Shiro 架构,看这篇就够了

最新推荐文章于 2025-05-20 21:09:55 发布
最新推荐文章于 2025-05-20 21:09:55 发布
阅读量649 收藏
点赞数
分类专栏: 个人技术分享
本文深入解析了Shiro安全框架的核心概念,包括Subject、SecurityManager和Realms,阐述了它们在安全认证和授权过程中的作用。介绍了Authenticator和Authorizer的职责,以及AuthenticationStrategy在多Realm情况下的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  Shiro是一个简洁,易用的安全框架。

  Shiro 架构有三个基本的概念: Subject, SecurityManager and Realms。

  

 

  Subject,

  实际就是我们通常所指的用户,但是,为什么不用User 呢, 这是因为User,我们通常理解为实际的用户, 而用Subject则表示Shiro面向的可以是一个实际用户,也可能是第三方的服务,系统,或者Job等。

  每个Subject实例都会绑定对应的SecurityManager。

  SecurityManager

  是整个Shiro的核心。典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

  Realms

  Realms是一个连接Shiro和应用程序安全数据之间的桥梁。当进行鉴权和授权的时候,Shiro会查询一个或者多个Realms。Shiro提供一些默认的Realm,例如LDAP, JDBC和INI文件中。

  

 

  1. Authenticator, 鉴权, 登录的时候检查是否能登录

  Authentication Strategy, 对于多个Realm的情况,需要一个策略来决定用户是否可以登录。例如,一个Realm能通过,但是另一个Realm鉴权失败,用户可否登录?

  2. Authorizer, 授权 ,访问控制,表示一个用户可以做什么操作,不可以做什么。

  所以我们可以看到,鉴权的过程是:

  

 

  而授权的过程是:

  

 

  

后端技术栈---看完这
萌古大汗的专栏
01-09 1349
参考:互联网后端技术栈大全,建议收藏!后端技术栈
java架构师进阶之路
henhenha的博客
03-30 5380
包含了计算机基础、算法和数据结构、常用工具、java核心知识、性能优化、基础框架、数据库、消息队列、缓存中间件、搜索引擎、大数据、RPC、网关、容器、面试等知识
shiro框架表结构Sql脚本
08-13
shiro框架表结构Sql脚本,5大表+数据,一键导入,权限控制
Shiro学习笔记,一用了
weixin_64443786的博客
04-25 537
shiro
PHP、JAVA、Shiro反序列化
最新发布
myrouya的博客
05-20 1080
Shiro-550 类似,Shiro-721 漏洞也涉及到 RememberMe 功能,但它的 AES 加密密钥通常是随机生成的,不容易被猜测。而漏洞就是出现在这里,我们都知道AES它是一个硬编码,他是有默认密钥的,如果程序员没有去修改或者过于简单,那我们就可以进行cookie重构,先构造我们的恶意代码,然后将恶意代码进行序列化,然后AES加密(密钥我们已经爆破出来了)再进行base64编码,形成我们新的cookie,而服务器在处理时就会按照刚才的处理流程,就会在服务端触发我们构造的恶意代码。
Shiro安全框架【快速入门】看这一
qq_38923630的博客
05-23 631
Shiro安全框架Shiro简介为什么是Shiro?Apache Shiro Features 特性High-Level Overview 高级概述自定义 RealmShiro 加密SpringBoot 简单实例第一步:新建SpringBoot项目,搭建基础环境第二步:新建实体类第三步:配置 Shiro第四步:准备 DAO 层和 Service 层第五步:controller层第六步:准备页面第七步:测试 Shiro简介 照例又去官网扒了扒介绍: Apache Shiro™ is a powerful
shiro介绍和使用
myStyle的博客
03-06 2791
什么是shiroshiro是apache的一个开源框架,是一个权限管理的框架,实现用户认证、用户授权、会话管理等。 shiro的功能: 1、Authentication认证 -- 用户登录 2、Authorization授权-- 用户具有哪些权限 (1) 、编程式:通过写if/else 授权代码块完成 (2)、注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常, 例如:@RequiresPermissi...
项目中用到Shiro安全配置用于系统的登录和权限认证
我们不生产任何代码 只做代码的搬运工
01-28 2229
自己的项目中很多都用到了Shiro的配置来管理验证登录和权限认证,所以自己简单的小结一下,这里暂时只解释登录验证这一块。 (1)首先在项目的WEB-INF目录下的web.xml配置中: 加上  01 02    03      shiroFilter  04      org.springframework.web.filter.DelegatingFil
(经验分享)一个95后Java后端研发攻城狮❤️入行半年工作经验、心得大盘点
令狐_JackieHao的博客
03-29 1262
作为一名Java后端菜鸟工程师,2024年3-29是我入行半年多的日子,这文章记录作为开发人员这半年的学习心得,工作感想,经验总结,欢迎大家看指正。
Java 学习路线大全,再也不用迷路啦(持续更新)
腾讯全栈-ITCJF
10-14 3633
路线特点 最新,完整一条龙,从入门到入土(⭐ 表示推荐学习) 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 划分阶段、更有计划,且在最后给出持续学习的方向、探索 Java 程序员发展的无限可能 前言 首先呢,我们要了解 Java 的应用场景和就业方向,看看和自己的学习目的是否一致,目前,Java 的岗位需求多,是后台开发的主流编程语言,功能强大,还是很值得学习的。 阶段 1:Java 入门 目标 培养兴趣、快速上手 前期准备 准备好一款在线、随时随地
从0开始搭建一个微服务后端系统-基础入门
m0_37208669的博客
08-30 3057
前言 今天开始,我和大家一起,从0开始,基于Spring Cloud Alibaba,搭建一套基本的微服务架构的项目。 主要用到下面的知识内容 JDK8/IDEA/Maven Spring/SpringBoot/Spring Cloud Alibaba Dubbo/openfeign:服务间调用 这里之所以引入了两种调用方式,是为了方便根据接口的实际情况,选择合适的调用方式 Seata:分布式事务 MySQL Redis RabbitMQ/RocketMQ RBAC:这里,我不打算使用常见的 Spr
非常详尽的 Shiro 架构解析
Java技术栈,分享最主流的Java技术
06-17 1430
Shiro是什么? Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。 官网:http://shiro.apache.org Shiro有什么用? 以下是你可以用Apache Shiro所做的事情: 验证用户来核实他们的身份 对用户.
shiro使用
笑看风云路的博客
01-04 771
shiro使用场景: 登录的验证 对指定角色以及权限的验证 对URL的验证 shiro使用步骤: 以下针对maven项目管理来说的 1、在pom.xml中添加依赖 <!--shiro start-->     <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> ...
Shiro 使用
weixin_38259248的博客
04-11 186
Shiro Demo 准备工作 运行前申明 请看完本页面的所有细节,对你掌握这个项目来说很重要,别一上来就搞,你不爽,我也不爽。 本项目需要一定的Java功底,需要对SpringMvc,Mybatis,有基本的了解,其次对Redis有了解和使用更佳。 本项目理论上,只需要一个Redis,然后一个Mysql和一个有Maven环境的开发工具即可运行起来。 对Reids没有了解,请看这里:对R...
Shiro内部结构
Pruett的博客
08-09 426
Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”; SecurityManager : 相 当 于 SpringMVC 中 的 DispatcherServlet 或 者 Struts2 中 的 FilterDispatcher;是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管 理着所有 Subject、且负责进行认证和授权...
shiro的会话管理:应用场景分析
Leon_Jinhai_Sun的博客
01-01 677
应用场景分析 在分布式系统或者微服务架构下,都是通过统一的认证中心进行用户认证。如果使用默认会话管理,用户信息只会保存到一台服务器上。那么其他服务就需要进行会话的同步。 会话管理器可以指定sessionId的生成以及获取方式。 通过sessionDao完成模拟session存入,取出等操作 ...
shiro学习笔记3——shiro架构介绍+Subject+Realm+Authticat
xinpz的博客
08-02 1548
6 shiro介绍    6.1 什么是shiro   shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。   spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系...
Shiro框架在项目中的应用
weixin_54685622的博客
04-03 6437
1、Shiro 框架简介 Shiro 概述 Shiro 是Apache公司推出一个权限管理框架,其内部封装了项目中认证,授权,加密,会话等逻辑操作,通过Shiro框架可以简化我们项目权限控制逻辑的代码的编写。其认证和授权业务分析,如图所示: Shiro 框架概要架构 Shiro 框架中主要通过Subject,SecurityManager,Realm对象完整认证和授权业务,其简要架构如下: 其中: Subject 此对象负责提交用户身份、权限等信息 SecurityManager 负责完成认证、授权等核
Shiro基础概念和使用场景
小安安
08-25 959
概述 Shiro是Apache旗下的一个开源项目,它是一个非常易用的安全框架,提供了包括认证、授权、加密、会话管理等功能,与Spring Security一样属基于权限的安全框架,但是与Spring Security 相比,Shiro使用了比较简单易懂易于使用的授权方式。Shiro属于轻量级框架,相对于Spring Security简单很多,并没有security那么复杂。 优势特点 它是一个功能强大、灵活的、优秀的、开源的安全框架。 它可以胜任身份验证、授权、企业会话管理和加密等工作。 它易于使
Apache Shiro架构解析与核心组件详解
1. **Subject**:这是Shiro的核心接口,代表了“当前操作用户”。Subject提供了所有与安全相关的操作,如登录、登出、权限检等。在实际应用中,Subject通常是DelegatingSubject的实例,它会委托给SecurityManager...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值