Shiro【核心功能、核心组件、项目搭建 、配置文件认证、数据库认证 】(一)-全面详解(学习总结---从入门到深化)

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,高可用系列 2核4GB
简介: Shiro【核心功能、核心组件、项目搭建 、配置文件认证、数据库认证 】(一)-全面详解(学习总结---从入门到深化)

Shiro介绍_Shiro简介



Shiro是apache旗下的一个开源安全框架,它可以帮助我们完成身 份认证,授权、加密、会话管理等功能。它有如下特点:


1、易于理解的API 简单的身份认证,支持多种数据源

2、简单的授权和鉴权

3、简单的加密API

4、支持缓存,以提升应用程序的性能

5、内置会话管理,适用于Web以及非Web的环境

6、不跟任何的框架或者容器捆绑,可以独立运行


认证


认证即系统判断用户的身份是否合法,合法可继续访问,不合法则 拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码 登录、手机短信登录、脸部识别认证、指纹认证等方式。 认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。


授权


授权即认证通过后,根据用户的权限来控制用户访问资源的过程, 拥有资源的访问权限则正常访问,没有权限则拒绝访问。 比如在一 些视频网站中,普通用户登录后只有观看免费视频的权限,而VIP用户登录后,网站会给该用户提供观看VIP视频的权限。 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐 私数据进行划分,控制不同的用户能够访问不同的资源。 举个例子:认证是公司大门识别你作为员工能进入公司,而授权则是由于你作为公司会计可以进入财务室,查看账目,处理财务数据。


Shiro介绍_Shiro核心功能



Authentication:身份认证/登录。

Authorization:权限验证,即判断用户是否能在系统中做某件 事情。

Session Management:会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。

Cryptography:加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。 Web Support:Web 支持,可以非常容易的集成到Web环境。

Caching:缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。

Concurrency:Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。

Testing:提供测试支持。

Run As:允许一个用户假装为另一个用户的身份进行访问。

Remember Me:记住我,即一次登录后,下次再来就不用登 录了。


Shiro介绍_Shiro核心组件



1、Subject

主体。 Subject 在Shiro中是一个接口,接口中定义了认证授权的相关 方法。程序通过调用 Subject 的方法进行认证授权,而 Subject 使用 SecurityManager 进行认证授权。


2、SecurityManager

权限管理器,它是Shiro的核心。通过 SecurityManager 可以完成具体的 认证、授权等操作, SecurityManager 是通过 Authenticator 进行认证,通过 Authorizer 进行授权,通过 SessionManager 进行会话管理。 SecurityManager 是 一个接口,继承了 Authenticator , Authorizer , SessionManager 三个接口。


3、Authenticator

认证器。对用户登录时进行身份认证


4、Authorizer

授权器。用户认证通过后,在访问功能时需要通过授权器判断用户 是否有此功能的操作权限。


5、SessionManager

会话管理。shiro框架定义了一套会话管理,它不依赖web容器的 session,所以shiro可以使用在非web应用上。


6、Realm

领域。他是连接数据源+认证功能+授权功能的具体实现。 SecurityManager 通过 Realm 获取用户的身份和权限信息,并对用户进行认证和授权。


7、SessionDAO

会话dao,是对会话进行操作的一套接口。它可以将session数据存 储到数据库或缓存服务器中。


8、CacheManager

缓存管理,将用户权限数据存储在缓存中,这样可以减少权限查询 次数,提高性能。


9、Cryptography

密码管理,Shiro提供了一套加密/解密的组件,方便开发。


Shiro入门_项目搭建


1、准备名为myshiro的mysql数据库


2、创建SpringBoot项目,加入相关依赖

<dependencies>
    <!-- SpringMVC -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <!-- Thymeleaf -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <!-- Mysql驱动 -->
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <scope>runtime</scope>
    </dependency>
    <!-- MyBatisPlus -->
    <dependency>
        <groupId>com.baomidou</groupId>
        <artifactId>mybatis-plus-boot-starter</artifactId>
        <version>3.5.0</version>
    </dependency>
    <!-- shiro和spring整合包 -->
    <dependency>
       <groupId>org.apache.shiro</groupId>
       <artifactId>shiro-spring</artifactId>
       <version>1.9.0</version>
    </dependency>
    <!-- lombok -->
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <!-- Junit -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
    <!-- Spring-jdbc -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-jdbc</artifactId>
    </dependency>
</dependencies>


3、编写配置文件 application.yml

server:
  port: 80
#日志格式
logging:
  pattern:
    console: '%d{HH:mm:ss.SSS} %clr(%-5level) --- [%-15thread]
%cyan(%-50logger{50}):%msg%n'
# 数据源
spring:
 datasource:
   driver-class-name: com.mysql.cj.jdbc.Driver
   url: jdbc:mysql:///myshiro?serverTimezone=UTC
   username: root
   password01: root


4、将前端资源复制到项目中


5、编写页面跳转控制器

@Controller
public class PageController {
    @RequestMapping("/{page}")
    public String showPage(@PathVariable String page) {
        return page;
   }
    // 忽略favicon.ico的获取
    @GetMapping("favicon.ico")
    @ResponseBody
    public void noFavicon() {}
}


6、启动项目,访问登录页http://localhost/login

Shiro入门_配置文件认证



Shrio支持多种数据源,我们首先将用户名密码写入配置文件,让 Shiro读取配置文件进行认证。


1、在 resources 目录下编写配置文件 shiro.ini

#声明用户账号
[users]
baizhan=123


2、编写登录控制器方法

@Controller
public class LoginController {
    @RequestMapping("/user/login")
    public String login(String username,String password){
        // 1.获取SecurityManager工厂,读取配置文件
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 2.获取SecurityManager对象
        SecurityManager securityManager = factory.getInstance();
        // 3.将SecurityManager对象设置到运行环境中
      SecurityUtils.setSecurityManager(securityManager);
        // 4.获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        // 5.将前端传来的用户名密码封装为Shiro提供的身份对象
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
        // 6.shiro认证
            subject.login(token);
            // 7.认证通过跳转到主页面
            return "main";
       }catch (AuthenticationException e)
       {
            // 8.认证不通过跳转到失败页面
            return "fail";
       }
   }
}


3、启动项目,访问登录页http://localhost/login,测试登录功能。


Shiro入门_数据库认证



之前我们使用配置文件做数据源,在真实开发中,我们往往会使用 数据库作为数据源进行认证操作。

Realm 负责连接数据源并进行具体 认证,它有一个子类 JdbcRealm ,该类可以自动连接数据库认证。


1、创建数据表

CREATE TABLE `users`  (
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL,
  `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users` VALUES ('bizhn', 'bizhn');


2、编写登录控制器方法

@RequestMapping("/user/login2")
public String login2(String username,String password){
    // 1.获取SecurityManager对象
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 2.为SecurityManager对象设置Realm
    JdbcRealm jdbcRealm = new JdbcRealm();
    jdbcRealm.setDataSource(dataSource);
    securityManager.setRealm(jdbcRealm);
    // 3.将SecurityManager对象设置到运行环境中
    SecurityUtils.setSecurityManager(securityManager);
    // 4.获取Subject对象
    Subject subject = SecurityUtils.getSubject();
    // 5.将前端传来的用户名密码封装为Shiro提供的身份对象
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    try {
        // 6.shiro认证
        subject.login(token);
        // 7.认证通过跳转到主页面
        return "main";
   }catch (AuthenticationException e){
        // 8.认证不通过跳转到失败页面
        return "fail";
   }
}


3、启动项目,访问登录页http://localhost/login,测试登录功能。


Shiro认证_将Shiro对象交给容器管理



之前的案例中,所有关于Shiro的对象都是自己创建的。我们在 SpringBoot中使用Shiro,就可以将Shiro的对象交给容器管理,简 化业务代码。


1、创建Shiro配置类

@Configuration
public class ShiroConfig {
    // SecurityManager对象
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(JdbcRealm jdbcRealm){
        DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();
        defaultSecurityManager.setRealm(jdbcRealm);
        return defaultSecurityManager;
   }
    // JdbcRealm
    @Bean
    public JdbcRealm getJdbcRealm(DataSource dataSource) {
        JdbcRealm jdbcRealm = new JdbcRealm();
        jdbcRealm.setDataSource(dataSource);
        return jdbcRealm;
   }
}


2、创建 UserService.java

@Service
public class UsersService {
@Autowired
    private DefaultWebSecurityManager securityManager;
    public void userLogin(String username,String password) throws AuthenticationException {
        // 1.将SecurityManager对象设置到运行环境中
      SecurityUtils.setSecurityManager(securityManager);
        // 2.获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        // 3.将前端传来的用户名密码封装为Shiro提供的身份对象
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 4.Shiro认证
        subject.login(token);
   }
}


3、编写登录控制器方法

@RequestMapping("/user/login2")
public String login2(String
username,String password){
    try {
       usersService.userLogin(username,password);
        return "main";
   }catch (AuthenticationException e){
        return "fail";
   }
}


4、启动项目,访问登录页http://localhost/login,测试登录功能。

目录
相关文章
|
1月前
|
Java 数据库连接 测试技术
SpringBoot入门 - 添加内存数据库H2
SpringBoot入门 - 添加内存数据库H2
48 3
SpringBoot入门 - 添加内存数据库H2
|
1月前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
54 4
SpringBoot入门(4) - 添加内存数据库H2
|
6天前
|
存储 JSON NoSQL
学习 MongoDB:打开强大的数据库技术大门
MongoDB 是一个基于分布式文件存储的文档数据库,由 C++ 编写,旨在为 Web 应用提供可扩展的高性能数据存储解决方案。它与 MySQL 类似,但使用文档结构而非表结构。核心概念包括:数据库(Database)、集合(Collection)、文档(Document)和字段(Field)。MongoDB 使用 BSON 格式存储数据,支持多种数据类型,如字符串、整数、数组等,并通过二进制编码实现高效存储和传输。BSON 文档结构类似 JSON,但更紧凑,适合网络传输。
31 15
|
1月前
|
SQL Java 数据库连接
深入 MyBatis-Plus 插件:解锁高级数据库功能
Mybatis-Plus 提供了丰富的插件机制,这些插件可以帮助开发者更方便地扩展 Mybatis 的功能,提升开发效率、优化性能和实现一些常用的功能。
233 26
深入 MyBatis-Plus 插件:解锁高级数据库功能
|
25天前
|
数据库连接 数据库 数据安全/隐私保护
数据库连接池的配置文件
我们首先要确认连接池需要哪些配置信息,根据经验,一个数据库连接池至少要有一下几个必须的配置。首先是必须由用户指定的几项配置,也就是数据库驱动、数据库连接的url、用户名和密码。然后是可以由连接池自己默认指定的几项配置,这些配置一般有:连接池初始大小,连接池最大大小,健康检查开始时间,健康检查间隔时间,以及连接超时时间。这些配置信息我们可以将其写进一个properties文件里,这个文件我们命名为pool.properties,处于项目的resource目录下。在创建数据库连接池时我们需要将这些配置信息读进内存里。
|
29天前
|
SQL 测试技术 数据库
|
1月前
|
XML 数据库 数据格式
数据库 校验名称唯一性,用于新增和修改功能
数据库 校验名称唯一性,用于新增和修改功能
39 8
|
2月前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
37 2
SpringBoot入门(4) - 添加内存数据库H2
|
1月前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
70 13
|
1月前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
51 4