Shiro+JWT 实现权限管理(一)--Shiro

GDreams0 2020-06-01

在之前的文章《权限框架Apache Shiro 和 Spring Security》中有介绍一些权限框架,当时觉得Shiro功能比较强大,也比较适合管理后台不同粒度的权限控制.

再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.

经过搜索、研究发现一个新东西--JWT (JAVA WEB TOKEN),为了在网络应用环境声明而执行的一种基于 JSON 的开放标准.这玩意特别适用于分布式站点的单点登录.至于为什么选用Token,可以看下这篇文章《shiro使用(使用token预热,为什么要使用token)》

在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.

之前那篇文章只写了各框架的对比,并没有详细的介绍.正好写篇文章介绍一下Shiro .But 该文只做概念介绍后面再做贴出代码吧.

Shiro

官方文档地址:http://shiro.apache.org/architecture.html

Shiro核心架构概念  

Shiro+JWT 实现权限管理(一)--Shiro

介绍一下shiro需要关注的几个概念

SecurityManager  shiro框架的核心  shiro通过securityManager来管理内部主键实例,并通过它来提供安全管理的各种服务.

Subject  当前操作用户--请求主体  在程序中任何地方都可以使用SecurityUtils.getSubjcet()获取当前的subject   然后利用subject.getPrincipal()获取principal--subject的标示,程序通过principal来识别唯一用户,可以是定义的toekn,也可以是用户id等.

Realms  充当shiro与应用安全数据间的桥梁和连接器,当对用户执行认证和授权验证时,shiro会从应用配置的realm中查找用户及其权限信息. 当有多个realm存在时,shiro在做用户校验的时候会按照决策来决定认证是否通过.一个realm对应一个matcher用来做用户提交认证信息和realm获取的用户信息做对比.

Shiro的功能架构图

Shiro+JWT 实现权限管理(一)--Shiro

Authentication(认证), Authorization(授权), Session Management(会话管理), Cryptography(加密)被称之为应用安全的四大基石。

Authentication 用户身份识别、判断  解决--我是我

Authorization 访问权限控制  解决--我能做什么

Session Management  会话管理 支持特异性的管理

Cryptography  对数据源进行加密同时保证轻易访问

还有其他的功能支持不同应用环境下的权限安全控制,可以根据特异需求进行丰富和加强.

shiro认证与授权 

参考 https://www.jianshu.com/p/504af828a3ab

认证流程

Shiro+JWT 实现权限管理(一)--Shiro

  • 调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;
  • SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
  • Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
  • Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
  • Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

授权流程

Shiro+JWT 实现权限管理(一)--Shiro

  • 首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;
  • Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;
  • 在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
  • Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。
GDreams0

GDreams0

相关推荐

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

在使用shiro做权限控制的一个系统中,其中有一个页面需要配置为无需登录就能访问,配置方法如下。这里配置的意思就是所有人都能直接访问 /test 这个路径,但是实际访问时,却报如下错误:

杜鲁门 / 0评论 2020-11-05

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

luckyxl0 / 0评论 2020-08-16

windows10风格 springboot mybatis 项目框架源码 shiro flowable工作流

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

Dullonjiang / 0评论 2020-08-09

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl / 0评论 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf / 0评论 2020-08-03

不用 Spring Security 可否?试试这个小而美的安全框架

写在前面在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Ses

MicroBoy / 0评论 2020-08-02

springboot windows10风格 工作流 整合项目框架源码 shiro

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

ganjing / 0评论 2020-08-02

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。public abstract class CachingRealm implements

likesyour / 0评论 2020-08-01

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

zmzmmf / 0评论 2020-07-09

Spring Security 从入门到实战

Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权。本片文章将讲述Security入门到项目实战使用。其中包括简单的登录和项目常用的权限管理,权限校验有两种方式、角色资源校验、URL校验,如果有

MicroBoy / 0评论 2020-07-05

springcloud vue.js 微服务 分布式 flowable 工作流 前后分离 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

zzhao / 0评论 2020-06-26

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

子云 / 0评论 2020-06-18

shiro java 反序列漏洞复现

返回值中能在set-cookie很明显看到rememberme=deleteme 这个的字段,那么很有可能存在shiro漏洞。运行shiro.py根据域名生成payload,后面的网址就是上一步生成的域名,前面自己加上http://头。复制payload,

visionzheng / 0评论 2020-06-07

Spring Security

Spring家族的安全管理框架,竞品是Shiro。虽然Security功能比Shiro强大,但Spring Boot出现之前,Security的整合比较麻烦,使得大部分项目选择使用Shiro。Spring Boot对于Spring Security提供了自

neweastsun / 0评论 2020-06-04

SpringBoot11:集成Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Cryptography:加密,使用密码学

ErixHao / 0评论 2020-06-03

springboot整合shiro

Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。

ganjing / 0评论 2020-05-29

Java项目源码 考试系统 springboot mybaits vue.js 前后分离跨域 shiro 权限

34. 成绩管理:可以根据条件检索考生成绩,分值排序逆序,查看排名,查看考生试卷信息,查看试题统计图。列表动态滑动放大展示。

zmzmmf / 0评论 2020-05-28

shiro配置登录验证(前后端分离项目)

本次只是记录一下启用shiro配置过程遗忘掉的几个关键点,首先项目是前后端分离的后台,提供json格式的接口数据,但又是一个web项目,现在要控制登录之后才能使用1、ShiroFilterFactoryBean我这里是一个自定义的,继承ShiroFilte

nullcy / 0评论 2020-05-26

30分钟学会如何使用Shiro

要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例:。token可以理解为用户令牌,登录的过程被抽象为S

ganjing / 0评论 2020-05-22

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

shixiaoguo0 / 0评论 2020-05-06

3. shiro- 权限认证

--templates下的只能通过controller访问-->

ganjing / 0评论 2020-05-06

shiro整合thymeleaf

--从seesion中判断是否有用户-->

luckyxl0 / 0评论 2020-05-05

Shiro反序列化漏洞检测、dnslog

pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode(). encryptor = AES.new(base64.b64decode(key), mode, iv).

visionzheng / 0评论 2020-05-05

Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现

然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。前16字节的密钥-->后面加入序列化参数-->AES加密-->base64编码-->发送cookie. python shiro_shell.py

visionzheng / 0评论 2020-05-04

SpringBoot整合Shiro 四:认证+授权

return "未授权无法访问";

nullcy / 0评论 2020-04-30

CAS 5.3.1系列之自定义Shiro认证策略(四)

CAS官方文档是介绍基于配置实现shiro认证的,可以参考官方文档,不过我们也可以通过自定义认证策略的方式实现jdbc认证,pom先加入相关jar. * 修改后版本: 修改人: 修改日期: 2020/04/26 11:33 修改内容:

zhangxiaocc / 0评论 2020-04-29

Shiro源码分析-ShiroFilterFactoryBean

* Inspects a bean, and if it implements the {@link Filter} interface, automatically adds that filter. * instance to the internal

visionzheng / 0评论 2020-04-29

Springboot整合Shiro

开始配置ShiroConfig,从底层开始配置,Realm需要额外写一个类UserRealm,这个类便是shiro的核心。UserRealm只需继承AuthorizingRealm类即可,要实现如下两个方法,本类为shiro核心:

nullcy / 0评论 2020-04-25

springboot windows10风格 activiti 整合项目框架源码 shiro 安全框架 druid

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

heywakeup / 0评论 2020-04-23

SpringBoot整合Shiro 一:搭建环境

<artifactId>spring-boot-starter-thymeleaf</artifactId>. package com.zy.config;return null;return null;return new Use

zmzmmf / 0评论 2020-04-23

springcloud activiti工作流 微服务分布式 vue.js 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

YZR / 0评论 2020-04-21

Springboot与Shiro的整合

Springboot使用的页面模板是thyme leaf,它比jsp多一些特定的标签,可以动态或者静态显示文本内容。~ * Copyright 2019. tdc.shangri-la.com. All Rights Reserved.* subjec

visionzheng / 0评论 2020-04-20

Maven导入shiro的依赖后,欢迎页面404、shiro-features异常的解决方案:

自己练习shiro的时候,导入shiro官网的全部依赖,发现有两个依赖在项目里会造成某些异常。以下时shiro官方提供的全部依赖,但是有两个最好注释掉:。-- shiro相关的所有依赖等同于shiro-all -->

visionzheng / 0评论 2020-04-19

Spring Boot 整合 Shiro 实现登录认证与权限控制

`perm_id` int NOT NULL COMMENT ‘权限主键‘,`perm_description` varchar CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL COMMENT ‘权限描述‘

luckyxl0 / 0评论 2020-04-19

springboot shiro session过期时间配置

#实际过期时间为秒数对分钟取整,比如设置2000,则 2000s/60=33min,33min*60=1980s,实际过期时间为1980s. 配置shiro-Session的优先级高于使用servlet的session。

visionzheng / 0评论 2020-04-14

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

huoyunp / 0评论 2020-04-11

SpringBoot学习记录:@Cacheable不起作用 --&gt;原因:Shiro + @Cache整合

SpringBoot学习记录:@Cacheable不起作用 -->原因:Shrio + @Cache整合。@Cacheable ,当使用ehcache时,autoconfig机制会根据配置文件自动去初始化bean. 而shiroConfig在@Con

luckyxl0 / 0评论 2020-03-23

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)复现

然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。安装docker环境,方法自行百度。生成的工具在target/目录下ysoserial-0.0.6-SNAPSHOT-all.jar文件。浏览器访问,出现以下页面则证明环境

chenjia00 / 0评论 2020-03-23

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

nullcy / 0评论 2020-03-21

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务-----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单显

yxlnum / 0评论 2020-03-16

Springboot vue.js html 跨域 前后分离 工作流Activiti6 集成代码生成器 shiro 权限

后台框架:springboot2.1.2+ activiti6.0.0+ mybaits+maven+接口

xtiawxf / 0评论 2020-03-14

Springboot vue.js 前后分离 跨域 集成代码生成器 shiro权限

1. 权限管理:点开二级菜单进入三级菜单显示 角色和按钮权限 角色: 分角色组和角色,独立分配菜单权限和增删改查权限。

gsc / 0评论 2020-02-27

springboot @Configuration @bean注解作用

在spring项目中我们集成第三方的框架如shiro会在spring.xml配置文件中进行配置,例如:。-- 注入shiro核心组件安全管理器 -->. -- 注入相关页面 -->. -- 配置过滤器链:配置项目发出url对应拦截规则:指定什么

牧场SZShepherd / 0评论 2020-02-16

shiro

https://www.cnblogs.com/WUXIAOCHANG/p/10886534.html https://blog.csdn.net/pengjwhx/article/details/84867112

nullcy / 0评论 2020-02-16

spring项目篇5----shiro以及实现登陆认证

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。但是,在Shiro中,Subject这一概

ganjing / 0评论 2020-02-16

Shiro&amp;Jwt验证

其实这个方法我们会手动调用 isLoginAttempt 方法及 executeLogin 方法isLoginAttempt判断用户是否想要登陆,判断依据为请求头中是否包含 Authorization 授权信息,也就是所谓的 Token. 如果有则再执行e

luckyxl0 / 0评论 2020-02-12

Springboot集成Shiro和Cas实现单点登录(服务端篇CAS5)

什么是单点登录?单点登录,简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

zmzmmf / 0评论 2020-02-09

shiro自定义密码校验器

它们都实现了一个接口 CredentialsMatcher ,我这里也实现这个接口,实现一个自己的密码校验。配置自己的密码校验类替换默认的:由于是springboot,我们直接在配置类ShiroConfig里面配置:。此时我们的密码校验类就替换成了我们自己

visionzheng / 0评论 2020-01-29

使用Shiro实现认证和授权(基于SpringBoot)

Apache Shiro是一个功能强大且易于使用的Java安全框架,它为开发人员提供了一种直观,全面的身份验证,授权,加密和会话管理解决方案。下面是在SpringBoot中使用Shiro进行认证和授权的例子,代码如下:

stoneechogx / 0评论 2020-01-29