Shiro

最新推荐文章于 2022-08-27 20:10:07 发布
最新推荐文章于 2022-08-27 20:10:07 发布
阅读量126 收藏 1
点赞数
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44499225/article/details/113357569
版权

1.Shiro介绍

shiro一款一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,主要功能使对访问系统的用户进行身份认证、授权、会话管理、加密操作。
在这里插入图片描述

2.Shiro核心组件

在这里插入图片描述
Subject:主体,代表当前的用户,可使用SecurityUtil.getSubject()获取当前的Subject对象。所有的Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager,可以把Subject看作是一个门面,实际的执行者是SecurityManager。

SecurityManager:安全管理器,即所有与安全有关的操作都会与SecurityManager交互,且它管理着所有的Subject,Shiro的核心

Realm:域,Shiro从Realm获取安全数据(如用户、角色、权限)。就是说SecurityManager需要验证用户身份,那么需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可把Realm看作DataSource,即安全数据源。

用户、角色、权限三者的关系:给角色赋予权限,给用户赋予角色

3.Shiro常用组件

1.SecurityUtils:Shiro核心抽象类,包含三个方法

public static Subject getSubject()  // 获取当前的Subject
public static void setSecurityManager(SecurityManager securityManager)  //设置安全管理器
public static SecurityManager getSecurityManager() // 获取安全管理器

2.UsernamePasswordTokenAuthenticationToken接口的实现,用来封装用户信息的令牌,在用户登录验证中使用

@PostMapping("/login")
public String login(String username, String password){
    Subject subject = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken(username, password); // 使用有参构造创建令牌
    try{
        subject.login(token); //登录时传入该令牌,在Realm中进行验证
        return "redirect:index";
    }catch (AuthenticationException e){ // 校验不通过,会抛出AuthenticationException
        System.out.println(e);
    }
    return "login";
}

3.AuthorizingRealm:继承自AuthenticatingRealm类,因此具备认证和授权的方法,用户自定义的Realm只需要继承AuthorizingRealm并重写自定义的认证和授权方法逻辑即可。

public class MyRealm extends AuthorizingRealm {
    
    // 处理授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
	
    // 处理认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        return null;
    }
}

4.AuthenticationInfo:用户信息集合,认证时使用。一般使用该接口的实现类SimpleAuthenticationInfo

/**
 * @param principal   身份,即主体的标识属性,如用户名、邮箱等,确保唯一即可
 * @param credentials 证明/凭证,即只有主体知道的安全值,如密码/数字证书等
 * @param realmName  获取主体和凭证的Realm
 */
public SimpleAuthenticationInfo(Object principal, Object credentials, String realmName) {
        this.principals = new SimplePrincipalCollection(principal, realmName);
        this.credentials = credentials;
    }

5.AuthorizationInfo:用户的角色和权限的集合,授权时使用。一般使用该接口的实现类SimpleAuthorizationInfo

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 
info.addRole(String role); // 增加角色
info.addStringPermission(String permission); // 增加权限

6.DefaultWebSecurityManager:Web开发一般使用这个安全管理器

7.ShiroFilterFactoryBean:过滤器工厂,Shiro的基本运行规则时开发者指定规则,Shiro去执行,具体的规则在ShiroFilterFactoryBean中制订

public void setFilterChainDefinitionMap(Map<String, String> filterChainDefinitionMap) {
        this.filterChainDefinitionMap = filterChainDefinitionMap;
    }

4.Shiro认证和授权的规则

认证过滤器:

  • anon:无需认证
  • authc:必须认证
  • authcBasic:需要通过HTTPBasic认证
  • user:不一定通过认证,只要曾经被Shiro记录即可,比如:记住我

授权过滤器:

  • perms:必须拥有某个权限才能访问
  • role:必须拥有某个角色才能访问
  • port:请求的端口必须是指定值才能访问
  • rest:请求必须基于RESTful
  • ssl:必须是安全的URL请求,HTTPS

5.SpringBoot整合Shiro

1.导入依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.5.2</version>
</dependency>

2.自定义Reaml,继承自AuthorizingRealm,并实现认证和授权的逻辑

public class AccountRealm extends AuthorizingRealm {

    @Autowired
    private AccountService accountService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Subject subject = SecurityUtils.getSubject();
        Account account = (Account) subject.getPrincipal();
        info.addRole(account.getRole());
        info.addStringPermission(account.getPerms());
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        Account account = accountService.findUserByName(username);
        if (account != null){
            System.out.println(getName());
            return new SimpleAuthenticationInfo(account, account.getPassword(), getName());
        }
        return null;
    }
}

3.配置Shiro

  • 将自定义的Reaml注册到Spring容器中
  • 将自定义的Reaml注入到DefaultWebSecurityManager中,,并将DefaultWebSecurityManager注册到Spring容器中
  • 将DefaultWebSecurityManager注入到ShiroFilterFactoryBean中,同时在ShiroFilterFactoryBean设置过滤的规则,并注册到Spring容器中
@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("manager") DefaultWebSecurityManager manager){
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
        filterFactoryBean.setSecurityManager(manager);
        // 设置拦截的页面以及对应需要的权限
        Map<String, String> map = new HashMap<>();
        map.put("/main", "authc");
        map.put("/manage", "perms[manage]");
        map.put("/administrator", "roles[administrator]");
        filterFactoryBean.setFilterChainDefinitionMap(map);
        filterFactoryBean.setLoginUrl("/login");
        return filterFactoryBean;
    }


    @Bean
    public DefaultWebSecurityManager manager(AccountRealm accountRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(accountRealm);
        return manager;
    }

    @Bean
    public AccountRealm accountRealm(){
        return new AccountRealm();
    }
}
shiro 简介
Zllvincent的博客
09-18 8648
一.What is Apache Shiro? shiro 可以在command line、mobile application、web 中使用的安全框架,其中有4个核心组件。 Authentication: 认证(校验用户身份,常叫做登录) Authorization:授权(可简单理解为授权登录用户某种操作的能力) Cryptography: 加密 Session Management:会话管...
Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
一篇适合小白的Shiro教程
热门推荐
潮汐先生的专栏
12-02 6万+
Shiro的基本使用Shiro简介什么是ShiroShiro核心架构SubjectSecurityManagerAuthenticatorAuthorizerRealmSessionManagerSessionDAOCacheManagerCryptographyShiro中的认证什么是认证三个概念SubjectPrincipalcredential认证的实现Shiro认证的源码分析Shiro使用自定义Relam实现认证CustomerRealmCustomerRealmAuthenticatorTest测
shiro
m0_67476502的博客
04-09 1万+
1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。 2. 在应用程序角度来观察如何使用Shiro完成...
shiro原理
tiantian929的博客
02-19 4081
shiro原理
Shiro介绍
PinkCoder
02-12 1660
Shiro介绍
shiro(详解)
weixin_56404155的博客
06-26 5381
这里写自定义目录标题什么是shiro什么是权限管理什么是身份认证什么是授权SubjectSecurityManagerAuthenticatorAuthorizerRealmSessionManagerSessionDAOCacheManagerCryptography`面试题`认证的开发1. 创建项目并引入依赖2. 引入shiro配置文件并加入如下配置自定义Realm自定义realm使用自定义Realm认证使用MD5和Salt1.自定义md5+salt的realm2.使用md5 + salt 认证shir
Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro
MinggeQingchun的博客
08-27 3万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
Shiro之注解篇
qq_43654581的博客
10-15 3155
1.开启注解功能,比较使用注解 2.解决注解式,登录页和无权访问页面不跳转问题 3.拦截器跟注解同时使用的执行顺序
spring集成shiro详解
u010752885的博客
06-24 7320
shiro说明 springboot集成shiro 前后端分离项目集成shiro shiro集成其他认证方式
shiro(shiro1.3.2)
03-21
Apache Shiro是一个强大且易用的Java安全框架,主要用于处理认证、授权、加密以及会话管理等核心安全性问题。在给定的压缩包"shiro1.3.2"中,包含了Shiro的一个核心组件库"shiro-all-1.3.2.jar"以及两个日志管理库...
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
自动驾驶规划与控制算法详解:从Apollo 6.0 EMplanner到PID、模糊控制、LQR、MPC
05-27
内容概要:本文深入探讨了自动驾驶领域的规划与控制算法,重点介绍了Apollo 6.0的EMplanner规划模块和常用的控制算法如PID、模糊控制、LQR、MPC。规划部分涵盖了路径规划、决策制定、安全性、效率和实时性的实现;控制部分详细解析了各控制算法的原理及其在自动驾驶中的应用。此外,作者还分享了丰富的实践经验,强调了实践、安全、灵活运用算法和持续学习的重要性。 适合人群:对自动驾驶技术感兴趣的工程师、研究人员及即将进入该领域的毕业生。 使用场景及目标:①理解和掌握自动驾驶规划与控制的基本原理和技术;②对比不同控制算法的特点和应用场景;③获取宝贵的行业经验和职业发展指导。 其他说明:本文不仅提供了理论知识,还结合了大量实际工作经验,有助于读者更好地应对技术和职业挑战。
### 【大数据技术】Hadoop、Flink、Hive、Spark、Kafka、Zookeeper、HBase安装与配置指南:构建分布式集群系统
05-27
内容概要:本文档详细介绍了在三台CentOS 7服务器(IP地址分别为192.168.0.157、192.168.0.158和192.168.0.159)上安装和配置Hadoop、Flink及其他大数据组件(如Hive、MySQL、Sqoop、Kafka、Zookeeper、HBase、Spark、Scala)的具体步骤。首先,文档说明了环境准备,包括配置主机名映射、SSH免密登录、JDK安装等。接着,详细描述了Hadoop集群的安装配置,包括SSH免密登录、JDK配置、Hadoop环境变量设置、HDFS和YARN配置文件修改、集群启动与测试。随后,依次介绍了MySQL、Hive、Sqoop、Kafka、Zookeeper、HBase、Spark、Scala和Flink的安装配置过程,包括解压、环境变量配置、配置文件修改、服务启动等关键步骤。最后,文档提供了每个组件的基本测试方法,确保安装成功。 适合人群:具备一定Linux基础和大数据组件基础知识的运维人员、大数据开发工程师以及系统管理员。 使用场景及目标:①为大数据平台搭建提供详细的安装指南,确保各组件能够顺利安装和配置;②帮助技术人员快速掌握Hadoop、Flink等大数据组件的安装与配置,提升工作效率;③适用于企业级大数据平台的搭建与维护,确保集群稳定运行。 其他说明:本文档不仅提供了详细的安装步骤,还涵盖了常见的配置项解释和故障排查建议。建议读者在安装过程中仔细阅读每一步骤,并根据实际情况调整配置参数。此外,文档中的命令和配置文件路径均为示例,实际操作时需根据具体环境进行适当修改。
欧姆龙CJCP程序在锂电池贴胶检测线中的PLC通信与多机协同控制方案
最新发布
05-27
内容概要:本文详细介绍了欧姆龙CJ/CP系列程序在全自动CE锂电池贴胶检测机中的应用。该系统基于欧姆龙CP1H-XA主机和CIF串口模块,实现了高效的PLC通信与多机协同操作。主要功能包括轴控制、一键换型、故障记录、产量统计及OEE计算等。此外,还提供了优质的触摸屏程序模板和多种可重复调用的功能块,如气缸报警、真空报警和轴实时位置脉冲转毫米功能块。整条生产线由四台不同功能的机器组成,配备四套PLC和触摸屏程序,采用八套主从站控制,确保系统的高可靠性和强大适应性。 适合人群:从事工业自动化领域的工程师和技术人员,特别是对PLC编程和控制系统有需求的专业人士。 使用场景及目标:适用于需要构建高效稳定的锂电池贴胶检测生产线的企业。目标是提高生产效率、减少停机时间、优化资源配置并提升产品质量。 其他说明:文中不仅提供了详细的硬件配置介绍,还包括具体的梯形图和ST代码示例,帮助读者更好地理解和实施相关技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值