Shiro初步使用

最新推荐文章于 2022-04-22 13:07:01 发布
最新推荐文章于 2022-04-22 13:07:01 发布
阅读量250 收藏
点赞数
分类专栏: java 文章标签: java shiro 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Amnesiar/article/details/108683315
版权

Shiro初步使用

​ Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序

​ 这里主要以shiro的入门实战来了解到使用shiro的流程

1、认证

1、使用ini文件的方式使用shiro

INI配置文件

INI配置文件是一种key/value的键值对配置,分为[main]、[users]、[roles]、[urls]四个部分,每一个部分中的key不可重复,#号代表注释,shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件相当于一个静态数据库。因此无需进行数据库操作

1、创建一个普通maven项目,并导入shiro的相关依赖
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.5.3</version>
</dependency>
2、在resource目录下创建shiro.ini文件,第一行不可以写错
[users]
zhangsan=123
lisi=123456
3、编写代码

主要步骤有六步:

1.创建安全管理器对象
DefaultSecurityManager securityManager=new DefaultSecurityManager();

2.给安全管理器设置realm(这里使用ini文件)
securityManager.setRealm(new IniRealm(“classpath:shiro.ini”));

3.SecurityUtils 给安全工具类设置全局安全管理器
SecurityUtils.setSecurityManager(securityManager);

4.关键对象subject 主体
Subject subject = SecurityUtils.getSubject();

5.创建令牌
UsernamePasswordToken token=new UsernamePasswordToken(“zhangsan”,“123”);

6.使用token用户认证

subject.login(token);

认证的时候如果用户名不存在会报UnknownAccountException

认证的时候如果密码错误会报IncorrectCredentialsException

public class TestAuthenticator {
    public static void main(String[] args) {
        //1.创建安全管理器对象
        DefaultSecurityManager securityManager=new DefaultSecurityManager();

        //2.给安全管理器设置realm
        securityManager.setRealm(new IniRealm("classpath:shiro.ini"));

        //3.SecurityUtils 给安全工具类设置全局安全管理器
        SecurityUtils.setSecurityManager(securityManager);

        //4.关键对象subject 主体
        Subject subject = SecurityUtils.getSubject();

        //5.创建令牌
        UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","123");

        //6.使用token用户认证
        try {
            System.out.println("认证状态:"+ subject.isAuthenticated());
            subject.login(token);
            System.out.println("认证状态:"+ subject.isAuthenticated());
        }catch (UnknownAccountException e){
            System.out.println("用户名不存在");
            e.printStackTrace();
        }
        catch (IncorrectCredentialsException e) {
            System.out.println("密码错误");
            e.printStackTrace();
        }
    }
}

2、创建和使用自定义Realm

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MULqIUnv-1600505832253)(C:%5CUsers%5CAdmin%5CAppData%5CRoaming%5CTypora%5Ctypora-user-images%5Cimage-20200918204444823.png)]

由类的关系图所示,ini方式使用的IniRealm类是继承了AuthorizingRealm抽象类,并且事实上自定义的Reaml就是需要继承AuthorizingRealm抽象类并且重写doGetAuthorizationInfo(授权)doGetAuthenticationInfo(认证),除了该处,其他与ini方式基本一致

添加链接描述

1、创建自定义Realm(这里使用的虚拟查库)
//创建自定义Realm
public class CustomerRealm extends AuthorizingRealm {

    //授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    //认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //根据该token拿到用户名
        String principal= (String) authenticationToken.getPrincipal();
        System.out.println(principal);

        //根据身份信息查询相关数据库
        if ("zhangsan".equals(principal)) {
            //第一个参数:数据库中正确的用户名,第二个参数:数据库中正确的密码,第三个参数:提供当前Realm的名字
            SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo("principal", "123", this.getName());
            return authenticationInfo;
        }
        return null;
    }
}
2、实现自定义Realm
public class TestCustomerRealmAuthentication {
    public static void main(String[] args) {

        //创建安全管理
        DefaultSecurityManager securityManager=new DefaultSecurityManager();

        //设置Realm
        securityManager.setRealm(new CustomerRealm());

        //使用安全工具使用安全管理
        SecurityUtils.setSecurityManager(securityManager);

        //使用安全工具获取subject
        Subject subject=SecurityUtils.getSubject();

        //创建token
        UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","123");
        try{
            securityManager.login(subject,token);
            System.out.println();
        }catch (UnknownAccountException e){
            System.out.println("用户名不存在");
            e.printStackTrace();
        }catch (IncorrectCredentialsException e){
            System.out.println("密码错误");
        }
    }

}

3、使用md5+盐+多次散列

1、创建一个测试
public class TestShiroMD5 {
    public static void main(String[] args) {
        //创建一个MD5算法
        Md5Hash md5Hash=new Md5Hash("123");
        System.out.println(md5Hash.toHex());

        //使用MD5+salt
        Md5Hash md5Hash1=new Md5Hash("123","xo*56");
        System.out.println(md5Hash1.toHex());

        //使用MD5+salt+多次散列(默认是散列一次)
        Md5Hash md5Hash2=new Md5Hash("123","xo*56",1024);
        System.out.println(md5Hash2.toHex());
    }
}

输出结果:

202cb962ac59075b964b07152d234b70
da6e378e550da9efcc84976d0a8bc68b
825feb4279a620fd9bf50fa5850fa97c

2、创建Realm类CustomerMd5Realm继承AuthorizingRealm

使用md5 : credentialsMatcher.setHashAlgorithmName(“md5”);测试类中改变默认的credentialsMatcher

加盐 : 在自定义返回的SimpleAuthenticationInfo类的构造方法加入ByteSource.Util.bytes("xo*56")

散列多次 : credentialsMatcher.setHashIterations(1024);

public class CustomerMd5Realm extends AuthorizingRealm {
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取身份信息
        String principal= (String) authenticationToken.getPrincipal();

        //根据用户名查询数据库
        if(principal.equals("zhangsan")){
            return new SimpleAuthenticationInfo(principal,
                    "825feb4279a620fd9bf50fa5850fa97c",
                    ByteSource.Util.bytes("xo*56")  //加盐
                    ,this.getName());
        }
        return null;
    }
}
3、测试(这里只放入(MD5+salt+散列)
//测试Md5
public class TestCustomerMd5RealmAuthentication {
    public static void main(String[] args) {
        //创建安全管理器
        DefaultSecurityManager securityManager = new DefaultSecurityManager();

        //设置Realm
        CustomerMd5Realm realm = new CustomerMd5Realm();
        securityManager.setRealm(realm);
        //设置Realm使用Hash凭证匹配器(默认是使用简单的credentialsMatcher)
        HashedCredentialsMatcher credentialsMatcher=new HashedCredentialsMatcher();
        //md5
        credentialsMatcher.setHashAlgorithmName("md5");
        //散列
        credentialsMatcher.setHashIterations(1024);

        realm.setCredentialsMatcher(credentialsMatcher);

        //将安全管理器注入安全工具
        SecurityUtils.setSecurityManager(securityManager);

        //通过安全工具类获取subject
        Subject subject = SecurityUtils.getSubject();

        //认证
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");

        try {
            subject.login(token);
            System.out.println("登录成功");
        } catch (UnknownAccountException e) {
            System.out.println("该用户名不存在");
        }catch (IncorrectCredentialsException e){
            System.out.println("密码错误");
        }
    }
}

2、授权

授权可简单理解为who对what(which)进行How操作:
  • Who,即主体(Subject),主体需要访问系统中的资源。
  • What,即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号为001的商品信息也属于资源实例。
  • How,权限/许可(Permission),规定了主体对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等,通过权限可知主体对哪些资源都有哪些操作许可。

这里直接上代码(接着上一部分的认证)

1、在测试类查看用户是否具有某些个角色或者资源的权限
//如果认证通过,进行授权控制
if(subject.isAuthenticated()){
    //1.基于角色权限控制
    System.out.println(subject.hasRole("admin"));

    //2.基于多角色权限控制,调用了两次doGetAuthorizationInfo
    System.out.println(subject.hasAllRoles(Arrays.asList("admin","user")));

    //3.是否具有其中一个角色
    boolean[] booleans = subject.hasRoles(Arrays.asList("admin", "user", "super"));
    System.out.println(Arrays.toString(booleans));

    //4.基于权限字符串的访问控制,资源标识符:操作:资源类型
    System.out.println("=================");
    System.out.println("权限"+subject.isPermitted("user:*:01"));
    System.out.println("权限"+subject.isPermitted("product:create:01"));

    //5.同时具有哪些权限
    System.out.println(subject.isPermittedAll("user:*:01","product:create:01"));

    //6.分别具有哪些权限
    boolean[] permitted = subject.isPermitted("user:*:01", "product:create:01");
    System.out.println(Arrays.toString(permitted));
}
2、Realm类的doGetAuthorizationInfo方法分配权限
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    //拿到用户身份信息(用户名)
    String principal= (String) principalCollection.getPrimaryPrincipal();
    System.out.println("身份信息"+principal);

    //给用户添加角色权限
    SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
    authorizationInfo.addRole("admin");
    authorizationInfo.addRole("user");

    //将数据库中查询权限信息赋值权限对象
    //表示将user模块的所有权限
    authorizationInfo.addStringPermission("user:*:*");
    //表示product模块的01对象进行create的权限
    authorizationInfo.addStringPermission("product:create:01");
    return authorizationInfo;
}
mpleAuthorizationInfo();
    authorizationInfo.addRole("admin");
    authorizationInfo.addRole("user");

    //将数据库中查询权限信息赋值权限对象
    //表示将user模块的所有权限
    authorizationInfo.addStringPermission("user:*:*");
    //表示product模块的01对象进行create的权限
    authorizationInfo.addStringPermission("product:create:01");
    return authorizationInfo;
}

本文代码主要仿照b站编程不良人的shiro教程
链接地址:https://www.bilibili.com/video/BV1uz4y197Zm/?p=12

Shiro教程(二):Springboot整合Shiro全网最全教程
WwLK123的博客
07-12 1773
Apache Shiro是一个Java安全权限框架。Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。- Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等。这里是SpringBoot整合Shiro最完整最详细教程。
shiro实战教程资料.zip
06-11
shiro实战教程资料,对应B战编程不良人的shiro的资料
Shiro初步
大道至简
12-03 178
Apache Shiro 是一个功能强大且易于使用Java 安全框架,提供了认证,授权,加密,和会话管理 如同 Spring security 一样都是是一个权限安全框架,但是与 Spring Security 相比,在于他使用了和比较简洁易懂的认证和授权方式。 三大核心组件 Subject :当前用户的操作 SecurityManager:用于管理所有的Subject Realms:用于进...
Shiro简单配置Springboot版(2)
qq_39390455的博客
10-20 182
4. shiro中的认证 4.1 认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。 4.2 shiro中认证的关键对象 Subject:主体 访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体; Principal:身份信息 是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必
Shiro-编程不良人
m0_54852350的博客
04-22 2835
(视频:哔哩哔哩-编程不良人) 一:权限的管理(1~3) 1. 什么是权限管理: 3. 什么是身份认证: 5. 什么是授权: 二:什么是 Shiro(4~4) 1. 官网:https://shiro.apache.org/ 2. 英文文档:https://shiro.apache.org/reference.html 3. 中文文档:http://greycode.github.io/shiro/doc/reference.html 三:Shiro 的核心架构(4~4) 1. Shiro 核心架构
编程不良人redis(baizhiedu.xin).zip
10-07
Redis从入门到精通的资料,可以配套《https://blog.youkuaiyun.com/qq_37520561/article/details/108953427》这篇博客一起练习,里面有详细的解说
权限管理系统:使用SpringBootWebFlux + Shiro + JPA + JavaScala,实现基于数据库细粒度动态权限管理系统
01-30
使用 启动MySQL 默认账号root root(或者修改application.properties) 创建数据库managesystemdb 启动Redis默认配置 系统登录admin 111111(至少每次启动都会重新创建表并覆盖初始化初始化的数据) 查看文档在...
FEBS-Shiro-jht:FEBS-Shiro个人适应版
02-19
原因:主要是因为懒,想找个技术较新,干净的项目作为开发的基础框架,于是找到了FEBS-Shiro初步技术不考虑,前端使用layui解决所有是我最喜欢的 个人适应版修改点: 1.html js css分离,考虑到实际业务的复杂性,...
这个只是Shiro框架的初次认识
08-01
通过以上介绍,我们对Shiro有了初步的认识。在实际项目中,可以根据需求定制 Realm、配置 SecurityManager,并结合 Spring 实现灵活的权限控制。学习和掌握Shiro框架,将有助于提升Java应用的安全性和用户体验。
shiro-jwt-springboot:shiro合并jwt前进行分离权限认证示例
01-29
这个项目"shiro-jwt-springboot"是一个实例,它展示了在整合JWT之前如何对权限认证进行初步的分离。 首先,我们来了解JWT。JWT是一种轻量级的身份验证标准,它允许用户信息以安全、紧凑的方式在网络中传递。一个JWT...
Shiro学习教程及源码
03-07
本资源是张开涛老师的作品,本着开源的目的让更多的人来学习Shiro这项技术,该资源包括高清PDF文件和对应源码,有些人拿着该资源去赚取积分,可耻之行为!原文链接:http://jinnianshilongnian.iteye.com/blog/2018398
shiro笔记
qq_37923127的博客
05-19 604
shiro笔记 shiro 中subject类可以得到当前用户, shiro可以获得当前用户的认证,实现登录的拦截,请求授权,权限管理的实现 shiro框架中自带了检验登录账户 用户名不存在、用户密码错误等功能可以抛出对应的异常 <!-- Sbuject 用户 SecurityManager 管理所有用户 Realm 连接数据 --> shiro配置 // ShiroFilterFactoryBean 第三步 @Bean //把下面的那
shiro第二天——角色和权限验证(编程式授权)
MODjie的博客
12-11 915
目录结构: shiro_role.ini文件——为用户分配角色 [users] java1234=123456,role1,role2 jack=123,role测试角色代码: 1、hasRole方法,返回值为boolean类型(判断当前用户是否有一个角色); 2、hasRoles方法,返回值为boolean数组(判断当前用户是否有多个角色,一个角色对应数组中的一个值); 3、has
springboot + shiro学习(配置SecurityManager,Realm)
weixin_30564785的博客
03-26 1784
学习了shiro分析下源码 从官网可以知道shiro的构成,核心:Subject,SecurityManager,Realm Realm中的核心Authorization(用于做权限配置)和Authentication(用于做身份认证),两个单词很接近但意义不同 SecurityManager是核心用来管理个个组件 网上可以找一大堆配置shiro的文件这里就不贴了,来写一下整个过程是...
shiro通过配置文件realm.ini验证shiro的认证流程
喜羊羊love红太狼
10-04 355
shiro的核心架构图 之前学习shiro的时候不了解这个图,后来系统学过一遍后,从这个图中可以对shiro有个全局的把控了。 最上面的部分是:subject主体 Subject在shiro中是一个接口,外部程序通过subject进行认证授 在后面会有这样的方法 subject.login(token);//用户登录 中间是安全管理也就是shiro的主要部分:SecurityManager即安全管理器 通过SecurityManager可以完成subject的认...
关于shiro使用密码加密加盐之后序列化失败的问题(十四)
这个名字想了很久
11-27 3270
原文地址,转载请注明出处:&amp;nbsp;https://blog.youkuaiyun.com/qq_34021712/article/details/84567437&amp;nbsp;&amp;nbsp; &amp;nbsp;&amp;nbsp;©王赛超&amp;nbsp; shiro使用密码加盐之后,序列化失败 ERROR Failed to serialize 之前的博客一直都是使用的明文存储,一直没有写对密码进行加密、加盐处理,有很长时间没...
Shiro身份认证流程,securityManager源码解析
汪小哥
12-16 9378
http://shiro.apache.org/tutorial.html 跟着教程学习如何验证你的身份,先是简单的身份验证 shiro.ini[users] zhang=123 wang=123重点内容 @Test public void testHelloworld() { //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityMa
快速入门Java Shiro安全框架
本学习笔记提供了快速入门Shiro的基本知识点,虽然笔记内容不多,但覆盖了Shiro的核心概念和初步使用方法。 1. 认证(Authentication):Shiro的核心是用户身份识别,即确认一个用户的身份,通常通过用户名和密码来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值