shiro-大致梳理一下shiro框架

最新推荐文章于 2024-05-01 06:09:37 发布
最新推荐文章于 2024-05-01 06:09:37 发布
阅读量1.8k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wx19950101/article/details/79488530
版权

参考链接:http://jinnianshilongnian.iteye.com/blog/2018936(张开涛老司机的博客)

一 shiro的功能(如下图)



二 shiro认证授权的大致过程


(一) application如何去调用shiro的东西:

1 从下面的代码中可以看出来:

我们在application中只需要两个东西就可以完整一次验证:subject和UsernamePasswordToken

(1)subject从securityUtils中获取,securityUtils中包含了具有配置信息的securityManager

(2)UsernamePasswordToken根据传过来的usename和password初始化

(3)调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录

public void testHelloworld() {  
    //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager  
    Factory<org.apache.shiro.mgt.SecurityManager> factory =  
            new IniSecurityManagerFactory("classpath:shiro.ini");  
    //2、得到SecurityManager实例 并绑定给SecurityUtils  
    org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  
    SecurityUtils.setSecurityManager(securityManager);  
    //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)  
    Subject subject = SecurityUtils.getSubject();  
    UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");  
    try {  
        //4、登录,即身份验证  
        subject.login(token);  
    } catch (AuthenticationException e) {  
        //5、身份验证失败  
    }  
    Assert.assertEquals(true, subject.isAuthenticated()); //断言用户已经登录  
  
    //6、退出  
    subject.logout();  
}

2 具体流程:

(1)首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;
(2)SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
(3)Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
(4)Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
(5)Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问

wangx_code
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
(1.1) shiro 过滤器详解
allensandy的博客
02-21 887
anon:例子/admins/**=anon 没有参数,表示可以匿名使用。 authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数 roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,gues...
shiro的anon失效问题
weixin_43967582的博客
03-13 3466
shiro的anon失效问题 —— 都是HashMap惹的祸
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
05-01 316
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
shiro初步学习
wyy的博客
08-24 688
Shiro简介 Shiro架构原理 INI文件介绍 Shiro环境搭建及认证过程 第一个Shiro演示 授权 加密及凭证匹配器 自定义Realm 凭证匹配器 一、 Shiro 简介 1 概述 权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache Shiro 和 Spring Security。相较于Spring Se.
shiro常用注解和过滤器,编写自定义注解实现 anon 所有人访问功能
weixin_45947759的博客
11-20 606
已登录,未记住我,重开浏览器之后,就成了未登录@RequiresGuest:未登录可以访问;认证过或使用记住我功能拒绝访问@RequiresAuthentication: 认证过可以访问,其他时候拒绝访问@RequiresUser: 认证过或使用记住我功能可以访问同时具备2个权限才能访问拥有其中任意一个权限就可以访问@RequiresRoles 跟 @RequiresPermissions 使用差不多的。
shrio
yanzhijun789的专栏
09-01 300
1.1 简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本的Sh...
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-core-1.4.0-API文档-中文版.zip
07-12
赠送jar包:shiro-core-1.4.0.jar; 赠送原API文档:shiro-core-1.4.0-javadoc.jar; 赠送源代码:shiro-core-1.4.0-sources.jar; 赠送Maven依赖信息文件:shiro-core-1.4.0.pom; 包含翻译后的API文档:shiro-core...
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
shiroshiro-all-1.8.0.jar)
03-21
shiroshiro-all-1.8.0.jar)
shiro鉴权authc、anon冲突问题
fl2502923的博客
11-02 305
把不需要鉴权的写在前面,把需要鉴权的写在后面即可处理问题。1、authc 需要鉴权的页面: /test/**2、anon 不需要鉴权的页面: /test/a。
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3390
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
shiro教程(2)- shiro介绍
好好学java
04-01 458
shiro教程系列 shiro教程(3)-shiro授权 1shiro介绍 1.1什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 1.2为什么要学shiro 既然shiro将安全认证相关的功能抽取出来组成一个框架,使用sh...
shiro框架rule设置为anon和rlue规则说明
zj1561585178的博客
01-17 640
shiro框架源码过滤器合集:org.apache.shiro.web.filter.mgt.DefaultFilter。//配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了,登出后跳转配置的loginUrl。//配置shiro默认登录界面地址,前后端分离中登录界面跳转应由前端路由控制,后台仅返回json数据。//除了匿名访问的资源,其它都要认证("authc")后访问。// 配置不会被拦截的链接 顺序判断。//注意过滤器配置顺序 不能颠倒。// 登录成功后要跳转的链接。
Shiro 框架详解
兴趣是最好的老师,勤能补拙
05-11 3707
Shiro 是一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro 的安全性能比较优越,提供了多种方式来保护应用程序的安全性。
java anon,shiro anon 不生效
weixin_42348021的博客
03-19 1523
在使用springboot整合shiro的过程中,希望静态资源资源不受shiro过滤器‘authc’拦截,于是定义了“anon”,测试发现根本不生效,静态资源路径下的资源(如/js/**)依旧会被拦截并重定向到/login,以下是我的shiro javaconfigShiroConfig.java@Configurationpublic class ShiroConfig {@Value("${s...
shiro-550和shiro-721漏洞的异同点
06-06
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。 Shiro-550漏洞是Apache Shiro框架中的一种远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值