Shiro(认证鉴权框架)

原创 已于 2025-08-11 09:21:21 修改 · 1.2k 阅读 · 15 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#spring boot
于 2025-06-03 09:54:50 首次发布

核心组件

Shiro的架构主要包括Subject、SecurityManager、Realm和Session等核心组件。【原文链接

  • Subject:Subject代表当前用户,是与应用程序交互的主体。Subject可以执行身份验证、授权和会话管理等操作,是Shiro的核心概念。
  • SecurityManager:SecurityManager是Shiro的核心组件,负责协调各个安全组件之间的交互。SecurityManager管理着所有的Subject,并负责对Subject进行身份验证、授权和会话管理等操作。
  • Realm:Realm是Shiro与应用程序交互的桥梁,负责从数据源中获取用户的身份信息和权限信息。开发人员可以通过实现自定义的Realm来连接不同的数据源,如数据库、LDAP等。
  • Session:Session代表用户的会话,用于存储用户的状态信息。Shiro提供了会话管理功能,可以管理用户的会话状态,包括会话的创建、销毁、超时等。

Shiro认证鉴权流程

  1. 客户端登录成功,生成会话信息保存在服务端(shiro-cache/redis),并返回token(token中携带sessionId信息)给客户端;
  2. 客户端访问服务端时,携带token;
  3. 服务端根据sessionId从缓存(shiro-cache/redis)中拿到会话信息;
  4. 客户端登出时(携带token),清除服务端相关会话信息;

认证鉴权

配置认证鉴权策略

shiro自带的策略:

  • anno: 无需认证就可以访问(匿名会话)
  • authc: 必须认证才能访问
  • user: 必须拥有 记住我 功能才能用
  • perms: 拥有对某个资源的权限才能访问
  • role: 拥有某个角色权限才能访问

本文采用:

  1. 登录/获取验证码接口:无需认证(anno);
  2. 其他接口:全局配置自定义认证策略(添加了 JwtFilter认证过滤器,然后采用 注解方式Controller 层对需要鉴权的接口添加鉴权注解)

认证鉴权方式(请求头)

具体根据自身业务选择:

  1. Cookie
  2. token

本文采用:token

代码实现

shiro全局配置

import cn.com.Constant;
import cn.com.filter.JWTFilter;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.session.SessionListener;
import org.apache.shiro.session.mgt.eis.MemorySessionDAO;
import org.apache.shiro.session.mgt.eis.SessionDAO;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.filter.InvalidRequestFilter;
import org.apache.shiro.web.filter.mgt.DefaultFilter;
import org.apache.shiro.web.filter.mgt.FilterChainManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.annotation.Resource;
import javax.servlet.Filter;
import java.util.*;

@Slf4j
@Configuration
public class ShiroConfig {
    @Value("${shiro.cache.type}")
    private String cacheType ;

    @Value("${shiro.session-timeout}")
    private long tomcatTimeout;

    //shiro-redis提供的
    @Resource
    private RedisSessionDAO redisSessionDAO;

    //shiro-redis提供的
    @Resource
    private RedisCacheManager redisCacheManager;

    /**
     * 管理shiro生命周期使用,默认配置就行了
     */
    @Bean
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 若要使用Shiro注解,需添加如下方法
     * 开启shiro aop注解支持.
     * 使用代理方式;所以需要开启代码支持;
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    /**
     * shiro拦截器配置
     *
     */
    @Bean
    ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(){
            @Override
            protected FilterChainManager createFilterChainManager() {
                FilterChainManager manager = super.createFilterChainManager();
                // URL携带中文出现400响应,servletPath中文校验bug
                Map<String, Filter> filterMap = manager.getFilters();
                Filter invalidRequestFilter = filterMap.get(DefaultFilter.invalidRequest.name());
                if (invalidRequestFilter instanceof InvalidRequestFilter) {
                    ((InvalidRequestFilter) invalidRequestFilter).setBlockNonAscii(false);
                }
                return manager;
            }
        };
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 添加自定义认证过滤器
        LinkedHashMap<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("jwt", new JWTFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        // 添加自定义匹配指定路径的过滤器
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        /**
	     *         anno: 无需认证就可以访问
	     *         authc: 必须认证才能访问
	     *         user: 必须拥有 记住我 功能才能用
	     *         perms: 拥有对某个资源的权限才能访问
	     *         role: 拥有某个角色权限才能访问
	     */
        filterChainDefinitionMap.put("/system/login/**","anon");
        filterChainDefinitionMap.put("/system/logout", "anon");
        filterChainDefinitionMap.put("/system/getVerify", "anon");
		// 将过滤器应用于所有接口,自定义认证
        filterChainDefinitionMap.put("/**", "jwt");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

	/**
	 * 自定义登录认证及授权
	 */
    @Bean
    AccountRealm accountRealm() {
        return new AccountRealm();
    }

	/**
	 * session缓存方式
	 */
    @Bean
    public SessionDAO sessionDAO() {
        if (Constant.CACHE_TYPE_REDIS.equals(cacheType)) {
            return redisSessionDAO;
        } else {
            return new MemorySessionDAO();
        }
    }

    /**
     * shiro session的管理
     */
    @Bean(name = "sessionManager")
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new CustomWebSessionManager();
        sessionManager.setGlobalSessionTimeout(tomcatTimeout * 1000L);
        // 设置SessionId不存于Cookie
        sessionManager.setSessionIdCookieEnabled(false);
        sessionManager.setSessionDAO(sessionDAO());
        Collection<SessionListener> listeners = new ArrayList<>();
        listeners.add(new BDSessionListener());
        sessionManager.setSessionListeners(listeners);
        return sessionManager;
    }

    /**
     * shiro 安全管理器配置,shiro的容器管理包
     */
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        List<Realm> realms = new ArrayList<>();
        realms.add(accountRealm());
        securityManager.setRealms(realms);
        // 自定义缓存实现 使用redis
        securityManager.setCacheManager(redisCacheManager);
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }
}

自定义会话管理器

import cn.com.common.config.Constant;
import cn.com.common.utils.JWTUtils;
import cn.com.common.utils.StringUtils;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.SessionContext;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.Serializable;

@Component
@Slf4j
public class CustomWebSessionManager extends DefaultWebSessionManager {

    @Resource
    private JWTUtils jwtUtils;

    public MyWebSessionManager(){
        super();
    }

    /**
     * 重写: 从token中获取SessionId
     */
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String sessionId = null;
        HttpServletRequest req = WebUtils.toHttp(request);
        
        String token = req.getHeader("token");
        if(log.isTraceEnabled()){
            log.trace("Token = {}", token);
        }
        // token不为空,从token中取出sessionId
        if(StringUtils.isNotEmpty(token)){
            sessionId = jwtUtils.getSessionIdFromToken(req);
            if(StringUtils.isNotEmpty(sessionId)){
            	// 配置sessionId来源:url
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, ShiroHttpServletRequest.URL_SESSION_ID_SOURCE);
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionId);
                // 标志sessionId是否有效
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
                if(log.isTraceEnabled()){
                    log.trace("getSessionId = {} from Token = {}", sessionId, token);
                }
            }
        }
        // 设置是否启用 URL 重写来传递 。这是一个 Shiro 配置项,具体行为取决于 方法的实现。 `sessionId``isSessionIdUrlRewritingEnabled()`
        request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, isSessionIdUrlRewritingEnabled());
        return sessionId;
    }

    /**
     * Shiro 创建新会话时调用,登录接口将token填充到response中。
     */
    @Override
    protected void onStart(Session session, SessionContext context) {
        if (!WebUtils.isHttp(context)) {
            log.debug("SessionContext argument is not HTTP compatible or does not have an HTTP request/response pair. No session ID cookie will be set.");
        }else{
            HttpServletRequest request = WebUtils.getHttpRequest(context);
            HttpServletResponse response = WebUtils.getHttpResponse(context);
            // 这个地方,shiro会给跳过认证(anno)的接口(形如/login登录接口/getVerity获取验证码接口)创建匿名会话
            Serializable sessionId = session.getId();
            this.storeSessionId(sessionId, request, response);
            request.removeAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_IS_NEW, Boolean.TRUE);
        }
    }

    /**
     * 作用: 登录接口,将SessionId生成Token,放入返回的响应头中
     */
    private void storeSessionId(Serializable currentId, HttpServletRequest request, HttpServletResponse response) {
         String uri = request.getRequestURI();
         if (!uri.contains("/system/login/account")) {
             return;
         }
         if (currentId == null) {
	          log.info("subject --> sessionId = null");
	          String msg = "sessionId cannot be null when persisting for subsequent requests.";
	          throw new IllegalArgumentException(msg);
     	 }
         String idString = currentId.toString();
         String token = jwtUtils.generateToken(idString);
         // 允许前端访问自定义请求头
         response.setHeader("Access-Control-Expose-Headers", Constant.HEADER_TOKEN + ",newToken");
         response.setHeader(Constant.HEADER_TOKEN, token);
    }
}

登录认证及授权

import cn.com.common.config.ApplicationContextRegister;
import cn.com.common.config.Constant;
import cn.com.system.bean.perm.Account;
import cn.com.system.dao.MenuMapper;
import cn.com.system.plugins.UserAware;
import cn.com.system.service.AccountService;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.List;
import java.util.Set;

@Slf4j
public class AccountRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        /**
         * 多realm场景下这个判断才有用,当前只有一个realm
         * 默认多realm场景下权限点会累加,加上判断后则只有一个realm的权限点(匹配上的)
         */
        if(!principalCollection.getRealmNames().contains(getName())){
            return null;
        }
        Long userId = null;
        List list = principalCollection.asList();
        if (list != null && !list.isEmpty()) {
            userId = ((UserAware)list.get(0)).getUserId();
        }
        MenuMapper menuMapper = ApplicationContextRegister.getBean(MenuMapper.class);
        Set<String> perms = menuMapper.listPermsByUserId(userId);
        log.info("review perms: {}", perms.toString());
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(perms);
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username = (String) authenticationToken.getPrincipal();
        String password = new String((char[]) authenticationToken.getCredentials());

        AccountService accountService = ApplicationContextRegister.getBean(AccountService.class);
        // 查询用户信息
        if(!accountService.checkExist(username)){
            throw new UnknownAccountException("Account does not exist ! ");
        }
        Account user = accountService.getByName(username);
        // 账号不存在
        if (user == null) {
            throw new UnknownAccountException("Account or Password is not correct ! ");
        }
        // 密码错误
        if (!password.equals(user.getPassword())) {
            throw new IncorrectCredentialsException("Account or Password is not correct ! ");
        }
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password, getName());
        return info;
    }

}

自定义认证过滤器JwtFilter

import cn.com.common.config.ApplicationContextRegister;
import cn.com.common.utils.JWTUtils;
import cn.com.common.utils.StringUtils;
import cn.com.common.config.shiro.ShiroUtil;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class JWTFilter extends BasicHttpAuthenticationFilter {

    /**
     * 前置方法,配置支持跨域
     */
    @Override
    public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        // 允许的来源域名
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        // 是否允许携带凭据(如 cookies)
        httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
        // 允许的http请求方式
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        // 允许的自定义请求头
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 暴露给客户端的响应头
        httpServletResponse.setHeader("Access-Control-Expose-Headers", "token,newToken");
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return true;
        }
        return super.onPreHandle(request, response, mappedValue);
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return super.isAccessAllowed(request, response, mappedValue);
    }

    /**
     * 是否认证失败
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest req = WebUtils.toHttp(request);
        HttpServletResponse resp = WebUtils.toHttp(response);
        // 从Header里面获取Token
        String token = req.getHeader("token");
        // 如果Header里面token为空,则从参数里面去取
        if(StringUtils.isBlank(token)){
            token = req.getParameter("token");
        }
        // 校验token
        JWTUtils jwtUtils = ApplicationContextRegister.getBean(JWTUtils.class);
        String sessionId = jwtUtils.getSessionIdFromToken(req);
        if(StringUtils.isNotBlank(sessionId) && !ShiroUtil.validateSession(sessionId)){
            return true;
        }
        // 认证失败
        resp.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
      	return false;
    }
}

controller层添加鉴权注解

@Slf4j
@RestController
@RequestMapping("/account")
public class AccountController {
	// 鉴权注解,只有拥有权限[account:get]才能访问该接口
	@RequiresPermissions("account:get")
    @GetMapping("/get")
    BaseResponse<String> getAccount(String accountName) {
    	return null;
    }
}
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 7296
Shiro入门概述与基本使用
Spring 整合Shiro
weixin_52633911的博客
01-17 1262
主要讲述了在java中如何整合shiro
Shiro整合JWT实现认证定(执行流程清晰详细)
qq_25046827的博客
04-23 1万+
文章目录一、前情提要二、整合Shiro与JWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
Shiro - Shiro简介;ShiroSpring Security区别;Spring Boot集成Shiro
热门推荐
MinggeQingchun的博客
08-27 4万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 4341
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Servlet与SpringBootshiro机制
最新发布
没有网络安全就没有国家安全
10-07 877
Servlet与SpringBootshiro机制
代码审计之Servlet与SpringBootshiro机制
没有网络安全就没有国家安全
06-06 1028
Servlet与SpringBootshiro机制,初学java代码审计必经之路,想要在安全领域更进一步的大佬们来提提意见
Shiro(4)默认与自定义
小9的专栏
08-15 2万+
Shiro默认采用配置的方式管理限映射,如何自定义方式呢?
shiro
天地无名
09-30 1729
一、框架介绍 1.什么说框架? 限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 限管理包括用户身份认证和授两部分,简称认证。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
shiro入门
trasewell的博客
09-25 1133
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro简介
hmj2181629495的博客
08-30 6123
shiro是apache的一个开源框架,是一个限管理的框架,实现 用户认证、用户授spring中有spring security (原名Acegi),是一个框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于springshiro不仅可以实现 web应用的限管理,还可以实现c/s系统,分布式系统限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。...
Shiro实战
weixin_40017062的博客
10-23 4283
shrio概述、实战
快速入门Shiro
JunDong的博客
06-01 7109
讲解结合案例,Shiro入门,看这篇就够了。
Shiro限控制+整合shiro
Armymans的博客
03-02 2万+
Shiro限控制 0.1传统的认证方式 特点:为每个人单独的分配限模块,能够实现限控制,但是当公司人员庞大之后,非常难管理 上述限控制如何设计表? 关系:员工和菜单限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现限控制 缺陷:比如当修改限的时候,公司统一的给组长级别的人 加一个“计算工资”限,...
Shiro简单配置Springboot版(2)
qq_39390455的博客
10-20 282
4. shiro中的认证 4.1 认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。 4.2 shiro认证的关键对象 Subject:主体 访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体; Principal:身份信息 是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必
Shiro
小牧的博客
08-03 813
Shiro Apache旗下的一款安全框架 shiro可以完成:认证,加密,授,会话管理,以及web集成, 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证限授、加密、会话管理等功能,组成了一个通用的安全认证框架。 Apache Shiro 特性 Apache Shiro是一个全面的、蕴含丰富功能的安全框架 什么是限管理 基本上涉及到用户参与的系统都要进行限管理,限管理属于系统安全的范畴,限管理实现`对用户访问系统的
限管理框架 - Shiro
知行
04-09 3634
第一章 入门概述 1.1 是什么 Apache Shiro 是一个功能强大且易于使用的 Java 安全()框架Shiro 可以完成:认证、授、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。 官网:https://shiro.apache.org/ 1.2 为什么要用 Shiro 自 2003 年以来,框架格局发生了相当大的变化,因此今天仍然有很多系统在使用Shiro。这与 Shiro 的特性密
Shiro-全面详解(学习总结---从入门到深化)
12-01 4424
身份认证/登录。限验证,即判断用户是否能在系统中做某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把限自动传播过去。提供测试支持。
什么是Shiro
星空椰
02-16 2650
Shiro是一款功能强大且易于使用的 Java 安全框架,是实现安全认证限控制的必选框架之一一、Shiro是什么?使用Shiro的好处?
shiro 简介
快乐的小三菊的博客
04-29 3013
shiro 简介
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值