shiro原理与HelloWorld

最新推荐文章于 2024-02-22 17:21:02 发布
最新推荐文章于 2024-02-22 17:21:02 发布
阅读量406 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: SpringBoot基础 文章标签: spring shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cekong_wzj/article/details/80836598
本文深入探讨了Apache Shiro框架的权限认证流程与原理,并通过一个实战案例展示了如何利用Shiro进行用户身份验证。文章首先介绍了Shiro的核心组件及其工作方式,接着详细解释了认证过程中的关键步骤,包括Subject、SecurityManager、Authenticator等组件的角色和功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一个非凡的网站 http://www.hikson.com,RJ海客森

视频录制

  1. git地址:https://gitee.com/hikseason/demo-spring-boot-all.git
  2. 视频地址:https://pan.baidu.com/s/19mrxCE9Y5R5ntSEg_EReOg

1.Shiro原理与HelloWorld

认证

1.身份认证流程

  1. (1)Subject.login(token)==>(2)委托给Security Manager处理==>(3)Authenticator
  2. ==>Authentication Strategy==>通过Realms,数据库查询处理

2.详细原理

  1. 首先调用 Subject.login(token)进行登录,其会自动委托给 Security Manager,调用之前必
    须通过 SecurityUtils. setSecurityManager()设置;
  2. SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
    3.A uthenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自
    定义插入自己的实现;
  3. Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返
    回/抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进
    行访问。
  4. Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认
    ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;

2.Demo代码实现

1.引入依赖

<dependencies>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>1.4.0</version>
  </dependency>
  <dependency>
      <groupId>commons-logging</groupId>
      <artifactId>commons-logging</artifactId>
      <version>1.2</version>
  </dependency>
</dependencies>

2.Hello主程序

public static void main( String[] args )
{
    //1、获取 SecurityManager 工厂,此处使用 Ini 配置文件初始化 SecurityManager
    //IniSecurityManagerFactory默认采用IniRealm
    Factory<org.apache.shiro.mgt.SecurityManager> factory =
    new IniSecurityManagerFactory("classpath:shiro.ini");
    //2、得到 SecurityManager 实例 并绑定给 SecurityUtils
    org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
    SecurityUtils.setSecurityManager(securityManager);
    //3、得到 Subject 及创建用户名/密码身份验证 Token(即用户身份/凭证)
    Subject subject = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken("gujch", "111111");
    try {
        //4、登录,即身份验证; 其会自动委托给 SecurityManager.login 方法进行登录
        subject.login(token);
    } catch (AuthenticationException e) {
        //5、身份验证失败
        /*
         * DisabledAccountException(禁用的帐号)
         * LockedAccountException(锁定的帐号)
         * UnknownAccountException(错误的帐号)
         * ExcessiveAttemptsException(登录失败次数过多)
         * IncorrectCredentialsException (错误的凭证)
         * ExpiredCredentialsException(过期的凭证)等
         * */
        System.err.println("验证失败==========>" + e.getMessage());
    }

    System.out.println("是否登录=====>" + subject.isAuthenticated()); //断言用户已经登录
    System.err.println("登录用户=====>" + subject.getPrincipal());
    //6、退出;其会自动委托给 SecurityManager.logout 方法退出
    if(subject.isAuthenticated()){
        subject.logout();
        System.err.println("==========退出登录=====");
    }
    System.err.println("是否登录=====>" + subject.isAuthenticated()); //断言用户已经登录
}

3.shiro.ini

[users]
rainbow=123456
gujch=111111

3.核心点

1.Subject主体

主体。抽象概念,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等。

2.SecurityManager核心

是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理

3.Authenticator

认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了

4.Authrizer

授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能

5.Realm安全实体数据源

可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提 供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm。

6.SessionManager

会话管理

7.SessionDao

DAO 大家都用过,数据访问对象,用于会话的 CRUD,比如我们想把 Session保存到数据库,那么可以实现自己的 SessionDAO,通过如 JDBC 写到数据库;比如想把Session 放到 Memcached 中,可以实现自己的 Memcached SessionDAO;另外 SessionDAO中可以使用 Cache 进行缓存,以提高性能

8.CacheManager

缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能

9.Cryptography

密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密的

springboot整合springsecurity从Hello World到源码解析(一):hello world程序入门
jsbintask的博客
01-16 648
springboot整合springsecurity从Hello World到源码解析(一):hello world程序入门 security   摘要:权限控制在我们的项目当中一般都有用到,有简单的登录就搞定的权限访问,也有分级身份的权限控制, 而权限控制的方式对于不同的需求也有多种选择,小到使用代码硬编码,自定义过滤器,自定义拦截器等等。更加灵活的方式则是使用已有的权限工具。 如s...
shiro使用CacheManager
菜鸡的博客
11-17 3361
1.Cache 作用 Cache 缓存: 计算机内存中一段数据 作用: 用来减轻DB的访问压力,从而提高系统的查询效率 流程: 2.使用shiro中默认EhCache实现缓存 引入依赖 <!--引入shiro和ehcache--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <v
shiro中CacheMananger(缓存管理器)
qq_42418169的博客
03-30 2189
文章目录使用EhCache实现缓存1.引入maven依赖开启缓存使用redis实现缓存引入maven依赖 使用EhCache实现缓存 shiro 默认使用 EhCache实现本地缓存 EhCache 是一个纯Java的进程内缓存框架,具有快速、精干等特点 1.引入maven依赖 <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-ehcache --> <dependency> <groupI
3.CacheManager(shiro缓存管理)
热门推荐
浪子
09-02 1万+
上一章我们讲了SecurityManager,接下来的章节顺序是根据SecurityManager的依次实现类的依赖组件来讲。 在讲cacheManager前,我们先了解下Cache。 Cache有效的存储临时对象来提升应用的性能。由于Cache不属于安全框架的核心功能,所以shiro本身并没有完全实现Cache机制。Cache接口相当于底层的缓存框架的顶层接口,shiro的一切的缓存操作都
shiro(三):cacheManager,缓存管理器
coolwind的博客
12-06 1万+
使用缓存可以避免需要授权信息时频繁的调用数据库查询的问题。 原理很简单,只要在SecurityManager里注入CacheManager即可。 我们可以自己定义CacheManager的实现,可以是ehcache、redis等等。 1.SecurityManager 在securityManager里配置CacheManager &lt;!--securityManager--&gt; ...
shiro缓存管理
你就像甜甜的益达
01-05 955
文章目录shiro缓存现象如果我设置了缓存:缓存源码分析shiro提供的基于内存的CacheManager基于Ehcache的缓存基于Redis的缓存 shiro缓存现象 shiro缓存主要就是换成用户的授权信息,就是将我们的自定义realm的doGetAuthorizationInfo方法就是给用户授权的方法进行缓存. 如果不使用缓存,那么每次进行用户权限判断的时候就会调用一下授权方法: 我请求...
Shiro学习第一式身份验证1(HelloWorld
02-23
在“Shiro学习第一式身份验证1(HelloWorld)”中,我们将探讨如何通过 Shiro 进行基本的身份验证设置,实现一个简单的 "Hello, World!" 示例。 1. **Shiro 框架介绍**: Apache Shiro 是一款轻量级的安全框架,它...
Java私塾:Shiro入门实战全解析
2. **Shiro入门**:首先阐述Shiro的定义、主要功能以及整体架构,接着通过一个简单的HelloWorld例子,让学员对Shiro有个初步认识。 3. **Shiro的配置**:讲解程序和配置文件(ini)的配置方法,涉及权限字符串配置...
Java私塾:系统掌握Shiro权限认证开发
2. **Shiro入门**:章节涵盖Shiro的定义、功能概述、架构介绍,以及一个简单的HelloWorld示例,帮助学员建立起对Shiro的基本认识。 3. **Shiro配置**:详细讲解程序配置和ini配置方式,包括不同部分的配置选项,...
Java私塾:系统掌握Shiro权限管理集成教程
**第二章**则是Shiro的入门介绍,涵盖Shiro的定义、功能、架构概述以及一个简单的HelloWorld示例,帮助学员对Shiro有个全面的认识。 **第三章**着重于Shiro的配置,包括程序级别的配置、使用Ini文件进行配置,以及...
吃透Shiro源码4----Cache、CacheManager
大宇的博客,欢迎访问
12-10 580
文章目录技术手法(1)究竟什么是缓存(2)用Map作为缓存实现(3)如何管理缓存生命周期(4)AOP解析方法上的注解思路重点研究类 技术手法 (1)究竟什么是缓存 缓存这个词语,我耳朵都快听出茧子了,什么Redis、Ecache。不过,到底什么是缓存,说实在的,我一直很模糊其概念。今天终于接近了缓存代码的源头。缓存到底是什么?我的总结:缓存对象是一个可以封装多组键值对的特殊对象。因此,缓存可以视为...
Shiro缓存管理器EhCacheManager的使用方法
TheWayForDream
11-28 2105
Shiro缓存可以用来临时缓存权限信息,这样就不用每一次权限信息认证的时候都去数据库查询,可以打打提高效率 1.ShiroConfig类中声明缓存管理器对象EhCacheManager 2.给DefaultWebSecurityManager安全管理器对象注入EhCacheManager @Configuration//替代xml文件 public class ShiroConfiguration { //缓存管理对象 @Bean public EhCacheManager getEhCac
Shiro缓存管理
amoscxy的博客
09-20 2146
文章目录Shiro缓存管理 Shiro缓存管理 用于缓存角色数据和权限数据,每次不用都从数据库中获取数据,直接从缓存中获取 redis缓存操作 package com.shiro.cache; import com.shiro.util.JedisUtil; import org.apache.shiro.cache.Cache; import org.apache.shiro.cache.C...
Shiro学习笔记(四)使用CacheManager
今晨的个人博客
04-26 723
Shiro学习笔记(四)使用CacheManager 实现用户认证授权之后,发现,每次刷新页面都会进行多次的数据库操作,为了避免这种现象,减轻数据库的负担,使用缓存,将查询的数据缓存到cache中,避免多次的查询数据,从而提高系统的查询效率. 使用shiro中默认的EnCache实现缓存 1.引入依赖 <!--引入shiro和ehcache--> <dependency> <groupId>org.apache.shiro</groupId> <
Shiro再理解
Life And Code
06-13 2596
文章目录1.权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权2.什么是shiro3.shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography4. shiro中的认证4.1 认证4.2 shiro中认证的关键对象4.3 认证流程4.4 认证的开发1. 创建项
Ehcache 集成 shiro 后再集成spring cache后出现 CacheManager 冲突
雨陆聪辰的博客
11-29 924
org.springframework.beans.BeanInstantiationException: Failed to instantiate [net.sf.ehcache.CacheManager]: Factory method 'ehCacheCacheManager' threw exception; nested exception is net.sf.ehcache.CacheException: Another unnamed CacheManager already exists
shiro会话管理
zhangchang0516的博客
04-13 588
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 基础组件 1.1 Se...
Shiro进阶(三)Shiro之缓存和会话管理
jwang的博客
05-13 1592
前言 本章讲解shiro中缓存和会话的管理 方法 1.概念 在之前的例子中我们发现,我们每一次访问需要一定权限的url是,程序将自动的去数据库中查询所需要的角色权限信息,一旦我们的菜单和按钮上写入的控制太多,那么将对应查询很多次数据库。 上面显示,我们每次访问需要权限的页面都需要去数据库查询相应的角色和权限。 为了避免上面的问题,我们可以配置shiro的缓存。 2.s...
Shiro-12-caching 缓存
最新发布
02-22 712
Shiro开发团队理解性能在许多应用程序中是至关重要的。缓存是Shiro从第一天起就内置的一流功能,以确保安全操作保持尽可能快的速度。然而,缓存作为一个概念是Shiro的基本部分,实现完整的缓存机制将超出安全框架的核心能力。为此,Shiro的缓存支持基本上是一个抽象(包装)API,它将“位于”底层的生产缓存机制(例如Hazelcast、Ehcache、OSCache、Terracotta、Coherence、GigaSpaces、JBossCache等)之上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值