shiro 基本用法。

最新推荐文章于 2024-06-21 11:39:48 发布
原创 最新推荐文章于 2024-06-21 11:39:48 发布 · 1.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Apache Shiro的基本用法,重点讨论了认证和授权流程。认证中讲解了加盐密码验证,授权则涉及权限和角色的设置,以及路径匹配的过滤器链配置。此外,还提到了Shiro的缓存、session管理和Remember Me功能的实现。

shiro学起来感觉是博大精深,自己学了几天,也只能是初步掌握了用法,但是感觉还是受益无穷。

重点是授权和认证。

认证的过程是只用原始密码和加盐方式,数据库存放的是加盐加密过的密码。(加盐的详解在我的另一篇文章中)

SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
                activeUser, password,ByteSource.Util.bytes(salt), this.getName());
这个SimpleAuthenticationInfo方法中只有第二参数和第三个参数是认证通过需要的,第一个参数的作用不明显,可以传递给授权过程使用,第四个参数基本上没用,就是保存的时候的key,随便写即可。

授权过程,基本上就是

SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //将上边查询到授权信息填充到simpleAuthorizationInfo对象中
simpleAuthorizationInfo.addStringPermissions(permissions);

SimpleAuthorizationInfo

这个方法的基本上就是使用addStringPermissions加权限,

simpleAuthorizationInfo.addRoles(roles);加角色,

权限和角色就是来自认证过程的一个参数的用户信息,根据数据库查找即可。

 

然后就是路径的匹配认证和匹配授权的编写。

使用过滤器链

过滤器简称

对应的java类

anon

org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter

logout

org.apache.shiro.web.filter.authc.LogoutFilter

 

anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,FormAuthenticationFilter是表单认证,没有参数

perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

user:例如/admins/user/**=user没有参数表示必须存在用户, 身份认证通过或通过记住我认证通过的可以访问,当登入操作时不做检查

 

除了这种方式匹配登录和匹配权限,还有注解的方式

@RequiresPermissions("item:query"),这是匹配权限,

@RequiresRoles("role1"); 这是匹配角色。

@RequiresAuthentication(); 这是要求调用自定义的CustomRealm的认证方法

 

其他的使用配置登录login,需要配置formAuthenticationFilter,login.jsp页面的form表单的提交url是无效的,点击提交之后,自动出现访问loginUrl的ref的路径。相当于是login方法  认证过程, 然后就是直接转移到上个路径,没有上个路径就是访问/

shiro 的配置缓存cache之后,授权方法不会因为刷新而调用,这样会造成问题就是修改了用户的权限,但是用户的权限没能体现出来。解决办法是清除缓存。

shiro配置session之后,可以设置过期时间,这个session就是request的session,因为shiro代理了controller层的request, 用 controller层的request获取session和subject.getSession得到的是一样的。

shiro配置remmember me, 用于匹配user这种情况。

 

最后附上我测试用的代码,基本上很混乱,但是该有的都有。

https://download.youkuaiyun.com/download/a03910/10633397

 

 

 

 

 

 

 

 

a03910
关注
SSM(三)Shiro使用详解
crossoverJie专栏
07-15 4374
前言相比有做过企业级开发的童鞋应该都有做过权限安全之类的功能吧,最先开始我采用的是建用户表,角色表,权限表,之后在拦截器中对每一个请求进行拦截,再到数据库中进行查询看当前用户是否有该权限,这样的设计能满足大多数中小型系统的需求。不过这篇所介绍的Shiro能满足之前的所有需求,并且使用简单,安全性高,而且现在越来越的多企业都在使用Shiro,这应该是一个收入的你的技能库。创建自定义MyRealm类有关
1. shiro基本使用
weixin_39563769的博客
08-02 510
1. Shiro是基于Java语言编写的,Shiro最核心的功能就是认证和授权。
shiro 用法
比你优秀的人比你还要努力
06-21 2593
最近在做项目的时候需要用到shiro做认证和授权来管理资源 在网上看了很多文章,发现大多数都是把官方文档的简介摘抄一段,然后就开始贴代码,告诉你怎么怎么做,怎么怎么做 相信很多小伙伴即使是跟着那些示例代码做完配完,并且成功搭建,估计也是一头雾水,可能会不理解,为什么要这么做 本人也是在看了大量文章之后,然后又自己动手搭了一便,得出如下使用的感悟,特此分享给大家 依照程序,我要在这里对...
Shiro基本使用
每天至少八杯水的博客
03-31 9494
1.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在.
apache shiro jar包_Shiro安全框架(1)基础入门案例
weixin_39833469的博客
11-26 262
学习Shiro的时候,阅读过很多优秀的文章,比如《跟我学Shiro》系列等等。于是结合自己的实际情况,自己整理了一部分。这是第一篇文章,旨在从基础案例出发了解其原理。一、认识Shiro1、简介Shiro是Apache的一个安全权限框架,比如说我们都遇到过这样一种情况,我们下载完某个软件的时候,然后登陆。突然发现我们可以使用好几种身份去登陆。比如说游客、会员身份、普通用户等。我们使用的身份不同,展示...
Shiro基本使用
wangshan_1121的博客
04-16 254
本篇主要介绍shiro的简单基本使用,我使用的是maven管理项目1.在pom.xml中添加依赖<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</...
SpringBoot整合shiro基本使用
hjvvlkn的博客
06-21 261
import cn/*** @description:自定义Realm实现授权认证} /***授权* 通过认证后 doGetAuthenticationInfo 传过来认证成功的用户进行授权管理 如果返回为null证明不需要权限* @return//获取认证成功传递过来的用户对象 String userName =(String) principalCollection . getPrimaryPrincipal();
shiro基本使用
04-20
在这个“shiro基本使用”教程中,我们将深入理解 Shiro 的核心概念,并通过一个名为 "shirodemo" 的示例项目来实践这些概念。 **一、Shiro 的核心组件** 1. **认证**:Shiro 提供了身份验证(Authentication)...
shiro使用方法.ppt
07-19
它提供了认证(身份验证)和授权(访问控制)的基本方法,如 login、logout、isPermitted、hasRole 等。Subject 不直接存储安全信息,而是通过 SecurityManager 进行交互。 2. **SecurityManager**:...
shiro使用教程
Daniel
05-26 1031
Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。
shiro如何使用详解
9527的博客
04-06 6517
一.Shiro能做什么。 Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单 (注意:记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可)二.Shiro使用步骤。1.先把账号密码传入Shiro里面的UsernamePasswor...
授权 - Spring Security简单案例
个人纪录、总结!
10-21 984
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
Shiro基本使用
qq_43062104的博客
02-02 200
导入pom.xml <!-- shiro核心文件--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version> </dependency&g
Shiro用法
u013915286的博客
03-30 375
1.Shiro是什么 shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来...
shiro使用方法
于小袁的博客
11-18 684
先写一个大纲能做什么 1.认证 2.授权 3.会话管理 4.加密 5.缓存 6.与Web集成 配置在最后边 认证 1:如何实现登陆 我们先捋一下登陆历程,我们点击登陆, 1:前端数据发送到登陆控制器 2:在控制器里面创建令牌,然后我们通过shiro的subject的对象调用login方法 传入令牌 3:调用login,之后就交给安全管理器处理,安全管理器从realm拿到数据 4:之后安全管理器 再次委托到 authenticator 传入数据源取来的数据 和token判断账户密码是
Shiro使用方法
最新发布
06-18
我们正在讨论Shiro框架的使用方法和示例代码。根据引用,Shiro是一个安全框架,提供认证、授权、会话管理等功能。下面将按照步骤介绍Shiro基本使用,包括环境配置、认证、授权、会话管理以及集成SpringBoot。###1....
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值