自学狂神java视频shiro笔记

  •                     本笔记来源狂神说Java教学视频
    

1、Shiro 是什么?
Apache Shiro 是 Java 的一个安全(权限)框架。
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。
Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。
在这里插入图片描述

Authtentication:身份认证登录,验证用户是不是拥有相应的身份
Authorization:授权,即权限验证, 验证某个已认证的用户是否拥有某个权限。即判断用户是否能进行某个操作。如:验证某个用户是否拥有某个角色。
或者细粒度的验证某个用户对某个资源是否具有某个权限

Session Management:回话管理,即用户登录后就是一次会话。在没有退出登录之前所有信息都在回话中;会话可以是普通Java SE环境,也可以是Web环境。
Cryptography: 加密,保护数据的安全性,如密码加密存储到数据库,而不是明文密码
Web Support“Web支持,可以非常容易的集成到Web环境
Caching:缓存,比如用户登录后,其用户信息,拥有的角色/权限不必每次去查,这样可以提高效率
Concurrency:Shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去
Testing:提供测试支持
“Run As”:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了
Shiro架构(外部)

在这里插入图片描述

subject:应用代码直接交互的对象是Subject,也就是说Shiro的对外API的核心就是Subject。
Subject代表当前用户,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject。如网络爬虫,机器人等。与Subject的所有交互都会委托给SecurityManager;
Subject其实是一个门面,SecurityManage才是实际的执行者
SubjectManager:安全管理器,即所有与安全有关的操作都会与SercurityManager交互,并且它管理着所有的Subject。可以看出来他是Shiro的核心,他负责与Shiro的其他组件进行交互,它相当于SpringMvc的DispatcherServlert的角色
Realm;Shiro从Realm获取安全数据,就是说SecurityMavager要验证用户身份,那么他需要从Realm获取相应的用户进行比较,来确定用户的身份是否合法;也需要从Realm得到用户相应的角色权限,进行验证用户的操作是否能够进行,可以把Realm看成DataSource
Shiro架构(内部)
在这里插入图片描述

Subject:任何可以与应用交互的“用户”;
SecurityManager:相当于SpringMVC中的DispatcherServlet;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证、授权、会话及缓存的管理。
Authenticator:负责Subject 认证,是一个扩展点,可以自定义实现;可以使用认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
Authorizer:授权器、即访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
Realm:可以有1 个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC 实现,也可以是内存实现等等;由用户提供;所以一般在应用中都需要实现自己的Realm;
SessionManager:管理Session 生命周期的组件;而Shiro并不仅仅可以用在Web 环境,也可以用在如普通的JavaSE环境
CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少改变,放到缓存中后可以提高访问的性能
Cryptography:密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密。
Shiro快速开始
• 查看官方文档:http://shiro.apache.org/tutorial.html
• 官方的quickstart : https://github.com/apache/shiro/tree/master/samples/quickstart/

SpringBoot整合Shiro环境搭建
1、新建一个SpringBoot项目
2、导入相关依赖



org.springframework.boot
spring-boot-starter-thymeleaf

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-test</artifactId>
    <scope>test</scope>
    <exclusions>
        <exclusion>
            <groupId>org.junit.vintage</groupId>
            <artifactId>junit-vintage-engine</artifactId>
        </exclusion>
    </exclusions>
</dependency>
测试环境: 1、新建一个controller页面 @Controller public class MyController {
@RequestMapping({"/","/index"})
public String toIndex(Model model) {
    model.addAttribute("msg","hello,Shiro");
    return "index";
}

@RequestMapping("/user/add")
public String add() {
    return "user/add";
}

@RequestMapping("/user/update")
public String update() {
    return "user/update";

}
}
2、新建一个index.html页面

首页

首页

<hr>
<a th:href="@{/user/add}">add</a>   | <a th:href="@{/user/update}">update</a>
3、新建一个add.html页面 Title

add

4、新建一个update.html页面 Title

update

运行截图: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210619090356268.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDUzODQ2OQ==,size_16,color_FFFFFF,t_70)

导入shiro整合spring的包——官网,查看最新版本

org.apache.shiro shiro-spring 1.5.3

编写一个自定义类UserRealm
//自定义的UserRealm
public class UserRealm extends AuthorizingRealm {
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println(“执行了=>授权doGetAuthorizationInfo”);
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println(“执行了=>认证doGetAuthorizationInfo”);
return null;
}
}
编写配置ShiroConfig
@Configuration
public class ShiroConfig {

//3. shiroFilterFactoryBean

@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    // 设置安全管理器
    bean.setSecurityManager(defaultWebSecurityManager);

    return bean;
}

//2. DefaultWebSecurityManager

@Bean
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

    // 关联userRealm
    securityManager.setRealm(userRealm);
    return securityManager;
}
//1. 创建realm对象,需要自定义类

@Bean
public UserRealm userRealm() {
    return new UserRealm();
}

}
Shiro实现登录拦截
在ShiroConfig中的getShiroFilterFactoryBean方法中添加如下配置
anon: 无需认证就可以访问
authc: 必须认证了才能访问
user: 必须拥有记住我功能才能用
perms: 拥有对某个资源的权限才能访问
role: 拥有某个角色权限
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/user/add",“authc”);
filterMap.put("/user/update",“authc”);
bean.setFilterChainDefinitionMap(filterMap);

点击首页的add或者update之后:效果如下截图:

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值