shiro

最新推荐文章于 2023-03-19 21:09:27 发布
最新推荐文章于 2023-03-19 21:09:27 发布
阅读量179 收藏
点赞数
文章标签: 面试相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z1994513/article/details/102514477
版权
基本概念
认证

登陆,身份认证,系统校验一个用户是不是合法用户的过程
最常用的简单身份认证是系统通过核对用户输入的用户名和密码,看其是否与系统中存储的该用户的用户名和密码是否一致,来反4判断用户身份是否正确

相关的概念
subject主体

shiro中最重要的概念就是subject(主体)。subject是一个虚拟的用户对象(封装了用户和登陆相关的属性和方法) login(),loginOut(),getSession()等

认证的流程

controller接收到用户输入的账号密码,封装到subject中,调用subject自己的登陆方法,完成登陆校验(自动查询数据库)

  1. 导入相关的依赖
  2. 自定义realm
  3. 自动装配一个安全管理器
    1. DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    2. // 设置realm
    3. defaultSecurityManager.setRealm(authenRealm);
    4. return defaultSecurityManager;
  4. 通过@Configuration注解来配置过滤器工厂
    1. 设置过滤器规则放入map中
    2. 调用shiroFilterFactoryBean的setFilterChainDefinitionMap(map)把拦截的规则放入
    3. 设置一个安全管理器

案例:
package com.baizhi.config;

import com.baizhi.realm.AuthenRealm;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

/**
 * 配置过滤器工厂
 */
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager){
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

// 设置过滤器的规则
// 配置拦截规则 哪些页面拦截 哪些不拦截 过滤器链
Map map = new HashMap();
/**
* anon 代表匿名可访问 就是不用登录就可以访问
*
* authc 代表登录后才能访问
*
* 支持通配符*
*
* 注意拦截规则 一个一个配置
/
map.put("/login.jsp",“anon”);
map.put("/login/",“anon”);

    map.put("/main.jsp", "authc");
    map.put("/guru/*", "authc");
    map.put("/menu/*", "authc");
    map.put("/jsp/*", "authc");

    shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

// 设置一个安全管理器
shiroFilterFactoryBean.setSecurityManager(securityManager);
return shiroFilterFactoryBean;
}

/**
 * 创建安全管理器
 *
 * @Bean 方法的形参  如果对应的类型的对象在工厂中有  会自动装配上
 * @return
 */
@Bean
public SecurityManager getSecurityManager(AuthenRealm authenRealm){
    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

// 设置realm
defaultSecurityManager.setRealm(authenRealm);
return defaultSecurityManager;
}

/**
 * 创建Realm
 * @return
 */
@Bean
public AuthenRealm getRealm(){
    return new AuthenRealm();
}

}

认证方法:
1. 把凭证信息,和身份信息封装到token中
2. 获取到subject主体
3. 调用该login()方法,把token放进去进行认证

案例:
@RequestMapping(“loginAdmin”)
public String loginAdmin(String username,String password){
// 1.数据封装token
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
// 2.获取Subject
Subject subject = SecurityUtils.getSubject();
// 3.调用登录方法
try {
subject.login(token);
return “redirect:/main.jsp”;
}catch (Exception e){
return “redirect:/login.jsp”;
}
}

授权的多种方式

标签式授权
引入标签库<%@taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %>
通过标签做标签式授权
在这里插入图片描述
注解式授权
在这里插入图片描述
在这里插入图片描述

起名字真难!
关注
Shiro源码剖析——Subject的创建与获取(一次完整的请求执行流程)
qq_25046827的博客
05-02 3302
文章目录一、AbstractShiroFilter二、createSubject(request, response)1、new Builder(this.getSecurityManager(), request, response)2、buildWebSubject()1)this.copy(SubjectContext subjectContext)2)this.ensureSecurityManager(context)3)this.resolveSession(context)4)this.res
ShiroSubject的常用方法
weixin_66107760的博客
04-12 251
subject.getPrincipal():获取登录Subject的用户名。subject.checkRole():检查相应的角色(无返回值)subject.hasRole():是否有对应的角色(有返回值)subject.isAuthenticated():认证结果。subject.logout():退出登录subject.login():登录
shiro获取登陆用户和修改用户信息的方法
u012954380的博客
07-04 2万+
系统中使用shrio登录后获取当前登陆的用户很简单 只需要一句代码 这是在session中获取当前登陆的用户信息。 Parent parent = (Parent) SecurityUtils.getSubject().getPrincipal(); 这段代码在系统中任何地方都可以使用,但是由于是在session中获取的,如果说用户修改了用户的个人信息,会发现明明数据库已经修改成功了,但是...
shiro深入了解subject,认证登录后执行的授权,然后进行权限认证Vs自己定义拦截器实现权限,还有shiro自身的session管理
weixin_42765975的博客
10-27 1932
/*一定要了解这两个方法的执行顺序,这个对shiro框架的思路很重要, 思路:执行currUser.login(token)就会执行doGetAuthenticationInfo()方法,进行密码登录登录成功后就会通过SimpleAuthenticationInfo来存取用户的信息,通过subject.getPrincipal()方法来获取信息 登录后再进行授权执行doGetAuthoriza...
Shiro系列-Shiro的怎么进行授权操作
初学者
10-31 2756
导语   之前的分享中,提到了Shiro的简单介绍,知道了Shiro是什么,作用是什么,以及用户身份认证。那么完成用户身份认证之后又需要干点啥呢?在用户身份认证之后接下来就要要根据用户身份角色信息进行授权操作,也就是说那些资源或者那些操作是用户可以访问的,那些资源是不可以使用的。那么接下来就来看看Shiro授权怎么实现 文章目录Shiro授权概念主体(Subject)资源(Resource)权...
shiro(shiro1.3.2)
03-21
Apache Shiro是一个强大且易用的Java安全框架,主要用于处理认证、授权、加密以及会话管理等核心安全性问题。在给定的压缩包"shiro1.3.2"中,包含了Shiro的一个核心组件库"shiro-all-1.3.2.jar"以及两个日志管理库...
Apache shiro 1.13.0源码
最新发布
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
shirosubject创建,以及shiro如何保证用户登录状态
qq_45507768的博客
03-19 1661
在该仓库下的adminsys项目)。重要概念什么是subjectsubject是一个主体,用于保存一个用户或者是一个对象,指代和当前应用交互的任何对象。它更像是一个门面,只要是关于认证和授权的操作都需要委托它去完成。提出问题问题背景:在一个springboot项目中整合了shiro做认证授权,由于srpingboot的web-starter中内嵌了tomcat,而tomcat是使用线程池去处理浏览器发来的每一个请求。已知条件:假如这是用户第一次登陆,访问对应login接口。
Shiro Subject详解
qq_25073223的博客
07-27 1347
Shiro Subject简介说明
Shiro更改用户信息同时更改subject中的信息
锦瑟年华,逐梦之人
06-19 1506
阅读目录问题描述解决 问题描述 当更改用户信息的时候,发现subject却还是原来的信息, 解决 没有直接的办法更改,只能给当前用户切换身份,切换一个认证信息给安全管理器。 当更改用户信息后,调用setUser方法,UserInfo是原来放在SimpleAuthenticationInfo中的对象,realName是原来realm的名字。 public class ShiroUtils { public static Subject getSubjct(){ return Sec
shiro进行登录认证和授权
shenhy95的博客
04-15 6534
1.Shiro核心架构 三个常用过滤器 anno:不需要任何权限即可访问资源 authc:需要登录的权限才可以访问资源 perms:需要指定的权限才能访问目标资源
简单实现Shiro单点登录(自定义Token令牌)
menghuannvxia的专栏
05-28 8407
1. MVC Controller 映射 sso 方法。 Java代码   /**   * 单点登录(如已经登录,则直接跳转)   * @param userCode 登录用户编码   * @param token 登录令牌,令牌组成:sso密钥+用户名+日期,进行md5加密,举例:    *      String secretKey = Global.getCo
Shiro源码研究之构建Subject实例
夫礼者的专栏
12-16 4489
接上一篇博客Shiro源码研究之处理一次完整的请求,其中的第二小节中的这样一行代码final Subject subject = createSubject(request, response);直接略过了。这篇文章就专门来对这段代码后面所发生的事情进行一下探讨。
ShiroSubject对象详解
热门推荐
和我一起学习吧
03-29 4万+
什么是Subject对象通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。如何获得Subject对象首先创建一个初始化文件shiro.ini[users] root=123,admin,person manage=123,campaign [roles] admin=* person = xia...
Shiro-Spring 授权操作
weixin_30666753的博客
02-12 78
  Subject进行Shiro的授权操作,首先委托给Security Manager,在由Security Manager 委托给Authenticator,由Authenticator授权器进行真正的授权操作。   这里记录在Spring环境下配置Shiro框架。   1、加入依赖:org.apache.shiro-core ,org.apache.shiro-web,org...
十二.shiro更改用户信息同时更改subject中的信息
u014203449的博客
08-21 8213
当更改用户信息的时候,发现subject.却还是原来的信息, 没有直接的办法更改,只能给当前用户切换身份,切换一个认证信息给安全管理器。 当更改用户信息后,调用setUser方法,UserInfo是原来放在SimpleAuthenticationInfo中的对象,realName是原来realm的名字 public class ShiroUtils { public stati...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值