shiro安全框架详解

最新推荐文章于 2024-04-14 13:35:31 发布
最新推荐文章于 2024-04-14 13:35:31 发布
阅读量188 收藏
点赞数
分类专栏: shiro 文章标签: shiro
原文链接:https://blog.csdn.net/weixin_56320090/article/details/115480335
版权

shiro详解

shiro:Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证【登陆】、授权【权限】、加密【密码】、会话管理、与Web 集成、缓存等。
shiro执行流程:在这里插入图片描述
subject: 理解为用户;
securityManager: 安全管理 它是核心组件。
Authenticator: 认证器
Authorizer: 授权器。
Realm: 理解为和数据库交互的一个组件。

快速入门

1,引入依赖:shiro-core
2. 创建一个ini文件用来表示数据库

	[users]===表示user表
	zs=123456
	ls=123456

3. 测试

package com.ykq.ini;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

/**
 * @Author 呆鸡
 * @Date 2021/4/1 14:42
 * @Version 1.0
 */
public class Test {
    public static void main(String[] args) {
        //得到SecurityManager对象
        DefaultSecurityManager securityManager=new DefaultSecurityManager();
        //设置securityManager管理的realm对象
        securityManager.setRealm(new IniRealm("classpath:shiro.ini"));
         //3.把securityManager绑定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        //4. 获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        //封装账户和密码
        UsernamePasswordToken token=new UsernamePasswordToken("zs","123456");
       try {
           //5.执行认证功能
           subject.login(token);//token:
           System.out.println("账户和密码正确");
       }catch (Exception e){
           e.printStackTrace();
           System.out.println("账户或密码错误");
       }
        //isAuthenticated()判断当前的用户是否被认证
        System.out.println("是否认证成功:"+subject.isAuthenticated());
       //退出登陆
         subject.logout();
        //isAuthenticated()判断当前的用户是否被认证
        System.out.println("是否认证成功:"+subject.isAuthenticated());

    }
}

认证流程在这里插入图片描述

  1. 首先调用 Subject.login(token) 进行登录,其会自动委托给 Security Manager,调用之前必须通过
  2. SecurityUtils.setSecurityManager() 设置;
  3. SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
  4. Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
  5. Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
  6. Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回 / 抛出异常表示身份验证失败了。
  7. 此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。

正常开发中连接的是数据库,我们需要定义自己的realm类

  1. 创建自己的realm类
  2. 继承AuthorizingRealm
package com.ykq.myrealm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.List;

/**
 * @Author 闫克起
 * @Date 2021/4/1 16:04
 * @Version 1.0
 */
public class MyRealm extends AuthorizingRealm {

    private UserService userService=new UserService();
    //当执行授权时调用该方法。
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        User user = (User) principals.getPrimaryPrincipal();
        System.out.println("授权方法的执行~~~~~~~~~~~~~~~~~~~~~~~"+user);
        //根据用户id查询该用户具有的权限码
        List<String> permissions=userService.findPermissionByUserId(user.getId());

        //绑定权限
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.addStringPermissions(permissions);
        return info;
    }

    //当执行认证功能时调用该方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("认证方法的执行~~~~~~~~~~~~~~~~~~~~~~~");
        String loginname=token.getPrincipal().toString();//得到账户 唯一的标识。
        //调用service中方法  根据用户名查询用户信息。
        User user=userService.findByLoginname(loginname);
        if(user!=null){
            //Object principal, 账号 可以被登陆成功后获取 还可以传给授权的方法
            // Object credentials, 从数据库中查询的密码
            // String realmName:当前realm的名称
            SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
            return info;
        }
        return null;
    }
}

shiro的密码加密

MD5加密:非对称加密

public static void main(String[] args) {
        //Md5Hash md5Hash=new Md5Hash("123456");//把明文123456 转化为密文
        //System.out.println(md5Hash.toString());//e10adc3949ba59abbe56e057f20f883e 网上的把密文和明文记录起来了。

        //把明文+盐 再进行加密---密文
       // Md5Hash md5Hash=new Md5Hash("123456","xjp?");//123456ykq?
       // System.out.println(md5Hash.toString());

        //把明文+盐 再进行加密---密文---->再经过1024次散列【1024加密】
        Md5Hash md5Hash=new Md5Hash("123456","xjp?",1024);
        System.out.println(md5Hash.toString());

    }

改进自己的realm类

//当执行认证功能时调用该方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("认证方法的执行~~~~~~~~~~~~~~~~~~~~~~~");
        String loginname=token.getPrincipal().toString();//得到账户 唯一的标识。
        //调用service中方法  根据用户名查询用户信息。
        User user=userService.findByLoginname(loginname);
        if(user!=null){
            //Object principal, 账号 可以被登陆成功后获取 还可以传给授权的方法
            // Object credentials, 从数据库中查询的密码
            // String realmName:当前realm的名称
            ByteSource salt = ByteSource.Util.bytes("xjp?");//得到盐

            SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(user,user.getPassword(),salt,this.getName());
            return info;
        }
        return null;
    }
呆鸡.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro权限管理框架详解
01-27
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证...
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
shiro 安全(权限)框架
weixin_49107940的博客
11-02 4074
Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。Shiro 默认的登录认证是不带加密的,如果想要实现加密认证需要自定义登录认证,自定义 Realm。自定义登录认证。
Shiro安全框架——【快速入门、登录拦截、用户认证,2024年最新你还看不明白
2401_83973943的博客
04-14 869
/退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
shiro框架
小凯的博客
03-02 1002
Shiro框架的基本介绍与基本使用
Shiro 框架详解
兴趣是最好的老师,勤能补拙
05-11 3686
Shiro 是一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro安全性能比较优越,提供了多种方式来保护应用程序的安全性。
Shiro框架
xixihaha_coder的博客
10-12 2362
Shiro框架
Shiro框架详解.pptx
01-20
Shiro 框架详解 Shiro 框架是一种基于 Java 的开源安全框架,主要用来实现身份验证、授权和会话管理等功能。本文将对 Shiro 框架进行详细的介绍,包括 Shiro 框架的基本概念、环境搭建、身份验证功能实现、资源权限...
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
shiro认证授权框架详解
11-18
shiro 认证授权框架详解 Shiro 认证授权框架是 Java 中一种流行的认证授权解决方案,提供了完整的认证和授权机制,能够满足大多数应用程序的安全需求。Shiro 框架的核心思想是将认证和授权分离,认证负责验证用户...
Shiro安全框架
Ysuhang的博客
08-04 1482
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理==实现对用户访问系统的控制==,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户==身份认证==和==授权==两部分,简称==认证授权==。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问==身份认证==,就是判断一个用户是否为合法用户的处理过程。...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2774
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Shiro安全框架入门使用方法
宋铮的博客
08-15 1万+
框架介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任 何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shrio的主要功能: Authentication:用户认证(登录) Authorization:权限控制 Session Management:会话管理 Cryptogr
shiro-安全框架
weixin_64353239的博客
07-05 263
=身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
shiro权限
天地无名
09-30 660
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
Springboot整合Shiro框架入门
web15285868498的博客
04-08 4873
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
shiro入门
trasewell的博客
09-25 840
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro安全框架-详细介绍
最新发布
04-21
1. **SecurityManager**: 安全管理器是Shiro框架的核心,负责协调所有组件并管理安全相关的操作。它执行认证和授权流程,管理Subject的状态,并可配置不同的 Realm 实现不同的数据源。 2. **Subject**: Subject代表...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值