Apache Shiro

已于 2022-11-23 14:42:16 修改
阅读量648 收藏
点赞数
文章标签: java
于 2022-10-26 18:39:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuhang513/article/details/127535939
版权

学习过程中感觉不如 jwt+aop+自定义注解 灵活

但比springsecurity更加小巧,也可脱离Spring框架独立使用

下面是一张官网首页的架构图片

在这里插入图片描述

三大功能模块

  • Security Manager 安全管理器,管理所有
  • Subject Realms 用于进行权限信息的验证,一般需要自己实现
  • Subject 主体,一般指用户。

细分功能

  • Authentication:身份认证/登录(账号密码验证)。
  • Authorization:授权,即角色或者权限验证。

依赖安装

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.0</version>
</dependency>


先从做个简单的Demo了解一下

public class AuthenticationTest {

    SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();

    @Before
    public void addUser() {
        // 简易版,实际从数据库获取
        simpleAccountRealm.addAccount("orange", "123456");
        simpleAccountRealm.addAccount("admin", "123456", "vip1");
    }

    @Test
    public void testAuthentication() {
        //1,构建SecurityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(simpleAccountRealm);

        //2,主体提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();

        //3,登录
        UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");
        subject.login(token);

        //4,验证
        System.out.println("是否认证登录:"+subject.isAuthenticated());
        subject.checkRole("vip1");
    }
}


实战:自定义Realm

通过上面的一个Demo相信也明白了流程了吧,接下来要自定义一个Realm,连接数据库去读取密码


public class CustomRealm extends AuthorizingRealm {
    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String username = (String) principalCollection.getPrimaryPrincipal();
        // 从数据库或者缓存中获取角色数据
        Set<String> roles = getRolesByUserName(username);
        Set<String> permissions = getPermissionsByUserName(username);
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setStringPermissions(permissions);
        simpleAuthorizationInfo.setRoles(roles);
        return simpleAuthorizationInfo;
    }

    private Set<String> getPermissionsByUserName(String username) {
        Set<String> sets = new HashSet<>();
        sets.add("user:delete");
        sets.add("user:add");
        return sets;
    }

    private Set<String> getRolesByUserName(String username) {
        Set<String> sets = new HashSet<>();
        sets.add("vip1");
        return sets;
    }

    /**
     * 验证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1,通过主体传过来的认证信息中,获取用户名
        String username = (String) authenticationToken.getPrincipal();

        // 2,通过用户名到数据库中获取凭证
        String password = getPasswordByUserName(username);
        if (password == null) {
            return null;
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo
                (username, password, "customRealm");

        return authenticationInfo;
    }


    private String getPasswordByUserName(String username) {
        Map<String, String> userMap = new HashMap<>();
        userMap.put("orange", "123456");
        return userMap.get(username);
    }
}
  • 使用的是模拟数据库环境
  • 需要继承AuthorizingRealm,并且实例化添加到SecurityManager中
public class CustomRealmTest {

    @Test
    public void testAuthentication() {

        CustomRealm customRealm = new CustomRealm();

        //1,构建SecurityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(customRealm);
        // SecurityUtils 给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        
        //2,主体提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();

        //3,登录
        UsernamePasswordToken token = new UsernamePasswordToken("orange", "123456");
        subject.login(token);

        //4,验证
        System.out.println("是否认证登录:"+subject.isAuthenticated());
        subject.checkRole("vip1");
        subject.checkPermission("user:add");
    }
}

完成

xuhang513
关注
Apache Shiro 框架简介
weixin_53105361的博客
12-03 488
一、什么是ShiroApache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。二、Shiro的架构介绍首先,来了解一下Shiro的三个核心组件:Subject, SecurityManager 和 Realms. 如下图:Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Ac
Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
什么是 Apache Shiro
热门推荐
崔二旦
03-30 1万+
Apache Shiro 学习记录
Apache Shiro 漏洞复现
来日可期的博客
10-10 975
Apache Shiro 1.2.4及以前版本中,Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。在代码中全局搜索 “setCipherKey(Base64.decode(” 关键字,或者"setCipherKey"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。利用Shiro工具进行链接。
apache shiro 反序列化漏洞解决方案_apache shiro反序列化解决方法
2401_84159966的博客
04-09 870
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
apache shiro漏洞复现
赵花花08042的博客
12-13 773
Shiro框架下,用户登陆成功后会生成一个经过加密的Cookie。
Apache shiro 漏洞总结
星落的博客
08-01 4646
Apache shiro 漏洞总结 Apache shiro是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、密码和会话管理。
Apache Shiro简单介绍
m0_67401134的博客
08-13 1404
Shiroapache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。
Apache Shiro 简介
web15085599741的博客
04-29 1368
Apache Shiro简介 什么是 Apache Shiro Apache Shiro 是一个强大并且灵活的开源的安全框架,它能很好的处理 authentication(认证), authorization(授权), enterprise session management(企业会话管理)和cryptography(密码加密)。 Apache Shiro最重要的目标就是易于使用和理解。安全有时候会非常的复杂,甚至是痛苦的,但是它并不一定如此的。一个框架屏蔽复杂性, 如有可能暴露一个干净,直观的API,简
Apache Shiro系列漏洞利用以及实战总结
m0_67401228的博客
08-13 1888
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。...
Apache Shiro 配置
allway2的博客
09-25 438
默认值为 Base64,因为 Base64 编码需要较少的实际文本来表示值 - 它具有更大的编码字母表,这意味着您的标记更短(文本配置更好一点)。如果您不希望 [users] 部分密码为纯文本,您可以使用您喜欢的散列算法(MD5、Sha1、Sha256 等)加密它们,但您喜欢并使用生成的字符串作为密码值。如果您的应用程序不在内存受限的环境中运行,您会发现基于文本的配置更易于使用和阅读。令人惊讶的是,仅仅 3 行代码之后,您现在就拥有了一个适用于许多应用程序的功能齐全的 Shiro 环境。
Apache Shiro教程
12-30
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等功能。这个教程将帮助你深入理解和有效地使用Shiro框架。在本文中,我们将详细探讨Shiro的核心概念、主要功能和常见用法...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统
04-28
采用SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统(附带权限管理),是搭建博客、网站的不二之选。 技术栈:Spring Boot、Apache Shiro、MyBatis-Plus、Alibaba Druid、Redis、MySQL、...
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache Shiro是一个全面的Java安全框架,用于处理应用程序的安全需求,包括身份验证、授权、密码管理和会话管理。它的核心功能之一是“RememberMe”服务,该服务允许用户在关闭浏览器后仍然保持登录状态,无需在下次...
JAVA开源】基于Vue和SpringBoot的高校学科竞赛平台
最新发布
杨荧的CSDN博客
10-10 988
教师功能有个人中心,题目类型管理,竞赛题库管理,竞赛类型管理,竞赛信息管理,报名信息管理,竞赛评分管理,参赛名单管理,晋级名单管理,获奖名单管理,竞赛总结管理,报销清单管理,成绩申诉管理,参赛信息管理,参赛信息管理,往年成绩管理,获奖情况管理。
C语言 | 第十章 | 函数 作用域
ZJC744575的博客
10-05 1262
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言中,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程中,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数中的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
JDK1.0主要特性
FoolRabbit的专栏
10-06 373
JDK1.0主要特性。
Netty 相比原生IO模型的优势
lssffy的博客
10-09 598
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
apache shiro
08-02
Apache Shiro是一个强大的开源身份与访问管理(IAM)库,用于简化Web应用的安全性。要开始使用Shiro,首先需要确保你的Java环境支持1.5及以上版本。推荐使用Maven作为构建工具,不过也可以选择其他方式集成Shiro Jars...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值