shiro第一课

最新推荐文章于 2025-06-02 11:39:57 发布
原创 最新推荐文章于 2025-06-02 11:39:57 发布 · 445 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#shiro

Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。这不就是我们想要的嘛,而且Shiro的API也是非常简单;其基本功能点如下图所示:

Authentication:身份认证/登录,验证用户是不是拥有相应的身份;

Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web Support:Web支持,可以非常容易的集成到Web环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

Testing:提供测试支持;

Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。



首先,我们从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图:

 

可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。




第一个小程序 helloworld

shiro.ini 文件 

[users]
dt=123456
jack=123


pom.xml 文件


  <dependencies>
    <dependency>
      <groupId>junit</groupId>
      <artifactId>junit</artifactId>
      <version>4.12</version>
      <scope>test</scope>
    </dependency>
    
    <dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-core</artifactId>
   <version>1.3.2</version>
</dependency>

<dependency>
   <groupId>org.slf4j</groupId>
   <artifactId>slf4j-log4j12</artifactId>
   <version>1.7.21</version>
</dependency>
    
    
  </dependencies>


java 

// 读取配置文件 SecurityManager工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 获取实例
SecurityManager securityManager = factory.getInstance();


// 吧securityManager 实例绑定 SecurityUtils
SecurityUtils.setSecurityManager(securityManager);
// 得到当前执行的任务
Subject subject = SecurityUtils.getSubject();

//创建token令牌,用户名密码
UsernamePasswordToken token = new UsernamePasswordToken("dt","123456");

try {
//身份验证
subject.login(token);
System.out.println("身份验证成功");
} catch (AuthenticationException e) {
System.out.println("身份验证失败");
e.printStackTrace();
}
subject.logout();


Shiro实战之权限控制
Dannie的博客
12-25 499
本文背景:利用shiro实现对系统的权限控制(所见即所得),即未授权的菜单或按钮不可见。 1、shiro配置(spring-shiro.xml): <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://...
Shiro详细使用
残影的博客
10-10 1884
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
Shiro知识总结二
木子Teng的博客
10-02 2053
Shiro知识总结二
shiro 授权
快乐的小三菊的博客
05-14 2247
shiro 授权源码探究
Shiro系列十一:权限标签
苍穹尘的博客
06-07 2782
Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制,如根据登录用户显示相应的页面按钮。 需要在JSP 中导入 shiro 的标签库:<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %> 一、常用标签 guest 标签:用户没有身份验证时显示相应信息,即游客访问信息。 user 标签:用户已经经...
跟我来学shiro第一课
亻也倔强小男人
01-15 378
apache shiro是比较流行的权限管理框架,身处豪门,不仅适用于javaweb 也就是javaEE,同时也适用于java ME,较spring security简单。 所有的程序都是从Hello world开始的,那么我们也先来写个HelloWorld。shiro官网:shiro.apache.org 目录结构:   来介绍一下,这是官网一个quiclstart,配置
Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro
MinggeQingchun的博客
08-27 4万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
Shiro 入门
最新发布
weixin_51689532的博客
06-02 778
Apache Shiro是一个功能强大且易于使用的Java安全框架,提供身份认证、授权、加密和会话管理等功能。本文详细介绍了Shiro的核心架构(包括Subject、SecurityManager、Realm等组件)、认证授权流程、MD5与盐值加密、SpringBoot整合、缓存机制(EhCache和Redis)以及权限控制实现。通过实战示例演示了用户注册登录、基于角色和资源的权限控制、Freemarker整合等场景,帮助开发者快速掌握Shiro在企业级应用中的安全防护技术。文章还涵盖了验证码集成、自定义R
Shiro学习——(四)Shiro+mysql进行验证
weixin_43683536的博客
05-12 661
Shiro+Mysql进行授权验证   在我们的学习过程中,数据是至关重要的,而且是必不可少的一环。在Shiro的学习中,进过数据库的查询,来进行不同用户的权限限定,是必不可少的。 第一步:数据库设计 第二步:导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId...
shiro学习--jsp标签
zqzq310918的博客
03-10 405
shiro学习–jsp标签 2018年04月18日 22:55:40 逸致hjm 阅读数:1549 版权声明:小白学习的过程记录,有问题欢迎交流,共同学习进步! https://blog.csdn.net/yaodieteng1510/article/details/79992247 在页面上,如果要实现对某些文本、按钮等的控制,例如需要有什么角色或者权限才可以看见这个按钮,利用shiro自带的s...
shiro权限验证标签
攻城狮Luke
08-18 1033
实例: spring-shiro.xml 1 2 3 /admin/repairType/index = roles["ROLE_ADMIN"] /admin/user=roles["ROLE_ADMIN"] /admin/complaint/list= roles["ROLE_SERVICE,ROLE_ADMI
【SpringBoot】Shiro(七)SpringBoot下授权
Ryoujou的博客
09-13 582
Shiro授权实现方式
springboot整合shiro实现权限控制
热门推荐
jiankang66的博客
05-24 4万+
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。上个月写了一个在线教育的项目用到了shiro权限控制,这几天又复盘了一下,对其进行了深入探究,来总结一下。 下面所总结的有关shiro的代码已经传到我的github上,可以访问下面的......
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 4339
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Shiro
weixin_30487701的博客
09-28 340
Shiro简介 SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个...
Shiro使用
hycksrwzsn00的博客
11-09 349
授权 授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限 (Permission)、角色(Role)。 • 主体(Subject):访问应用的用户,在 Shiro 中使用Subject 代表该用户。用户只有授权 后才允许访问相应的资源。 • 资源(Resour...
玩转SpringSecurity之四授权规则配置
xtho62的博客
02-10 1858
1.授权资源匹配 授权呢就是分配访问权限,可使用的方法,我们可通过点击进入传的参数对象进行查看。 antMatchers antMatcher表示的是匹配放行,而antMatchers则是放行匹配到的多个资源的意思,是通过传入可变参实现的。 通常我们都需要放行一些通过的路径,如登录错误等,还有一个就是静态的资源。 放入图片,测试: 加入b.jpg和c.png,分别访问: 值得注意的是b.jpg有可能被拦截,最后重启项目以及刷新几次maven,而访问c.png则会被拦截,跳转到登录页面,登录后就
Shiro 下的principal 注意
amd2015的博客
12-02 414
在用户登陆证realm 认证返回结果注意 return new SimpleAuthenticationInfo(sysUserDO,sysUserDO.getPassword(),ByteSource.Util.bytes(sysUserDO.getSalt()),getName()); 这里 sysUserDO 第一个参数可为用户名即 return new ...
其实我不仅会 Spring Security,Shiro 也略懂一二!(1)
m0_58269520的博客
03-23 1122
自定义登录逻辑比较简单,首先我们把login.jsp页面进行简单改造:用户名:密码:然后创建我们的登录处理Controller,如下:try {登录成功我们就去success页面,登录失败就回到登录页面。做完这两步之后,我们还要修改shiroFilter中的filterChainDefinitions属性,要设置/login接口可以匿名访问,如下:/**=authc做完这些之后,就可以去login.jsp页面测试登录了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值