shiro最详细的解读
shiro可以做什么:
认证、授权、会话管理、加密、缓存、与web集成
shiro认证流程:
创建SecurityManager
安全管理器 > 主体Subject
提交认证信息 > SecurityManager
安全管理器认证 > SecurityManager
调用Authenticator
认证器认证 >Realm
验证
1.Subject(把操作交给SecurityManager
)Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权2.SecurityManager(关联Realm)SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。3.AuthenticatorAuthenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。4.AuthorizerAuthorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。5.realmRealm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。6.sessionManagersessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。7.SessionDAOSessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。8.CacheManagerCacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。9.CryptographyCryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。
————————————————————————————————————————————————————————————————————————
1.引入maven依赖
<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring-boot-starter</artifactId><version>1.4.0</version></dependency>
2.首先在ShiroConfig配置类中创建SecurityManager
安全管理器
(最基本的ShiroConfig 可直接复制)
package com.yuyang.demo.shiro; import org.apache.shiro.spring.web.ShiroFilterFactoryBean;import org.apache.shiro.web.mgt.DefaultWebSecurityManager;import org.springframework.beans.factory.annotation.Qualifier;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration; import java.util.LinkedHashMap;import java.util.Map; /** * @program: spring-boot-demo * @description: shiro配置类 * @author: 于洋 * @create: 2019-09-18 14:30 **/@Configurationpublic class ShiroConfig { /** * 创建shiroFilterFactoryBean */ @Bean(name = "ShiroFilterFactoryBean") public ShiroFilterFactoryBean getshiroFilterFactoryBean(@Qualifier("DefaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); //设置安全管理器 shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager); /** * shiro内置过滤器,可以实现权限相关拦截 * 常用过滤器: * anon:无需认证(登陆)可以访问 * authc:必须认证才可以访问 * user:如果使用rememberMe的功能才可以直接访问 * perms:该资源必须得到资源权限才可以访问 * role:该资源必须得到角色权限才可以访问 */ Map<String,String> map=new LinkedHashMap<>(); map.put("/excel/add","authc"); map.put("/excel/update","authc"); shiroFilterFactoryBean.setLoginUrl("/excel/login"); shiroFilterFactoryBean.setFilterChainDefinitionMap(map); return shiroFilterFactoryBean; } /** * 创建DefaultWebSecurityManager */ @Bean(name = "DefaultWebSecurityManager") public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("MyRealm") MyRealm realm) { DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager(); /** * 关联Realm */ defaultWebSecurityManager.setRealm(realm); return defaultWebSecurityManager; } /** * 创建Realm */ @Bean(name = "MyRealm") public MyRealm getRealm() { return new MyRealm(); }}
我的ShiroConfig类
@Configuration public class ShiroConfig {/*** Filter Chain定义说明 * 1、一个URL可以配置多个Filter,使用逗号分隔* 2、当设置多个过滤器时,全部验证通过,才视为通过* 3、部分过滤器可指定参数,如perms,roles*/@Bean("shiroFilter")public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();shiroFilterFactoryBean.setSecurityManager(securityManager); // 拦截器Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();// 配置不会被拦截的链接 顺序判断 controllerMapping路径filterChainDefinitionMap.put("/sys/login", "anon"); //登录接口排除filterChainDefinitionMap.put("/auth/2step-code", "anon");//登录验证码filterChainDefinitionMap.put("/sys/common/view/**", "anon");//图片预览不限制tokenfilterChainDefinitionMap.put("/sys/common/download/**", "anon");//文件下载不限制tokenfilterChainDefinitionMap.put("/sys/common/pdf/**", "anon");//pdf预览filterChainDefinitionMap.put("/generic/**", "anon");//pdf预览需要文件filterChainDefinitionMap.put("/", "anon");filterChainDefinitionMap.put("/doc.html", "anon");filterChainDefinitionMap.put("/**/*.js", "anon");filterChainDefinitionMap.put("/**/*.css", "anon");filterChainDefinitionMap.put("/**/*.html", "anon");filterChainDefinitionMap.put("/**/*.svg", "anon");filterChainDefinitionMap.put("/**/*.jpg", "anon");filterChainDefinitionMap.put("/**/*.png", "anon");filterChainDefinitionMap.put("/**/*.ico", "anon");filterChainDefinitionMap.put("/druid/**", "anon");filterChainDefinitionMap.put("/swagger-ui.html", "anon");filterChainDefinitionMap.put("/swagger**/**", "anon");filterChainDefinitionMap.put("/webjars/**", "anon");filterChainDefinitionMap.put("/v2/**", "anon");// 添加自己的过滤器并且取名为jwtMap<String, Filter> filterMap = new HashMap<String, Filter>(1);filterMap.put("jwt", new JwtFilter());shiroFilterFactoryBean.setFilters(filterMap);// <!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边filterChainDefinitionMap.put("/**", "jwt");// 未授权界面返回JSONshiroFilterFactoryBean.setUnauthorizedUrl("/sys/common/403");shiroFilterFactoryBean.setLoginUrl("/sys/common/403");shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return shiroFilterFactoryBean;}@Bean("securityManager")public DefaultWebSecurityManager securityManager(ShiroRealm myRealm) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(myRealm);/**SecurityManager
安全管理器需要到realm中去验证认证信息,所以给SecurityManager
设置Realm
。*/DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();defaultSessionStorageEvaluator.setSessionStorageEnabled(false);subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);securityManager.setSubjectDAO(subjectDAO);return securityManager;}/*** 下面的代码是添加注解支持* @return*/@Bean@DependsOn("lifecycleBeanPostProcessor")public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);return defaultAdvisorAutoProxyCreator;}@Beanpublic LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {return new LifecycleBeanPostProcessor();}@Beanpublic AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();advisor.setSecurityManager(securityManager);return advisor;}}
3.SecurityManager
安全管理器需要到realm中去验证认证信息,所以给SecurityManager
设置Realm。
自定义Realm
ShiroRealm类 继承 AuthorizingRealm 重写 doGetAuthenticationInfo doGetAuthorizationInfo方法
@Component @Slf4j public class ShiroRealm extends AuthorizingRealm {@Autowired@Lazyprivate ISysUserService sysUserService;@Autowired@Lazyprivate RedisUtil redisUtil;/*** 功能: 获取用户权限信息,包括角色以及权限。只有当触发检测用户权限时才会调用此方法,例如checkRole,checkPermission* * @param token token* @return AuthorizationInfo 权限信息*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { //根据自己的需求去写 log.info("————权限认证 [ roles、permissions]————");LoginUser sysUser = null;String username = null;if (principals != null) {sysUser = (LoginUser) principals.getPrimaryPrincipal();username = sysUser.getUsername();}SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();// 设置用户拥有的角色集合,比如“admin,test”Set<String> roleSet = sysUserService.getUserRolesSet(username);info.setRoles(roleSet);// 设置用户拥有的权限集合,比如“sys:role:add,sys:user:add”Set<String> permissionSet = sysUserService.getUserPermissionsSet(username);info.addStringPermissions(permissionSet);return info;}/*** 功能: 用来进行身份认证,也就是说验证用户输入的账号和密码是否正确,获取身份验证信息,错误抛出异常* * @param authenticationToken 用户身份信息 token* @return 返回封装了用户信息的 AuthenticationInfo 实例*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {log.debug("————身份认证————");String token = (String) auth.getCredentials();if (token == null) {throw new AuthenticationException("token为空!");}// 校验token有效性LoginUser loginUser = this.checkUserTokenIsEffect(token);return new SimpleAuthenticationInfo(loginUser, token, getName());} }
3.SecurityManager
安全管理器需要到realm中去验证认证信息,所以给SecurityManager
设置Realm
。
代码写在ShiroConfig 类里标 色地方
4.Shiro配置类的过滤器中启用安全管理器,即shiroFilterFactoryBean
中配置SecurityManager
代码写在ShiroConfig 类里标 色地方
5.主体提交认证信息,即登录请求
@PostMapping("/login")public String login(String username, String password, Model model){UsernamePasswordToken token = new UsernamePasswordToken(username,password);Subject currentUser = SecurityUtils.getSubject(); //重点 try {//主体提交登录请求到SecurityManager currentUser.login(token);}catch (IncorrectCredentialsException ice){model.addAttribute("msg","密码不正确");}catch(UnknownAccountException uae){model.addAttribute("msg","账号不存在");}catch(AuthenticationException ae){model.addAttribute("msg","状态不正常");}if(currentUser.isAuthenticated()){System.out.println("认证成功");model.addAttribute("currentUser",currentUser());return "success";}else{token.clear();return "login";}}
转载于:https://www.cnblogs.com/yuyangcoder/p/11535061.html
shiro最详细的解读相关推荐
- mask rcnn 超详细代码解读(一)
mask r-cnn 代码解读(一) 文章目录 1 代码架构 2 model.py 的结构 3 train过程代码解析 3.1 Resnet Graph 3.2 Region Proposal Net ...
- 《信号与系统》解读 第1章 信号与系统概述-5:非常重要!!!深入、详细地解读什么基本的复指数信号、IQ信号、欧拉公式?
前言: 正弦信号与复指数信号(更准确称为虚指数信号)是现代移动通信系统中最基本的信号. 其中正弦信号常是射频调制的载波信号,而虚指数信号,包含了两路同频的正交正弦与余弦信号,常用于现代通信基带数字调制 ...
- 单片机c语言全程图文教程,单片机C语言,从小白到菜鸟进阶教程(超详细代码解读)...
首先要认识单片机是啥?单片机语言是啥?单片机是一种可存储可读写可编程可运行的芯片,你写啥它就运行啥,运行出错,那你程序写错了.单片机语言,嗯!确定要学C啊!有哪一种语言能够抗衡C的强大地位?没有!哪一 ...
- 基于Python的文件批量重命名(附详细过程解读)
基于Python的文件批量重命名(附详细过程解读) 0.闲言碎语 hi ~ 欢迎关注公众号"壹贰叁言"! 啥都写,图一乐哈哈! 1.前因后果 前几日,我在用arcgis处理一些数据 ...
- 使用Hexo在GitHub Pages上搭建部署免费的个人博客网站(上:GitHub搭建)——最详细全面解读教程(没有之一)
标签:Hexo GitHub使用技巧 博客 网站搭建 点击此处,浏览效果更好 版权声明:本文为博主 @残灯飞雪 的原创文章,欢迎转载,传播知识.著作权归作者所有,商业转载请联系作者获得授权,非商业转载 ...
- HTML5 form表单 调查问卷制作(内含超详细代码解读)
HTML 表单技术练习:制作调查问卷(内含超详细代码解读) 这一篇来记录HTML5表单API的学习,以制作调查问卷为例,效果如图: 注:完整代码见文章末尾处. 一.表单标签form 1.常用属性 常用 ...
- Pytorch.Dataloader 详细深度解读和微修改源代码心得
关于pytorch 的dataloader库,使用pytorch 基本都会用到的一个库 今天遇到了一个问题,我在训练的时候,采用batch_size =2 去训练,最终的loss抖动太大了,看得出来应 ...
- WebRTC内置debug工具,详细参数解读
为了确保这篇文章所写内容尽可能的准确,我决定请来Philipp Hancke来作为此篇文章的共同作者. 当你想要找到你WebRTC产品中的问题时,webrtc-internals是一个非常棒的工具,因 ...
- 如何用 Python 爬取网易云音乐的 10w+ 评论?附详细代码解读
在简单学习了Python爬虫之后,我的下一个目标就是网易云音乐.因为本人平时就是用它听的歌,也喜欢看歌里的评论,所以本文就来爬一爬网易云音乐的评论吧! 正式进入主题 首先是找到目标网页并分析网页结构, ...
- Bert 源码(pytorch)超详细的解读
model.py 对transformers的bert源码的解读 # coding=utf-8from __future__ import absolute_import, division, pri ...
最新文章
- 在EXT中向弹窗传值或者对象
- 脚本升级_Openssh升级脚本
- 看来cmwap真的是没有可以使用的邮件客户端了
- 江苏卫视舞蹈演员机器人_虽然跨年湖南卫视收视第一,但要说专业,还属江苏卫视...
- Spring Boot 2.0 正式发布
- Springboot中进行日志打印需要的信息
- 操作系统—基本地址变换机构
- little w and Sum(思维)
- Windows下用C语言连接Mysql注意问题
- Android 四大组件学习之Activity六
- 前端js使用java变量值_web前端:js中的变量
- 网站如何调用第三方支付接口
- 我学会了学计算机,我学会了电脑打字
- 2021年中国冰雪旅游行业市场现状分析,“三足鼎立、两带崛起、全面开花”新格局形成「图」
- 免费版xshell下载地址
- 安装nginx和zookeeper
- Android 腾讯TUIKIT IM即时通信聊天界面语音问题备忘
- nz-select 选择器
- linux如何拿到文件的返回值,linux 下read函数返回值分析
- 英语面试常见问题集锦 .