Shiro之温故而知新

最新推荐文章于 2022-10-31 22:01:03 发布
最新推荐文章于 2022-10-31 22:01:03 发布
阅读量340 收藏
点赞数
分类专栏: java 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37504376/article/details/104134907
版权
本文深入探讨Apache Shiro框架的权限管理机制,包括认证与授权的抽象对象模型,如Subject、Principal、Credential、Resource和Permission。同时,文章详细介绍了Shiro在SpringBoot中的整合过程,包括配置过滤器、创建自定义Realm及实现认证与授权的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录


Shiro分为认证和授权
在这里插入图片描述

认证中抽象出来的对象

Subject:主体

访问系统的用户,主体可以是用户,程序等。进行认证的都成为主体。

Principal:身份信息

是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以
有多个身份,但是必须有一个主身份(Primary Principal),比如手机号登录,或者账户登录。

Credential:凭证信息

是只有主体自己知道的安全信息,如密码、证书等。

授权中抽象出来的对象

授权可简单理解为who对what(which)进行How操作:

Who,即主体(Subject)

主体需要访问系统中的资源。

What,即资源(Resource)

如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号为001的商品信息也属于资源实例。

How,权限/许可(Permission)

规定了主体对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等,通过权限可知主体对哪些资源都有哪些操作
许可。

权限分为粗颗粒和细颗粒,粗颗粒权限是指对资源类型的权限,细颗粒权限是对资源实例的权限

shiro架构图

在这里插入图片描述

权限模型

在这里插入图片描述

shiro的授权

subject.isAuthenticated()							//登录是否成功
subject.hasRole("admin")							//验证是否有admin角色
subject.hasAllRoles(Arrays.asList("admin","super"))		//验证是否包含所有角色
subject.hasRoles(Arrays.asList("admin","super"))		//验证是否有某一个角色
subject.isAuthenticated()							//验证是否登录成功
subject.isPermitted("user:delete")					//验证用户是否有该权限

web页面shiro标签

<shiro:authenticated></shiro:authenticated>			//已经认证
<shiro:notAuthenticated></shiro:notAuthenticated>	//未认证
<shiro:principal></shiro:principal>					//获取主身份信息

<shiro:hasRole name="admin"></shiro:hasRole>						//判断是否有该角色
<shiro:hasAnyRoles name="admin,super"></shiro:hasAnyRoles>		//判断是否有某一个角色(有一个就可执行)

<shiro:hasPermission name="banner:delete"></shiro:hasPermission>		//判断是否有该权限

认证和授权流程图

在这里插入图片描述

SpringBoot整合Shiro

引入依赖

 <dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-spring-boot-web-starter</artifactId>
     <version>1.4.1</version>
 </dependency>

在这里插入图片描述
创建shiro过滤器

package cn.czboy.shiro;

import org.apache.shiro.cache.MemoryConstrainedCacheManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;

@Configuration
public class ShiroFilter {

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        System.out.println("===========shiroFilter");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        HashMap<String,String> map = new HashMap<>();
        map.put("/subject/**","anon");
        map.put("/login.jsp","anon");
        map.put("/index.jsp","anon");
        map.put("/**","authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        shiroFilterFactoryBean.setLoginUrl("/login.jsp");//设置拦截后跳转的网页
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        return shiroFilterFactoryBean;
    }

    @Bean
    public DefaultWebSecurityManager securityManager(MyRealm myRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        MemoryConstrainedCacheManager cache = new MemoryConstrainedCacheManager();
        securityManager.setCacheManager(cache);
        securityManager.setRealm(myRealm);
        return securityManager;
    }

    @Bean
    public MyRealm myRealm() {
        MyRealm myRealm = new MyRealm();
        return myRealm;
    }
}

创建自定义Realm

package cn.czboy.shiro;

import cn.czboy.entity.Role;
import cn.czboy.entity.Subject;
import cn.czboy.mapper.SubjectDao;
import cn.czboy.utils.SpringContextUtil;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

public class MyRealm extends AuthorizingRealm {


    /**授权*/
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String username = (String)principalCollection.getPrimaryPrincipal();
        SubjectDao subjectDao = (SubjectDao)SpringContextUtil.getBean(SubjectDao.class);
        //根据主体获取角色
        List<Role> roles = subjectDao.findByRole(username);
		
       	HashSet<String> set = new HashSet<>();
        ArrayList<String> arrayList = new ArrayList<>();
       
        SimpleAuthorizationInfo authorizationInfo = null;
        if(primaryPrincipal.equals(admin.getUsername())){
            authorizationInfo = new SimpleAuthorizationInfo();

            for(RoleDto role:roles){
                arrayList.add(role.getRoleName());
                String id = role.getId();
                //根据角色查权限
                List<String> permissionss = adminService.findByPermission(id);
                for(String key:permissionss){
                    set.add(key);
                }
            }

            authorizationInfo.addStringPermissions(set);//权限赋值
            authorizationInfo.addRoles(arrayList);//角色赋值
        }

        return authorizationInfo;
    }

    /**认证*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username = (String)authenticationToken.getPrincipal();
        String password = new String((char[]) authenticationToken.getCredentials());
        SubjectDao subjectDao = (SubjectDao)SpringContextUtil.getBean(SubjectDao.class);
        Subject subject = subjectDao.findByUserName(username);
        AuthenticationInfo authenticationInfo = null;
        if (subject == null) {
            throw new UnknownAccountException("账户不存在!");
        }
        if (!subject.getUsername().equals(username)) {
            throw new UnknownAccountException("用户名错误!");
        }
        if (!subject.getPassword().equals(password)) {
            throw new IncorrectCredentialsException("密码错误!");
        }
        authenticationInfo  = new SimpleAuthenticationInfo(subject.getUsername(), subject.getPassword(), this.getName());
        System.out.println("================="+subject);
        return authenticationInfo;
    }
}

SubjectController

package cn.czboy.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;


@RestController
@RequestMapping("/subject")
public class SubjectController {

    /**用户登陆*/
    @RequestMapping("/login")
    public String login(String username,String password) {
        System.out.println("========="+username);
        System.out.println("========="+password);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            subject.login(token);
            return "yes";
        } catch (UnknownAccountException e) {
            System.out.println(e.getMessage());
            return "no";
        } catch (IncorrectCredentialsException e) {
            System.out.println(e.getMessage());
            return "no";
        }
    }
}
Springcloud+ Springsecurity oauth2.0 + jwt简单实现认证
killdrsa的博客
04-09 4011
基于Springcloud+ Springsecurity oauth2.0 + jwt 实现一个认证授权手脚架 一.用户的认证与授权 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认 证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允...
springboot集成shiro用户登录认证
sinat_40693969的博客
06-01 382
1、创建数据库表结构 CREATE TABLE `t_user` ( `ID` int(11) NOT NULL AUTO_INCREMENT, `USERNAME` varchar(128) NOT NULL COMMENT '用户名', `PASSWD` varchar(128) NOT NULL COMMENT '密码', `CREATE_TIME` datetime DEFAULT NULL COMMENT '创建时间', `STATUS` char(1) NOT NULL ...
Java数据类型常用方法
czboy
10-31 273
Bigdecimal的初始化时用尽量用String,防止丢失精度。使用给定 String 中的字符替换此序列的子字符串中的字符。将int 参数的字符串表示形式插入此序列中。将str 参数的字符串插入此序列中。将指定的字符串追加到此字符序列。将此字符序列用其反转形式取代。移除此序列的子字符串中的字符。判断两个字符串的内容是否相等。
Shiro身份认证和权限管理(授权)
nanZhaiXiaoLang的博客
09-27 1045
1. Shiro的身份认证流程信息: 后台接受凭证信息(密码)和身份信息(用户名)封装到Subject主体中,调用Subject自己的登陆方法,完成校验。底层校验代码是实现AuthenticatingRealm 类重写doGetAuthentica方法,根据传过来的值来 查询数据库完成用户认证。 2. Shiro的用户授权流程信息: 先认证过以后,根据认证信息查询用户的权限级别,...
2018移动端页面开发流程
czboy
11-10 2353
移动端页面布局 一、移动端app分类 1、Native App原生app手机应用程序   使用原生的语言开发的手机应用,Android系统用的是java,ios系统用的是object-C 2、Hybrid App 混合型app手机应用程序   混合使用原生的程序和html5页面开发的手机应用 3、Web App 基于Web的app手机应用程序   完全使用html5页面加前端js框架...
springcloud-api-gateway 权限过滤应用案例
pingweicheng的博客
05-13 799
权限过滤器类: AuthorizationFilter.java package cn.getech.api.gateway.filter; import cn.getech.api.gateway.feign.SystemUserFeignApi; import cn.getech.api.gateway.service.AuthService; import cn.getech.api.gateway.threadlocal.RequestHeaderThreadLocal; import c
Shiro框架基本知识及应用
m0_67393039的博客
03-28 1848
1. Shiro 基本知识 1. 目前市面主流的安全框架: shiro:轻量级的,使用很方便,灵活,是apache提供的,在任何框架的 SpringSecurity:是Spring家族的一部分,很多项目中会使用spring全家桶,相对与shiro来说,springSecurity更重量级,必须要求spring环境;相对shiro而言,功能更强大 2. 什么是Shiro Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能
shiro权限入门(二)
GMaya的博客
07-24 340
这个是用的自带的登录验证:shiro权限入门(一) 这次又搞了一个基于token的,没有使用redis缓存,用了一个ehcache缓存 直接使用上面的mp项目框架加了一个模块 思路: ① 登录调用登录接口,生成token,将权限,token等返回,并存入缓存 ② 登录之后调用其他任意接口,首先会经过shiroFilter,然后调用shiroRealm认证,在这里面只需要判断缓存中有没...
SpringBoot(10) 自定义Banner图案
郑清
01-24 1603
在项目的resources下面新建一个banner.txt文件, 然后到网站:http://patorjk.com/software/taag/#p=display&amp;amp;amp;f=Graffiti&amp;amp;amp;t=zhengqing 上输入自己想要生成的图案,复制到banner.txt文件中启动即可~ 如果不想显示图案的话,只需要在启动类中的main中将banner模式设置为off即可~ ...
修改SpringBoot项目的启动banner(超个性)
weixin_44176169的博客
03-01 5462
如果我们使用过SpringBoot,那么就会对下面的图案不陌生。Springboot 启动的同时会打印下面的图案,并带有版本号。 查看SpringBoot官方文档可以找到关于 banner 的描述 The banner that is printed on start up can be changed by adding a banner.txt file to your classpath ...
shiro权限入门(一)
GMaya的博客
12-07 337
首先创建一个spring boot 项目(idea) 不多说,一路Next. pom.xml文件 &lt;dependencies&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-dat...
初识Shiro
江南一点雨的专栏
03-19 5128
Shiro是Apache基金会下的一个开源安全框架,提供了身份验证、授权、密码学和会话管理等功能,Shiro框架不仅直观易用,而且也能提供健壮的安全性,另外一点值得说的是Shiro的前身是一个始于2004的开源项目JSecurity,该项目于2008年加入Apache,并于2010年成为Apache的顶级项目。 OK,以上是关于Shiro的一点简单介绍,实际上,我在之前有一篇关于权限控制的博客在
shiro认证流程分析
qiuxinfa123的博客
04-05 235
在上一篇博文springboot整合shiro入门 中,简单介绍了如何使用shiro进行认证和授权,下面通过debug的方式(示例代码还是上一篇博客使用的代码),分析一下shiro是如何进行认证的: 首先,回顾一下,处理登录的方法: @PostMapping("/doLogin") @ResponseBody public String ...
第二章 身份验证
weixin_33824363的博客
02-26 164
2019独角兽企业重金招聘Python工程师标准>>> ...
基于Matlab的模糊PID算法在温度控制系统中的仿真实现与代码解析 · Fuzzy Logic
05-22
内容概要:本文详细介绍了利用Matlab及其Simulink工具箱实现模糊PID控制器用于温度控制系统的仿真过程。首先构建了一个简单的温度控制系统模型,采用了一阶惯性环节作为被控对象,并引入了模糊逻辑控制器(Fuzzy Logic Controller)来优化传统的PID控制效果。文中展示了具体的MATLAB代码片段,包括隶属度函数的设计、规则库的建立以及最终的仿真测试结果对比。结果显示,相较于传统PID,模糊PID能够更快地达到稳定状态并且对干扰有更好的鲁棒性。 适合人群:自动化专业学生、从事工业自动化领域的工程师和技术人员。 使用场景及目标:适用于需要提高温度控制精度和响应速度的实际工程项目中,特别是在面对非线性和不确定性较强的复杂环境时。通过学习本案例可以掌握模糊PID的基本原理及其在Matlab平台上的具体应用方法。 其他说明:文中还提到了一些实践经验,比如如何设置合理的隶属度范围以避免过度调节导致的振荡现象,以及加入随机噪声后的性能表现评估等。
cmd脚本-bat批处理-03.replacestring.zip
05-22
cmd脚本-bat批处理-03.replacestring.zip
cmd-bat-批处理-脚本-javaDetect.zip
05-22
cmd-bat-批处理-脚本-javaDetect.zip
C语言学习 零散 易错点 例题
05-22
C语言学习 零散 易错点 例题
华中科技大学MIPS处理器架构设计研究
最新发布
05-22
以下是重新表述后的内容: 单周期 MIPS CPU 的微程序地址转移逻辑设计:在单周期 MIPS CPU 架构中,微程序地址转移逻辑是关键部分。它负责根据当前微指令的执行情况以及 CPU 内部的各种状态信号,准确地计算出下一条微指令的地址。这一逻辑需要综合考虑指令类型、操作完成情况、是否发生异常等多种因素,以确保微程序能够按照正确的顺序和逻辑进行执行,从而实现 MIPS 指令的准确译码与控制。 MIPS 微程序 CPU 的设计:设计一款基于微程序控制的 MIPS CPU,其核心在于构建微程序控制器。该控制器通过存储微指令序列来实现对 CPU 各部件的控制。微指令中包含对数据通路操作的控制信号以及微程序地址转移信息。在设计过程中,需要精心设计微指令格式,使其能够高效地表示各种操作控制信息,同时合理安排微指令存储器的组织结构,确保微指令的快速读取与准确执行,从而实现 MIPS 指令集的完整功能。 MIPS 硬布线控制器的状态机设计:在采用硬布线控制方式的 MIPS CPU 中,状态机是控制器的核心组成部分。状态机根据输入的指令操作码、状态信号等信息,在不同的状态之间进行转换。每个状态对应着 CPU 在执行一条指令过程中的一个特定阶段,如取指、译码、执行、访存等。状态机的设计需要精确地定义各个状态的转换条件以及在每个状态下输出的控制信号,以确保 CPU 能够按照正确的时序和逻辑完成指令的执行过程。 多周期 MIPS 硬布线控制器 CPU 设计(排序程序):设计一款多周期 MIPS 硬布线控制器 CPU,用于运行排序程序。在这种设计中,CPU 的每个指令执行周期被划分为多个子周期,每个子周期完成指令执行过程中的一个特定操作。硬布线控制器根据指令操作码和当前周期状态,生成相应的控制信号来协调 CPU 数据通路的操作。针对排序程序的特点,需要优化控制器的设计,合理安排指令执行的周期划分
全新shiro1.5.3依赖jar包全解
Apache Shiro是一个功能强大的Java安全框架,它提供了认证、授权、加密和会话管理等功能,使得...而Shiro 1.5.3作为最新版本,不仅继承了之前版本的优点,还可能增加了新的功能和改进,使之成为安全领域的热门选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值