shiro--核心架构,配置文件,helloworld,自定义realm,hash加盐,授权

最新推荐文章于 2025-04-21 09:56:17 发布
最新推荐文章于 2025-04-21 09:56:17 发布
阅读量177 收藏
点赞数
分类专栏: Java基础 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42141116/article/details/112724823
版权

课程地址 :https://www.bilibili.com/video/BV1uz4y197Zm?from=search&seid=11959532969485039836

1. 权限的管理

1.1 什么是权限管理

权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。

授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的

2.什么是shiro

Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

3.shiro的核心架构

Subject:即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权

Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

SecurityManager:即安全管理器,对全部的subject进行安全管理,它是shiro的核心, 实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。 (之前都是在服务器上存储一个session跟踪用户现在交由shiro管理)

sessionManager:即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。

sessionDAO:是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。

CacheManager:将用户权限数据存储在缓存,这样可以提高性能。

Realm:即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

  • 注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。

4. shiro中的认证

  • Subject:主体

访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;

  • Principal:身份信息

是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。

  • credential:凭证信息

是只有主体自己知道的安全信息,如密码、证书等。

  • Subject:主体

访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;

  • Principal:身份信息

是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。

  • credential:凭证信息是只有主体自己知道的安全信息,如密码、证书等。

4.1 认证流程

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.5.3</version>
</dependency>

shiro的配置文件

只支持  .ini 的配置文件,类似于txt文件。它主要是用来写权限数据,便于开始学习,待学习熟练后权限数据可以写入数据库。位置可以是工程的任意一个resources下。

helloword


    public static void main(String[] args) {
        // 创建安全管理器对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        securityManager.setRealm(new IniRealm("classpath:shiro.ini"));
        // securityUtils  给全局安全工具类设置安全管理器.(因为本质上所有工作都要securityManager去做)
        SecurityUtils.setSecurityManager(securityManager);
        // 获取关键对象,主体
        Subject subject = SecurityUtils.getSubject();
        // 创建令牌  token(基于身份信息和凭证信息组成)
        UsernamePasswordToken token = new UsernamePasswordToken("xiaochen","123");  // 这里暂时写死
        try {
            System.out.println("认证状态:" + subject.isAuthenticated());
            subject.login(token);   // 认证
            System.out.println("认证状态:" + subject.isAuthenticated());
        } catch (Exception e) {
            e.printStackTrace();
        }

    }

自定义realm

SimpleAccountRealm的部分源码中有两个方法一个是 认证 一个是 授权,

public class SimpleAccountRealm extends AuthorizingRealm {
		//.......省略
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        SimpleAccount account = getUser(upToken.getUsername());

        if (account != null) {

            if (account.isLocked()) {
                throw new LockedAccountException("Account [" + account + "] is locked.");
            }
            if (account.isCredentialsExpired()) {
                String msg = "The credentials for account [" + account + "] are expired";
                throw new ExpiredCredentialsException(msg);
            }

        }

        return account;
    }


    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = getUsername(principals);
        USERS_LOCK.readLock().lock();
        try {
            return this.users.get(username);
        } finally {
            USERS_LOCK.readLock().unlock();
        }
    }
}

自定义realm

/**
 * 使用自定义realm 加入md5 + salt +hash
 */
public class CustomerMd5Realm extends AuthorizingRealm {

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String primaryPrincipal = (String) principals.getPrimaryPrincipal();
        System.out.println("身份信息: "+primaryPrincipal);

        //根据身份信息 用户名 获取当前用户的角色信息,以及权限信息  xiaochen  admin user
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

        //将数据库中查询角色信息赋值给权限对象
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user");

        //将数据库中查询权限信息赋值个权限对象
        simpleAuthorizationInfo.addStringPermission("user:*:01");
        simpleAuthorizationInfo.addStringPermission("product:create");


        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取身份信息
        String principal = (String) token.getPrincipal();

        //根据用户名查询数据库
        if ("xiaochen".equals(principal)) {
            //参数1: 数据库用户名  参数2:数据库md5+salt之后的密码  参数3:注册时的随机盐  参数4:realm的名字
            return new SimpleAuthenticationInfo(principal,
                    "e4f9bf3e0c58f045e62c23c533fcf633",
                    ByteSource.Util.bytes("X0*7ps"),
                    this.getName());
        }
        return null;
    }
}

使用自定义的realm 

    public static void main(String[] args) {

        //创建安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        //注入realm
        CustomerMd5Realm realm = new CustomerMd5Realm();
        //设置realm使用hash凭证匹配器

        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        //使用算法
        credentialsMatcher.setHashAlgorithmName("md5");
        //散列次数
        credentialsMatcher.setHashIterations(1024);
        realm.setCredentialsMatcher(credentialsMatcher);

        defaultSecurityManager.setRealm(realm);
        //将安全管理器注入安全工具
        SecurityUtils.setSecurityManager(defaultSecurityManager);

        //通过安全工具类获取subject
        Subject subject = SecurityUtils.getSubject();

        //认证
        UsernamePasswordToken token = new UsernamePasswordToken("xiaochen", "123");

        try {
            subject.login(token);
            System.out.println("登录成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误");
        }


        //授权
        if(subject.isAuthenticated()){

            //基于角色权限控制
            System.out.println(subject.hasRole("super"));

            //基于多角色权限控制
            System.out.println(subject.hasAllRoles(Arrays.asList("admin", "super")));

            //是否具有其中一个角色
            boolean[] booleans = subject.hasRoles(Arrays.asList("admin", "super", "user"));
            for (boolean aBoolean : booleans) {
                System.out.println(aBoolean);
            }
            System.out.println("==============================================");

            //基于权限字符串的访问控制  资源标识符:操作:资源类型
            System.out.println("权限:"+subject.isPermitted("user:update:01"));
            System.out.println("权限:"+subject.isPermitted("product:create:02"));

            //分别具有那些权限
            boolean[] permitted = subject.isPermitted("user:*:01", "order:*:10");
            for (boolean b : permitted) {
                System.out.println(b);
            }

            //同时具有哪些权限
            boolean permittedAll = subject.isPermittedAll("user:*:01", "product:create:01");
            System.out.println(permittedAll);
        }

    }

总而言之就是,自定义realm从数据库取到加密字符串和盐,然后自定义验证器,给验证器设置加密算法和散列次数。 

hash与加盐

    public static void main(String[] args) {
        // 使用md5 + salt + hash散列 (循环使用多少次)
        Md5Hash md5Hash = new Md5Hash("123","0p*sV",1024);
        // 转换为16进制字符串
        System.out.println(md5Hash.toHex());
    }

注册的时候数据库存的是hash加盐后的字符串,登录的时候如何比较呢?自定义的realm中除了重写认证和授权方法以外,还可以重写密码匹配器(set  get)。如之上的自定义realm方法代码演示。

授权

授权可简单理解为who对what(which)进行How操作:

授权方式

基于角色的访问控制

  • RBAC基于角色的访问控制(Role-Based Access Control)是以角色为中心进行访问控制

if(subject.hasRole("admin")){
   //操作什么资源
}

基于资源的访问控制

  • RBAC基于资源的访问控制(Resource-Based Access Control)是以资源为中心进行访问控制

if(subject.isPermission("user:update:01")){ //资源实例
  //对01用户进行修改
}
if(subject.isPermission("user:update:*")){  //资源类型
  //对任意用户进行修改
}

权限字符串  资源标识符:操作:资源实例标识符  

  1. 用户创建权限:user:create,或user:create:*

  2. 用户修改实例001的权限:user:update:001

  3. 用户实例001的所有权限:user:*:001

授权编程实现方式

  • 编程式
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
	//有权限
} else {
	//无权限
}
  • 注解式
@RequiresRoles("admin")
public void hello() {
	//有权限
}
  • 标签式
JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:
<shiro:hasRole name="admin">
	<!— 有权限—>
</shiro:hasRole>
注意: Thymeleaf 中使用shiro需要额外集成!

 

 

 

shiro入门实战笔记(11)--加密/解密
y-yg的博客
02-20 1万+
[本系列文章是博主的学习笔记,而非经典教程,特此说明] 在前面的文章中,我们在数据库中使用明文存储了用户名密码等敏感信息,这在我们开放的网络环境。一旦账号密码泄露,这对于客户的损失将是不可估量的。因此我们有必要来学习一下常用的安全性较好的加密/解密算法。另外,在下文中,我们仅仅举例如何使用加密解密,而不会探讨加密算法本身的设计与实现,感兴趣的读者请自行查阅相关资料。 准备工作: a.操作系统
Shiro基础使用——加密、session管理、Spring整合和注解开发
qq_45337431的博客
10-10 445
1.加密、权限管理、session管理、记住我等功能于spring整合 2.整合的逻辑图【重点】 3.注解开发
Shiro自定义Realm
Heling's Blog
10-04 327
Shiro中,如果没有自定义Realm的话,那么权限管理数据是通过IniRealm的形式去读取配置文件shiro.ini来加载数据,但是以后的权限管理数据肯定都是来源于数据库的,所以我们要把数据更改到数据库。 shiro提供的Realm 在SimpleAccountRealm类中进行认证 在SimpleAccountRealm类中有两个方法,分别提供认证和授权 public class SimpleAccountRealm extends AuthorizingRealm { //省略
Shiro安全框架》专题(三)-Shiro自定义Realm
专业的计算机毕业设计指南
01-29 290
文章目录1.自定义Realm的实现1.1.创建自定义Realmjava类1.2.配置shiro.ini文件1.3.测试2.原理分析2.1.为什么要继承AuthorizingRealm?2.2.自定义Realm什么时候被调用的?2.3.密码验证什么时候执行的? 1.自定义Realm的实现 1.1.创建自定义Realmjava类 创建一个java文件继承AuthorizingRealm类,重写两个抽象方法 package com.bruce.realm; import org.apache.shiro.au
Shiro realm 及其自定义
m0_37657725的博客
04-11 276
Shiro安全数据来源之Realm和常见使用方法** realm作用:ShiroRealm 获取安全数据 默认自带的realm:idae查看realm继承关系,有默认实现和自定义继承的realm 两个概念 principal : 主体的标示,可以有多个,但是需要具有唯一性,常见的有用户名,手机号,邮箱等 credential:凭证, 一般就是密码 所以一般我们说 principal ...
安全框架Shiro框架_自定义Realm认证
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
10-12 210
authclogout: 注销过滤器 /logout=logoutroles: 角色授权过滤器,验证用户是否拥有资源角色;下面写一写关于自定义Realm–认证相关的东西:1.获取用户名token强转为UsernamePasswordToken–>getUsername()2.2.以用户名为条件,查询mysql数据库,得到用户对象(用户名/密码)模拟从数据库查询的对象 ------->自己new一个3.将用户对象封装成认证info对象返回。
shiro自定义realm实现认证和授权
weixin_43735588的博客
05-21 576
1.说明 接着上一篇继续,上一篇已经导入依赖了,这次继续测试自定义realm的认证和授权。开发过程中不可能将用户和权限和角色写在shiro.ini文件中,都是通过查询数据库出来的,这时候就需要使用自己定义的Realm了。 2.先简单模拟一下数据库 2.1实体类User package cn.hzu.domain; public class User { private String userName; private String Password; public void se
Shiro 之 CredentialsMatcher
Zllvincent的博客
09-22 1万+
一、简介 应有系统中需要保存用户登录账号、密码以供用户登录校验。如果在数据库中保存密码明文则有一定的安全性,通常对密码使用Hash运算保存,常见的Hash算法有MD5、SHA等。 二、INI 配置CredentialsMatcher [main] #自定义Reaml 实现认证、授权 realm=com.vincent.UserRealm #定义凭证匹配器 credentialsMatcher=or...
Spring Boot整合Shiro + JSP教程(用户认证,权限管理,图片验证码)
Coding for freedom
11-02 1121
在此首先感谢**编程不良人**up主提供的视频教程 代码都是跟着up的视频敲的,遇到的一些问题也是通过优快云博主提供的教程解决的,在此也感谢那些提供bug解决方案的前辈们~ 项目完整代码已经发布到github上面,有需要的朋友可以自取 1.权限管理 1.1 什么是权限管理 ​ 涉及到用户参与的系统都要涉及权限管理,权限管理属于系统安全范畴。权限管理实现的是对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 ​ 权限管理包括 用户身份认证 和 授权 两部分.
红队专题-漏洞挖掘-代码审计-反序列化
最新发布
aming小老弟
04-21 1954
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
Shiro的学习之Shiro配置(一)
m0_54866636的博客
08-24 1168
项目已分享到GitHub上,如果需要的可以看下,。
shiro密码加盐验证的配置
weixin_37248560的博客
11-25 552
自定义密码加密方式 自个建立一个类实现SimpleCredentialsMatcher 的doCredentialsMatch方法 package com.alex.springboot.system.shiro; import com.alex.springboot.utils.MD5Util; import org.apache.shiro.authc.Authen...
shiro加盐
力挽狂澜的POWER
08-18 2852
上一篇我们提到了使用Shiro为密码进行MD5加密,这次来说一下密码加盐的问题。 当两个用户的密码相同时,单纯使用不加盐的MD5加密方式,会发现数据库中存在相同结构的密码, 这样也是不安全的。我们希望即便是两个人的原始密码一样,加密后的结果也不一样。 如何做到呢?其实就好像炒菜一样,两道一样的鱼香肉丝,加的盐不一样,炒出来的味道就不一样。 MD5加密也是一样,需要进行盐值加密。 在之前的加密样例中...
Shiro 自定义核心配置文件路径
Heqianqian的博客
05-23 1376
Shiro集成web默认加载classpath下的shiro.ini要想自定义只需要修改web.xml中配置<web-app> <listener> <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class> </listener> <context-p
Shiro笔记(四)----身份验证之Realm
fendo
07-15 4941
123
shiroRealm配置
u011607686的博客
05-18 1351
转自https://www.cnblogs.com/diaoniwa/p/6918896.html &amp;lt;!-- 用户授权信息Cache 缓存在本机内存,不支持集群 --&amp;gt; &amp;lt;bean id=&quot;cacheManager&quot; class=&quot;org.apache.shiro.cache.MemoryConstrainedCacheManager&quot;/&amp;
Shiro权限管理】10.Shiro为密码加盐
热门推荐
程序猿之洞
11-20 3万+
上一篇我们提到了使用Shiro为密码进行MD5加密,这次来说一下密码加盐的问题。 当两个用户的密码相同时,单纯使用不加盐的MD5加密方式,会发现数据库中存在相同结构的密码, 这样也是不安全的。我们希望即便是两个人的原始密码一样,加密后的结果也不一样。 如何做到呢?其实就好像炒菜一样,两道一样的鱼香肉丝,加的盐不一样,炒出来的味道就不一样。 MD5加密也是一样,需要进行盐值加密。 在之
Shiro自定义realm检查用户权限与流程详解(五)
qq_37431224的博客
01-10 543
项目结构: 1)自定义PermissionRealm 继承 AuthorizingRealm 重写3个方法: getName doGetAuthorizationInfo doGetAuthenticationInfo 其中AuthenticationInfo方法请回看第(二篇) public class PermissionRealm extends Author...
SpringBoot+Shiro学习(四):Realm授权
weixin_33754913的博客
12-16 194
上一节我们讲了自定义Realm中的认证(doGetAuthenticationInfo),这节我们继续讲另一个方法doGetAuthorizationInfo授权 授权流程 流程如下: 首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer; Authorizer是真正的授权...
Apache Shiro权限框架核心包shiro-all-1.2.3管理与应用
总结来说,Shiro作为一个全面的安全框架,提供了身份验证、授权、会话管理和密码加密等功能,而“shiro-all-1.2.3.jar”作为其核心jar包,使得开发者能够一站式地接入Shiro的全部功能。理解Shiro框架的核心概念和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值