网站建设论文的结论,南阳公司做网站,网络热词缩写,最好的推广平台排名文章目录 1.权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权 2.什么是shiro3.shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography 4. shiro中的认证4.1… 文章目录 1.权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权 2.什么是shiro3.shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography 4. shiro中的认证4.1 认证4.2 shiro中认证的关键对象4.3 认证流程4.4 认证的开发基础流程引入依赖引入shiro配置文件并加入如下配置开发认证代码自定义realm 4.5认证的开发的自定义realm自定义realm认证开发认证代码 4.6使用MD5和Salt自定义MD5和Salt realm使用md5 salt 认证 5. shiro中的授权5.1 授权5.2 关键对象 5.3 授权流程5.4 shiro中授权方式**基于角色的访问控制****基于资源的访问控制**具体的使用方式如下 5.5 shiro的开发授权realm的实现授权 1.权限的管理
1.1 什么是权限管理
基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴权限管理实现对用户访问系统的控制按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
权限管理包括用户身份认证和授权两部分简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问。
1.2 什么是身份认证
身份认证就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令看其是否与系统中存储的该用户的用户名和口令一致来判断用户身份是否正确。对于采用指纹等系统则出示指纹对于硬件Key等刷卡系统则需要刷卡。
1.3 什么是授权
授权即访问控制控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源对于某些资源没有权限是无法访问的 2.什么是shiro Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications. Shiro 是一个功能强大且易于使用的Java安全框架它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API您可以快速轻松地保护任何应用程序—从最小的移动应用程序到最大的web和企业应用程序。 Shiro是apache旗下一个开源框架它将软件系统的安全认证相关的功能抽取出来实现用户身份认证权限授权、加密、会话管理等功能组成了一个通用的安全认证框架。 3.shiro的核心架构 3.1 Subject
Subject即主体外部应用与subject进行交互subject记录了当前操作用户将用户的概念理解为当前操作的主体可能是一个通过浏览器请求的用户也可能是一个运行的程序。 Subject在shiro中是一个接口接口中定义了很多认证授相关的方法外部程序通过subject进行认证授而subject是通过SecurityManager安全管理器进行认证授权
3.2 SecurityManager
SecurityManager即安全管理器对全部的subject进行安全管理它是shiro的核心负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等实质上SecurityManager是通过Authenticator进行认证通过Authorizer进行授权通过SessionManager进行会话管理等。
SecurityManager是一个接口继承了Authenticator, Authorizer, SessionManager这三个接口。
3.3 Authenticator
Authenticator即认证器对用户身份进行认证Authenticator是一个接口shiro提供ModularRealmAuthenticator实现类通过ModularRealmAuthenticator基本上可以满足大多数需求也可以自定义认证器。
3.4 Authorizer
Authorizer即授权器用户通过认证器认证通过在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
3.5 Realm
Realm即领域相当于datasource数据源securityManager进行安全认证需要通过Realm获取用户权限数据比如如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
注意不要把realm理解成只是从数据源取数据在realm中还有认证授权校验的相关的代码。
3.6 SessionManager
sessionManager即会话管理shiro框架定义了一套会话管理它不依赖web容器的session所以shiro可以使用在非web应用上也可以将分布式应用的会话集中在一点管理此特性可使它实现单点登录。
3.7 SessionDAO
SessionDAO即会话dao是对session会话操作的一套接口比如要将session存储到数据库可以通过jdbc将会话存储到数据库。
3.8 CacheManager
CacheManager即缓存管理将用户权限数据存储在缓存这样可以提高性能。
3.9 Cryptography
Cryptography即密码管理shiro提供了一套加密/解密的组件方便开发。比如提供常用的散列、加/解密等功能。
4. shiro中的认证
4.1 认证
身份认证就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令看其是否与系统中存储的该用户的用户名和口令一致来判断用户身份是否正确。
4.2 shiro中认证的关键对象
Subject主体
访问系统的用户主体可以是用户、程序等进行认证的都称为主体
Principal身份信息
是主体subject进行身份认证的标识标识必须具有唯一性如用户名、手机号、邮箱地址等一个主体可以有多个身份但是必须有一个主身份Primary Principal。
credential凭证信息
是只有主体自己知道的安全信息如密码、证书等。
4.3 认证流程 4.4 认证的开发基础流程
引入依赖
dependencygroupIdorg.apache.shiro/groupIdartifactIdshiro-core/artifactIdversion1.5.3/version
/dependency引入shiro配置文件并加入如下配置
创建一个shiro.ini的文件
开发认证代码
public class TestAuthenticator {public static void main(String[] args) {//1.创建安全管理器对象DefaultSecurityManager securityManager new DefaultSecurityManager();//2.给安全管理器设置realmsecurityManager.setRealm(new IniRealm(classpath:shiro.ini));//3。将安装工具类中设置默认安全管理器SecurityUtils.setSecurityManager(securityManager);//4.获取主体对象 subjectSubject subject SecurityUtils.getSubject();//5.创建token令牌UsernamePasswordToken token new UsernamePasswordToken(xiaochen, 123);try {subject.login(token);//用户登录System.out.println(登录成功~~subject.isAuthenticated());} catch (UnknownAccountException e) {e.printStackTrace();System.out.println(用户名错误!!subject.isAuthenticated());}catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println(密码错误!!!subject.isAuthenticated());}}
} 当然我们这里使用的文件传输的realm我们也可以自定义realm
自定义realm
public class CustomerRealm extends AuthorizingRealm{//授权Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {return null;}//认证Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String principal (String) token.getPrincipal();System.out.println(principal);//根据身份信息使用jdbc mybatis查询相关数据库if(xiaochen.equals(principal)){//参数1:正确的用户名 参数2:返回数据库中正确的密码 参数3:提供当前realm的名字return new SimpleAuthenticationInfo(principal,123,this.getName());}return null;}
}4.5认证的开发的自定义realm
自定义realm
public class CustomerRealm extends AuthorizingRealm{//授权Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {return null;}//认证Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {String principal (String) token.getPrincipal();System.out.println(principal);//根据身份信息使用jdbc mybatis查询相关数据库if(xiaochen.equals(principal)){//参数1:正确的用户名 参数2:返回数据库中正确的密码 参数3:提供当前realm的名字return new SimpleAuthenticationInfo(principal,123,this.getName());}return null;}
}认证开发认证代码
public class TestAuthenticatorCusttomerRealm {public static void main(String[] args) {//创建securityManagerDefaultSecurityManager defaultSecurityManager new DefaultSecurityManager();//IniRealm realm new IniRealm(classpath:shiro.ini);//设置为自定义realm获取认证数据defaultSecurityManager.setRealm(new CustomerRealm());//将安装工具类中设置默认安全管理器SecurityUtils.setSecurityManager(defaultSecurityManager);//获取主体对象Subject subject SecurityUtils.getSubject();//创建token令牌UsernamePasswordToken token new UsernamePasswordToken(xiaochen, 123);try {subject.login(token);//用户登录System.out.println(登录成功~~);} catch (UnknownAccountException e) {e.printStackTrace();System.out.println(用户名错误!!);}catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println(密码错误!!!);}}
}4.6使用MD5和Salt
自定义MD5和Salt realm Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {//获取身份信息String principal (String) authenticationToken.getPrincipal();//根据用户名查询数据库if (xiaochen.equals(principal)){//参数1数据库用户名 参数2数据库md5salt之后的密码。参数3注册时的随机盐参数4realm的名字return new SimpleAuthenticationInfo(principal,e4f9bf3e0c58f045e62c23c533fcf633,ByteSource.Util.bytes(X0*7ps),this.getName());}return null;}使用md5 salt 认证 public static void main(String[] args) {
//创建securityManagerDefaultSecurityManager defaultSecurityManager new DefaultSecurityManager();//IniRealm realm new IniRealm(classpath:shiro.ini);//设置为自定义realm使用hash凭证匹配器 明确使用什么比较器。CustomerMd5Realm realm new CustomerMd5Realm();HashedCredentialsMatcher credentialsMatchernew HashedCredentialsMatcher();credentialsMatcher.setHashAlgorithmName(md5);credentialsMatcher.setHashIterations(1024);//设置散列次数realm.setCredentialsMatcher(credentialsMatcher);defaultSecurityManager.setRealm(realm);//将安装工具类中设置默认安全管理器SecurityUtils.setSecurityManager(defaultSecurityManager);//获取主体对象Subject subject SecurityUtils.getSubject();//创建token令牌UsernamePasswordToken token new UsernamePasswordToken(xiaochen, 123);try {subject.login(token);//用户登录System.out.println(登录成功~~);} catch (UnknownAccountException e) {e.printStackTrace();System.out.println(用户名错误!!);}catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println(密码错误!!!);}}5. shiro中的授权
5.1 授权
授权即访问控制控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源对于某些资源没有权限是无法访问的。
5.2 关键对象
授权可简单理解为who对what(which)进行How操作
Who即主体Subject主体需要访问系统中的资源。
What即资源Resource)如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例比如商品信息为资源类型类型为t01的商品为资源实例编号为001的商品信息也属于资源实例。
How权限/许可Permission)规定了主体对资源的操作许可权限离开资源没有意义如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等通过权限可知主体对哪些资源都有哪些操作许可。
5.3 授权流程 5.4 shiro中授权方式
基于角色的访问控制
RBAC基于角色的访问控制Role-Based Access Control是以角色为中心进行访问控制
if(subject.hasRole(admin)){//操作什么资源
}基于资源的访问控制
RBAC基于资源的访问控制Resource-Based Access Control是以资源为中心进行访问控制
if(subject.isPermission(user:update:01)){ //资源实例//对01用户进行修改
}
if(subject.isPermission(user:update:*)){ //资源类型//对01用户进行修改
}具体的使用方式如下 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String primaryPrincipal (String) principals.getPrimaryPrincipal();System.out.println(身份信息 primaryPrincipal);//根据身份信息用户名获取用户角色信息以及权限信息。xiaochen admin userSimpleAuthorizationInfo simpleAuthorizationInfo new SimpleAuthorizationInfo();//将数据库中查询的角色信息以及权限信息simpleAuthorizationInfo.addRole(admin);simpleAuthorizationInfo.addRole(user);//将数据库查询权限赋值个权限对象simpleAuthorizationInfo.addStringPermission(user:*:01);simpleAuthorizationInfo.addStringPermission(product:create:*);return simpleAuthorizationInfo;}5.5 shiro的开发授权
realm的实现
public class CustomerMd5Realm extends AuthorizingRealm {//授权Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String primaryPrincipal (String) principals.getPrimaryPrincipal();System.out.println(身份信息 primaryPrincipal);//根据身份信息用户名获取用户角色信息以及权限信息。xiaochen admin userSimpleAuthorizationInfo simpleAuthorizationInfo new SimpleAuthorizationInfo();//将数据库中查询的角色信息以及权限信息simpleAuthorizationInfo.addRole(admin);simpleAuthorizationInfo.addRole(user);//将数据库查询权限赋值个权限对象simpleAuthorizationInfo.addStringPermission(user:*:01);simpleAuthorizationInfo.addStringPermission(product:create:*);return simpleAuthorizationInfo;}//认证Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {//获取身份信息String principal (String) authenticationToken.getPrincipal();//根据用户名查询数据库if (xiaochen.equals(principal)){//参数1数据库用户名 参数2数据库md5salt之后的密码。参数3注册时的随机盐参数4realm的名字return new SimpleAuthenticationInfo(principal,e4f9bf3e0c58f045e62c23c533fcf633,ByteSource.Util.bytes(X0*7ps),this.getName());}return null;}
}授权
public class TestCustomerMd5Authenticator {public static void main(String[] args) {//创建securityManagerDefaultSecurityManager defaultSecurityManager new DefaultSecurityManager();//IniRealm realm new IniRealm(classpath:shiro.ini);//设置为自定义realm使用hash凭证匹配器 明确使用什么比较器。CustomerMd5Realm realm new CustomerMd5Realm();HashedCredentialsMatcher credentialsMatchernew HashedCredentialsMatcher();credentialsMatcher.setHashAlgorithmName(md5);credentialsMatcher.setHashIterations(1024);//设置散列次数realm.setCredentialsMatcher(credentialsMatcher);defaultSecurityManager.setRealm(realm);//将安装工具类中设置默认安全管理器SecurityUtils.setSecurityManager(defaultSecurityManager);//获取主体对象Subject subject SecurityUtils.getSubject();//创建token令牌UsernamePasswordToken token new UsernamePasswordToken(xiaochen, 123);try {subject.login(token);//用户登录System.out.println(登录成功~~);} catch (UnknownAccountException e) {e.printStackTrace();System.out.println(用户名错误!!);}catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println(密码错误!!!);}//认证用户进行授权if(subject.isAuthenticated()){//基于角色权限管理boolean admin subject.hasRole(admin);System.out.println(admin);//基于多角色的控制subject.hasAllRoles(Arrays.asList(admin,user));//基于是否有其中一个角色boolean[] booleanssubject.hasRoles(Arrays.asList(admin,user,super));for (boolean aboolean:booleans){System.out.println(aboolean);}System.out.println();//基于权限字符串的访问控制 资源标识符:操作:资源操作boolean permitted subject.isPermitted(user:*:01);System.out.println(权限permitted);}}}
