SpringBoot整合的Shiro安全框架

最新推荐文章于 2024-05-07 03:30:00 发布
最新推荐文章于 2024-05-07 03:30:00 发布
阅读量142 收藏
点赞数
文章标签: shiro 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xzl4457/article/details/110091836
版权

什么是Shiro

· Apache Shiro是一个Java的安全(权限)框架,apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架;
· Shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本
· Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境;
· 下载地址: http://shiro.apache.org/.

Shiro有哪些功能

在这里插入图片描述
· Authentication:身份认证、登录,验证用户是不是拥有相应的身份;
· Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否进行什么操作,如:验证某个用户是否拥有某个角色,或者细粒度的验证某个用户对某个资源是否具有某个权限!
· Session Manager:会话管理,即用户登录后就是第一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通的avaSE环境,也可以是Web环境;
· Cryptography:加密,保护数据的安全性,如密码加密存储到数据库中,而不是明文存储;
· Web Support: Web支持,可以非常容易的集成到Web环境;
· Caching:缓存,比如用户登录后,其用户信息,拥有的角色、权限不必每次去查,这样可以提高效率
· Concurrency: Shiro支持多线程应用的并发验证,即,如在一个线程中开启另一个线程,能把权限自动的传播过去
· Testing:提供测试支持;
· Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
· Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了

Shiro外部架构

如图-所示:
在这里插入图片描述
其中:

· Subject :主体对象,负责提交用户认证和授权信息;
· SecurityManager:安全管理器,负责认证,授权等业务实现;
· Realm:领域对象,负责从数据层获取业务数据;

Shiro内部结构

如图-所示:
在这里插入图片描述
· Subject:任何可以与应用交互的‘用户";
· Security Manager:相当于SpringMVC中的DispatcherServlet;是Shiro的心脏,所有具体的交互都通过Security Manager进行控制,它管理者所有的Subject,且负责进行认证,授权,会话,及缓存的管理。· Authenticator:负责Subject认证,是一个扩展点,可以自定义实现;可以使用认证策略((AuthenticationStrategy),即什么情况下算用户认证通过了;
· Authorizer:授权器,即访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的那些功能;
· Realm:可以有一个或者多个的realm,可以认为是安全实体数据源,即用于获取安全实体的,可以用DBC实现,也可以是内存实现等等,由用户提供;所以一般在应用中都需要实现自己的realm
· SessionManager:管理Session生命周期的组件,而Shiro并木仅仅可以用在Web环境,也可以用在普通的JavaSE环境中
· CacheManager:缓存控制器,来管理如用户,角色,权限等缓存的;因为这些数据基本上很少改变,放到缓存中后可以提高访问的性能;
· Cryptography:密码模块,Shiro提高了一些常见的加密组件用于密码加密,解密等;

Shiro基本环境配置

导入Shiro的依赖

查看官方文档http://shiro.apache.org/tutorial.html.

<dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-spring</artifactId>
   <version>1.5.3</version>
</dependency>

Shiro核心对象配置

基于SpringBoot 实现的项目中,没有提供shiro的自动化配置,需要我们自己配置。

第一步:创建SpringShiroConfig类。关键代码如下:

package com.cy.pj.common.config;


@Configuration

public class SpringShiroConfig {

}

SecurityManager配置

第二步:在Shiro配置类中添加SecurityManager配置(这里一定要使用org.apache.shiro.mgt.SecurityManager这个接口对象),关键代码如下:

@Bean

public SecurityManager securityManager() {

      DefaultWebSecurityManager sManager= new DefaultWebSecurityManager();

           return sManager;

}
xzl4457
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
shiro 删除用户session_Shiro(二)
weixin_35851240的博客
01-08 708
安全管理器通常使用DefaultSecurityManager,在web应用中使用其子类DefaultWebSecurityManager。 DefaultWebSecurityManager实现了WebSecurityManager接口,该类添加了关于session的使用。 DefaultSecurityManager主要实现了SecurityManager的行为login()、logout()...
shiro 删除用户session_Shiro学习笔记
weixin_42373997的博客
12-31 564
文章目的纯新手,记录一下从0开始学习使用shiro,并且结合手上的demo进行整个完整流程的知识点归纳总结。目前已经实现的功能:整合shiro,完成基本配置,login有什么不对希望多指教。这是一个springboot 2.0 前后端分离项目shiro 是干啥的?Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以...
Apache Shiro
ZWL2333的博客
09-27 158
## 标题 它可以干净利落地处理身份验证、授权、企业会话管理和加密。 验证用户身份 用户访问权限控制,比如:1、判断用户是否分配了一定的安全角色。2、判断用户是否被授予完成某个操作的权限 在非 web 或 EJB 容器的环境下可以任意使用Session API 可以响应认证、访问控制,或者 Session 生命周期中发生的事件 可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图) 支持单点登录(SSO)功能 支持提供“Remember Me”服务,获取用户关联信息而无需登录 Shiro
ShiroSpringboot整合详细步骤
最新发布
程序员阿皓的博客
05-07 613
创建一个自定义的Realm,继承 AuthorizingRealm 类并实现相应的认证和授权逻辑。
apache http可以访问https没权限_Shiro 权限校验分析
weixin_39996141的博客
11-26 173
Shiro 概述Shiro 是一款 Apache 提供的权限校验框架Shiro 同时也是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码学和会话管理。使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,特别是今天对权限校验和管理特别严格,大家有必要对shiro 有一个基本的认识和学习。Shiro 的三大核心组...
快速解决oracle数据库死锁问题
Lin_Miao_09的博客
06-18 558
查看锁表进程 select * from v$session t1, v$locked_object t2 where t1.sid = t2.SESSION_ID 结束对应的进程 alter system kill session 'sid, serial#' SID:会话标识符 SERIAL#:会话序列号。 用于唯一标识会话的对象。 如果会话结束且另一个会话以相同的会话ID开始,则保证...
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
在本教程中,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证与授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
springbootshiro安全框架整合
08-05
3. **SpringBoot整合Shiro** 整合SpringBootShiro主要涉及以下步骤: - 添加依赖:在SpringBoot的`pom.xml`或`build.gradle`文件中引入Shiro的依赖。 - 配置Shiro:创建一个自定义的Shiro配置类,配置Realm以...
SpringBoot整合Shiro权限框架
06-03
SpringBoot整合Shiro权限框架是将SpringBoot与Apache Shiro这两个流行的技术栈结合,用于实现Web应用的安全控制和用户权限管理。SpringBoot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则是一个轻量级的...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者快速实现身份验证和授权管理。 一、...
shiro清空session
weixin_43075704的博客
08-02 2808
用户登出的时候清除整个session,一开始调用session.invalidate()飘红 看了下上面代码是Session session = SecurityUtils.getSubject().getSession(); 就把Session类型直接转成了HttpSession类型:((HttpSession)session).invalidate(); 不飘红了,跑一下,后台报错: ...
Shiro 登录小案例 + 注销登录清掉session
可控的事情要谨慎,不可控的事情要乐观。
08-19 1385
输入用户名 密码登录 2.controller接收 3. 执行到subject.login(token) 然后跳到自定义realm里面,如下图: 上图中如果获取首体(当事人)user为空,那么用户不存在,直接return null 如果不为空,说明输入的用户名有对应的用户存在,但该用户密码不一定正确,有待进一步确认 如果密码确实不正确,return  authcInfo 以后...
redis shiro 手动剔除某个用户
qq_43077857的博客
11-18 1141
这里简单做了点尝试估计还是有漏洞,而且逻辑有些复杂 以后再做个思路简单的 这里的设计思路:每个用户在数据库里面都有一个UserId 我们就在这个UserId上面做文章 每个用户登录成功后就会用自己的UserId做为key,这次登录的SessionId作为value存储一对键值对到redis中这个我们可以靠securitymanage管理的SessionDao来管理 下面我把我的shiroConfi...
Shiro单用户登录,清理之前登录的用户
dwdy88的博客
11-08 383
在自定义的realm中的doGetAuthenticationInfo方法中定义,根据传入参数类型的不同选择对应的处理方法 /** * new SimpleAuthenticationInfo(user, pwd, this.getName())中的第一个参数是SysUser对象, * 在其他接收的地方也要转成SysUser对象,使用对象这里对应的处理方式是采用方法一, * 如果是传递的userName字符串,则采用方法二进行处理 */ SimpleAuthenticationInfo auth...
shiro是如何清除过期session的(源码版本shiro1.6)
临窗旋墨的博客
12-11 1350
文章目录shiro是如何清除过期session的(源码版本shiro1.6)一、SecurityManager一、session的创建session的创建的入口是SessionsSecurityManager#start,它进而调用SessionManager的start方法AbstractNativeSessionManager#start创建session方法如下AbstractValidatingSessionManager#createSessiondoCreateSession方法简要说明二 se
shiro 删除用户session_shiro源码shiro的session的查询、刷新、过期与删除,你值得拥有...
weixin_42668301的博客
12-24 179
SecurityManager是shiro的核心,负责与shiro的其他组件进行交互;SessionManager是session的真正管理者,负责shiro的session管理;SessionsSecurityManager的start方法中将session的创建委托给了具体的sessionManager,是创建session的关键入口。SimpleSession是shiro完完全全的自己实现,...
shiro 删除用户session_安全检查中...
weixin_34966346的博客
12-24 74
+((!+[]+(!![])+!![]+!![]+!![]+!![]+!![]+!![]+!![]+[])+(!+[]+(!![])-[])+(!+[]-(!![]))+(!+[]+(!![])+!![]+!![])+(+!![])+(!+[]+(!![])+!![]+!![]+!![]+!![]+!![]+!![]+!![])+(!+[]+(!![])+!![]+!![]+!![]+!![]+!...
shiro 删除用户session_Shiro Session管理——操作session
weixin_28687251的博客
01-14 1125
整体框架介绍image.png我们可以看到这个框架图,我们的整个交互都是与security Manager做交互,而这里面就有一个Session Manager的管理器,Shiro当然内置了实现,我们也可以根据接口拓展其功能,那么下面,我们就来了解一下shiro中关于Session管理的部分内容DefaultWebSessionManager这是一个管理器实现类,是shiro提供的可用的结构。im...
springboot整合shiro框架
03-16
Spring Boot 整合 Shiro 框架是指在 Spring Boot 应用中使用 Apache Shiro 来管理身份验证和授权。主要步骤如下: 1. 引入 Shiro 依赖; 2. 配置 Shiro; 3. 编写自定义 Realm; 4. 安全配置过滤器; 5. 使用 Shiro ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值