权限验证框架Shiro使用详解

最新推荐文章于 2024-06-20 16:37:44 发布
最新推荐文章于 2024-06-20 16:37:44 发布
阅读量6k 收藏 14
点赞数 3
分类专栏: java web开发 项目整合 文章标签: shiro spring javaweb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaokang123456kao/article/details/72910806
版权

一、简介

Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。
以下是你可以用 Apache Shiro所做的事情:

  • 验证用户
  • 对用户执行访问控制,如:
    判断用户是否拥有角色admin。
    判断用户是否拥有访问的权限
  • 在任何环境下使用 Session API。例如CS程序。
  • 可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。
  • 单点登录(SSO)功能。
  • “Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。

Shiro的4大部分——身份验证,授权,会话管理和加密

  • Authentication:身份验证,简称“登录”。
  • Authorization:授权,给用户分配角色或者权限资源
  • Session Management:用户session管理器,可以让CS程序也使用session来控制权限
  • Cryptography:把JDK中复杂的密码加密方式进行封装。

Shiro的认证流程如下:
这里写图片描述

  • Subject
    Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。
  • SecurityManager
    SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。然而,一旦 SecurityManager协调完毕,SecurityManager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作。
  • Realms
    Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如LDAP数据源的JndiLdapRealm,JDBC数据源的JdbcRealm,ini文件数据源的IniRealm,properties文件数据源的PropertiesRealm,等等。我们也可以插入自己的 Realm实现来代表自定义的数据源。 像其他组件一样,Realms也是由SecurityManager控制。

二、Spring集成Shiro

1、基本代码

首先在使用Shiro的时候我们要考虑在什么样的环境下使用:

  • 登录的验证
  • 对指定角色的验证
  • 对URL的验证

基本上我们也就这三个需求,所以同时我们也需要三个方法:
- findUserByUserName(String username)根据username查询用户,之后Shiro会根据查询出来的User的密码来和提交上来的密码进行比对。
- findRoles(String username)根据username查询该用户的所有角色,用于角色验证。
- findPermissions(String username)根据username查询他所拥有的权限信息,用于权限判断。
下面是Mybatis的mapper代码。

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.crossoverJie.dao.T_userDao" >
    <resultMap id="BaseResultMap" type="com.crossoverJie.pojo.T_user" >
        <result property="id" column="id"/>
        <result property="userName" column="userName"/>
        <result property="password" column="password"/>
        <result property="roleId" column="roleId"/>
    </resultMap>
    <sql id="Base_Column_List" >
        id, username, password,roleId
    </sql>

    <select id="findUserByUsername" parameterType="String"
最低0.47元/天 解锁文章
想作会飞的鱼
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
授权 - Spring Security简单案例
个人纪录、总结!
10-21 561
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
shiro框架使用流程
weixin_47847063的博客
03-08 1117
如果登录成功,则输出"登录成功!否则根据不同的异常类型输出相应的错误消息。在这里,我们直接将用户名和密码固定为"admin"和"123456",实际应用中需要从数据库或其他数据源中获取。总的来说,Shiro框架使用主要包括引入Shiro依赖、配置Shiro环境、编写Realm对象、实现认证和授权操作、通过SecurityManager对象进行访问控制,以及实现会话管理等步骤。总的来说,Shiro框架的认证流程主要包括提交认证请求、创建Token对象、执行认证操作、认证成功处理和认证失败处理等步骤。
取消shiro验证
最新发布
weixin_45651069
06-20 188
/ 放行所有请求。
Shiro安全框架讲解及应用
weixin_54065960的博客
07-08 296
shiro安全框架进行讲解,以及认证、授权运用
Shiro安全框架详解springboot使用示例
weixin_46822367的博客
12-28 2840
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Shiro 安全框架-简单使用
居無何的博客
06-23 531
常用功能核心组件:Subject (当前操作用户及其操作)、SecurityManager(安全管理器)、Realms(数据源,操作数据源)。 RBAC(Rela Based Access Controller 基于角色访问的),在数据库中就是角色表、行为表、权限表之间的关系绑定,权限绑定角色和行为。...
Shiro框架详解.pptx
01-20
本文将对 Shiro 框架进行详细的介绍,包括 Shiro 框架的基本概念、环境搭建、身份验证功能实现、资源权限认证、业务功能拓展等方面。 Shiro 框架的基本概念: * Subject:主体,用于封装存储用户身份信息。 * ...
学习 权限框架shiro 的ssm
11-22
以上就是关于"学习权限框架Shiro的SSM"的知识点介绍,通过整合Shiro与SSM,我们可以构建出一套完整的权限管理体系,实现对用户访问的精细控制。在实际项目中,Shiro的灵活性和易用性使得它成为许多开发者首选的安全...
shiro认证授权框架详解
11-18
shiro 认证授权框架详解 Shiro 认证授权框架是 Java 中一种流行的认证授权解决方案,提供了完整的认证和授权机制,能够满足大多数应用程序的安全需求。Shiro 框架的核心思想是将认证和授权分离,认证负责验证用户...
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
详解spring整合shiro权限管理与数据库设计
08-30
这篇文章将从数据库设计开始,介绍如何使用Shiro实现细粒度的权限管理,包括从连接菜单到页面功能按钮的权限验证。 数据库设计 在实现权限管理之前,需要先设计好数据库。下面是一个比较粗糙的数据库设计图: * ...
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 4940
Shiro入门概述与基本使用
shiro(一)
遥是此间桃花庵
11-29 168
文章目录1.shiro的简介:2.在应用程序角度来观察如何使用Shiro完成工作3.shiro架构Shiro入门案例 1.shiro的简介: shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于s...
Shiro框架基本使用
weixin_51722520的博客
08-02 381
SpringBoot+mybatis+MySQL+Shiro框架整合
Shiro使用
qq_43460315的博客
08-15 1804
关于shiro使用方法
Shiro之基本使用
每天至少八杯水的博客
03-31 9384
1.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在.
权限验证框架Shiro
小明同学的博客
08-21 723
总结起来,Realm、AuthenticationFilter和AuthorizationFilter需要进行定义或配置,并由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证和授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
shiro入门
trasewell的博客
09-25 849
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro权限管理框架:认证与授权详解
"Shiro权限管理框架详解" Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。本文将深入探讨Shiro框架权限管理中的应用。 1. 权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值