Shiro架构

已于 2023-05-19 08:55:43 修改
阅读量134 收藏
点赞数
文章标签: 架构 数据库 java
于 2023-04-11 14:04:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/king220022/article/details/130082374
版权

1.3 Shiro架构


1.3.1 Subject
Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权
1.3.2 SecurityManager
SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。
1.3.3 Authenticator
Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。
1.3.4 Authorizer
Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
1.3.5 realm
Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。
1.3.6 sessionManager
sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
1.3.7 SessionDAO
SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。
1.3.8 CacheManager
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
1.3.9 Cryptography
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。
1.4 shiro的jar包
与其它java开源框架类似,将shiro的jar包加入项目就可以使用shiro提供的功能了。shiro-core是核心包必须选用,还提供了与web整合的shiro-web、与spring整合的shiro-spring、与任务调度quartz整合的shiro-quartz等,下边是shiro各jar包的maven坐标。
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>1.2.3</version>
</dependency>
也可以通过引入shiro-all包括shiro所有的包:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.2.3</version>
</dependency>
参考lib目录 :


shiro认证1.1 认证流程


1.2 入门程序(用户登陆和退出)1.2.1 创建java工程
jdk版本:1.7.0_72
eclipse:elipse-indigo
1.2.2 加入shiro-core的Jar包及依赖包


1.2.3 log4j.properties日志配置文件
log4j.rootLogger=debug, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
1.2.4 shiro.ini
通过Shiro.ini配置文件初始化SecurityManager环境。
配置eclipse支持ini文件编辑:


在eclipse配置后,在classpath创建shiro.ini配置文件,为了方便测试将用户名和密码配置的shiro.ini配置文件中:
[users]
zhang=123
lisi=123
1.2.5 认证代码


1.2.6 认证执行流程
1、 创建token令牌,token中有用户提交的认证信息即账号和密码
2、 执行subject.login(token),最终由securityManager通过Authenticator进行认证
3、 Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码,这里使用的是IniRealm(shiro自带)
4、 IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModularRealmAuthenticator返回null,如果找到则匹配密码,匹配密码成功则认证通过。
1.2.7 常见的异常
UnknownAccountException
账号不存在异常如下:
org.apache.shiro.authc.UnknownAccountException: No account found for user。。。。
IncorrectCredentialsException
当输入密码错误会抛此异常,如下:
org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - zhangsan, rememberMe=false] did not match the expected credentials.
更多如下:
DisabledAccountException(帐号被禁用)
LockedAccountException(帐号被锁定)
ExcessiveAttemptsException(登录失败次数过多)
ExpiredCredentialsException(凭证过期)等
1.3 自定义Realm
上边的程序使用的是Shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。
1.3.1 shiro提供的realm


最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权,通常自定义的realm继承AuthorizingRealm。
1.3.2 自定义Realm


1.3.3 shiro-realm.ini
[main]
#自定义 realm
customRealm=cn.itcast.shiro.authentication.realm.CustomRealm1
#将realm设置到securityManager
securityManager.realms=$customRealm
思考:这里为什么不用配置[users]了??
1.3.4 测试代码
测试代码同入门程序,将ini的地址修改为shiro-realm.ini。
分别模拟账号不存在、密码错误、账号和密码正确进行测试。
1.4 散列算法
散列算法一般用于生成一段文本的摘要信息,散列算法不可逆,将内容可以生成摘要,无法将摘要转成原始内容。散列算法常用于对密码进行散列,常用的散列算法有MD5、SHA。
一般散列算法需要提供一个salt(盐)与原始内容生成摘要信息,这样做的目的是为了安全性,比如:111111的md5值是:96e79218965eb72c92a549dd5a330112,拿着“96e79218965eb72c92a549dd5a330112”去md5破解网站很容易进行破解,如果要是对111111和salt(盐,一个随机数)进行散列,这样虽然密码都是111111加不同的盐会生成不同的散列值。
1.4.1 例子


1.4.2 在realm中使用
实际应用是将盐和散列后的值存在数据库中,自动realm从数据库取出盐和加密后的值由shiro完成密码校验。
1.4.2.1 自定义realm

shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6763
1、shiro架构shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
SpringBoot集成shiro认证,实现Shiro认证的登录操作
2303_77877769的博客
04-17 771
我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)[外链图片转存中…(img-Z7OhkLXx-1713323885625)]
Apache Shiro权限管理深度解析:核心组件、配置与集成、优势及适用场景全面详解
最新发布
03-03 1045
可以为不同的 Realm 配置独立的缓存策略。
Shiro安全框架的三大核心
m0_59092234的博客
04-25 541
1.Subject(主体) 应用代码的直接交互对象就是Subject,也就是说Shiro对外的核心API就是Subject,Subject代表了当前“用户”,这个用户不是指具体的某一个人,可以说与当前应用交互的任何东西都是Subject,与Subject的所有交互都会委托给SecurityManager来执行,可以理解为Subject只是一个充当门面的,真正的幕后老大是SecurityManager,SecurityManager才是实际的执行者。 2.SecurityManager(安全管理器) 所有与安
非常详尽的 Shiro 架构解析!
weixin_34097242的博客
11-13 381
Shiro是什么? Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。 官网:ht...
Shiro架构原理与使用
weixin_41320292的博客
05-10 348
Apache ShiroJava 的一个安全(权限)框架 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存 http://shiro.apache.org/ ​ author–>xiaokai 一、简介 1. 基本功能点如下: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用 户是否能进行什么操作,如:验证某个用户是.
Apache Shiro系列教程之三:Shiro的结构
aihuowei4543的博客
11-02 220
Shiro的设计目标是简化应用的安全管理工作。软件通常是以用户为基础设计的。也就是说,我们经常是根据用户是怎样和我们的软件交互的来设计相关的用户接口。比如,你可能会说“如果是已经登录的用户与我的软件交互,那么我给他就显示一个按钮,让他点击后可以查看自己的账户信息。如果用户没有登录,那么我就显示一个注册按钮”。 这个例子说明了我们软件中很多代码都是为了满足用户需求而写。即使“用户”有时候...
Shiro】Apache Shiro架构之实际运用(整合到Spring中
05-07
### Apache Shiro 架构之实际运用(整合到Spring中) #### 一、Apache Shiro 简介 Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证(Authentication)、授权(Authorization)、加密(Cryptography)和会话...
Apache Shiro 使用手册(一) Shiro架构介绍
09-15
Shiro的核心组件包括Subject、SecurityManager和Realms,它们共同构成了Shiro的基础架构。 1. **Subject**: Subject代表了当前进行安全操作的主体,可以是用户、第三方进程或其他实体。在Shiro中,Subject接口提供...
Apache_Shiro_使用手册(一)Shiro架构介绍
03-06
### Apache Shiro 使用手册(一)Shiro架构介绍 #### 一、Shiro简介 Apache Shiro 是一款功能强大且易于使用的 Java 安全框架,它提供了多种安全相关的功能和服务,包括但不限于认证、授权、加密和会话管理。相较...
Spring+Shiro架构下的权限管理系统开发
在实际应用中,一个基于Spring+SpringMvc+MiniJdbc+Shiro架构的权限管理系统可能会包含用户管理模块、角色管理模块、资源管理模块、权限分配模块、会话管理模块等,它们共同协作以实现完整的权限管理功能。...
shiro1.3.2基本使用
WY001的博客
05-08 1266
文章目录1 shiro基本功能2 shiro架构2.1从外部看shiro架构2.2从内部看shiro架构3 新建java project(非web)4 在spring环境下使用shiro(web工程) 1 shiro基本功能 2 shiro架构 2.1从外部看shiro架构 2.2从内部看shiro架构 3 新建java project(非web) 目录结构 shiro.ini文件 [...
Apache Shiro系列漏洞利用以及实战总结
web17886480312的博客
09-01 910
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。...
Shiro简介
qq_45554909的博客
02-02 389
1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 下载地址:http://shiro.apache.org/ 2、有哪些功能 Authentication: 身份认证、登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有
十四、Spring Boot - 集成 Shiro(7)
Daniel的博客
10-04 894
Shiro 官网Shiro不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro这个是我 shiro-main 官网下载的也可以直接用 copy 所有的依赖到 shiro-hello / pom.xml中都没有版本但是就添加个下面的版本就可以 完整依赖: log4j.properties 看到能打印出这行信息,说明快如入门成功测试运行结果显示:文章最终结构(可以到最后参考): 新建一个包 编写一个 测试,代码如下: 在 templates下新建一
Shiro整合SSM框架详细步骤
飞起来的小猪的博客
03-08 6647
最近开始学习Shiro,记录一下Shiro整合SSM的步骤,期间也碰到许多小问题,和大家分享一下。 开发工具:IDEA Demo框架:Spring+SpringMVC+Mybatis+Maven 1.添加Shiro相关jar包,Demo是使用Maven管理,在pom.xml添加以下配置。 &lt;properties&gt; &lt;shiro.version&gt;1.3.2...
Shiro【授权、整合Spirng、Shiro过滤器】
qq_53058639的博客
01-13 416
一般地,我们的权限都是从数据库中查询的,并不是根据我们的配置文件来进行配对的。因此我们需要自定义reaml,让reaml去对比的是数据库查询出来的权限shiro-realm.ini配置文件:将自定义的reaml信息注入到安全管理器中[main]#自定义 realm#将realm设置到securityManager,相当 于spring中注入我们上次已经使用过了一个自定义reaml,当时候仅仅重写了doGetAuthenticationInfo()方法,
Shiro详细使用
残影的博客
10-10 1708
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
漏洞大杂烩自己看
shayebudon的博客
04-13 3042
fastjson反序列化漏洞原理以及利用 fastjson不出网怎么利用 shiro反序列化漏洞原理 shiro的构造链 shiro的回显方式有哪些 shiro550特征 jboss反序列化漏洞原理 weblogic反序列化漏洞 weblogic权限绕过
Apache Shiro架构解析与核心组件详解
本文档是关于Shiro的个人总结,包含Shiro的完整架构图和核心组件的介绍。" Shiro框架是Java领域内一个轻量级的安全管理框架,它的设计目标是提供简单易用的API,使得开发者可以轻松地实现应用的安全控制。Shiro的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值