- 1谷歌 Gemini:关于新的生成式人工智能平台您需要了解的一切
- 2其它高阶数据结构③_图的最短路径(三种算法思想+代码实现)_最短路径三种算法
- 3idea git rebase 和reset合并多条commit记录变为一条_idea git rebase -i
- 416款Stable Diffusion插件推荐,让SD小白快速上手_sd提示词插件
- 5Llama 3超级课堂作业笔记
- 6人体行为检测与识别_人体行为识别国内外研究现状
- 7未来职场的首选:用Copilot AI轻松掌握Python!
- 8头歌:实验八 列表_实验八 列表头歌
- 9梯度下降、反向传播、激活函数、参数初始化、批量归一化是深度学习中常用的几个概念
- 10改串号支持机型_苹果6解锁ID锁支持ios13以下所有系统
shiro框架java使用_java 使用shiro
赞
踩
大纲
Shiro****简介及架构图讲解
ini****配置文件讲解
Shiro****搭建及简单认证实现
加密及凭证匹配器
Spring整合Shiro完成登录功能.
知识点详解
一、Shiro简介
1.Shiro一个Java权限框架.
1.1在项目中把涉及到权限的业务提出来用shiro完成.
2.Shiro架构图
2.1 Subject 主体.对应一个用户,用户所有的信息都存放在Subject中.无论什么编程语言只要有Subject都可以使用Shiro框架.
2.2 Cryptography: Shiro密码管理功能.
2.2.1 密码加密,加盐,迭代等等.
2.3 Security Manager: 权限管理器.Shiro核心内容.所有Shiro功能都封装到Security Manager
2.4 Authenticator: 认证器. 例如登录注册等功能就属性认证功能.
2.5 Authorizer:授权器. 例如:判断用户是否具有某个角色,判断用户是否有某个权限,判断用户可以访问的菜单.
2.6 Session Manager : Session管理器.使用Shiro后,shiro会禁用HttpSession,使用Shiiro自己的Session管理器.
2.7 Cache Manager : 缓存管理. 支持Cookie的缓存(remember me),支持Redis的缓存.
2.8 Realm: 域.作用是当Shiro希望访问数据库时,通过Realm组件完成的.
二、Shiro.ini文件
1.ini (InitializationFile) 初始文件.Window系统文件扩展名.
2.Shiro 使用时可以连接数据库,也可以不连接数据库.
2.1 如果不连接数据库,可以在shiro.ini中配置静态数据.
3. Shiro.ini文件组成部分
3.1[main] :定义全局变量
3.1.1 内置securityManager对象.
3.1.2 操作内置对象时,在[main]里面写东西
[main]
securityManager.属性=值
myobj=com.bjsxt.lei
securityManager.对象属性=$myobj
3.2[users] :定义用户名和密码
[users]
# 定义用户名为zhangsan 密码为zs
zhangsan=zs
# 定义用户名lisi密码为lisi同时具有role1和role2两个角色
lisi=lisi,role1,role2
3.3[roles]: 定义角色
[roles]
role1=权限名1,权限名2
role2=权限3,权限4
3.4[urls] : 定义哪些内置urls生效.在web应用时使用.
[urls]
url地址=内置filter或自定义filter
# 访问时出现/login的url必须去认证.支持authc对应的Filter
/login=authc
# 任意的url都不需要进行认证等功能.
/** = anon
# 所有的内容都必须保证用户已经登录.
/**=user
# url abc 访问时必须保证用户具有role1和role2角色.
/abc=roles[“role1,role2”]
三、Shiro 环境搭建实现认证
认证流程
实现步骤
2.1 在pom.xml中导入jar
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.3.2</version>
</dependency>
</dependencies>
2.2 在src /java/resources下新建shiro.ini文件
[users]
zhangsan=zs
2.3 编写代码,实现认证
// SecurityManager JDK也有这个类,在java.lang包
Factory factory = new IniSecurityManagerFactory(“classpath:shiro.ini”);
SecurityManager sm = factory.getInstance();
// 只要线程不变,Subject不变
SecurityUtils.setSecurityManager(sm);
Subject subject = SecurityUtils.getSubject();
// Subject subject = (new Subject.Builder()).buildSubject();
// 客户端传递过来的用户名和密码
UsernamePasswordToken token = new UsernamePasswordToken(“zhangsan”, “zs”);
try {
subject.login(token);
System.out.println(“登录成功”);
} catch (UnknownAccountException e) {
System.out.println(“账户不存在”);
} catch (IncorrectCredentialsException e) {
System.out.println(“密码错误”);
}
四、实现授权
1.流程图
2.常用api
2.1 subject.hasRole(“”); 判断是否有角色
2.2 subject.hashRoles(List);分别判断用户是否具有List中每个内容
2.3 subject.hasAllRoles(Collection);返回boolean,要求参数中所有角色用户都需要具有.
2.4 subject.isPermitted(“”);判断是否具有权限.
五、自定义Realm
1. Principal:身份
1.1 用户名可以是身份
1.2 邮箱可以是身份.
1.3 手机可以是身份.
1.4 用户对象也可以是身份.
2.Credentials:凭证.
2.1 密码可以是凭证
2.2 证书也是可以是凭证.
3. SecurityManager接口只有一个普通java类DefaultSecurityManager
4. 实现步骤:
4.1 新建类继承AuthorizingRealm
4.2 在doGetAuthenticationInfo实现认证过程.
4.3 代码
public class MyRealm extends AuthorizingRealm{
//执行授权方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
// TODO Auto-generated method stub
return null;
}
//执行认证
//当subject.login()时自动调用该方法
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
Object obj = token.getPrincipal();
System.out.println(“principal:”+obj);
Object obj2 = token.getCredentials();
new String((char[])obj2);
System.out.println(“credentials:”+new String((char[])obj2));
//如果方法返回值为null,shiro认为用户名不存在.
//如果返回值不是null,判断AuthenticationInfo中凭证和subject.login时凭证是否匹配
//第一个参数: 第一个参数写什么以后登录这个用户的身份就是什么.
//第二个参数是从数据库中取出的凭证信息,判断这个信息和subject.login()第二个参数是否匹配.
//第三个参数:都是用户主键值.
SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(obj, “zs”, “myrealm”);
return info;
}
}
4.4 在shiro.ini中配置自定义Realm
[main]
myrealm=com.bjsxt.realm.MyRealm
securityManager.realms=$myrealm
4.5 执行subject.login()调用doGetAuthenticationInfo
六. 凭证匹配器
1. 保证数据库中密码是加密的密码
2.在shiro.ini中配置凭证匹配器
[main]
myrealm=com.bjsxt.realm.MyRealm
# 定义凭证匹配器类
credentialsMatcher =org.apache.shiro.authc.credential.HashedCredentialsMatcher
# 设置加密算法
credentialsMatcher.hashAlgorithmName=md5
# 迭代次数
credentialsMatcher.hashIterations=2
# 引用凭证匹配器
myrealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$myrealm
3.在自定义realm中
3.1 第三个参数:加盐值. 类型是ByteSource类型,bytes()跟字符串类型,不能使用Long
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(token.getPrincipal(),rs.getObject(“password”),
ByteSource.Util.bytes(rs.getObject(“id”).toString()) ,“key:”+rs.getObject(“id”));
七、自定义Realm中-doGetAuthorizationInfo()
1.该方法被执行情况
- java中hasRole() , isPermitted();
- 使用注解
@RequiresRoles(“role1”)
@RequiresPermissions(“”)
2.在jsp中标签
<%@ taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %>
<shiro:hasRole name=“role1”>
abc
</shiro:hasRole>
<shiro:hasPermission name=“quanxian”>
jqk
</shiro:hasPermission>
