Apache shiro笔记 (1)入门

最新推荐文章于 2024-08-04 09:19:20 发布
最新推荐文章于 2024-08-04 09:19:20 发布
阅读量217 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 后台开发 javaweb 文章标签: shiro 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41986312/article/details/87977614
本文介绍了Shiro权限系统的原理和应用,包括基于角色和资源的访问控制(RBAC)概念,以及如何使用Shiro进行身份认证和授权。通过示例展示了如何在Java项目中配置Shiro,使用ini文件和数据库作为Realm进行用户认证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考:

https://jinnianshilongnian.iteye.com/blog/2018936

http://how2j.cn/k/shiro/shiro-tutorial/1720.html#nowhere

RBAC 是当下权限系统的设计基础,同时有两种解释:
1.: Role-Based Access Control,基于角色的访问控制
即,你要能够删除产品,那么当前用户就必须拥有产品经理这个角色
2.:Resource-Based Access Control,基于资源的访问控制
即,你要能够删除产品,那么当前用户就必须拥有删除产品这样的权限

开源权限管理项目:

Spring Security   

Apache Shiro     

 

Apache Shiro是Java的一个安全框架,基本功能点如图:

Authentication身份认证/登录,验证用户是不是拥有相应的身份;

Authorization授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

Cryptography加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web SupportWeb支持,可以非常容易的集成到Web环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

Concurrencyshiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

Testing提供测试支持;

Run As允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

以用户登录为例子,

 

应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:

Subject主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

最简单的一个Shiro应用:

1、应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManager;

2、我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。

一.接下来入门一个通过ini的简单登录的例子:

1.使用idea创建一个普通的java项目  

新手可以参照:https://blog.youkuaiyun.com/oschina_41790905/article/details/79475187

2.引入两个jar包 

   新手关于jar包引入可以参考https://blog.youkuaiyun.com/qq_28289405/article/details/82216847

3.在src目录下新建 shiro.ini
 用户数据  此处充当realm域
 

#定义用户
[users]
#用户名 zhang3  密码是 12345
zhang3 = 12345
#用户名 li4  密码是 abcde
li4 = abcde

3. 在src目录下创建 包结构,创建User.class

public class User {


    private String name;
    private String password;
    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}

 

4. 创建 TestShiro

准备3个用户,前两个能在 shiro.ini 中找到,第3个不存在
然后测试登录

public class TestShiro {
    public static void main(String[] args) {
        User zhang3 = new User();
        zhang3.setName("zhang3");
        zhang3.setPassword("12345");

        User li4 = new User();
        li4.setName("li4");
        li4.setPassword("abcde");

        User wang5 = new User();
        wang5.setName("wang5");
        wang5.setPassword("wrongpassword");
        List<User> users = new ArrayList<>();
        users.add(zhang3);
        users.add(li4);
        users.add(wang5);

      
        //登陆每个用户
        for (User user : users) {

            if(login(user))
                System.out.printf("%s \t成功登陆,用的密码是 %s\t %n",user.getName(),user.getPassword());
            else
               System.out.printf("%s \t成功失败,用的密码是 %s\t %n",user.getName(),user.getPassword());
        }

    }

    private static boolean login(User user) {
        Subject subject = getSubject(user);
        //如果已经登录过了,退出
        if (subject.isAuthenticated())
            subject.logout();
        //封装用户的数据
//token可以理解为用户令牌,登录的过程被抽象为Shiro验证令牌是否具有合法身份以及相关权限。
        UsernamePasswordToken token = new UsernamePasswordToken(user.getName(),user.getPassword());
        try {
            //将用户的数据token 最终传递到Realm中进行对比
            subject.login(token);
        } catch (AuthenticationException e) {
            //验证错误
            return false;
        }
        return subject.isAuthenticated();

    }

    private static Subject getSubject(User user) {
        //加载配置文件,并获取工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

        //获取安全管理者实例
        SecurityManager sm = factory.getInstance();

        //将安全管理者放入全局对象,注入SecurityManager
        SecurityUtils.setSecurityManager(sm);

        //全局对象通过安全管理者生成Subject对象
        Subject subject = SecurityUtils.getSubject();

        return subject;
    }


}

5.  运行查看结果

二、通过数据库充当realm域

1.创建表

前面提到过,RBAC 的概念, RBAC会存在3 张基础表: 用户,角色,权限, 以及 2 张中间表来建立 用户与角色的多对多关系,角色与权限的多对多关系。 用户与权限之间也是多对多关系,但是是通过 角色间接建立的。

 

2.  添加jar包

简单介绍一下几个jar包:

commons-beanutils是Apache开源组织提供的用于操作JAVA BEAN的工具包。使用commons-beanutils,我们可以很方便的对bean对象的属性进行操作。参考:https://blog.youkuaiyun.com/jianggujin/article/details/51104949

slf4j:Simple Logging Facade for Java,为java提供的简单日志Facade。Facade门面,更底层一点说就是接口。它允许用户以自己的喜好,在工程中通过slf4j接入不同的日志系统。 参考:https://www.cnblogs.com/lujiango/p/8573411.html

因此slf4j入口就是众多接口的集合,它不负责具体的日志实现,只在编译时负责寻找合适的日志系统进行绑定。具体有哪些接口,全部都定义在slf4j-api中。它只提供一个核心slf4j api(就是slf4j-api.jar包),这个包只有日志的接口,并没有实现,所以如果要使用就得再给它提供一个实现了些接口的日志包,比 如:log4j,common logging,jdk log日志实现包等。

Jakarta  Commons-logging(JCL)是apache最早提供的日志的门面接口。提供简单的日志实现以及日志解耦功能。                ---------------------------------------------------------------------------https://www.cnblogs.com/xiadongqing/p/5208824.htm

mysql-connector-java-5.0.8-bin JDBC驱动

3. 

public class DatabaseRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //能进入到这里,表示账号已经通过验证了
        String userName =(String) principalCollection.getPrimaryPrincipal();
        //通过DAO获取角色和权限
        Set<String> permissions = new DAO().listPermissions(userName);
        Set<String> roles = new DAO().listRoles(userName);

        //授权对象
        SimpleAuthorizationInfo s = new SimpleAuthorizationInfo();
        //把通过DAO获取到的角色和权限放进去
        s.setStringPermissions(permissions);
        s.setRoles(roles);
        return s;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取账号密码
        UsernamePasswordToken t = (UsernamePasswordToken) token;
        String userName= token.getPrincipal().toString();
        String password= new String( t.getPassword());
        //获取数据库中的密码
        String passwordInDB = new DAO().getPassword(userName);

        //如果为空就是账号不存在,如果不相同就是密码错误,但是都抛出AuthenticationException,而不是抛出具体错误原因,免得给破解者提供帮助信息
        if(null==passwordInDB || !passwordInDB.equals(password))
            throw new AuthenticationException();

        //认证信息里存放账号密码, getName() 是当前Realm的继承方法,通常返回当前类名 :databaseRealm
        SimpleAuthenticationInfo a = new SimpleAuthenticationInfo(userName,password,getName());
        return a;
    }
}

4.修改ini文件

[main]
databaseRealm=com.jxw.DatabaseRealm
securityManager.realms=$databaseRealm

5. 运行结果与之前相同

Maven项目入门

 

身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。

在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:

principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。

credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。

最常见的principals和credentials组合就是用户名/密码了。接下来先进行一个基本的身份认证。

另外两个相关的概念是之前提到的SubjectRealm,分别是主体及验证主体的数据源。

基本的身份认证

1. 通过idea创建一个maven项目

项目结构如图

 

 

2. 在pom.xml中添加如下的代码,引入相关需要的jar包

<dependencies>  
    <dependency>  
        <groupId>junit</groupId>  
        <artifactId>junit</artifactId>  
        <version>4.9</version>  
    </dependency>  
    <dependency>  
        <groupId>commons-logging</groupId>  
        <artifactId>commons-logging</artifactId>  
        <version>1.1.3</version>  
    </dependency>  
    <dependency>  
        <groupId>org.apache.shiro</groupId>  
        <artifactId>shiro-core</artifactId>  
        <version>1.2.2</version>  
    </dependency>  
</dependencies>

3.创建shiro.ini  用户身份/凭据

通过[users]指定了两个主体:zhang/123、wang/123。

即zhang为用户名 123位密码

[users]
zhang=123
wang=123

4.编写测试用例 LoginTest.java

public class LoginTest {
    @Test
    public  void test1(){
        //    1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂;
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//    2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
//    3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "1");
//    4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录;
//    5、如果身份验证失败请捕获AuthenticationException或其子类,常见的如: DisabledAccountException(禁用的帐号)、
// LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、
// ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、
// ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;
// 对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,
// 防止一些恶意用户非法扫描帐号库;
        try{subject.login(token);}catch (AuthenticationException e){
            System.out.print("登录失败");
        }
        Assert.assertEquals(true,subject.isAuthenticated());
            System.out.print("登录成功");
        //    6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出
        subject.logout();
    }

}

 

众至科技:漏洞通告 | 微软10月发布多个安全漏洞;Apache Shiro权限绕过漏洞;Apache Commons存在代码执行漏洞
zz_tech的博客
10-17 1279
微软10月发布多个安全漏洞;Apache Shiro权限绕过漏洞;Apache Commons存在代码执行漏洞
apache shiro版本查看_浅谈Apache 安全框架Shiro()——与 Web 集成
weixin_39930557的博客
11-27 1424
与 Web 集成Shiro 提供了与 Web 集成的支持,其通过一个 ShiroFilter 入口来拦截需要安全控制的 URL,然后进行相应的控制,ShiroFilter 类似于如 Strut2/SpringMVC 这种 web 框架的前端控制器,其是安全控制的入口点,其负责读取配置(如 ini 配置文件),然后判断 URL 是否需要登录 / 权限等工作。准备环境1、创建 webapp 应用此处我...
ruoyi-fast升级shiro,解决漏洞Apache Shiro RequestDispatcher 权限绕过漏洞(CVE-2022-40664)
最新发布
ZJF的博客
08-04 364
项目中使用的shiro1.6.0,由于存在权限绕过漏洞,现需要将shiro升级至1.10.0以上,来解决漏洞,直接升级pom文件中shiro-core版本后,出现无法登陆,一直报验证码错误的情况。由于ShiroFilter在两个版本间的代码区别,所以在ShiroConfig文件中,还需要做一些修改调整,需要将ShiroFilterConfiguration配置上,直接贴代码。设置完成后,项目正常启动,正常登录,不再报验证码错误。在ShiroConfig.java文件中,增加如下代码。
漏洞预警| Apache Shiro 身份认证绕过漏洞
LJQClqjc的博客
10-12 921
近日网上有关于开源项目Apache Shiro 身份认证绕过漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
Apache shiro配置与使用(Spring整合)
热门推荐
走在设计的道路上的博客
04-23 1万+
1、权限概述(正确理解认证、授权的基本概念) 2、常见的shiro框架权限控制的方式(URL拦截的方式、方法注解的方式) 3、shiro框架涉及到的数据表以及模型关系 4、Apache shiro框架 5、shrio框架整合Spring,Struts到项目中
Apache shiro 安全框架入门学习
酷酷的李先生的博客
09-20 716
文章目录 前言 一、什么是Apache Shiro? 二、核心概念介绍及架构 1.整体框架图 2.核心概念 3.整体功能 三、功能详解 总结 前言 此文章为自己学习Shiro框架做学习笔记之用,从shiro涉及到的几个概念的讲解,到简单的单元测试,最后实现权限框架的搭建及测试 一、什么是Apache ShiroApache Shiro 是ASF旗下的一款开源软件,它是一个功能强大且易于使用的Java安全框架。Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认.
apache shiro 反序列化漏洞解决方案_apache shiro反序列化解决方法
2401_84159966的博客
04-09 1268
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
apache shiro学习笔记--02(入门案例)
wu_0916的博客
10-08 270
shiro入门案例,密码认证
shiro学习笔记
04-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。Shiro 不仅可以用于Java Web 应用,也可以用于任何Java应用,如Java桌面应用或者...
Apache Shiro入门教程:权限与角色控制解析
"这篇自学笔记主要介绍了Apache Shiro框架,包括其基本概念、身份认证、权限授权、Web集成以及URL匹配规则,旨在帮助读者掌握如何使用Shiro进行权限和角色控制。" Apache Shiro是一个全面的Java安全框架,提供身份...
Shiro入门.rar
06-12
在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一、Shiro基本概念** 1. **认证**:也称为身份验证,是确认用户身份的过程,通常通过用户名和密码进行验证。 2. **授权**:也称为...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
慕课网模抖音小程序 springboot笔记
阿休要努力
06-03 3079
小程序后台 1.后台结构: 如图1所示为传统的单项目工程,将所有层都写在一个工程中,项目较大不利用后期修改,适用于小型项目。 图1 单项目工程 本小程序后台采用maven搭建分成的聚合工程,如图2所示,子工程是作为module存在的。 图 2 聚合工程 图3是视频后台搭建的模块图 图3 2.Swagger2的使用 swagger介绍,可以帮助我们更好地管理...
使用com.alibaba.fastjson 将 json转换为csv,同时指定表头顺序。/解决org.json转换csv顺序变了
阿休要努力
12-29 1994
引言: fastjson目前我了解好像是没有支持将json转为csv的,网上大多是用org.json的 CDL.toString 来将json数组转化为csv的,但是在我这出现两个问题: 1. 表头指定的顺序会变: 我的json数组: [{"name":"LiMing","age":"28","gender":"man"},{"name":"LiPing","age":"26","gender"...
tomcat idea项目访问、下载web项目外的静态资源(图片、文件),js下载项目外的文件,server.xml设置对idea中的项目不生效
阿休要努力
03-26 1002
读取项目外的文件,配置Tomcta的虚拟路径, 打开文件:Tomcat/conf/server.xml 修改文件配置: <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true"> <Context path="/imgFile" docBas...
项目在服务器中的tomcat下启动/server.xml的相关配置
阿休要努力
07-15 940
本地与服务器上tomcat下运行项目是一样的,故用本地作为示范。
JavaWeb中外部引入的js中涉及到location.href的页面跳转/jsp页面的外部js文件引入
阿休要努力
11-22 815
当js在jsp页面中写的时候没有任何问题如下所示: function deleteP(obj){ if(confirm("你真舍得丢弃我吗?")){ //发送请求 location.href="${pageContext.request.contextPath }/deleteProductById?pid="+obj; } } 但是将js提取出来放到一个单独的js页...
三层架构、MVC、SSM关系 SSM笔记
阿休要努力
04-08 636
1. SpringMVC参数绑定 https://blog.youkuaiyun.com/qq_33530388/article/details/72784199 2.myhabits中sql语句需要再总结 3.各种映射 @ResponseBody是作用在方法上的,@ResponseBody 表示该方法的返回结果直接写入 HTTP response body 中,一般在异步获取数据时使用【...
springboot博客(5)Thymeleaf入门demo Thymeleaf与SpringBoot整合
阿休要努力
03-13 559
该篇为:慕课网基于Spring Boot技术栈博客系统企业级前后端实战第5章的学习笔记 今天第一次接触Thymeleaf,是在学习Spring boot中遇到的,Thymeleaf常在Spring boot中使用。接下来对Thymeleaf进行一个简单的介绍,然后通过一个小demo,进行与Springboot进行整合,用到的构建工具是Gradle。 目录 一)Thymeleaf 是个什么...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值