Shiro初学记录

最新推荐文章于 2022-04-04 14:30:05 发布
最新推荐文章于 2022-04-04 14:30:05 发布
阅读量148 收藏
点赞数
分类专栏: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xzh109/article/details/103990064
版权

Shiro五大功能

  1. 认证:用户身份认证,也就是登陆;
  2. 授权-访问控制:通过一些配置,用户登录后会自动被赋予相应的身份和操作权限,实现访问控制;
  3. 密码加密-保护或隐藏数据防止被偷窥;
  4. 会话管理
  5. 缓存

Shrio与SpringSecurity对比

  • Spring Security:除了不能脱离Spring,shiro具有的功能它都有,权限细粒度高,还提供许多其它的功能(笔者没用过,具体哪些功能不清楚),而shiro则需要手动去实现。但是与shiro相比,操作太复杂,概念多,难理解,学习成本高
  • shiro:使用简单直接,上手快,控制粒度可糙可细,扩展性强,自由度高,学习成本低。但功能比Spring Security要少些
  • 个人观点:我认为在满足基本功能需求的情况下具有下面这两个要素就可以称之为好框架了
  • 一是简单易用,学习成本低。二是扩展性强,自由度高
  • shiro无疑比Spring Security更具有优势,虽然Spring Security功能更强,但shiro具有的功能已经能满足大部分开发需求了

Shiro结构

在这里插入图片描述

  • Authenticator:用于身份认证
  • Authorizer:授权,访问控制。比如某个用户是否具有某个操作的使用权限
  • Session Manager:session管理器
  • Session DAO:提供session的一些操作,主要是增删改查
  • Cache Manager:缓存管理器
  • Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用
  • Realm:可理解为shiro和数据库、数据源的一个桥梁。用于进行权限信息的验证,我们自己实现。Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

我们需要实现Realms的Authentication 和 Authorization。其中 Authentication 是用来验证用户身份,Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

shiro认证过程

  1. 创建securityManager对象,构建securityManager环境
  2. 主体提交认证请求,即图上方的箭头
  3. 主体提交的请求到securityManager认证
  4. securityManager使用authenticator做认证
  5. authenticator做认证时通过realm获取数据,最后调用realm做最后验证

Shiro授权过程

  1. 创建securityManager对象,构建securityManager环境
  2. 主体提交授权请求,即图上方的箭头
  3. 主体提交的请求到securityManager授权
  4. securityManager使用authorizerr做授权
  5. authorizerr做授权时通过realm从缓存或者数据库中获取授权数据,最后调用realm做最后验证授权
_zh@xia
关注
专栏目录
shiro简单登录+logback日志记录
06-06
文章链接:https://blog.csdn.net/sutongxuevip/article/details/80595431,如若没有足够积分可留下邮箱或者私信,有问题可在文章底部一起讨论
Springboot+Shiro记录用户登录信息,并获取当前登录用户信息
热门推荐
qq_43656233的博客
05-06 1万+
由于最近做项目需要,在用户登陆后有一个功能是需要用户的信息,进行写入数据库的操作。但是目前还用不到Shiro的高级权限,只为了简单获取用户信息,自己整合了一个只记录用户,获取用户信息的功能。 导入Shiro依赖 <!-- Shiro --> <dependency> <groupId>org.apache.shiro</groupId&gt...
巧用session机制实现用户不重复登录、记录用户登录日志、统计在线人数
Red's blog
08-13 3235
HttpSessionBindingListener 这个具体的使用文档自查,本篇中是新建了一个类实现本接口 public class UsersOnlineCountListener implements HttpSessionBindingListener { private User user; public User getUser() { ...
shiro登陆成功保存用户信息到session
m0_67400972的博客
03-28 1089
[导读]我们经常会需要把登录成功后的用户信息保存到session中,但是如果我们使用shiro做权限管理,该怎么去实现呢? 我们经常会需要把登录成功后的用户信息保存到session中,但是如果我们使用shiro做权限管理,该怎么去实现呢?其实很简单 第一步:写一个类CustomFormAuthenticationFilter继承FormAuthenticationFilter,并重写onLoginSuccess方法,以下是我的实现@Override protectedbooleanonLoginSucces
Shiro框架学习记录(一)
了不起的自己
02-21 217
Shiro 框架了解并记录 学习于https://www.infoq.cn/article/apache-shiro/
Shiro的学习笔记
爱学习的大雄的博客
04-04 1141
一、权限的管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 什么是身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统
Shiro学习笔记
小咸白鱼的博客
10-10 474
Shiro 1. 什么是权限管理 一般来说,一个系统对于不同的用户,提供的不同的功能,也就是权限不同。所以对于多角色的用户,一般需要进行权限管理,实现对用户访问系统的控制,按照安全规则或者安全策略控制用户只能访问自己被授权的资源。 ​ 权限管理包括对用户身份的 认证 和 授权 两部分。对于需要访问控制的资源,用户首先要经过身份认证,认证通过后,根据授予的权限,访问相应的资源。 认证 ​ 判断一个用户是否为合法用户。(用户登录校验、session验证、token验证都是常见的方式) 授权 ​ 也就是
springboot之shiro
weixin_43973940的博客
05-08 2787
前言:本人是刚学习java后端不久,所以通过记录一下平时所学知识,方便日后的复习,如果有出错的地方,还望包含。 1、shiro是springboot集成的一个安全框架,使用非常简单,相对于ssm来说,对初学者想要尽快入手,提供了可能。 前端的登录界面,可以用自己的,只要做好和后端接口的连接就行。 想要使用shiro,首先要引入shiro的pom坐标 <dependency> <groupId>org.apache.shiro<
初学Shiro框架项目
12-23
初学者在接触Shiro框架时,可能会遇到各种概念和配置,本项目旨在帮助新手理解如何利用Shiro来实现权限管理,特别是针对不同角色显示不同菜单的功能。 首先,Shiro的核心组件包括Subject、Realm、Session管理和...
Apache Shiro教程
12-30
- **身份验证流程**:Shiro通过Subject的`login()`方法发起登录请求,SecurityManager通过Realm验证凭证,成功后创建Session并记录Subject。 - **授权实现**:通过Role和Permission进行权限控制,可以定义角色并...
最全的安全框架shiro学习视频
08-09
这些视频可能覆盖了Shiro的基本概念、安装配置、实战案例等多个方面,非常适合初学者入门和进阶。 总之,Shiro作为一个全面而强大的安全框架,对于想要构建安全可靠的应用程序的开发者来说,是非常值得学习和掌握的...
SSM整合Shiro.zip
09-06
9. **Session管理**:Shiro提供了会话管理功能,能够跟踪用户的在线状态,记录用户在不同页面之间的状态信息。在分布式环境中,Shiro可以通过SessionDAO实现跨服务器的会话共享。 10. **Remember Me**:Remember Me...
shiro权限所需5表
04-08
5. **用户角色关系表(User Role)** - 如 `sys_user_role`,这个表记录了用户和他们所属的角色之间的关联。每个用户可以拥有一个或多个角色,而每个角色也可以被多个用户所拥有。同样,这个表包含用户ID和角色ID,...
shiro知识点整理
互联网叫兽
08-16 595
一、 什么是shiro shiro是一个强大易用的安全框架,提供了认证、授权、加密、会话管理、与web集成、缓存等功能,对于任何一个应用程序,都可以提供全面的安全服务,相比其他安全框架,shiro要简单的多。 三个核心组件:Subject, SecurityManager 和 Realms 1、subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在s
Shiro相关问题学习记录
秋实先生的博客
10-22 198
Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。 三个核心组件:Subject, SecurityManager 和 Realms.
SpringBoot整合Shiro实现RememberMe
xzh109的博客
02-08 1985
接上Springboot Shiro实现用户验 shiro提供了RememberMe功能,用户登录状态不会因为浏览器的关闭而失效,知道cookie过期 更改ShiroConfig 加入cookie管理配置 /** * cookie对象 * @return */ public SimpleCookie rememberMeCookie() { // 设置cookie名称,对应login.htm...
Shiro内置过滤器
xzh109的博客
02-08 745
Filter Name Class Description anon org.apache.shiro.web.filter.authc.AnonymousFilter 匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例/static/**=anon authc org.apache.shiro.web.filter.authc.FormAuthenticationF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值