shiro学习(一)

最新推荐文章于 2023-06-06 16:14:50 发布
转载 最新推荐文章于 2023-06-06 16:14:50 发布 · 380 阅读 · 0

本文介绍 Apache Shiro 的核心概念与架构,包括认证和授权两大功能,并通过示例展示认证流程及如何自定义 Realm 实现更灵活的安全管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

shiro的学习分为两大部分,一是认证  (authentication),二是授权  (authorization)


一、先给出shiro的架构,如下图




1.1  Subject

         Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。     Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权

 

1.2 即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。

         SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。

 

1.3  Authenticator,即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。

1.4  Authorizer,即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

 

1.5  realm, Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

         注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。

 

1.6  sessionManager

sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。

1.7  SessionDAO

SessionDAO,即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。

1.8  CacheManager

CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。

1.9  Cryptography

         Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。


二、shiro需要的jar包

         与其它java开源框架类似,将shiro的jar包加入项目就可以使用shiro提供的功能了。shiro-core是核心包必须选用,还提供了与web整合的shiro-web、与spring整合的shiro-spring、与任务调度quartz整合的shiro-quartz等,下边是shiro各jar包的maven坐标。

 

   <dependency>
         <groupId>org.apache.shiro</groupId>
         <artifactId>shiro-core</artifactId>
         <version>1.2.3</version>
      </dependency>
      <dependency>
         <groupId>org.apache.shiro</groupId>
         <artifactId>shiro-web</artifactId>
         <version>1.2.3</version>
      </dependency>
      <dependency>
         <groupId>org.apache.shiro</groupId>
         <artifactId>shiro-spring</artifactId>
         <version>1.2.3</version>
      </dependency>
      <dependency>
         <groupId>org.apache.shiro</groupId>
         <artifactId>shiro-ehcache</artifactId>
         <version>1.2.3</version>
      </dependency>
      <dependency>
         <groupId>org.apache.shiro</groupId>
         <artifactId>shiro-quartz</artifactId>
         <version>1.2.3</version>
      </dependency>


三、log4j.properties的配置如下
log4j.rootLogger=debug, stdout

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n










四、认证流程以及步骤









这里以用户名为zhangsan密码为111111,给出一个示例


shiro-first-ini


[users]
zhang=123
lisi=123



测试方法:

@Test
	public void testLoginAndLogout(){
		
		//创建securityManager工厂
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-first.ini");
		//获得securitymanager安全管理器
		SecurityManager securityManager = factory.getInstance();
		//将安全管理器和当前环境绑定
		SecurityUtils.setSecurityManager(securityManager);
		//模拟subject
		Subject subject = SecurityUtils.getSubject();
		//在认证提交前准备token(令牌)
		UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","111111");
		
		try {
			//执行认证提交
			subject.login(token);
		} catch (AuthenticationException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		
		boolean isAuthenticated = subject.isAuthenticated();
		
		System.out.println("是否认证成功:"+isAuthenticated);
		
		//注销登录
		subject.logout();
		isAuthenticated = subject.isAuthenticated();
		System.out.println("是否认证成功:"+isAuthenticated);
		
	}


流程分析:



1、  创建token令牌,token中有用户提交的认证信息即账号和密码


2、  执行subject.login(token),最终由securityManager通过Authenticator进行认证


3、  Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码,这里使用的是IniRealm(shiro自带)


4、  IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModularRealmAuthenticator返回null,如果找到则匹配密码,匹配密码成功则认证通过。

5、  当账号不存在或则密码错误时,会抛出相应异常,常见异常如下:

UnknownAccountException(账号不存在)


IncorrectCredentialsException(密码错误)




DisabledAccountException(帐号被禁用)


LockedAccountException(帐号被锁定)


ExcessiveAttemptsException(登录失败次数过多)

ExpiredCredentialsException(凭证过期)等...







然而!上边的程序使用的是Shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以接下来需要自定义realm。







五、自定义realm,这里给出一个示例


public class CustomRealm1 extends AuthorizingRealm {

	@Override
	public String getName() {
		return "customRealm1";
	}

	//支持UsernamePasswordToken
	@Override
	public boolean supports(AuthenticationToken token) {
		return token instanceof UsernamePasswordToken;
	}

	//认证
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		
		//从token中 获取用户身份信息
		String username = (String) token.getPrincipal();
		//拿username从数据库中查询
		//....
		//如果查询不到则返回null
		if(!username.equals("zhang")){//这里模拟查询不到
			return null;
		}
		
		//获取从数据库查询出来的用户密码 
		String password = "123";//这里使用静态数据模拟。。
		
		//返回认证信息由父类AuthenticatingRealm进行认证
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
				username, password, getName());

		return simpleAuthenticationInfo;
	}

	//授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		// TODO Auto-generated method stub
		return null;
	}

}












自定义的realm需要实现realm接口,最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthenticationRealm负责授权,通常自定义的realm继承AuthorizingRealm,realm接口的实现类有如下:











                

        

    

    
  



    

      

        

            

              
                
                  Changui_
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
shiro学习教程

				
			

			

				

					alankuo的专栏
				

				

					10-01
					
					767
					
				

			

		

		

			
				
Apache Shiro个强大且易用的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。Shiro的设计理念是简单易用,同时又能满足复杂的安全需求,可以轻松地集成到各种Java应用程序中,如Web应用、命令行应用、移动应用等。// 用于身份验证@Override// 假设从数据库获取用户信息进行验证// 这里应该查询数据库验证用户信息} else {throw new AuthenticationException("用户名或密码错误");// 用于授权。

			
		

	



                

            
              



	

		

			

				
					
shiro学习示例

				
			

			

				

					02-07
				

			

		

		

			
				
shiro博客对应的资源

			
		

	



              


  
              

                


	

		

			

				
					
shiro验证流程及知识点

				
			

			

				

					qq_38718211的博客
				

				

					01-30
					
					343
					
				

			

		

		

			
				
密码的比对:
通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!


1. 获取当前的 Subject. 调用 SecurityUtils.getSubject();
2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 
3. 若没有被认证, 则把用户名和密码

			
		

	





	

		

			

				
					
shiro学习

				
			

			

				

					neutrons的博客
				

				

					10-18
					
					295
					
				

			

		

		

			
				
Shiro个强大且易用的Java安全框架。作为Apache开源的上游项目,它在,执行身份验证、授权、密码和会话管理效果很好。
现在,使用Shiro 的人越来越多。

...

			
		

	



		

			
		



	

		

			

				
					
Shiro学习

				
			

			

				

					m0_64393446的博客
				

				

					06-06
					
					359
					
				

			

		

		

			
				
1.shiro是apache的个开源框架,是个权限管理的框架,实现用户认证,用户授权2.spring中有spring security(原名acegi),是个权限框架,他和spring依赖过于紧密,没有shiro使用简单3.shiro不依赖于spring,shiro不仅可以实现web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro

			
		

	





	

		

			

				
					
shiro学习

				
			

			

				

					力超的博客
				

				

					10-08
					
					295
					
				

			

		

		

			
				
Apache Shiro个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。
Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应
该尽可能掩盖复杂的地方,露出个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。
以下是你可以用 Apache Shiro 所做的事情:

验证用户来核...

			
		

	





	

		

			

				
					
shiro学习笔记

				
			

			

				

					04-03
				

			

		

		

			
				
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...

			
		

	





	

		

			

				
					
shiro 学习资料

				
			

			

				

					12-27
				

			

		

		

			
				
Apache Shiro个强大且易用的 Java 安全框架,提供身份认证、授权、加密和会话管理功能,简化了开发人员在构建安全应用程序时的复杂性。它被广泛应用于Java Web 开发中,为应用程序提供了种简单的方式来处理...

			
		

	





	

		

			

				
					
shiro学习()

				
			

			

				

					X_Q_B_J的博客
				

				

					02-25
					
					261
					
				

			

		

		

			
				
1、前言
在使用shiro之前,我们要先了解下权限和认证这两个概念
首先权限管理属于安全管理的范畴,简单来说就是对用户的访问进行控制,你是什么身份才能访问对应级别的数据
认证可以这样理解:判断用户是否是合法用户的这个处理的过程就叫做身份认证,最常用的是通过用户名和密码进行身份认证,如果你的用户名和密码在数据库中存在,则表示合法,否则不合法
2、shiro的介绍和作用
Shiro个强大且易...

			
		

	





	

		

			

				
					
shiro学习(通俗易懂)

				
			

			

				

					小样yx的博客
				

				

					06-13
					
					1966
					
				

			

		

		

			
				
目录、什么是shiro?二、第shiro用户认证程序三、自定义Realm实现四、MD5算法加密五、shiro中的授权
、什么是shiroshiro是aoache旗下的个开源框架,它将软件系统的安全认证的功能抽取出来,简单易用,实现用户身份认证,权限授权,加密、会话、管理等功能,组成了个通用的安全认证框架。
详细了解shiro链接如下:
https://shiro.apache.org/architecture.html
如下图,红色框住的就是shiro最核心部分,图大家简单有个印象即可

二

			
		

	





	

		

			

				
					
Shiro学习——()Shiro简介

				
			

			

				

					weixin_43683536的博客
				

				

					05-12
					
					320
					
				

			

		

		

			
				
Shiro简介
Shiro是什么?
   Apache Shiro个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。
二、Shiro可以做什么?

验证用户来核实他们的身份
对用户执行访问控制
在任何环境下使用 Session API,即使没有 Web 或 EJB 容器
在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。
聚集个或多个用户安全数据...

			
		

	





	

		

			

				
					
shiro学习记录()

				
			

			

				

					m0_43584016的博客
				

				

					01-15
					
					307
					
				

			

		

		

			
				
1 配置文件
import com.chaoqi.springboot_shiro_redis.secutity.KickoutSessionControlFilter;
import com.chaoqi.springboot_shiro_redis.secutity.MyShiroRealm;
import org.apache.shiro.mgt.SecurityManager;
impor...

			
		

	





	

		

			

				
					
小白的shiro学习路线

				
			

			

				

					Ares_song的博客
				

				

					09-11
					
					1278
					
				

			

		

		

			
				
1.权限管理

什么是权限管理
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。

用户身份认证
身份认证,就是判断用户是...

			
		

	





	

		

			

				
					
史上最全的Shiro学习整理-yellowcong

				
			

			

				

					
				

				

					01-10
					
					2189
					
				

			

		

		

			
				

这些文章,都是我对shiro的人事精华,里面又很全的shiro案例,对于后期的shiro权限管理和开发又很大的好处。

shiro组件


Shiro之加密方式-yellowcong


Shiro之多Realm的认证及认证策略-yellowcong


Shiro之拦截器的使用-yellowcong


Shiro之授权管理与授权的三种方式(1、编程方式,2、注解方式,3、jsp标签)-yel...

			
		

	





	

		

			

				
					
Shiro实现登录拦截与用户认证

				
			

			

				

					Healerjy的博客
				

				

					05-18
					
					538
					
				

			

		

		

			
				
测试结果:用户名和密码输入都正确则进入首页,并且能够具有add、update的权限,如果用户名或密码输入错误则有相应的提示。编写Shiro配置类       UserRealm类同上。新建个login.html作为拦截后跳转的登录页面。测试结果:没有权限将会跳转到登录页面。编写controller接口。配置UserRealm类。修改登录页面部分代码。

			
		

	





	

		

			

				
					
Shiro:“DisabledAccountException“

				
			

			

				

					Huangjunqi23的博客
				

				

					06-01
					
					497
					
				

			

		

		

			
				
Shiro:"DisabledAccountException"

			
		

	





	

		

			

				
					
shiro详解-shiro史上最全学习笔记

				
			

			

				

					m0_55613022的博客
				

				

					04-08
					
					1807
					
				

			

		

		

			
				
1.shiro简介
1.1.基本功能点
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。其基本功能点如下图所示:


Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验

			
		

	





	

		

			

				
					
shiro限制重复账号登陆

				
			

			

				

					wdsafmy468619的专栏
				

				

					07-24
					
					6955
					
				

			

		

		

			
				
遍历同个账户的session
private List getLoginedSession(Subject currentUser) {
Collection list = ((DefaultSessionManager) ((DefaultSecurityManager) SecurityUtils
.getSecurityManager()).getSessionManager()).ge

			
		

	





	

		

			

				
					
Shiro学习与练习实例分析

				
			

			

				

					
				

			

		

		

			
				
Apache Shiro个开源的安全框架,它用于简化身份认证、授权、加密和会话管理。该框架旨在创建易于使用的、可理解的、易于维护的安全解决方案。以下是从上述文件信息中提取的知识点。  知识点:Apache Shiro ...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值