学习shiro框架记的一次随笔

最新推荐文章于 2022-08-07 23:06:36 发布
最新推荐文章于 2022-08-07 23:06:36 发布
阅读量117 收藏
点赞数
分类专栏: 权限控制 文章标签: 权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhongxu_yuan/article/details/108044248
版权

shiro安全权限框架.
可以做:认证、授权、会话管理、加密、与Web 集成、缓存等

Applciation Code

Subject

shiro SecurityManager UsernamePasswordToken

Realm (相当于securitymanager 的dao)

permitted 被许可 行为

认证 、 角色 、 行为(permitted 可以理解成权限)

用户是否具有某个行为.subject.isPermitted(“权限”);

shiroFilter 配置shiro的过滤器.
securityManager 安全管理器
缓存管理器:cacheManager

realm   [自己编写Realm 需要实现Realm接口]
sessionModel
生命周期管理器:LifecycleBeanPostProcessor 可以自动调用配置在Spring  IOC 容器中的Shiro生命周期方法.
DefaultAdvisorAutoProxyCreator  启用IOC 容器中使用shiro的注解,需要配置该类到容器中。

ShiroFilter 的配置。id必须和web.xml中 文件中的配置的shiroFilter 的name一致。
loginUrl
successUrl
Unauthorized 没有权限 跳转的路径
哪些页面需要保护,以及哪些页面访问需要权限
/logiin.jsp = anno 可以匿名访问
/** = authc 需要认证之后才能访问。

shiro工作流程:

请求  ----> shiroFilter ----> 服务器
			
			applicationContext.xml中配置哪些页面需要认证、哪些页面匿名可以访问。

认证:

1.获取当前Subject 
2.判断是否已登录
3.如果没有认证,则把用户名 、密码封装成UsernamePasswordToken对象
4.调用subject.login方法执行登录,参数AuthenticationToken
5.自定义Realm 的方法,从数据库中获取对应的记录。返回给shiro
	5.1 实际上需要继承AuthenticationgRealm类 实现doGetAuthenticationInfo(AuthenticationToken)方法
6.由shiro 完成密码的对比。

密码的比对:
通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!

MD5盐值加密:
如何把一个字符串加密为 MD5
替换当前 Realm 的 credentialsMatcher 属性. 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可.

为什么使用 MD5 盐值加密:
如何做到:
1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用
SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器
2). 使用 ByteSource.Util.bytes() 来计算盐值.
3). 盐值需要唯一: 一般使用随机字符串或 user id
4). 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值.

======================================================================================================================

一、ShiroFilter拦截器的拦截规则:
1.格式:格式是: “url=拦截器[参数],拦截器[参数]”;

anon(anonymous) 拦截器表示匿名访问(即不需要登录即可访问) 
authc (authentication)拦截器表示需要身份认证通过后才能访问

比如:/login.jsp = anon
/** = authc

2.url 模式使用 Ant 风格模式:
– ?:匹配一个字符,如 /admin? 将匹配 /admin1,但不
匹配 /admin 或 /admin/;

– *:匹配零个或多个字符串,如 /admin 将匹配 /admin、
/admin123,但不匹配 /admin/1; 

– **:匹配路径中的零个或多个路径,如 /admin/** 将匹
配 /admin/a 或 /admin/a/b

3.URL 权限采取第一次匹配优先的方式,即从头开始
使用第一个匹配的 url 模式对应的拦截器链。 • 如:
– /bb/=filter1
– /bb/aa=filter2
– /=filter3
– 如果请求的url是“/bb/aa”,因为按照声明顺序进行匹配,那么将使用 filter1 进行拦截。

shirofilter shiro拦截器链。执行了第一个拦截器,还会走下一个拦截器?

二、shiro认证
applicationcode----->subject ----> securitymanager ----->realm

1.认证流程:
1. 获取当前的 Subject. 调用 SecurityUtils.getSubject();
2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated()
3. 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象
1). 创建一个表单页面
2). 把请求提交到 SpringMVC 的 Handler
3). 获取用户名和密码.
4. 执行登录: 调用 Subject 的 login(AuthenticationToken) 方法.UsernamePasswordToken 是AuthenticationToken的实现类。
5. 自定义 Realm 的方法, 从数据库中获取对应的记录, 返回给 Shiro.
1). 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类
2). 实现 doGetAuthenticationInfo(AuthenticationToken) 方法.
6. 由 shiro 完成对密码的比对.

2.密码的比对:
通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!

3.MD5盐值加密
1. 如何把一个字符串加密为 MD5
2. 替换当前 Realm 的 credentialsMatcher[凭证匹配器] 属性. 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可.

  1. 为什么使用 MD5 盐值加密:
    1. 如何做到:
      1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用
      SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器
      2). 使用 ByteSource.Util.bytes() 来计算盐值.
      3). 盐值需要唯一: 一般使用随机字符串或 user id
      4). 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值.

credentials 英 [krəˈdenʃlz] 美 [krəˈdenʃlz]
n. 资格; 资历; 资格证书; 证明书; 证件;

5.多个realm 验证
1.在配置文件中使用list来配置的多个real,所以有先后执行顺序的。

2.认证策略:AuthenticationStrategy
	• FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第
		一个 Realm 身份验证成功的认证信息,其他的忽略;
	• AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和
		FirstSuccessfulStrategy 不同,将返回所有Realm身份验证成功的认证信息;
	• AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有
		Realm身份验证成功的认证信息,如果有一个失败就失败了。
	• ModularRealmAuthenticator 默认是 AtLeastOneSuccessfulStrategy策略

6.授权
1. 授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法
2. AuthorizingRealm 类继承自 AuthenticatingRealm, 但没有实现 AuthenticatingRealm 中的
doGetAuthenticationInfo, 所以认证和授权只需要继承 [AuthorizingRealm]就可以了. 同时实现他的两个抽象方法.

7.shiro 权限注解方式控制权限。

• @RequiresAuthentication:表示当前Subject已经通过login 
	进行了身份验证;即 Subject. isAuthenticated() 返回 true
• @RequiresUser:表示当前 Subject 已经身份验证或者通过记
	住我登录的。 • @RequiresGuest:表示当前Subject没有身份验证或通过记住
	我登录过,即是游客身份。 • @RequiresRoles(value={“admin”, “user”}, logical= 
	Logical.AND):表示当前 Subject 需要角色 admin 和user
• @RequiresPermissions (value={“user:a”, “user:b”},  
	logical= Logical.OR):表示当前 Subject 需要权限 user:a 或 user:b。
Tom敲代码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro源码分析 -- Subject.isPermitted(permission)已登陆用户判断是否具有某权限
TragedyXD的专栏
10-28 1万+
这行代码用来判断已登陆用户是否具有某权限 subject.isPermitted(permission.getPermission());假设登陆用户已有权限:system 我们需要判断的权限:    system:role:add 问题在于,此时shiro会判断用户具有system:role:add权限。 通过单步跟踪找到: WildcardPermission.impli
最全的安全框架shiro学习视频
08-09
最全的安全框架学习视频,很全很完整,有代码,很不错的学习资料
shiro框架教案+笔记+sql脚本+项目案例
08-14
shiro框架教案+笔记+sql脚本+项目案例,一键解压,资源全面
Shiro框架学习笔记
weixin_46577581的博客
08-29 154
一、概念 shiro是一个安全框架,主要可以帮助我们解决程序开发中认证和授权的问题。基于拦截器做的权限系统,权限控制的粒度有限,为了方便各种各样的常用的权限管理需求的实现,我们有必要使用比较好的安全框架,于是就出现了shiro安全框架学习成本降低了很多,而且基本的功能也比较完善。 二、shiro提供的功能 1、Authentication:身份认证/登陆,验证用户是不是拥有相对应的身份; 2、Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的
Shiro框架笔记
CSDN7353的博客
03-31 129
简介: 百度百科:Shiro Shiro 官方主页:http://shiro.apache.org/download.html 身份认证 1) Subject 认证主体 Subject 认证主体包含两个信息: Principals:身份,可以是用户名,邮件,手机号码等等,用来标识一个登录主体身份; Credentials:凭证,常见有密码,数字证书等等; 2)身份认证...
Shiro安全框架【快速入门】就这一篇!
anye0005的博客
01-06 386
Shiro 简介 照例又去官网扒了扒介绍: Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to...
Shiro框架学习代码
05-03
通过这个 Shiro 学习代码,你可以逐步了解并掌握 Shiro 框架的核心概念和使用方法,为你的项目构建一个健壮的权限管理系统。实践中,你还需要结合具体的业务场景来调整和优化这些基础代码,确保安全性和用户体验。
shiro框架的基础学习
02-02
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、会话管理和缓存管理等核心功能。它简化了在 Java 应用程序中处理安全性的工作,使得开发者能够更加专注于业务逻辑的实现。下面将对 Shiro 框架...
Apache Shiro 框架简介
01-11
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:  认证 – 用户身份识别,常被称为用户“登录”; 授权 – 访问控制; 密码加密 – 保护或隐藏数据防止被偷窥; ...
学习 权限框架shiro 的ssm
11-22
以上就是关于"学习权限框架Shiro的SSM"的知识点介绍,通过整合Shiro与SSM,我们可以构建出一套完整的权限管理体系,实现对用户访问的精细控制。在实际项目中,Shiro的灵活性和易用性使得它成为许多开发者首选的安全...
shiro框架学习笔记
小X的书屋
10-05 212
最近学习权限框架shiro的知识,做一下 学习笔记 使用ini 这是shiro 最简单的用法,首先创建一个demo.ini文件,里面写入如下的内容 [users] xiezihao=123456,admin [roles] admin = user.insert,user.update 下面对上面的配置进行一下解释 [users] 代表的是用户,之后在代码中做登录的时候使用,比如这里...
自学Shiro框架笔记
偏执即为魔的博客
02-14 2500
Shiro框架笔记 一、Shiro概述 1.1 什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 2.shiro特性: Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限。如:验证某个用户是否拥有某个角色,
Shiro笔记(一)----Shiro安全框架简介
热门推荐
fendo
02-14 5万+
一、Shiro简介 Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成
Shiro安全框架学习笔记
weixin_30273175的博客
02-27 92
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份;(2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某...
Shiro框架实现登录的学习笔记
KimiKudo的博客
01-30 1661
这两天公司的项目单独分离出了一个后台管理方向的项目,作为一个单独的项目,于是重新新建了用户表.导致必须要重写一个登录接口. 由于公司之前的登录是通过Shiro框架写的.之前没有接触过,通过这次稍微了解学了一下.做一个笔记.而且项目组长也给了一些指点,正好整理一下 暂时来不及整理!回头再说! ...
Shiro框架学习笔记(一)
ѧѦ ѧ
08-01 235
权限管理(一) 权限概述: 控制用户只可以访问且只能访问自己被授权的资源 认证: ​ 就是用户登录, 系统验证用户额合法性, 常用的方式: 用户名密码, 指纹打卡, 证书验证 subject主体: 相当于用户, 或者是程序, 就是对系统资源的访问者 principal身份信息: 主身份信息是唯一的, 一个主体有多个身份信息 credential 凭证信息: 密码 ....
shiro安全框架学习笔记
weixin_44720982的博客
08-07 1083
shiro安全框架的使用 shiro整合ssm框架 shiro整合springboot框架
Shiro框架学习笔记(一)
weweeeeeeee的博客
05-15 1166
#Shiro框架学习笔记(一)################################################################################一、sessionValidationScheduler的使session失效执行流程(SessionManeger)##############################################...
Android与Vue.js的跨平台开发指南
最新发布
07-12
Android 和 Vue 是两个在技术栈和平台上都不同的概念,但它们可以间接地联系在一起: 1. **Android**: - Android 是一个基于Linux的开源操作系统,主要被用于移动设备如智能手机和平板电脑,以及可穿戴设备、电视等。 - Android 应用开发通常使用Java或Kotlin作为编程语言,并且使用Android SDK进行开发。 2. **Vue**: - Vue.js(通常简称为Vue)是一个开源的JavaScript框架,用于构建用户界面和单页应用程序(SPAs)。 - Vue 使用HTML、CSS和JavaScript(Vue特定的语法糖)来构建前端界面。 尽管Vue主要用于Web前端开发,但存在一些方法可以将Vue.js与Android集成: - **WebView**: - Android应用可以使用WebView组件来加载和显示基于Vue.js开发的Web应用,就像在应用中嵌入一个浏览器窗口。 - **跨平台框架**: - 使用跨平台移动应用开发框架,如NativeScript、Weex或React N
shiro框架如何学习
07-15
学习Shiro框架可以按照以下步骤进行: 1. 了解基础概念:首先,你需要了解Shiro的基本概念和术语,例如主体(Subject)、认证(Authentication)、授权(Authorization)、Realm等。可以阅读Shiro的官方文档或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值