
    @Override
    public String getName() {
        return "MyRealm";
    }

    //进行授权的认证
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //拿到认证的主要信息(用户名)
        String username = (String) principalCollection.getPrimaryPrincipal();
        //模拟根据用户名拿到角色信息与权限信息
        Set<String> roles = getRolesByUsername(username);
        Set<String> permissions = getPermissionsByUsername(username);
        //拿到验证信息对象
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //设置用户的角色
        authorizationInfo.setRoles(roles);
        //设置用户的权限
        authorizationInfo.setStringPermissions(permissions);
        return authorizationInfo;
    }

    //模拟根据用户名拿到角色的功能
    private Set<String> getRolesByUsername(String username) {
        Set<String> roles = new HashSet<>();
        roles.add("admin");
        roles.add("it");
        return roles;
    }
    //模拟根据用户名拿到权限的功能
    private Set<String> getPermissionsByUsername(String username) {
        Set<String> permissions = new HashSet<>();
        permissions.add("employee.*");
        permissions.add("department.save");
        return permissions;
    }
   
}
密码加密功能
i.	Shiro中密码加密
/**
 * algorithmName:加密算法(md5,sha)
 *  source:原始密码
 *  salt,加盐
 *  hashIterations:遍历次数
 */
SimpleHash simpleHash = new SimpleHash("MD5","admin","itsource",10);
System.out.println(simpleHash);
ii.	测试时让自定义Reaml加上算法
@Test
     public void testMyRealm() throws Exception{
         //创建自己定义的Realm
         MyRealm myRealm = new MyRealm();
        //把Realm放到securityManager中去
         DefaultSecurityManager securityManager = new DefaultSecurityManager();
         securityManager.setRealm(myRealm);
         //把权限管理器放到相应的环境中(我们可以在项目任何位置拿到)
         SecurityUtils.setSecurityManager(securityManager);

         //设置咱们Realm的密码匹配器(我们的密码要怎么处理)
         HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
         matcher.setHashAlgorithmName("md5"); //匹配器使用MD5的算法
         matcher.setHashIterations(10);//加密算法要迭代多少次
         myRealm.setCredentialsMatcher(matcher);

         //拿到当前用户(Subject就是当前用户,游客)
         Subject currentUser = SecurityUtils.getSubject();
         //准备登录的令牌(准备用户名与密码) -> 这里的密码进行了加密
         UsernamePasswordToken token = new UsernamePasswordToken("admin","123456");

         try {
             //根据令牌进行功能登录(当前用户进行登录)
             currentUser.login(token);
             System.out.println("登录成功啦。。。。");
         } catch (UnknownAccountException e) {
             System.out.println("这个账号不存在!" + token.getPrincipal());
             e.printStackTrace();
         } catch (IncorrectCredentialsException ice) {
             System.out.println("这个密码不存在!" + token.getPrincipal());
             ice.printStackTrace();
         }catch (AuthenticationException e){
             System.out.println("i don't k");
         }
     }
iii.	自定义Reaml加上盐值
//进行登录的认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    //明显的知道:这个authenticationToken就是UsernamePasswordtoken
    UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
    String username = token.getUsername(); //拿到用户名(注:这个用户名是传过来的)

    //这里根据用户名去获取密码(如果没有获取到,相当于这个用户不存在,就返回陪我)
    String password = getByName(username);
    if(password==null){
        return null;
    }
    //在这里加盐值需一个ByteSource对象,而Shiro提供了一个ByteSource对象给咱们
    ByteSource salt = ByteSource.Util.bytes("itsource");
    //创建一个简单的身份信息(把用户名与密码放进去-注:它会自动的比较获取的密码与你传过来的密码)
    SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username,password,salt,getName());
    return authenticationInfo;
}

private String getByName(String username) {
    if("admin".equals(username)){
        // 4a95737b032e98a50c056c41f2fa9ec6: 123456 迭代10次不加盐的结果
        // 831d092d59f6e305ebcfa77e05135eac: 123456 迭代10次加盐(itsource)的结果
        return "831d092d59f6e305ebcfa77e05135eac"; //修改为加密加盐后的数据
    }else if("guest".equals(username)){
        return "abcd";
    }
    return null;
}
Shiro集成Spring
i.	准备Spring-web项目
拷备咱们的SSJ集成项目/直接在当前配置中完成

ii.	集成
1)导入shiro-all-1.3.2.ja(现升级到1.4.0)r
参考官方demo做示例:

<!-- shiro的支持包 -->
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-all</artifactId>
  <version>1.4.0</version>
  <type>pom</type>
</dependency>
<!-- shiro与Spring的集成包 -->
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.4.0</version>
</dependency>
2)拷贝shiroFilter配置到web.xml

<!-- Spring与shiro集成:需要定义一个shiro过滤器(这是一个代理过滤器,它会到spring的配置中找一个名称相同的真实过滤器) -->
<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <init-param>
    <param-name>targetFilterLifecycle</param-name>
    <param-value>true</param-value>
  </init-param>
</filter>

<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>
3)拷贝shiro Spring配置文件并集成到Spring
applicationContext.xml 改名为applicationContext-shiro.xml并在applicationContext.xml中导入

4)修改配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd">


    <!-- 1.配置apache的管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- 配置一个realm,到数据库中获取权限数据 -->
        <property name="realm" ref="jpaRealm"/>
    </bean>


    <!-- 2.我们可以自定义一个realm【暂时未实现功能】这个必需实现org.apache.shiro.realm.Realm接口 -->
    <bean id="jpaRealm" class="cn.itsource.yxb.shiro.realm.JpaRealm">
    </bean>

    <!-- 3.lifecycleBeanPostProcessor:可以自动调用在Spring Ioc窗口中 Shiro bean的生成周期方法 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    <!-- 4.启动ioc容器中使用 shiro的注解,但是必需配置在Spring Ioc容器中Shiro bean的生成周期方法 -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!-- 5.shiro的真实过滤器(注:这个名称必需和web.xml的代表过滤器【DelegatingFilterProxy】名称一样) -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!-- 登录的url,如果没有登录,你访问的路径会跳到这个页面 -->
        <property name="loginUrl" value="/s/login.jsp"/>
        <!-- 登录成功的url,如果登录成功,会跳转到这个页面 -->
        <property name="successUrl" value="/s/main.jsp"/>
        <!-- 没有权限时跳转到这个位置 -->
        <property name="unauthorizedUrl" value="/s/unauthorized.jsp"/>
        <!--
            配置哪些资源被保护,哪些资源需要权限
            anon:不需要登录也可以访问相应的权限
            authc:需要权限才能访问
              /** :所有文件及其子文件
        -->
        <property name="filterChainDefinitions">
            <value>
                /s/login.jsp = anon
                /** = authc
            </value>
        </property>
    </bean>

</beans>

```java
SecurityManager:权限的核心管理对象
IniSecurityManagerFactory:读取到shiro.ini文件,并创建SecurityManagerFactory工厂对象
getInstance():工厂对象创建一个核心管理对象的实例
SecurityUtils.setSecurityManager(securityManager);
将securityManager对象放入到shiro环境中
SecurityUtils.getSubject();获取到当前用户
isAuthenticated():判断当前用户是否登录认证
UsernamePasswordToken(final String username, final String password):
创建登录令牌对象 传入账号和密码
login(AuthenticationToken token):登录
logout():登出注销
hasRole(String roleIdentifier);判断当前用户是否有这个角色
isPermitted(String permission);判断当前用户是否有这个权限
AuthorizingRealm是一个抽象类 抽象类里的方法必须被覆写
九处
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro入门.rar
06-12
笔记(pdf + md格式) + 源码
shiro入门demo
04-18
shiro学习入门程序
Spring Shiro基础组件 PrincipalCollection
我家有猫已长成的博客
02-03 1340
Spring Shiro基础组件 PrincipalCollection 简介
第六章 Realm及相关对象(四) PrincipalCollection
yifanSJ的博客
08-24 2万+
之前使用过的(来点印象) login("classpath:shiro-authenticator-all-success.ini"); Subject subject = SecurityUtils.getSubject(); //得到一个身份集合,其包含了Realm验证成功的身份信息 PrincipalCollection principalCollection = subject.getP
吃透Shiro源码2----PrincipalCollection、ThreadState
大宇的博客,欢迎访问
12-07 835
文章目录技术手法(1)工厂返回单例与多例(2)备忘录:如何保住旧对象状态?(3)集合如何懒加载重点研究类 技术手法 (1)工厂返回单例与多例 创建内部实例对象,如果是单例对象,那么就把创建出来的对象塞到singletonInstance中并返回这个单例对象。如果不是,那么就创建一个新对象给调用者 public abstract class AbstractFactory<T> ...
spring cloud + shiro 权限认证
m0_52789121的博客
08-24 2474
shiro是一个功能强大,简单的安全框架。对传统的单机系统支持较好,但与微服务整合后比较麻烦,网上资料比较散乱。本文主要介绍我做这一块儿的方法以及遇到的一些坑。
springboot笔记
qq_31240423的博客
02-25 1182
springboot学习笔记
Shiro入门项目
08-31
Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理,如同 spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和...
Shiro入门实例
03-28
Shiro入门实例
shiro入门学习.ppt
06-15
shiro入门学习.ppt
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 2592
前言 最后调用过程参考了 : https://blog.csdn.net/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了一下避免以后忘记了. 其中代码中我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro的功能 Authentication:身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证某
带你深入使用shiro,自定义token过滤器
UnicornRe_xiabin_无聊的时候,喜欢去超市买一大瓶纯牛奶,喝个精光
05-19 2026
文章目录依赖ShiroAuthFilter 自定义过滤器ShiroAuthRealmShiroAuthToken 自定义tokenShiroBeanConfigUserUtil 用户获取工具方法loginController测试controller 依赖 shiro自定义请求头token,实现权限过滤 废话不多说,直接上代码,如果不了解shiro的基本使用,建议先入门shiro <dependency> <groupId>org.apache.shiro</grou
独立完成系统开发七:安全管理之鉴权
呵呵彡的博客
05-24 4821
独立完成系统开发七:权限之鉴权 shiro鉴权
Shiro-550 漏洞分析
whojoe的博客
06-06 2821
Shiro 550 漏洞学习漏洞原理环境搭建本地环境远程tomcatidea本地tomcat 漏洞原理 在 Shiro <= 1.2.4 中,AES 加密算法的key是硬编码在源码中,当我们勾选remember me 的时候 shiro 会将我们的 cookie 信息序列化并且加密存储在 Cookie 的 rememberMe字段中,这样在下次请求时会读取 Cookie 中的 rememberMe字段并且进行解密然后反序列化 由于 AES 加密是对称式加密(Key 既能加密数据也能解密数据),所以当我
有关Shiro中Principal的使用
依木前行的博客
11-20 2万+
1、定义principal代表什么那?如果阅读官方文档或者源码你会得到如下的定义:解释: 1)可以是uuid 2)数据库中的主键 3)LDAP UUID或静态DN 4)在所有用户帐户中唯一的字符串用户名。也就是说这个值必须是唯一的。也可以是邮箱、身份证等值。1、用法 进入其构造方法public SimpleAuthenticationInfo(Object principal, Objec
Apache Shiro简单介绍
m0_67401134的博客
08-13 1338
Shiroapache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。
shiro 再次通过源码谈谈登录的流程,之前理解的不是很清楚!
汪小哥
12-22 4539
PrincipalCollection这个可以理解为当事人的信息!昨天在授权信息检查的时候,一直在传递这个信息,当时不是很理解,所以今天继续说说这个设计的意思到底是什么回事。以及登录流程之前疏忽的一些重要的信息,都统统的补齐。subject.login(token);这个是今天的主要的角色,刚刚断点跟踪了一会才理解了到时是在做什么。protected void login(String config
Shiro SimpleAuthenticationInfo使用
热门推荐
坤哥的博客
11-25 8万+
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, u
shiro 入门案例
最新发布
09-06
关于 Shiro入门案例,你可以尝试以下步骤来理解 Shiro 的基本用法: 1. 导入 Shiro 依赖:在你的项目中添加 Shiro 的相关依赖,可以使用 Maven、Gradle 或直接下载 jar 包引入。 2. 创建 Shiro 配置文件:在你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值