Shiro登录的使用以及原理(一)

最新推荐文章于 2024-03-02 17:32:24 发布
VIP文章 最新推荐文章于 2024-03-02 17:32:24 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38340127/article/details/109866392
版权

 

    好久没写博客了,这段时间对最近项目做个总结,先从登入下手,话不多说直奔主题,Shiro的登录使用以及原理。

目录

一、Shiro主要作用

二、登录的使用

2.1 SecurityManager的生成与使用

2.1 SecurityUtils的作用以及使用

三 ThreadLocal小插曲

一、Shiro主要作用

    shiro主要的作用就是实现用户登录(认证,授权,加密等),用户登录后的用户信息存储(缓存),用户登出等。

二、登录的使用

    在使用登录的时候,最常见的一串代码就是通过工具类SecurityUtils获取Subject,然后对Token进行login();

// 得到subject然后对创建用户名/密码身份验证
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("hu", "123");
subject.login(token);

   这时候只对这串代码进行编译运行,你会发现会报一个异常信息

org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton.  This is an invalid application configuration.

2.1 SecurityManager的生成与使用

根据报错信息以及对SecuriTyUtils的源码发现使用SecurityUtils.getSubject()的时候必须要为其设置一个securityManager,具体如下:

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by FernFlower decompiler)
//

package org.apache.shiro;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.Subject.Builder;
import org.apache.shiro.util.ThreadContext;

public abstract class SecurityUtils {
    private static SecurityManager securityManager;

    public SecurityUtils() {
    }

    public static Subject getSubject() {
        // 通过ThreadContext获取对应的Subject,若未在ThredContext中加入该subject必定为空
        // ThreadContext可以通过源码了解到为使用过TreadLocal模式 具体看标题三
        //因为是TreadLocal所以表示每个线程初次进来的时候,获取到的subeject必为空
        Subject subject = ThreadContext.getSubject();
        if (subject == null) {
            //具体看下列代码块 主要执行为通过SecurityManager创建出Subject
            subject = (new Builder()).buildSubject();
            ThreadContext.bind(subject);
        }

        return subject;
    }

    public static void setSecurityManager(SecurityManager securityManager) {
        SecurityUtils.securityManager = securityManager;
    }

    public static SecurityManager getSecurityManager() throws UnavailableSecurityManagerException {
        SecurityManager securityManager = ThreadContext.getSecurityManager();
        if (securityManager == null) {
            securityManager = SecurityUtils.securityManager;
        }

        if (securityManager == null) {
            String msg = "No SecurityManager accessible to the calling code, either bound to the " + ThreadContext.class.getName() + " or as a vm static singleton.  This is an invalid application " + "configuration.";
            throw new UnavailableSecurityManagerException(msg);
        } else {
            return securityManager;
        }
    }
}

   // 在Subjct初次获取到为空的时候会调用的Subject的静态内部类,创建一个Builder,在通过buildSubject的方法进行实现Subject的生成 
   public static class Builder {
        private final SubjectContext subjectContext;
        private final SecurityManager securityManager;
        // 需要先设置对应的SecurityManage
        public Builder() {
            this(SecurityUtils.getSecurityManager());
        }
        // 通过securityManager创建出subject
        public Subject buildSubject() {
            return this.securityManager.createSubject(this.subjectContext);
        }
    ..........loading...............
    }

得出结论 Subject的实例都会(也是必须)绑定一个SecurityManager,对Subject的操作会转为Subject与SecurityManager之间的交互。

看来Subject的生成都是SecurityManager在做苦力活啊。

那么SecurityManager是怎么生成的?

先查阅下官方文档SecurityManager是怎么生成的

根据官方文档:http://greycode.github.io/shiro/doc/tutorial.html

那么我们就先通过使用ini文件进行尝试下:

在resource下创建一个shiro.ini文件放入用户信息

[users]
hu=123

然后通过官方给出的:

        //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
        Factory<SecurityManager> factory =
                new IniSecurityManagerFactory("classpath:shiro.ini");
        //2、得到SecurityManager实例 并绑定给SecurityUtils
        SecurityManager securityManager = factory.getInstance();
最低0.47元/天 解锁文章
乐观的大鹏
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
前后端分离架构使用shiro框架进行登录的两种实现
热门推荐
lijunfeng的博客
02-25 2万+
方法一:重写FormAuthenticationFilter原理:假设在shiro.xml中配置了 /** = authc而默认authc对应org.apache.shiro.web.filter.authc.FormAuthenticationFilter过滤器则表示所有路径都被此过滤器拦截 当未登录请求被拦截,会调用FormAuthenticationFilter.onAccessDeny()...
【问题集锦】No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.T
若释·飞语
03-02 529
这个方法正好是在报错中调用失败的方法,所以我们只需要给他初始化一个。具体实现代码如下,在注册bean的时候,加入下面这句话,将。今天,趁着周末,我决定解决这个问题。最近自己在弄一套后台程序,在集成。,而在shiro中提供了一种设置。的操作使用了单例模式,通过。
Shiro(二)——shiro 登录流程、整合 SSM + ShiroShiro 密码加密(编码方式、密码加盐)、JdbcRealm(采取哪个数据作盐)、自定义访问数据库或字段、多 Realm 配置
qq_41824825的博客
01-20 1292
Shiro(二)—— 一、shiro 登录流程 1、shiro 登录流程 二、整合 SSM + Shiro 在 SS SHiro 的基础上导入 mybatis。 1、依赖导入 所有依赖: 2、Spring 配置文件 这里是原有配置代码的基础上添加新的进去,而不是只有这个: 这里注释,因为这一块可以通过注解去注释: 然后 MyRealm 添加注解: 然后自己添加一个实体类,写一个查询方法,接着修改 MyRealm: 到这里为止,就算整合完成了。 三、Shiro 密码加密 1、编码方式 2、密码
Shiro(三)——三种不同的登录方式、RememberMe登录Shiro 授权、其他配置(配置注销后的跳转页面、处理 JsessionID)
qq_41824825的博客
02-12 1804
Shiro(三)—— 一、三种不同的登录方式 1、第一种登录方式 上一篇博客用的就是第一种登录方式,自己定义登录逻辑,自己定义页面,错误信息等,就是第一种登录方式了。 2、第二种登录方式——无状态登录 这是一种比较老的登录方式了。登录网站会弹框让你输入账号密码。这种一般就是属于 httpBasic 登录,然后把账号密码放在请求头信息中,传输到服务端解析。 这种登录有比较大的弊端: 一是不安全,因为信息都放在请求头中了; 二是这种登录是无状态登录,没有会话,也就没有 cookie 了,然后就是登录后账号密码
Shiro授权登录讲解+实战
wZh3121的博客
09-14 1323
前言 Shiro 是什么? Shiro 是一个功能强大且易于使用还很灵活的 Java 开源安全框架; 可以干净地处理身份验证、授权、企业会话管理、单点登录和加密服务。 出自 Apache 、也叫 Apache Shiro Shiro 能干什么? 1)验证用户身份; 2)用户访问控制;比如用户是否被赋予了某个角色,是否允许访问某些资源 3)会话管理 4)事件响应(在身份验证,访问控制期间,或session生命周期中) 5)集成多种用户信息数据源 6)SSO单点登录、记住我、加密、缓存
Shiro实现登陆认证、授权
bingxuebojue的博客
05-02 1189
文章目录一、Shiro简历及组成二、Shiro过滤器&标签三、Shiro环境搭建1.添加shiro依赖2.配置web.xml3.创建自定义realm类:AuthRealm,继承AuthorizingRealm4.配置applicationContext-shiro.xml, Spring整合shiro四、Shiro登陆认证(一)认证实现1.修改LoginController,通过shiro实现登陆认证2.编写AuthRealm,实现登陆认证五、Shiro登陆认证(二)自定义凭证匹配器实现认证自定义凭
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 5862
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
基于Shiro框架的登录功能
程序员小火龙的知识分享
07-21 588
Apache Shiro是一个Java安全框架,它提供了一套易于使用的API,用于身份验证、授权、加密和会话管理等安全操作。Shiro框架的主要目标是提供易于使用的安全功能,同时保持灵活性和可扩展性。
Shiro入门之实现登录登出
二木成林
02-06 2373
概述 这里使用Shiro来实现用户的登录和登出功能。 前提:已经会Spring集成Shiro。即使没有下面也会提供源码,下面只说明Shiro部分的核心代码,如Mapper、Service类中的代码基本上就是从数据库中读取数据,而且源码有提供,不在说明。 实现 第一步:一个用于登录的页面和一个用于退出登录的页面。 login.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="U
Apache Shiro 使用手册(一) Shiro架构介绍
09-15
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能
Shiro+Redis实现登陆账号锁定功能
最新发布
04-01
Tips:默认条件下,若同一账户的密码连续输错五次,该账户将被自动锁定,无法进行登录。锁定将持续十分钟后自动解除。
shiro使用demo
07-02
Shiro 可以轻松的完成:身份认证、授权、加密、会话管理等功能 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用...本资源通过SpringBoot整合Shiro,能够让读者熟练的使用其中的API,并且能够完成认证授权等功能。
shiro基本使用和完成登录
qq_48655035的博客
10-27 1024
Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
shiro认证登录流程
lamwolf的博客
05-31 1万+
1、获取从请求中传来的信息(一般是账号和密码),存进UsernamePasswordToken中 UsernamePasswordToken token = new UsernamePasswordToken(username, password) 2、从SecurityUtils中通过getSubject()方法获取登录的主体 Subject subject = SecurityUtils.getSubject(); 3、然后执行登录的逻辑 subject.login(token); 4、Deleg
Springboot基础学习之(十七):通过Shiro实现用户得到登录认证和授权
m0_52479012的博客
04-13 3220
springboot项目:通过shiro实现用户的认证和授权服务 设置网页的访问权限,不同的网页是具有不同的权限的用户才能够访问的
Shiro 登录认证源码详解
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从源码实现的角度去介绍 Shiro登录认证(Authentication)功能。
shiro多种登陆方式的设置
FeiChangWuRao的博客
11-26 2880
shiro是我目前用的项目的一个鉴权框架,也是apache基金会的,用来处理登录,鉴权这部分。下面是官网的介绍页: Shro 官网网站,不管是了解还是学习,都是第一手资料 网上一个用XML文件配置的,这里我用注解的方式来配置跟他做一个对比 一般来说对于登录,鉴权,身份验证,session管理其实不管什么项目都是一个不容忽视的部分。采用shiro就是希望有个对用的框架来直接使用,而不是自己去修改,很多时候,项目紧急容不得你“慢悠悠”的造轮子。而且shiro使用还算方便,这里主要是讨论shiro如何去设置多种
shiro注册登录流程(如何加密加盐)+配置多个Ream+密码加密验证底层分析+Remember使用+不同密码比对器原理(二)
weixin_43189971的博客
07-08 1849
1.shiro注册登录流程(如何加密加盐)+ 2.配置多个Ream 3.密码加密验证底层分析 4.Remember使用 5.不同密码比对器原理
shiro-550 漏洞原理分析
06-06
Shiro-550漏洞是Apache Shiro框架的一种远程代码执行漏洞。Apache Shiro是一个开源的安全框架,用于认证、授权和加密等安全操作。该漏洞的原理是由于Shiro框架在反序列化时存在漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全控制。 具体来说,当Shiro框架在反序列化过程中,会调用Java的ObjectInputStream类的readObject()方法,攻击者可以通过构造恶意的序列化数据包,使得该方法在反序列化时触发任意代码执行。攻击者可以通过此漏洞在目标服务器上执行任意命令,获取敏感信息等。 此漏洞对于使用Shiro框架的Java应用程序来说是非常危险的。建议及时升级Shiro框架版本,或者关闭相关功能以避免此类漏洞的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值