Shiro-全面详解(学习总结---从入门到深化)

news2024/11/26 14:31:12

Shiro介绍_Shiro简介

 Shiro是apache旗下的一个开源安全框架,它可以帮助我们完成身 份认证,授权、加密、会话管理等功能。它有如下特点:

1、易于理解的API 简单的身份认证,支持多种数据源

2、简单的授权和鉴权

3、简单的加密API

4、支持缓存,以提升应用程序的性能

5、内置会话管理,适用于Web以及非Web的环境

6、不跟任何的框架或者容器捆绑,可以独立运行

认证 

认证即系统判断用户的身份是否合法,合法可继续访问,不合法则 拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码 登录、手机短信登录、脸部识别认证、指纹认证等方式。 认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。

授权

授权即认证通过后,根据用户的权限来控制用户访问资源的过程, 拥有资源的访问权限则正常访问,没有权限则拒绝访问。 比如在一 些视频网站中,普通用户登录后只有观看免费视频的权限,而VIP用户登录后,网站会给该用户提供观看VIP视频的权限。 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐 私数据进行划分,控制不同的用户能够访问不同的资源。 举个例子:认证是公司大门识别你作为员工能进入公司,而授权则是由于你作为公司会计可以进入财务室,查看账目,处理财务数据。

 Shiro介绍_Shiro核心功能

Authentication:身份认证/登录。

Authorization:权限验证,即判断用户是否能在系统中做某件 事情。

Session Management:会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。

Cryptography:加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。 Web Support:Web 支持,可以非常容易的集成到Web环境。 

Caching:缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。

Concurrency:Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。

Testing:提供测试支持。

Run As:允许一个用户假装为另一个用户的身份进行访问。

Remember Me:记住我,即一次登录后,下次再来就不用登 录了。

Shiro介绍_Shiro核心组件 

 1、Subject

主体。 Subject 在Shiro中是一个接口,接口中定义了认证授权的相关 方法。程序通过调用 Subject 的方法进行认证授权,而 Subject 使用 SecurityManager 进行认证授权。

2、SecurityManager

权限管理器,它是Shiro的核心。通过 SecurityManager 可以完成具体的 认证、授权等操作, SecurityManager 是通过 Authenticator 进行认证,通过 Authorizer 进行授权,通过 SessionManager 进行会话管理。 SecurityManager 是 一个接口,继承了 Authenticator , Authorizer , SessionManager 三个接口。

2、Authenticator

认证器。对用户登录时进行身份认证

3、Authorizer

授权器。用户认证通过后,在访问功能时需要通过授权器判断用户 是否有此功能的操作权限。

4、SessionManager

会话管理。shiro框架定义了一套会话管理,它不依赖web容器的 session,所以shiro可以使用在非web应用上。

5、Realm

领域。他是连接数据源+认证功能+授权功能的具体实现。 SecurityManager 通过 Realm 获取用户的身份和权限信息,并对用户进行认证和授权。

6、SessionDAO

会话dao,是对会话进行操作的一套接口。它可以将session数据存 储到数据库或缓存服务器中。

7、CacheManager

缓存管理,将用户权限数据存储在缓存中,这样可以减少权限查询 次数,提高性能。

8、Cryptography

密码管理,Shiro提供了一套加密/解密的组件,方便开发。

Shiro入门_项目搭建 

1、准备名为myshiro的mysql数据库

2、创建SpringBoot项目,加入相关依赖

<dependencies>
    <!-- SpringMVC -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <!-- Thymeleaf -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <!-- Mysql驱动 -->
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <scope>runtime</scope>
    </dependency>
    <!-- MyBatisPlus -->
    <dependency>
        <groupId>com.baomidou</groupId>
        <artifactId>mybatis-plus-boot-starter</artifactId>
        <version>3.5.0</version>
    </dependency>
    <!-- shiro和spring整合包 -->
    <dependency>
       <groupId>org.apache.shiro</groupId>
       <artifactId>shiro-spring</artifactId>
       <version>1.9.0</version>
    </dependency>
    <!-- lombok -->
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <!-- Junit -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
    <!-- Spring-jdbc -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-jdbc</artifactId>
    </dependency>
</dependencies>

3、编写配置文件 application.yml

server:
  port: 80
#日志格式
logging:
  pattern:
    console: '%d{HH:mm:ss.SSS} %clr(%-5level) --- [%-15thread]
%cyan(%-50logger{50}):%msg%n'
# 数据源
spring:
 datasource:
   driver-class-name: com.mysql.cj.jdbc.Driver
   url: jdbc:mysql:///myshiro?serverTimezone=UTC
   username: root
   password01: root

4、将前端资源复制到项目中

5、编写页面跳转控制器

@Controller
public class PageController {
    @RequestMapping("/{page}")
    public String showPage(@PathVariable String page) {
        return page;
   }
    // 忽略favicon.ico的获取
    @GetMapping("favicon.ico")
    @ResponseBody
    public void noFavicon() {}
}

6、启动项目,访问登录页http://localhost/login

Shiro入门_配置文件认证 

Shrio支持多种数据源,我们首先将用户名密码写入配置文件,让 Shiro读取配置文件进行认证。 

 1、在 resources 目录下编写配置文件 shiro.ini

#声明用户账号
[users]
baizhan=123

2、编写登录控制器方法

@Controller
public class LoginController {
    @RequestMapping("/user/login")
    public String login(String username,String password){
        // 1.获取SecurityManager工厂,读取配置文件
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 2.获取SecurityManager对象
        SecurityManager securityManager = factory.getInstance();
        // 3.将SecurityManager对象设置到运行环境中
      SecurityUtils.setSecurityManager(securityManager);
        // 4.获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        // 5.将前端传来的用户名密码封装为Shiro提供的身份对象
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
        // 6.shiro认证
            subject.login(token);
            // 7.认证通过跳转到主页面
            return "main";
       }catch (AuthenticationException e)
       {
            // 8.认证不通过跳转到失败页面
            return "fail";
       }
   }
}

3、启动项目,访问登录页http://localhost/login,测试登录功能。

Shiro入门_数据库认证 

 之前我们使用配置文件做数据源,在真实开发中,我们往往会使用 数据库作为数据源进行认证操作。 Realm 负责连接数据源并进行具体 认证,它有一个子类 JdbcRealm ,该类可以自动连接数据库认证。

 1、创建数据表

CREATE TABLE `users`  (
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL,
  `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users` VALUES ('bizhn', 'bizhn');

2、编写登录控制器方法

@RequestMapping("/user/login2")
public String login2(String username,String password){
    // 1.获取SecurityManager对象
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 2.为SecurityManager对象设置Realm
    JdbcRealm jdbcRealm = new JdbcRealm();
    jdbcRealm.setDataSource(dataSource);
    securityManager.setRealm(jdbcRealm);
    // 3.将SecurityManager对象设置到运行环境中
    SecurityUtils.setSecurityManager(securityManager);
    // 4.获取Subject对象
    Subject subject = SecurityUtils.getSubject();
    // 5.将前端传来的用户名密码封装为Shiro提供的身份对象
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    try {
        // 6.shiro认证
        subject.login(token);
        // 7.认证通过跳转到主页面
        return "main";
   }catch (AuthenticationException e){
        // 8.认证不通过跳转到失败页面
        return "fail";
   }
}

3、启动项目,访问登录页http://localhost/login,测试登录功能。

Shiro认证_将Shiro对象交给容器管理 

 之前的案例中,所有关于Shiro的对象都是自己创建的。我们在 SpringBoot中使用Shiro,就可以将Shiro的对象交给容器管理,简 化业务代码。

1、创建Shiro配置类

@Configuration
public class ShiroConfig {
    // SecurityManager对象
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(JdbcRealm jdbcRealm){
        DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();
        defaultSecurityManager.setRealm(jdbcRealm);
        return defaultSecurityManager;
   }
    // JdbcRealm
    @Bean
    public JdbcRealm getJdbcRealm(DataSource dataSource) {
        JdbcRealm jdbcRealm = new JdbcRealm();
        jdbcRealm.setDataSource(dataSource);
        return jdbcRealm;
   }
}

2、创建 UserService.java

@Service
public class UsersService {
@Autowired
    private DefaultWebSecurityManager securityManager;
    public void userLogin(String username,String password) throws AuthenticationException {
        // 1.将SecurityManager对象设置到运行环境中
      SecurityUtils.setSecurityManager(securityManager);
        // 2.获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        // 3.将前端传来的用户名密码封装为Shiro提供的身份对象
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 4.Shiro认证
        subject.login(token);
   }
}

3、编写登录控制器方法

@RequestMapping("/user/login2")
public String login2(String
username,String password){
    try {
       usersService.userLogin(username,password);
        return "main";
   }catch (AuthenticationException e){
        return "fail";
   }
}

4、启动项目,访问登录页http://localhost/login,测试登录功能。

Shiro认证_自定义Realm 

 使用 JdbcRealm 认证时,数据库表名、字段名、认证逻辑都不能改变, 我们可以自定义Realm进行更灵活的认证。

1、准备数据表

CREATE TABLE `users`  (
  `uid` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET
utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`uid`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users` VALUES (1, 'bizan','123');

2、编写实体类

@Data
public class Users {
    private Integer uid;
    private String username;
    private String password;
}

3、编写mapper接口

public interface UsersMapper extends BaseMapper<Users> { }

4、在启动类加载mapper接口

@SpringBootApplication
@MapperScan("com.itbaizhan.myshiro1.mapper")
public class Myshiro1Application {
    public static void main(String[] args)
   {
      SpringApplication.run(Myshiro1Application.class, args);
   }
}

5、编写自定义Realm类

public class MyRealm extends
AuthorizingRealm {
    @Autowired
    private UserInfoMapper userInfoMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取用户输入的用户名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据用户名查询用户
        QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username",username);
        Users users = usersMapper.selectOne(wrapper);
        // 3.将查询到的用户封装为认证信息
        if (users == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1:用户
         * 参数2:密码
         * 参数3:Realm名
         */
        return new SimpleAuthenticationInfo(users,users.getPassword(),"myRealm");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}

6、将自定义Realm放入SecurityManager对象中

@Configuration
public class ShiroConfig {
    // 自定义Realm
    @Bean
    public MyRealm myRealm(){
        return new MyRealm();
   }
    
    // SecurityManager对象
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
        DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();
        // 自定义Realm放入SecurityManager中
       defaultSecurityManager.setRealm(myRealm);
       return defaultSecurityManager;
   }
}

7、无需修改Service和Controller

8、启动项目,访问登录页http://localhost/login,测试登录功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/51985.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

《机器学习实战》11.Apriori算法进行关联分析

目录 使用Apriori算法进行关联分析 1 关联分析 2 Apriori原理 3 使用Apriori算法来发现频繁集 3.1 生成候选项集 3.2 组织完整的Apriori算法 4 从频繁项集中挖掘关联规则 5 示例&#xff1a;发现国会投票中的模式 6 示例&#xff1a;发现毒蘑菇的相似特征 7 本章小结…

线上服务Java进程假死快速排查、分析

线上服务Java进程假死快速排查、分析 最近我们有一台服务器上的Java进程总是在运行个两三天后就无法响应请求了&#xff0c;具体现象如下&#xff1a; 请求业务返回状态码502&#xff0c;查看进程还在&#xff0c;意味着Java进程假死&#xff0c;无法响应请求了&#xff1b;该…

React18 基础入门API、JSX语法糖

文章目录一、react的一次使用react.development.jsreact-dom.development.jsReact.createElement()二、三个APIReact.createElement()ReactDOM.createRoot()root.render() 渲染页面三、JSX&#xff08;JavaScript Syntax Extension&#xff09;、babelbabelJSX使用注意事项一、…

mysql与磁盘的关系

1.如今一直在说mysql存储方式和磁盘的关系&#xff0c;但是现在都是硬盘存储啊 磁盘分为硬盘和软盘 硬盘结构&#xff08;机械硬盘和固态硬盘&#xff09;详解 硬盘的大小是使用"磁头数 x 柱面数 x 扇区数 x 每个扇区的大小 如下&#xff1a; 每个扇区的大小是固定的…

javaEE高阶---Spring MVC

一 : 什么是Spring MVC ? 1.1 概述 Spring MVC全称Spring Web MVC,又称为Spring Web,它是一个原始的基于Servlet API 的 web 框架.Q : 经典问题 : Spring/Spring Boot/Spring MVC 有什么区别 ? A : Spring&#xff0c;一般指代的是Spring Framework&#xff0c;它是一个开源…

业务数据分析-常见业务指标

目录 1、什么是指标&#xff1f; 2、以互联网电商数据为例分析常用的指标 3、如何选择指标 4、电商指标体系详细介绍 1、什么是指标&#xff1f; 我们说过分析的最终目的就是为了通过客观的数据去发现公司业务存在的问题&#xff0c;那怎么通过什么数据呢&#xff1f;业务…

连接MySQL问题的错题小集

目录 一. 连接不上数据库 踩坑 解决过程 二. Can‘t connect to MySQL server on ‘localhost:3306‘ (10061) 排查1&#xff1a;数据库没有启动 排查2&#xff1a;判断数据库是否存在 排查3&#xff1a;数据库没有启动 ​编辑 过程&#xff1a; 报错了&#xff0c;排…

12.Java 技术栈中间件优雅停机方案设计与实现全景图

Java 技术栈中间件优雅停机方案设计与实现全景图 本系列 Netty 源码解析文章基于 4.1.56.Final 版本 本文概要 在上篇文章 中笔者为大家详细介绍了 Netty 在处理连接关闭时的完整过程&#xff0c;并详细介绍了 Netty 如何应对 TCP 连接在关闭时会遇到的各种场景。 在连接关闭…

软件压力测试有哪些测试流程?软件测试报告收费情况

软件压力测试是一种基本的质量保证行为&#xff0c;它是每个重要软件测试工作的一部分。通过给软件系统不断施压&#xff0c;强制其在极限条件下运行&#xff0c;以观察软件系统可运行到哪种程度&#xff0c;从而发现系统性能缺陷。测试人员根据测试过程进行总结和分析&#xf…

[附源码]Python计算机毕业设计Django个性化产品服务管理系统论文

项目运行 环境配置&#xff1a; Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术&#xff1a; django python Vue 等等组成&#xff0c;B/S模式 pychram管理等等。 环境需要 1.运行环境&#xff1a;最好是python3.7.7&#xff0c;…

电脑重装系统后序列号怎么查

最近很多网友都在问怎么看桌面操作系统序列号&#xff0c;我们安装系统的时候是需要知道&#xff0c;其实想要知道自己电脑的序列号非常简单的&#xff0c;网友们看看下面操作就知道了。 工具/原料&#xff1a; 系统版本&#xff1a;win10 型号&#xff1a;联想小新Air 13 Pro…

【矩阵论】4. 矩阵运算——广义逆——减号逆

4.5 减号逆 若 AAmnAA_{m\times n}AAmn​ 与 XXnmXX_{n\times m}XXnm​ &#xff0c;有 AXAAAXAAAXAA &#xff0c;则称 XXnmXX_{n\times m}XXnm​ 为A的减号逆(一号逆)&#xff0c;记为 XA−A(1)XA^{-}A^{(1)}XA−A(1) 全体 A−A^{-}A− 的集合记为 A{1}{X∣AXAA}A^{\{1\}}\…

【自然语言处理概述】百度百科数据爬取

【自然语言处理概述】百度百科数据爬取 作者简介&#xff1a;在校大学生一枚&#xff0c;华为云享专家&#xff0c;阿里云专家博主&#xff0c;腾云先锋&#xff08;TDP&#xff09;成员&#xff0c;云曦智划项目总负责人&#xff0c;全国高等学校计算机教学与产业实践资源建设…

氮化镓(GaN)功率半导体之预测

前言 氮化镓&#xff08;GaN&#xff09;是一种非常坚硬且在机械方面非常稳定的宽带隙半导体材料。由于具有更高的击穿强度、更快的开关速度&#xff0c;更高的热导率和更低的导通电阻&#xff0c;氮化镓基功率器件明显比硅基器件更优越。 氮化镓晶体可以在各种衬底上生长&…

充分利用自动化测试的 10 个最佳实践

你试过吃带壳的坚果吗&#xff1f;如果是&#xff0c;我想这不是一次非常成功的经历。 虽然大家都知道坚果是非常健康和有营养的。矛盾的是&#xff0c;许多公司在实施测试自动化时没有考虑细微差别。每个人都知道它对身体有好处&#xff08;就像吃坚果对我们健康有益一样&…

线上环境不要使用console.log,会导致页面卡顿,内存泄漏的原因

在我的这篇文章中分享了一个经验&#xff0c;就是vite打包之后会自动屏蔽所有的console.log打印的日志。 那么&#xff0c;在线上环境中不要使用 console.log 打印日志&#xff0c;已经成为共识&#xff0c;你知道是为什么么&#xff1f; 原因当然在于这个罪魁祸首 console 方…

深拷贝、浅拷贝的方法

目录 浅拷贝 深拷贝 与浅拷贝概念&#xff1a; 深浅拷贝出现的前提&#xff1a; 应用类型的数据&#xff08;对象和数组&#xff09; 深拷贝就是把目标对象里面的数据一个一个都复制下来&#xff0c;创建出一个一模一样的&#xff0c;存放地 址不一样&#xff0c;互不影响。…

【白嫖】如何底价续费服务器

目录 背景 问题 缓解方案 背景 现在各大云服务商的学生价服务器都已经关闭了&#xff0c;华为云、阿里云、百度云&#xff0c;以前都有学生价服务器&#xff0c;一年只要99。现在我找半天都没找到入口&#xff0c;而原价的一年得500块起步。。。 但是&#xff01;&#xff0…

MySQL事务详解

目录 引例 什么是事务 一个完整事务所具有的四大属性 为什么会出现事务 事务常见操作方式 事务隔离级别 为什么要存在隔离级别 一致性 引例 如下图&#xff0c;是一个火车售票系统&#xff0c;当客户端A发现还有一张票时&#xff0c;将票卖掉&#xff0c;还没执行更新…

C++实现UDP可靠传输(二)

声明&#xff1a;禁止以任何形式转载本文章。本文章仅供个人学习记录与交流探讨&#xff0c;文章中提供的思路只是一种解决方案&#xff0c;代码也并非完整代码&#xff0c;如有需要&#xff0c;请自行设计协议并完成编程任务。 食用本文章之前&#xff0c;推荐阅读&#xff…