shiro学习笔记二-----基础知识

最新推荐文章于 2021-01-07 16:57:26 发布
最新推荐文章于 2021-01-07 16:57:26 发布
阅读量179 收藏 2
点赞数
分类专栏: Shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhwyj1019/article/details/79310736
版权

Shiro的3个核心组件:

这里写图片描述

Subject :可以看作当前用户操作。

SecurityManager : 用于管理所有的Subject 。

Realms : 用于进行权限信息的验证,需要自己实现的,类似于数据库,至少要设置一个,可以设置多个。需要实现Realms的Authentication 和 Authorization。

认证实现

Shiro的认证过程最终会交由Realm执行,这时会调用Realm的getAuthenticationInfo(token)方法。

该方法主要执行以下操作:

1、检查提交的进行认证的令牌信息

2、根据令牌信息从数据源(通常为数据库)中获取用户信息

3、对用户信息进行匹配验证。

4、验证通过将返回一个封装了用户信息的AuthenticationInfo实例。

5、验证失败则抛出AuthenticationException异常信息。

我们需要自己写realm类,继承AuthorizingRealm,重载doGetAuthenticationInfo (),重写获取用户信息的方法

Shiro可以对以下4个方面进行安全控制:

Authentication : 用来验证用户身份,可以理解为登录操作。

Authorization : 授权访问控制,用于对用户进行授权,证明该用户是否允许进行当前操作,如访问某个URL,某个Resource等。

SessionManager:通过Shiro 提供的会话管理来获取Session中的信息,如:sso单点登录,进行session共享。

Cryptography: 密码管理,加密操作,shiro内部提供了使用MD5加密的方法,也可以自定义加密的方法。

完整架构图:

这里写图片描述

Shiro的核心:

ShiroFilterFactory:Shiro过滤器工厂类,具体的实现类是:ShiroFilterFactoryBean,此实现类是依赖于SecurityManager安全管理器。

SecurityManager:Shiro的安全管理,主要是身份认证的管理,缓存管理,cookie管理,所以在实际开发中我们主要是和SecurityManager进行打交道的,ShiroFilterFactory主要配置好了Filter就可以了。

Realm:用于身份信息权限信息的验证,类似于从数据库中读取数据。

Cache Manager(缓存管理):记住登录信息,登录用户所拥有的权限,总是从数据库中查询,效率很低,需要自己进行简单的实现,然后注入到SecurityManager让Shiro的安全管理器进行管理就好了。shiro提供了Ehcache的缓存管理,也可以使用Redis进行缓存管理。使用redis需要自己编写方法RedisCacheManager实现CacheManager接口。

Shiro内置的FilterChain:

Filter Name     |       Class
----------------|--------------------------------------------------------------------------
anon            |       org.apache.shiro.web.filter.authc.AnonymousFilter
authc           |       org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic      |       org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
perms           |       org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port            |       org.apache.shiro.web.filter.authz.PortFilter
rest            |       org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles           |       org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl             |       org.apache.shiro.web.filter.authz.SslFilter
user            |       org.apache.shiro.web.filter.authc.UserFilter

通常可将过滤器分为两组 :
anon,authc,authcBasic,user : 第一组认证过滤器

anon: 所有url都都可以匿名访问;
authc: 需要认证才能进行访问;
authcBasic: 表示httpBasic认证
user: 配置remenberMe或认证通过可以访问

perms,port,rest,roles,ssl : 第二组授权过滤器

perms: perms[userInfo:view]表示用户必须通过认证,并且需要拥有userInfo:view的权限,才可以访问/userInfo
port : 根据端口号,port[8080]表示访问URL端口如果不是8080,怎会跳转到8080端口
rest:根据请求的方法,rest[user]相当于prems[user:method]
ssl: 根据安全的URL请求,协议是https

注意:user和authc不同,user表示不一定通过了认证,只要被shiro的remenberMe记住过登录状态,就可以访问,而authc必须要进行认证之后才可以访问。

innerpeacez
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro简单使用
tangyue99的博客
06-09 614
自定义realm 添加shiro配置 1、配置安全管理器 2、配置shiro过滤器 这里拦截了所有路径并放行了登录接口路径 此时使用Postman测试可以发现登录接口可正常访问,删除接口返回以下信息 说明删除接口被正常拦截,需要登录才能访问只需在登录接口使用subject.login()即可将认证交给realm 修改登录接口如下: 修改认证方法如下: 此时,再次测试发现,直接调用删除接口一样出现此前的信息,这时只需要先调用登录接口,再调用删除接口即可正常返回信息,测试结果如下: 5、自定义授权方法 授
shiro 从数据库中获取url 配置权限
qq_35167373的博客
07-17 2487
目标:这种配置是写死的,而我们需要做活 1、使用 perms 如:       /admins/user/**=perms[user:add:*]表示:要访问【/admins/user/**】必须具有【user:add:* 】权限       perms支持使用逗号隔开,不过需要两个权限都有才可以 2、原配置类为  ShiroFilterFactoryBean <bean ...
Spring boot 整合shiro 实现登陆验证
李彬的博客
12-08 5361
spring boot 整合shiro 实现登陆验证
Shiro权限管理
qq_45455594的博客
01-07 148
1.sql语句权限表 CREATE TABLE role ( id INT NOT NULL AUTO_INCREMENT COMMENT 'ID', name VARCHAR(20) NOT NULL COMMENT '角色名称', description VARCHAR(200) COMMENT '描述', PRIMARY KEY (id) ) ENGINE = InnoDB COMMENT '角色'; ​ CREATE...
SpringBoot与Shiro整合-权限管理实战资料
08-07
笔记和资料将详细记录整个学习过程,总结关键知识点和常见问题解决方案。 通过这门课程,你将掌握Spring Boot和Shiro整合的核心技术,能够构建出一套完整的用户权限管理系统,为你的Java应用提供坚实的安全保障。...
JAVA-WEB开发实战
03-13
首先,书中可能涵盖了基础的JAVA语言知识,包括面向对象编程的概念,如类、对象、封装、继承和多态。这些是JAVA编程的基础,对于理解和编写Web应用程序至关重要。此外,可能还会涉及到异常处理、集合框架(如...
狂神JAVA-18-SpringBoot学习1
08-04
这个学习笔记主要涵盖了Spring Boot的基础知识、微服务阶段的发展以及如何学习Spring Boot。 1. **微服务阶段** - **JavaSE**:在Java标准版环境下,我们学习面向对象编程(OOP)和MySQL数据库进行数据持久化。...
shiro框架教案+笔记+sql脚本+项目案例
08-14
总的来说,这个压缩包提供的资源为学习和掌握Apache Shiro提供了一个全方位的平台,从基础理论到实战演练,覆盖了Shiro学习的全过程。对于想要提升安全开发技能或者正在使用或考虑使用Shiro的人来说,这是一个宝贵的...
Java Web项目-校园管理系统源码.zip
05-21
【标题】"Java Web项目-校园管理系统源码.zip"揭示了这是一个基于Java Web技术的软件开发...通过分析这个项目,开发者不仅能学习到Java Web开发的基础知识,还能了解实际项目开发中的最佳实践,提升自己的项目经验。
计算机系统结构(02325)自考真题(201704)
07-28
计算机系统结构(02325)自考真题(201704) 计算机系统结构(Computer Architecture)也称为计算机体系结构,它是由计算机结构外特性,内特性,微外特性组成的。经典的计算机系统结构的定义是指计算机系统多级层次结构中机器语言机器级的结构,它是软件和硬件/固件的主要交界面,是由机器语言程序、汇编语言源程序和高级语言源程序翻译生成的机器语言目标程序能在机器上正确运行所应具有的界面结构和功能。 计算机系统结构指的是什么? 是一台计算机的外表? 还是是指一台计算机内部的一块块板卡安放结构? 都不是,那么它是什么? 计算机系统结构就是计算机的机器语言程序员或编译程序编写者所看到的外特性。所谓外特性,就是计算机的概念性结构和功能特性。用一个不恰当的比喻一,比如动物吧,它的"系统结构"是指什么呢? 它的概念性结构和功能特性,就相当于动物的器官组成及其功能特性,如鸡有胃,胃可以消化食物。至于鸡的胃是什么形状的、鸡的胃部由什么组成就不是"系统结构"研究的问题了。
国家电零售业中上市公司融资问题研究—以国美电器为例.docx
07-28
国家电零售业中上市公司融资问题研究—以国美电器为例.docx
python + opencv 加载 onnx 人脸检测模型识别人脸测试使用的 人脸照片
07-28
python + opencv 加载 onnx 人脸检测模型识别人脸测试使用的 人脸照片
亲测运营版PHP汽车手车拍卖网站源码事故车竞拍拍卖系统
07-28
PHP汽车手车拍卖网站源码 事故车竞拍拍卖系统/内附安装教程 安装说明: 1、导入文件到数据库 2、配置数据库连接地址\include\conn.inc.php 3、后台地址 : 域名/manage
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
07-28
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
【2022】2022巨量引擎汽车后市场行业洞察报告-巨量算数&途虎养车_70页.pdf
07-28
【2022】2022巨量引擎汽车后市场行业洞察报告-巨量算数&途虎养车_70页.pdf
chromedriver-mac-arm64_126.0.6423.2.zip
最新发布
07-28
chromedriver-mac-arm64_126.0.6423.2.zip
考勤表模板-自动统计.xlsx
07-28
考勤表,Excel模版
提取文件名称.bat
07-28
提取文件名称
shiro-redis-spring-boot-starter
10-06
shiro-redis-spring-boot-starter是一个用于集成Apache Shiro和Redis的Spring Boot Starter项目。Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值