Shiro个人理解

于 2020-11-10 18:48:20 发布
阅读量142 收藏
点赞数 1
分类专栏: shiro个人理解 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiejianweifdd/article/details/109604510
版权

Shiro个人理解

shiro是什么?

Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。
官方架构图如下:
在这里插入图片描述

shiro主要有三大功能模块:

  1. Subject:主体,一般指用户。
  2. SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet)
  3. Realms:用于进行权限信息的验证,一般需要自己实现。

细分功能

  1. Authentication:身份认证/登录(账号密码验证)。
  2. Authorization:授权,即角色或者权限验证。
  3. Session Manager:会话管理,用户登录后的session相关管理。
  4. Cryptography:加密,密码加密等。
  5. Web Support:Web支持,集成Web环境。
  6. Caching:缓存,用户信息、角色、权限等缓存到如redis等缓存中。
  7. Concurrency:多线程并发验证,在一个线程中开启另一个线程,可以把权限自动传播过去。
  8. Testing:测试支持;
  9. Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问。
  10. Remember Me:记住我,登录后,下次再来的话不用登录了。

登陆过程

登陆

 //用户认证信息
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(
                user.getUserName(),
                user.getPassword()
        );
        try {
            //进行验证,这里可以捕获异常,然后返回对应信息
            subject.login(usernamePasswordToken);
//            subject.checkRole("admin");
//            subject.checkPermissions("query", "add");
        } catch (UnknownAccountException e) {
            log.error("用户名不存在!", e);
            return "用户名不存在!";
        } catch (AuthenticationException e) {
            log.error("账号或密码错误!", e);
            return "账号或密码错误!";
        } catch (AuthorizationException e) {
            log.error("没有权限!", e);
            return "没有权限";
        }

认证和授权

public class CustomRealm extends AuthorizingRealm {

    @Autowired
    private LoginService loginService;

    /**
     * @MethodName doGetAuthorizationInfo
     * @Description 权限配置类
     * @Param [principalCollection]
     * @Return AuthorizationInfo
     * @Author WangShiLin
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取登录用户名
        String name = (String) principalCollection.getPrimaryPrincipal();
        //查询用户名称
        User user = loginService.getUserByName(name);
        //添加角色和权限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        for (Role role : user.getRoles()) {
            //添加角色
            simpleAuthorizationInfo.addRole(role.getRoleName());
            //添加权限
            for (Permissions permissions : role.getPermissions()) {
                simpleAuthorizationInfo.addStringPermission(permissions.getPermissionsName());
            }
        }
        return simpleAuthorizationInfo;
    }

    /**
     * @MethodName doGetAuthenticationInfo
     * @Description 认证配置类
     * @Param [authenticationToken]
     * @Return AuthenticationInfo
     * @Author WangShiLin
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        if (StringUtils.isEmpty(authenticationToken.getPrincipal())) {
            return null;
        }
        //获取用户信息
        String name = authenticationToken.getPrincipal().toString();
        User user = loginService.getUserByName(name);
        if (user == null) {
            //这里返回后会报出对应异常
            return null;
        } else {
            //这里验证authenticationToken和simpleAuthenticationInfo的信息
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(name, user.getPassword().toString(), getName());
            return simpleAuthenticationInfo;
        }
    }
}

配置文件

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;
import java.util.Map;

@Configuration
public class shiroConfig {
    
    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
        defaultAAP.setProxyTargetClass(true);
        return defaultAAP;
    }

    //将自己的验证方式加入容器
    @Bean
    public CustomRealm myShiroRealm() {
        CustomRealm customRealm = new CustomRealm();
        return customRealm;
    }

    //权限管理,配置主要是Realm的管理认证
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

    //Filter工厂,设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new HashMap<>();
        //登出
        map.put("/logout", "logout");
        //对所有用户认证
        map.put("/**", "authc");
        //登录
        shiroFilterFactoryBean.setLoginUrl("/login");
        //首页
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //错误页面,认证不通过跳转
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }

  
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}
xiejianweifdd
关注
专栏目录
尚硅谷shiro视频
11-29
- **个人发展**:学习Shiro不仅可以提高个人的技术水平,还可以为将来从事更高级别的职位打下坚实的基础。 #### 学习资源推荐 - **官方文档**:Apache Shiro的官方网站提供了详尽的文档和教程,是学习Shiro的第一...
对于shiro的一些理解
qq_44450023的博客
01-14 610
一、shiro是一个安全(权限)框架 shiro和security都是安全框架 security整合了spring,shiro通用,具体的用看适用环境,一般用shiro 基础核心内容也就是 1.认证:(看用户是否拥有相应的身份,也就是这个用户是否在数据库中, 举个例子:小区中,门禁卡里边有的信息大概有几单元,几号楼,几层,门牌号 就说明你在这个小区) 2.授权:(可以说是查询用户有那种权限,而并不是授予用户哪种权限) 3.加密也可以,不过是通过加盐的操作 (意思就是在注册用户的时候,shiro会自动在密码后
简单理解Shiro
XINGXINGR的博客
03-28 258
什么是shiro? Apache Shiro是一个java的安全(权限)框架。 Shiro可以非常容易的开发出足够好的应用,其不仅可以在JavaSE环境,也可以用在JavaEE环境。 Shrio可以完成,认证授权,加密,会话管理,Web集成,缓存等。 下载地址http://shiro.apache.org/ 有哪些功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份...
shiro框架的基本理解
明天
01-19 1万+
1.简介 shiro是一个安全框架,可以进行认证、授权、密码加密、会话管理 从外部来解析shiro框架: Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManage
shiro理解
qq_45620438的博客
08-01 480
Shiro 权限管理中,使用的最多的,还是 基于角色的控制访问 RBAC 而实现权限管理,我们可以选择自己实现,也可以选择使用一些已经封装好的框架 两种常用的 权限管理框架 : Apache Shiro Spring Security Shiro 概述 Shiro的作用 shiro 可以帮我们做什么 : 过滤器拦截 登录认证 系统注销 权限校验(代码,注解,标签) 密码加密 数据缓存 Shiro的架构 Shiro的三个核心组件 : Subject ; SecurityManager ; Realm
shiro个人理解
qq_44694485的博客
08-25 82
认证流程: 1、建立ini或者验证对象Factroy 2、securitymanager安全管理者 3、设置到运行环境,随时访问 4、创建验证主体 5、收集凭证token 6、主体登录 授权流程:
shiro源码包
01-14
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。Shiro的设计简单直观,使得开发者能够...无论是为了工作需要还是个人兴趣,研究Shiro源码都是一次有价值的学习旅程。
springShiro.rar
08-23
总的来说,"springShiro.rar"是一个关于如何在Spring MVC环境中集成和使用Apache Shiro的示例项目,帮助开发者理解如何构建安全的Web应用,实现用户的登录、权限控制等功能。通过研究这个项目,开发者可以学习到如何...
springboot-shiro.zip
08-31
本篇文章将深入探讨如何将Spring Boot与Shiro进行整合,实现一个安全的个人博客系统。 **一、Spring Boot简介** Spring Boot是基于Spring框架的快速开发工具,它简化了Spring应用的初始搭建以及开发过程。通过自动...
Shiro全Demo
10-10
4. **授权**:理解Shiro的角色和权限模型,以及如何实现基于角色的访问控制(RBAC),包括权限字符串的解析和动态权限分配。 5. **会话管理**:掌握Shiro的会话API,如何监听会话事件,以及实现分布式会话。 6. **...
shiro简单理解
m0_38009064的博客
05-15 410
1.shiro所能做的事情验证用户来核实他们的身份 对用户执行访问控制,如:判断用户是否被分配了一个确定的安全角色判断用户是否被允许做某事 在任何环境下使用 Session API,即使没有 Web 或 EJB 容器。 在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。 聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。 启用单点登录(SSO)功能。 为没有关联到登...
权限管理以及shiro的简述(个人理解
Daydream Mr.的博客
08-23 445
权限管理简要设计(数据库表): 权限表:存贮各种权限(url); 用户表:属于某个组; 组(角色):组中根据需求拥有各种权限(角色表与组表性质类似)。 表关系:组和权限表(多对多),组和用户表(多对多)。(这里的关系要根据实际需求来做决定,不是固定的) 权限表可以通过其他方式进行表示,这里写权限表是为了方便理解 在用户登陆系统时,会进行权限的认证,一般通过过滤器进行处理。 sh...
shiro的原理理解
weixin_34061482的博客
04-07 854
1、shiro原理图如下: 框架解释:  subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。  authorizer:授权器,主...
shiro 权限认证的原理,个人理解
热门推荐
baicp3的专栏
05-22 2万+
1.对有没有访问权限的理解。 我们看shiro的配置文件,所以的请求都是需要用户登录的 因而用户 在登录成功时候,shiro已经把该用户是否有访问某一url的权限已经判断好了。 看下面简单的代码    @Override     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pri
让Apache Shiro保护你的应用[转]
weixin_33895475的博客
05-27 300
为什么80%的码农都做不了架构师?>>> ...
第六章 Realm及相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 1014
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即...
基于H5的宿舍管理系统.zip
11-09
基于SSM的毕业设计源码
CSP-J历年复赛真题资源.txt
最新发布
11-09
CSP-J历年复赛真题资源.txt
【激光雷达】激光雷达数据处理(点云数据滤波、误差分析、模型验证、三维表面拟合)【含Matlab源码 9065期】.mp4
11-09
Matlab领域上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
Shiro权限角色授权实现详解
"基于权限角色授权实现-shiro个人总结ppt" Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实施。本文将深入探讨Shiro的核心组件、权限角色授权实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值