Shiro基础知识汇总

最新推荐文章于 2025-11-14 17:44:05 发布
原创 最新推荐文章于 2025-11-14 17:44:05 发布 · 208 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #java #后端

文章目录

前言

Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。
Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加
密。

一、权限、认证、授权

权限:一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权
的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。
权限管理在系统中一般分为:访问权限数据权限
认证:身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和密码,看其是否与系统中存储的该用户的用户名和密码一致,来判断用户身份是否正确。例如:密码登录,手机短信验证、三方授权等。
认证流程
在这里插入图片描述
授权:即访问控制,控制谁能访问哪些资源。主体进行身份认证后,系统会为其分配对应的权限,当访问资源时,会校验其是否有访问此资源的权限。
在Shiro中,采取的是先鉴权,在授权,只有在需要鉴权的时候,Shiro才会去调用相关方法去完成一次次授权操作;
简单来说,鉴权就是用户通过认证后访问资源时,判断判断是否具有访问资源的能力的过程。
在这里插入图片描述

二、Shiro的核心组件

Shiro架构图
在这里插入图片描述

  • Subject
    Subject主体,外部应用与subject进行交互,subject将用户作为当前操作的主体,这个主体:可以是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权;
  • SecurityManager
    SecurityManager权限管理器,它是shiro的核心,负责对所有的subject进行安全管理。通过
    SecurityManager可以完成subject的认证、授权等,SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口;
  • Authenticator
    Authenticator即认证器,对用户登录时进行身份认证;
  • Authorizer
    Authorizer授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限;
  • Realm(数据库读取+认证功能+授权功能实现)
    Realm领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据;
  • SessionManager
    SessionManager会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录;
  • SessionDAO
    SessionDAO即会话dao,是对session会话操作的一套接口;
  • CacheManager
    CacheManager缓存管理,将用户权限数据存储在缓存,这样可以提高性能;
  • Cryptography
    Cryptography密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能;

三、Shiro快速入门

通过Shiro实现基于内存形式的认证和授权(不从库中查数据)。

1.编码、散列算法

编码与解码:
Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作。
Shiro内部的一些数据的【存储/表示】都使用了base64和16进制字符串.
散列算法:
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据。shiro支持的散列算法:Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、Sha384Hash、Sha512Hash。
以SHA-1为例的加密工具类:

/**
 * @author 杨树林
 * @version 1.0
 * @since 16/8/2023
 */
public class DigestUtil {
   
   
    //算法方式
    private static final String SHA1 = "SHA-1";
    public static final String SHA256 = "SHA-256";

    //加密次数
    public static final Integer Counts =369;

    /**
     * @Description show
     * @param input 需要散列字符串
     * @param salt 盐字符串
     * @return
     */
    public static String show(String input,String salt){
   
   
        return new SimpleHash(SHA256,input,salt,Counts).toString();
    }
    /**
     * @Description 随机获得salt字符串
     * @return
     */
    public static String generateSalt(){
   
   
        SecureRandomNumberGenerator randomNumberGenerator =new SecureRandomNumberGenerator();
        return randomNumberGenerator.nextBytes()
最低0.47元/天 解锁文章
主流身份认证授权框架介绍
zenglichuan的博客
06-19 1233
CAS作为一个开放的、可扩展的、基于网络的身份认证系统,可以使用多种身份验证协议(如LDAP、Kerberos、OAuth等),支持多种身份验证方式(如用户名密码、智能卡、生物识别等),可以在不同的平台和应用之间实现单点登录、身份认证和授权管理。OpenID Connect基于OAuth 2.0,提供更安全的身份验证和授权的方式,可与SAML、JWT一起使用,用于实现跨企业的身份认证;SAML是基于XML的协议,可以与Shibboleth、LDAP一起使用,用于企业内部和跨企业之间的身份认证和断言交换;
Shiro权限管理框架详解
WGH100817的博客
01-25 1806
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
权限验证框架之Shiro
`or 1 or 不正经の泡泡
06-15 1382
交替换个脑子,一直搞考研的东西,实在是无聊。所以顺便把工程上的东西,拿来遛一遛。你问我,为啥不是机器学习,深度学习,那玩意搞起来头更大,累了。权当是打游戏放松了,那么废话不多说,这里要玩玩的是Shiro,其实一开始我还是喜欢玩这个Security,不过后来,经常用这个人人开源,也就接触这个玩意了,说实话,先前用那个玩意的时候,也是习惯性的把shiro改成security,但是实话实说,太麻烦了,懒得改,所以的话,干脆就是直接使用这个Shiro
【亲测免费】 Sureness权限认证框架指南
最新发布
gitblog_00776的博客
11-14 945
Sureness 是一个由[@tomsun28](https://github.com/tomsun28) 开发的Java权限认证框架,旨在提供简单灵活的授权和认证解决方案。它设计用于简化企业级应用中复杂的权限管理逻辑,支持多种认证方式(如JWT、Cookie、Token等),并且对Spring Security等现有安全框架提供了良好的兼容性或替代方案。Sureness注重易用性和安全性,并且鼓
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 4280
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Shiro-全面详解(学习总结---从入门到深化)
12-01 4292
身份认证/登录。权限验证,即判断用户是否能在系统中做某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。提供测试支持。
shiro基础文档
01-26
### Shiro基础文档知识点梳理 #### 一、权限管理概览 权限管理是现代软件系统中不可或缺的一部分,它主要用于控制用户能够访问哪些资源,并确保只有经过适当授权的用户才能访问相应的资源。权限管理通常分为两个...
Shiro权限基础框架
04-22
在本文中,我们将深入探讨Shiro基础知识,以及如何将其应用于权限管理。 一、Shiro简介 Apache Shiro是Apache软件基金会的一个开源项目,它的目标是简化应用程序的安全实现,提供简单易用的API,让开发者可以...
Shiro基础入门源码解析与示例
以下将详细介绍与Shiro基础入门相关的知识点。 首先,要了解Shiro框架的工作原理和核心概念。Shiro的安全管理架构中主要包含三个核心组件:Subject、SecurityManager和Realms。 1. Subject:代表当前用户的操作...
深入浅出Shiro基础核心jar包使用指南
Shiro框架的核心功能通常封装在一个基础的jar包中,该jar包在本例中被命名为“shiro基础jar包-shiro-core”。这一基础jar包是Shiro框架的基石,它包含了Shiro实现安全功能所需的核心类和接口。该jar包包含了以下几个...
Spring Security学习笔记
Shawn的个人博客
05-09 3309
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
再见Spring Security!推荐一款功能强大的权限认证框架,用起来够优雅!
HollisChuang's Blog
08-23 1977
‍‍在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也...
Shiro 框架详解
兴趣是最好的老师,勤能补拙
05-11 4719
Shiro 是一个开源Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro 的安全性能比较优越,提供了多种方式来保护应用程序的安全性。
shiro权限
天地无名
09-30 1680
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
权限认证框架---Shiro
qq_60067835的博客
12-07 2326
带你从0到1开始学习安全认证框架,采用图文结合和案例分析的模式,实操体验认证全流程
Shiro权限管理框架
king220022的博客
04-11 1368
对于细颗粒度的权限管理不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自己创建的商品信息可以在service接口添加校验实现,service接口需要传入当前操作人的标识,与商品信息创建人标识对比,不一致则不允许修改商品信息。对资源类型的管理称为粗颗粒度权限管理,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限
SpringBoot---Spring security权限认证框架
m0_71117042的博客
01-22 627
最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在 Spring Security 中一种过滤器处理一种认证方式。这些信息可以用于验证、授权、信息交换,前端使用JWT来实现用户认证,后端可以通过解析JWT来获取用户信息;为了满足企业项目的不同需求,它提供了很多定制化开发的解决方案,通过简单的调整配置,就能为我们的应用提供一套可靠的安全保障。会捕获抛出的错误,然后根据不同的认证方式进行信息的返回提示。--security 依赖-->--JWT 依赖-->
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值