Shiro 简单入门

最新推荐文章于 2024-07-22 22:58:19 发布
最新推荐文章于 2024-07-22 22:58:19 发布
阅读量297 收藏 8
点赞数 5
分类专栏: 后端 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Casual_Lei/article/details/140087203
版权

Apache Shiro 是一个强大且灵活的 Java 安全框架,用于处理身份验证、授权、加密和会话管理等任务。Shiro 的设计目标是提供一种简单而直观的方式来处理安全问题,使开发人员能够轻松集成和管理应用程序的安全性。以下是对 Shiro 的详细讲解:

一、Shiro 的核心概念

  1. Subject: 代表当前用户的安全操作主体。可以是人、第三方服务、守护进程或其他任何尝试与应用交互的实体。Subject 是 Shiro 的核心接口,所有与安全相关的操作都是通过 Subject 来执行的。

  2. SecurityManager: Shiro 的核心接口,用于管理所有的安全操作。SecurityManager 类似于 Spring Security 中的 ProviderManager。所有的 Subject 都通过 SecurityManager 进行安全性操作的管理。

  3. Realm: 用于连接应用程序的安全数据源。Realm 相当于 DAO(Data Access Object),负责从数据源(如数据库、LDAP 等)中获取安全数据(如用户信息、角色、权限等)。

  4. Session: Shiro 的会话管理功能比 Java EE 的标准会话管理更强大,可以跨多个平台(如 Web 应用、非 Web 应用)使用。

二、Shiro 的工作流程

Shiro 的基本工作流程可以分为以下几个步骤:

  1. 认证(Authentication): 验证用户身份,即用户登录。通过 Subject.login(token) 方法进行。
  2. 授权(Authorization): 验证用户是否有权执行某个操作,即权限检查。通过 Subject.checkRole(roleIdentifier)Subject.checkPermission(permission) 方法进行。
  3. 会话管理(Session Management): 管理用户会话,包括创建、维护和销毁会话。
  4. 加密(Cryptography): 提供加密和解密功能,以确保数据的安全性。

三、Shiro 的核心组件

1. 配置文件

Shiro 的配置文件通常是 shiro.ini 或 Spring 配置文件,通过配置文件可以定义 RealmSecurityManager 等组件。

[main]
# Define the custom Realm
myRealm = com.example.MyRealm

# Define the SecurityManager
securityManager.realm = $myRealm
2. Realm 实现

Realm 用于获取安全数据,可以自定义实现 Realm 接口或继承 AuthorizingRealm 类。

public class MyRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 获取用户角色和权限信息
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        // 添加角色和权限
        info.addRole("admin");
        info.addStringPermission("user:manage");
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 获取用户名和密码并进行验证
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
        // 验证用户名和密码
        if (!"admin".equals(username) || !"123456".equals(password)) {
            throw new AuthenticationException("Username or password incorrect");
        }
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}
3. 使用 Shiro 进行认证和授权
public class ShiroExample {
    public static void main(String[] args) {
        // 加载 Shiro 配置文件
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        // 获取当前用户
        Subject currentUser = SecurityUtils.getSubject();

        // 登录
        if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");
            try {
                currentUser.login(token);
                System.out.println("Login successful!");
            } catch (AuthenticationException ae) {
                System.out.println("Login failed: " + ae.getMessage());
            }
        }

        // 检查角色和权限
        if (currentUser.hasRole("admin")) {
            System.out.println("User has admin role.");
        }
        if (currentUser.isPermitted("user:manage")) {
            System.out.println("User has user:manage permission.");
        }

        // 登出
        currentUser.logout();
    }
}

四、Shiro 的扩展功能

  1. Remember Me: 记住我功能,可以在用户关闭浏览器后仍然保持登录状态。
  2. 会话管理: 支持跨平台的会话管理,提供更灵活的会话持久化和管理策略。
  3. 单点登录(SSO): 支持单点登录功能,可以与第三方系统集成。
  4. 加密/解密: 提供内置的加密和解密工具类,支持多种加密算法。

结论

Apache Shiro 是一个功能强大且易于使用的安全框架,适用于各种类型的 Java 应用程序。通过 SubjectSecurityManagerRealm 等核心组件,Shiro 提供了简洁且灵活的身份验证和授权机制。此外,Shiro 的会话管理和加密功能也增强了应用程序的安全性。理解 Shiro 的底层原理和工作流程,可以帮助开发人员更好地应用和扩展这个框架,以满足各种复杂的安全需求。

傲雪凌霜,松柏长青
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro入门.rar
06-12
在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一、Shiro基本概念** 1. **认证**:也称为身份验证,是确认用户身份的过程,通常通过用户名和密码进行验证。 2. **授权**:也称为...
shiro入门demo
04-18
本教程将引导你入门 Shiro,通过一个简单的 demo 来理解其基本概念和用法。 1. **Shiro 的核心组件** - **Subject**: Shiro 中的核心概念,代表当前操作的用户或系统中的任何实体。它封装了认证、授权、会话和加密...
shiro简单入门
PeterMrWang的博客
02-20 88
shiro简单入门功能shiro流程图代码演示 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 本文介绍了springboot整合shiro实现简单的权限案例。 功能 shiro流程图 Subject:当前用户的对象 Security:管理subject Realm:操作数据 代码演示 配置application.yml,启动test类测试 导入shiro.jar包 <dependency> <groupId>org.
Shiro简单入门
corleone_4ever的博客
01-31 251
Shiro 简介 Apache Shiro是一个功能强大且灵活的开源安全框架,可以清晰地处理身份验证,授权,企业会话管理和加密。 以下是Apache Shiro可以做的一些事情: 验证用户以验证其身份 为用户执行访问控制 在任何环境中使用Session API,即使没有Web容器或EJB容器也是如此。 ...... 功能简介 Authentication:身份认证/登录,验证用户...
Shiro简单入门demo2
weixin_48632843的博客
02-12 3360
了解自定义Realm及Shiro简单入门demo2 一、自定义Realm 上一个demo里的realm使用的自带的默认的,通常情况下我们都会使用自定义的realm Shiro默认自带的 IniRealm,IniRealm从ini配置文件中读取用户信息,而大部分情况是从数据库中读取用户信息。所以需要实现自定义的realm realm接口如下: 可以分析得出: CathingRealm:负责缓存处理 AuthenticationRealm:负责认证 AuthorizingRealm:负责授权 通常
Shiro简单入门-Springboot
q2316367743的博客
07-16 137
学习视频:【狂神说Java】SpringBoot整合Shiro框架 真正的大师永远保持着一颗学徒的心 目录 文章目录Shiro简介学习快速开始整合Springboot(基础)导入jar包编写自定义Realm编写配置文件认证授权最后总结 Shiro简介 官网:https://shiro.apache.org/ Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication,.
Shiro入门实例
03-28
在这个"Shiro入门实例"中,我们将探讨Shiro的基础知识和如何在项目中进行实战应用。 **1. 认证与授权** Shiro 的核心概念包括主体(Subject)、安全管理者(SecurityManager)、身份验证(Authentication)、授权...
shiro入门学习.ppt
06-15
首先,Shiro的主要目标是简化安全管理,使其既简单又易于扩展。通过以下几个关键组件,Shiro能够实现全面的安全控制: 1. **身份验证 (Authentication)**:这是用户登录过程,验证用户的身份。Shiro提供了...
springboot+shiro入门案例
12-21
Shiro简单易用性和灵活性使得开发者可以专注于业务逻辑,而无需过多关注安全细节。通过自定义Realm和Filter,我们可以根据具体需求实现定制化的安全策略。在这个入门案例中,你可以进一步探索这些概念并实践它们,...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 738
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 692
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
Java内存模型
weixin_44267758的博客
07-19 711
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1237
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 1265
JVM-垃圾回收与内存分配
【Java算法】前缀和 下
2302_79806056的博客
07-18 1122
这段代码实现了一个寻找数组中具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
淘客返利系统中的服务发现与注册机制详解
技术研究中心
07-22 1099
通过服务注册中心,服务提供者可以将自己注册到注册中心,服务消费者可以从注册中心获取服务提供者的地址,以实现服务调用。本文详细介绍了淘客返利系统中服务发现与注册机制的实现,包括Eureka的配置与代码示例。通过Eureka,我们可以轻松实现服务的注册与发现,确保分布式系统中各个服务之间的通信。在本文中,我们将深入探讨淘客返利系统中的服务发现与注册机制,并结合Java代码进行详细讲解。在我们的淘客返利系统中,我们采用Eureka作为服务发现与注册的工具。在我们的淘客返利系统中,首先需要配置Eureka服务器。
Java实现拼图小游戏
最新发布
Aishangyuwen的博客
07-22 829
Java实现拼图小游戏
华为OD机试 - 分披萨 - 递归(Java 2024 D卷 200分)
学Java,找哪吒
07-21 925
递归算法通过函数调用自身解决问题,每次递归调用都处理问题的一个子部分,直到达到基准条件,从而构建最终解。
Java私塾:Shiro入门与实战全解析
2. **Shiro入门**:首先阐述Shiro的定义、主要功能以及整体架构,接着通过一个简单的HelloWorld例子,让学员对Shiro有个初步认识。 3. **Shiro的配置**:讲解程序和配置文件(ini)的配置方法,涉及权限字符串配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值