安全框架Shiro

最新推荐文章于 2024-09-26 12:42:43 发布
最新推荐文章于 2024-09-26 12:42:43 发布
阅读量296 收藏
点赞数
分类专栏: 技术杂谈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Java_Mrsun/article/details/82014588
版权

shiro认证:

package com.research.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.SimpleAccountRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Before;
import org.junit.Test;

/***
 * shiro认证请求过程
 */
public class AuthenticationTest {
    SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();

    @Before
    public void addUser(){
        simpleAccountRealm.addAccount("liri","123456");
    }

    @Test
    public void testAuthentication(){
        //1.构建SecuityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(simpleAccountRealm);

        //2.主体提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();

        //登录
        UsernamePasswordToken token = new UsernamePasswordToken("liri","123456");
        subject.login(token);

        //true为登录成功
        System.out.println("isAuthenticated:"+subject.isAuthenticated());

        subject.logout();

        System.out.println("isAuthenticated:"+subject.isAuthenticated());
    }
}

 

Shiro授权

package com.research.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.SimpleAccountRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Before;
import org.junit.Test;

/***
 * 授权
 */
public class AuthorizationTest {
    //SimpleAccountRealm不支持添加权限,自定义Realm可以
    SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();

    @Before
    public void addUser() {
        simpleAccountRealm.addAccount("liri", "123456", "admin", "user");
    }

    @Test
    public void testAuthentication() {
        //1.构建SecuityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(simpleAccountRealm);

        //2.主体提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();

        //登录
        UsernamePasswordToken token = new UsernamePasswordToken("liri", "123456");
        subject.login(token);

        //true为登录成功
        System.out.println("isAuthenticated:" + subject.isAuthenticated());

        //用户是否具备这样的角色
        subject.checkRole("admin");
        subject.checkRoles("user", "admin");


    }
}

Realm:域,Shiro 从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;
也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource , 即安全数据源。

自定义realm

package com.research.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import java.util.HashSet;
import java.util.Set;

public class CustomRealm extends AuthorizingRealm {


    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //从主体传过来的认证信息中获取用户名
        String userName = (String) principalCollection.getPrimaryPrincipal();
        //从数据库中获取角色数据
        Set<String> roles = getRolesByUsername(userName);
        //从数据库中获取权限数据
        Set<String> permissions = getPermissionsByUsername(userName);
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //设置角色
        simpleAuthorizationInfo.setRoles(roles);
        //设置权限
        simpleAuthorizationInfo.setStringPermissions(permissions);
        return simpleAuthorizationInfo;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //从主体传过来的认证信息中获取用户名
        String userName = (String) authenticationToken.getPrincipal();
        //通过用户名到数据库中获取凭证
        String password = getPasswordByUserName(userName);
        if (password == null) {
            return null;
        }
        //realmName随便取名
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo
                ("sun",password,"customReal");
        //**************加盐**********************
        authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes("liri"));
        //****************************************
        return authenticationInfo;
    }

    //模拟数据库查询密码
    private String getPasswordByUserName(String userName) {
        //123456加密后+"liri"
        return "931c8cb3c2f2580b58c326022fc346f2";
    }
    //模拟数据库查询角色数据
    private Set<String> getRolesByUsername(String userName) {
        //...
        Set<String> sets = new HashSet<String>();
        sets.add("admin");
        sets.add("user");
        return sets;
    }
    //模拟数据库查询权限数据
    private Set<String> getPermissionsByUsername(String userName) {
        //...
        Set<String> sets = new HashSet<String>();
        sets.add("select");
        sets.add("add");
        return sets;
    }

    public static void main(String[] args) {
        Md5Hash md5Hash = new Md5Hash("123456","liri");
        System.out.println(md5Hash.toString());
    }
}

package com.research.shiro;

import com.research.shiro.realm.CustomRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;

/***
 *自定义realm
 */
public class CustomRealTest {

    @Test
    public void testAuthentication() {
        //自定义realm
        CustomRealm customRealm = new CustomRealm();

        //1.构建SecuityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(customRealm);

        //************加密*******************
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        matcher.setHashAlgorithmName("md5");
        //加密一次
        matcher.setHashIterations(1);
        customRealm.setCredentialsMatcher(matcher);
        //***********************************

        //2.主体提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();

        //登录
        UsernamePasswordToken token = new UsernamePasswordToken("sun", "123456");
        subject.login(token);

        //true为登录成功
        System.out.println("isAuthenticated:" + subject.isAuthenticated());

        subject.checkRole("admin");
        subject.checkPermissions("add", "select");
    }
}

 

jdbc realm

package com.research.shiro;

import com.alibaba.druid.pool.DruidDataSource;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;

public class JdbcRealmTest {

    //数据源
    DruidDataSource dataSource = new DruidDataSource();
    {
        dataSource.setUrl("jdbc:mysql://39.106.63.239:13306/dbgirl");
        dataSource.setUsername("root");
        dataSource.setPassword("riLI");
    }
    @Test
    public void  testAuthentication(){
        JdbcRealm jdbcRealm = new JdbcRealm();
        jdbcRealm.setDataSource(dataSource);
        //开启权限查询
        jdbcRealm.setPermissionsLookupEnabled(true);

        String sql = "SELECT password FROM userbasicsinfo WHERE userName = ?";
        //认证的sql查询使用我们自己的sql查询
        jdbcRealm.setAuthenticationQuery(sql);

        //查询权限
        String roleSql = "SELECT role_name FROM user_role WHERE user_name = ?";
        jdbcRealm.setUserRolesQuery(roleSql);

        //查询角色
        String perSql = "SELECT permission FROM permission WHERE role_name=?";
        jdbcRealm.setPermissionsQuery(perSql);

        //1.构建SecuityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(jdbcRealm);

        //2.主体提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();

        //登录
        UsernamePasswordToken token = new UsernamePasswordToken("sun","123456");
        subject.login(token);

        //true为登录成功
        System.out.println("isAuthenticated:"+subject.isAuthenticated());

        //验证角色
        subject.checkRole("admin");
        //验证权限
        subject.checkPermission("select");
    }
}

 

Apache Shiro源码(SecurityUtils
快乐的小码农
04-21 1020
SecurityUtils主要是为了获取Subject的,然后通过Subject进行一系列的验证动作。
shiro安全框架整理
qq_41951891的博客
12-15 2579
一:简单介绍 Apache安全框架 Apache Shiro是一个Java的安全管理框架,可以用在JavaEE环境下,也可以用在JavaSE环境下。 此前我们学习了很多有关阿帕奇的东西:maven,tomcat,等等 他能做什么? shiro架构 官方号称十分钟就可以入门:Apache Shiro | Simple. Java. Security. gti地址:GitHub - apache/shiro: Apache Shiro 二:...
org.apache.shiro.SecurityUtils.getSubject().getSession()
热门推荐
bitree1的博客
01-11 1万+
Shiro的Session管理 概述和配置使用 1.概述   Shiro提供安全框架界独一无二的东西:一个完整的企业级Session 解决方案,可以为任意的应用提供session支持,包括web和非web应用,并且无需部署你的应用程序到Web 容器或使用EJB容器。 2.基本使用   可以通过与当前执行的Subject 交互来获取Session: Subject currentUser...
使用shiro中 工具类方法SecurityUtils.getSubject()和方法subject.getPrincipal()获取当前登录用户
weixin_52654493的博客
12-17 2960
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
Shiro的Session管理
weixin_33826268的博客
11-24 247
为什么80%的码农都做不了架构师?>>> ...
Java安全框架Shiro在Web中的研究与应用_翁云翔.caj
08-15
安全框架 Shiro ,了解到 Shiro 是一个简单易 用且功能强大的安全框架,可以与很多第三方框架良好地耦合,并且可以在任何应 用环境中使用。接着通过介绍 Shiro 的四个基本功能:认证、授权、会话管理、加 密的...
最全的安全框架shiro学习视频
08-09
### 安全框架Shiro详尽学习指南 #### 一、Shiro简介 Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理等功能,可以非常容易地开发出足够安全的应用。Shiro的目标是帮助开发者更...
安全框架shiro 中文教程
11-05
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(认证)、授权(权限管理)、加密(加密服务)以及会话管理(session管理)等核心功能。本教程将引导你深入理解Shiro,并教你如何在实际的Web...
Java安全框架Shiro电子书
04-07
Apache Shiro 是Java 的一个安全框架。目前,使用Apache Shiro 的人越来越多,因为它相 当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以...
SpringBoot框架示例:整合SpringMVC、MyBatis、安全框架Shiro、页面布局框架Sitemesh.zip
05-05
Spring框架是Java平台上的一种开源应用框架,提供具有控制反转特性的容器。尽管Spring框架自身对编程模型没有限制,但其在Java应用中的频繁使用让它备受青睐,以至于后来让它作为EJB(EnterpriseJavaBeans)模型的...
ShiroSecurityUtils 报错
敬畏之心使人进步
12-25 1764
问题起源:      最近在往公司现有的项目中添加 Shiro 框架, 配置都是 CV 过来的. 导致点击登录时, SecurityManager 不能正确调用   原因:      shiro 在运行时, 是先在 web 中找到 shiroFilter, 然后再去找里面的具体的配置, 我的是跟 spring 结合的, 所以里面的配置文件是 applicationContext-shi...
shiro 在未登录时候获取 SecurityUtils.getSubject() 异常
最新发布
冬阳
09-26 1305
No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton. This is an invalid application configuration. shiro 报异常处理方案,以及自定义404 错误页面
SpringBoot整合Shiro
爱笑的boy的博客
10-05 1688
SpringBoot整合Shiro
Shiro安全框架
qq_48578877的博客
09-29 1443
Shiro安全框架
Shiro】一、Apache Shiro安全框架简介
KevinBrain的博客
04-01 1011
一、Shiro简介 Apache Shiro(发音为“ shee-roh”,日语为“ castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 Shiro提供了用于执行以下方面的应用程序安全性API(我喜欢将它们称为应用程序安全性的4个基石): 身份验证-证明用户身份,通常称为用户“登录”。 授权-访问控制 密码术-保护或隐藏数据以防被撬 会话管理-每个用户的时间敏
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息
qq_61592687的博客
02-09 3975
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息的呢?每次调用SecurityUtils.getSubject()方法,它会去当前所处线程获取用户信息,组装subject返回。如果是没有登录过的,他就会为当前访问的JSESSIONID创建一个subject,只是这个的就是未登录状态。
Apache Shiro 配置
王浩的技术博客
09-29 318
Shiro 被设计成能够在任何环境下工作,从最简单的命令行应用程序到最大的企业群集应用。由于环境的多样性,使得许多配置机制适用于它的配置。Shiro的SecurityManager 实现及所支持的组件都是兼容JavaBean的。这使得Shiro几乎能使用任何配置格式,如regular Java,XML(Spring,JBoss, Guice,等等),YAML,JSON,Groovy Builder...
java安全框架shiro的入门
长草颜团子
09-15 734
java流行的权限管理框架目前主要有两款,且都是出身名门,shiro是大名鼎鼎的Apache软件提供商下的,而spring security是spring全家桶成员的一员,都是安全类框架,主要对比如下可以自行查阅其他资料,这里主要说一句就是:shiro和spring security既然都存在,都在企业级应用中大量使用,显然就是选择的不同,根绝业务需求选择了即可,过多对比不再本博客赘述,请自行查阅相关资料. 官网:http://shiro.apache.org/ 什么是权限管理 基本上涉...
2020-09-01 关于shiroorg.apache.shiro.UnavailableSecurityManagerException No SecurityManager异常
m0_54866636的博客
03-25 1149
本地环境运行无异常,移植后出现异常。 1,查看异常代码 org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton. This is an invalid application configu
Java安全框架Shiro入门教程
Apache Shiro是一个全面且易于使用的Java安全框架,它提供认证、授权、加密以及会话管理功能,能够为各种应用程序提供强大的安全支持。相比其他如Spring Security这样的框架,Shiro的使用更加简单,适合快速构建安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值