shiro可以做什么:

认证、授权、会话管理、加密、缓存、与web集成

shiro认证流程:

创建SecurityManager安全管理器 > 主体Subject提交认证信息 > SecurityManager安全管理器认证 > SecurityManager调用Authenticator认证器认证 >Realm验证

1.Subject(把操作交给SecurityManager)Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权2.SecurityManager(关联Realm)SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。3.AuthenticatorAuthenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。4.AuthorizerAuthorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。5.realmRealm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。6.sessionManagersessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。7.SessionDAOSessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。8.CacheManagerCacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。9.CryptographyCryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

————————————————————————————————————————————————————————————————————————

1.引入maven依赖

        <dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring-boot-starter</artifactId><version>1.4.0</version></dependency>

2.首先在ShiroConfig配置类中创建SecurityManager安全管理器

(最基本的ShiroConfig 可直接复制)

package com.yuyang.demo.shiro;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;import org.apache.shiro.web.mgt.DefaultWebSecurityManager;import org.springframework.beans.factory.annotation.Qualifier;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;import java.util.Map;

/** * @program: spring-boot-demo * @description: shiro配置类 * @author: 于洋 * @create: 2019-09-18 14:30 **/@Configurationpublic class ShiroConfig {    /**     * 创建shiroFilterFactoryBean     */    @Bean(name = "ShiroFilterFactoryBean")    public ShiroFilterFactoryBean getshiroFilterFactoryBean(@Qualifier("DefaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager) {        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();        //设置安全管理器        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);        /**         * shiro内置过滤器,可以实现权限相关拦截         * 常用过滤器:         * anon:无需认证(登陆)可以访问         * authc:必须认证才可以访问         * user:如果使用rememberMe的功能才可以直接访问         * perms:该资源必须得到资源权限才可以访问         * role:该资源必须得到角色权限才可以访问         */        Map<String,String> map=new LinkedHashMap<>();        map.put("/excel/add","authc");        map.put("/excel/update","authc");        shiroFilterFactoryBean.setLoginUrl("/excel/login");        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);        return shiroFilterFactoryBean;    }

    /**     * 创建DefaultWebSecurityManager     */    @Bean(name = "DefaultWebSecurityManager")    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("MyRealm") MyRealm realm) {        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();        /**         * 关联Realm         */        defaultWebSecurityManager.setRealm(realm);        return defaultWebSecurityManager;    }

    /**     * 创建Realm     */    @Bean(name = "MyRealm")    public MyRealm getRealm() {        return new MyRealm();    }}

我的ShiroConfig类

@Configuration
public class ShiroConfig {/*** Filter Chain定义说明 * 1、一个URL可以配置多个Filter,使用逗号分隔* 2、当设置多个过滤器时,全部验证通过,才视为通过* 3、部分过滤器可指定参数,如perms,roles*/@Bean("shiroFilter")public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();shiroFilterFactoryBean.setSecurityManager(securityManager);      // 拦截器Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();// 配置不会被拦截的链接 顺序判断 controllerMapping路径filterChainDefinitionMap.put("/sys/login", "anon"); //登录接口排除filterChainDefinitionMap.put("/auth/2step-code", "anon");//登录验证码filterChainDefinitionMap.put("/sys/common/view/**", "anon");//图片预览不限制tokenfilterChainDefinitionMap.put("/sys/common/download/**", "anon");//文件下载不限制tokenfilterChainDefinitionMap.put("/sys/common/pdf/**", "anon");//pdf预览filterChainDefinitionMap.put("/generic/**", "anon");//pdf预览需要文件filterChainDefinitionMap.put("/", "anon");filterChainDefinitionMap.put("/doc.html", "anon");filterChainDefinitionMap.put("/**/*.js", "anon");filterChainDefinitionMap.put("/**/*.css", "anon");filterChainDefinitionMap.put("/**/*.html", "anon");filterChainDefinitionMap.put("/**/*.svg", "anon");filterChainDefinitionMap.put("/**/*.jpg", "anon");filterChainDefinitionMap.put("/**/*.png", "anon");filterChainDefinitionMap.put("/**/*.ico", "anon");filterChainDefinitionMap.put("/druid/**", "anon");filterChainDefinitionMap.put("/swagger-ui.html", "anon");filterChainDefinitionMap.put("/swagger**/**", "anon");filterChainDefinitionMap.put("/webjars/**", "anon");filterChainDefinitionMap.put("/v2/**", "anon");// 添加自己的过滤器并且取名为jwtMap<String, Filter> filterMap = new HashMap<String, Filter>(1);filterMap.put("jwt", new JwtFilter());shiroFilterFactoryBean.setFilters(filterMap);// <!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边filterChainDefinitionMap.put("/**", "jwt");// 未授权界面返回JSONshiroFilterFactoryBean.setUnauthorizedUrl("/sys/common/403");shiroFilterFactoryBean.setLoginUrl("/sys/common/403");shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return shiroFilterFactoryBean;}@Bean("securityManager")public DefaultWebSecurityManager securityManager(ShiroRealm myRealm) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(myRealm);/**SecurityManager安全管理器需要到realm中去验证认证信息,所以给SecurityManager设置Realm。*/DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();defaultSessionStorageEvaluator.setSessionStorageEnabled(false);subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);securityManager.setSubjectDAO(subjectDAO);return securityManager;}/*** 下面的代码是添加注解支持* @return*/@Bean@DependsOn("lifecycleBeanPostProcessor")public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);return defaultAdvisorAutoProxyCreator;}@Beanpublic LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {return new LifecycleBeanPostProcessor();}@Beanpublic AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();advisor.setSecurityManager(securityManager);return advisor;}}

3.SecurityManager安全管理器需要到realm中去验证认证信息,所以给SecurityManager设置Realm。自定义Realm 

ShiroRealm类 继承 AuthorizingRealm  重写 doGetAuthenticationInfo  doGetAuthorizationInfo方法

@Component
@Slf4j
public class ShiroRealm extends AuthorizingRealm {@Autowired@Lazyprivate ISysUserService sysUserService;@Autowired@Lazyprivate RedisUtil redisUtil;/*** 功能: 获取用户权限信息,包括角色以及权限。只有当触发检测用户权限时才会调用此方法,例如checkRole,checkPermission* * @param token token* @return AuthorizationInfo 权限信息*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {          //根据自己的需求去写  log.info("————权限认证 [ roles、permissions]————");LoginUser sysUser = null;String username = null;if (principals != null) {sysUser = (LoginUser) principals.getPrimaryPrincipal();username = sysUser.getUsername();}SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();// 设置用户拥有的角色集合,比如“admin,test”Set<String> roleSet = sysUserService.getUserRolesSet(username);info.setRoles(roleSet);// 设置用户拥有的权限集合,比如“sys:role:add,sys:user:add”Set<String> permissionSet = sysUserService.getUserPermissionsSet(username);info.addStringPermissions(permissionSet);return info;}/*** 功能: 用来进行身份认证,也就是说验证用户输入的账号和密码是否正确,获取身份验证信息,错误抛出异常* * @param authenticationToken 用户身份信息 token* @return 返回封装了用户信息的 AuthenticationInfo 实例*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {log.debug("————身份认证————");String token = (String) auth.getCredentials();if (token == null) {throw new AuthenticationException("token为空!");}// 校验token有效性LoginUser loginUser = this.checkUserTokenIsEffect(token);return new SimpleAuthenticationInfo(loginUser, token, getName());}
}

3.SecurityManager安全管理器需要到realm中去验证认证信息,所以给SecurityManager设置Realm

   代码写在ShiroConfig 类里标     色地方

4.Shiro配置类的过滤器中启用安全管理器,即shiroFilterFactoryBean中配置SecurityManager

  代码写在ShiroConfig 类里标      色地方

5.主体提交认证信息,即登录请求

@PostMapping("/login")public String login(String username, String password, Model model){UsernamePasswordToken token = new UsernamePasswordToken(username,password);Subject currentUser = SecurityUtils.getSubject(); //重点    try {//主体提交登录请求到SecurityManager
            currentUser.login(token);}catch (IncorrectCredentialsException ice){model.addAttribute("msg","密码不正确");}catch(UnknownAccountException uae){model.addAttribute("msg","账号不存在");}catch(AuthenticationException ae){model.addAttribute("msg","状态不正常");}if(currentUser.isAuthenticated()){System.out.println("认证成功");model.addAttribute("currentUser",currentUser());return "success";}else{token.clear();return "login";}}

转载于:https://www.cnblogs.com/yuyangcoder/p/11535061.html

shiro最详细的解读相关推荐

  1. mask rcnn 超详细代码解读(一)

    mask r-cnn 代码解读(一) 文章目录 1 代码架构 2 model.py 的结构 3 train过程代码解析 3.1 Resnet Graph 3.2 Region Proposal Net ...

  2. 《信号与系统》解读 第1章 信号与系统概述-5:非常重要!!!深入、详细地解读什么基本的复指数信号、IQ信号、欧拉公式?

    前言: 正弦信号与复指数信号(更准确称为虚指数信号)是现代移动通信系统中最基本的信号. 其中正弦信号常是射频调制的载波信号,而虚指数信号,包含了两路同频的正交正弦与余弦信号,常用于现代通信基带数字调制 ...

  3. 单片机c语言全程图文教程,单片机C语言,从小白到菜鸟进阶教程(超详细代码解读)...

    首先要认识单片机是啥?单片机语言是啥?单片机是一种可存储可读写可编程可运行的芯片,你写啥它就运行啥,运行出错,那你程序写错了.单片机语言,嗯!确定要学C啊!有哪一种语言能够抗衡C的强大地位?没有!哪一 ...

  4. 基于Python的文件批量重命名(附详细过程解读)

    基于Python的文件批量重命名(附详细过程解读) 0.闲言碎语 hi ~ 欢迎关注公众号"壹贰叁言"! 啥都写,图一乐哈哈! 1.前因后果 前几日,我在用arcgis处理一些数据 ...

  5. 使用Hexo在GitHub Pages上搭建部署免费的个人博客网站(上:GitHub搭建)——最详细全面解读教程(没有之一)

    标签:Hexo GitHub使用技巧 博客 网站搭建 点击此处,浏览效果更好 版权声明:本文为博主 @残灯飞雪 的原创文章,欢迎转载,传播知识.著作权归作者所有,商业转载请联系作者获得授权,非商业转载 ...

  6. HTML5 form表单 调查问卷制作(内含超详细代码解读)

    HTML 表单技术练习:制作调查问卷(内含超详细代码解读) 这一篇来记录HTML5表单API的学习,以制作调查问卷为例,效果如图: 注:完整代码见文章末尾处. 一.表单标签form 1.常用属性 常用 ...

  7. Pytorch.Dataloader 详细深度解读和微修改源代码心得

    关于pytorch 的dataloader库,使用pytorch 基本都会用到的一个库 今天遇到了一个问题,我在训练的时候,采用batch_size =2 去训练,最终的loss抖动太大了,看得出来应 ...

  8. WebRTC内置debug工具,详细参数解读

    为了确保这篇文章所写内容尽可能的准确,我决定请来Philipp Hancke来作为此篇文章的共同作者. 当你想要找到你WebRTC产品中的问题时,webrtc-internals是一个非常棒的工具,因 ...

  9. 如何用 Python 爬取网易云音乐的 10w+ 评论?附详细代码解读

    在简单学习了Python爬虫之后,我的下一个目标就是网易云音乐.因为本人平时就是用它听的歌,也喜欢看歌里的评论,所以本文就来爬一爬网易云音乐的评论吧! 正式进入主题 首先是找到目标网页并分析网页结构, ...

  10. Bert 源码(pytorch)超详细的解读

    model.py 对transformers的bert源码的解读 # coding=utf-8from __future__ import absolute_import, division, pri ...

最新文章

  1. 在EXT中向弹窗传值或者对象
  2. 脚本升级_Openssh升级脚本
  3. 看来cmwap真的是没有可以使用的邮件客户端了
  4. 江苏卫视舞蹈演员机器人_虽然跨年湖南卫视收视第一,但要说专业,还属江苏卫视...
  5. Spring Boot 2.0 正式发布
  6. Springboot中进行日志打印需要的信息
  7. 操作系统—基本地址变换机构
  8. little w and Sum(思维)
  9. Windows下用C语言连接Mysql注意问题
  10. Android 四大组件学习之Activity六
  11. 前端js使用java变量值_web前端:js中的变量
  12. 网站如何调用第三方支付接口
  13. 我学会了学计算机,我学会了电脑打字
  14. 2021年中国冰雪旅游行业市场现状分析,“三足鼎立、两带崛起、全面开花”新格局形成「图」
  15. 免费版xshell下载地址
  16. 安装nginx和zookeeper
  17. Android 腾讯TUIKIT IM即时通信聊天界面语音问题备忘
  18. nz-select 选择器
  19. linux如何拿到文件的返回值,linux 下read函数返回值分析
  20. 英语面试常见问题集锦 .

热门文章

  1. 程序员夏天格子衫,那么冬天穿什么?答案扎心了哈哈哈哈!
  2. 图像变换 - 图像拉伸、收缩、扭曲、旋转- 仿射变换(cvWarpAffine)
  3. URP——后期处理特效——通道混合器Channel Mixer
  4. Python串口异步通信
  5. 360链接云服务器失败怎么回事,360智能摄像机连接失败原因 360智能摄像机连接失败解决办法...
  6. 第三方支付接口申请条件和流程
  7. L13:数据结构-5(树和二叉树)
  8. 如何做好新媒体软文营销推广
  9. Processing鼠标键盘
  10. 【2019新年计划】