Shiro的基本概念与快速入门

最新推荐文章于 2024-03-12 17:15:14 发布
最新推荐文章于 2024-03-12 17:15:14 发布
阅读量245 收藏
点赞数
分类专栏: [SpringBoot]
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Delicious_Life/article/details/106068387
版权

目录

什么是Shiro

Shiro的功能 

Shiro的架构

Shiro快速开始

分析Shiro的执行逻辑 

 

什么是Shiro

 

正如它的Logo所写,简单的java安全框架

 

 

 

Shiro的功能 

 

  • Authentication:身份认证
  • Authorization:权限验证
  • Session Manager:会话管理
  • Cryptography:加密
  • Web Support:Web环境支持
  • Caching:缓存
  • Concurrency:多线程应用的并发验证
  • Testing:测试
  • Run As:允许一个用户假装为另一个用户的身份进行访问
  • Remember Me:记住我~

 

 

Shiro的架构

 

 

 

Shiro快速开始

 

 1.新建一个maven项目,搞一个Shiro的子模块

2.导入jar包

    <dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.1</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>jcl-over-slf4j</artifactId>
            <version>1.7.21</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>1.7.21</version>
        </dependency>
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
    </dependencies>

3.新建log4j.properties文件

log4j.rootLogger=INFO, stdout

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

# General Apache libraries
log4j.logger.org.apache=WARN

# Spring
log4j.logger.org.springframework=WARN

# Default Shiro logging
log4j.logger.org.apache.shiro=INFO

# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

4.新建shiro.ini文件,建立安装个ini插件,这样ini文件中的代码会有色彩标记

[users]
# user 'root' with password 'secret' and the 'admin' role
root = secret, admin
# user 'guest' with the password 'guest' and the 'guest' role
guest = guest, guest
# user 'presidentskroob' with password '12345' ("That's the same combination on
# my luggage!!!" ;)), and role 'president'
presidentskroob = 12345, president
# user 'darkhelmet' with password 'ludicrousspeed' and roles 'darklord' and 'schwartz'
darkhelmet = ludicrousspeed, darklord, schwartz
# user 'lonestarr' with password 'vespa' and roles 'goodguy' and 'schwartz'
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# Roles with assigned permissions
#
# Each line conforms to the format defined in the
# org.apache.shiro.realm.text.TextConfigurationRealm#setRoleDefinitions JavaDoc
# -----------------------------------------------------------------------------
[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# The 'schwartz' role can do anything (*) with any lightsaber:
schwartz = lightsaber:*
# The 'goodguy' role is allowed to 'drive' (action) the winnebago (type) with
# license plate 'eagle5' (instance specific id)
goodguy = winnebago:drive:eagle5

5.把Quickstart.java复制到java目录下,启动这个类

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;


/**
 * Simple Quickstart application showing how to use Shiro's API.
 *
 * @since 0.9 RC2
 */
public class Quickstart {

    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);


    public static void main(String[] args) {

        // The easiest way to create a Shiro SecurityManager with configured
        // realms, users, roles and permissions is to use the simple INI config.
        // We'll do that by using a factory that can ingest a .ini file and
        // return a SecurityManager instance:

        // Use the shiro.ini file at the root of the classpath
        // (file: and url: prefixes load from files and urls respectively):
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();

        // for this simple example quickstart, make the SecurityManager
        // accessible as a JVM singleton.  Most applications wouldn't do this
        // and instead rely on their container configuration or web.xml for
        // webapps.  That is outside the scope of this simple quickstart, so
        // we'll just do the bare minimum so you can continue to get a feel
        // for things.
        SecurityUtils.setSecurityManager(securityManager);

        // Now that a simple Shiro environment is set up, let's see what you can do:

        // get the currently executing user:
        Subject currentUser = SecurityUtils.getSubject();

        // Do some stuff with a Session (no need for a web or EJB container!!!)
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("Retrieved the correct value! [" + value + "]");
        }

        // let's login the current user so we can check against roles and permissions:
        if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true);
            try {
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }

        //say who they are:
        //print their identifying principal (in this case, a username):
        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

        //test a role:
        if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        //test a typed permission (not instance-level)
        if (currentUser.isPermitted("lightsaber:wield")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        //a (very powerful) Instance Level permission:
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

        //all done - log out!
        currentUser.logout();

        System.exit(0);
    }
}

下图代表快速搭建shiro成功~

 

 

分析Shiro的执行逻辑 

 

 

  • subject:应用代码直接交互的对象,subject代表了当前的用户,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等。与subject交互的所有内容都委托给了securitymanager,subject其实是一个门面,securitymanager才是真正的执行者
  • sucuritymanager:安全管理器,所有与安全有关的操作都会与它交互,并且管理着所有subject,可以看出它是shiro的核心,负责与shiro的其他组件进行交互,相当于springmvc中的dispatcherservlet
  • realm:当需要进行用户、角色、权限验证时,需要从realm获取相应的用户信息,可以把realm看做datasource
我能在河边钓一整天的鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro_入门教程
04-02
本文将深入浅出地介绍Shiro基本概念、核心组件以及如何在实际项目中使用它。 1. **Shiro基本概念** - **认证**:验证用户身份的过程,即确定用户是谁。 - **授权**:确认用户是否有执行特定操作的权限。 - *...
Shiro入门实例
03-28
通过这些实例,你可以快速了解Shiro的基本用法,并将其应用到实际项目中,提高应用的安全性。 总结,Apache Shiro 提供了一套完整的安全解决方案,涵盖了从用户认证到权限控制,再到会话管理和加密。这个"Shiro入门...
2021-11-25 shiro-core IniRealm源码分析(一)
Niall_Tonshall的博客
12-02 249
2021SC@SDUSC IniRealm的类继承关系图 1.TextConfigurationRealm SimpleAccountRealm,它可以用于验证在启动时创建的初始用户、角色和权限对象的基于文本的配置。 每个用户帐户定义指定用户的用户名、密码和角色。 每个角色定义指定一个名称和一个可选的分配权限集合。 可以为用户分配角色,并且可以为角色分配权限。 通过传递关联,每个用户“拥有”他们所有角色的权限。 用户和用户到角色的定义通过setUserDefinitions方法指定,角色到权限的定义通过
学习Shiro随笔
jiohfgj的博客
02-29 157
引言 这里记录我刚学习的Shiro体会,我觉得shiro和Spring Security功能都一样都是认证和授权来拦截url但是各有各的好处 后者功能比较多,前者更适合和SSM整合 Shiro三大重点 我这里做的是一个Springboot例子简单介绍 pom依赖 <dependency> <groupId>org.apache.shiro</groupId&g...
2_springboot_shiro_jwt_多端认证鉴权_Realm与匹配器
最新发布
paopao_wu的专栏
03-12 968
Realm 源码分析,自定义Realm,自定义匹配器,鉴权异常处理
Shrio认证详解+自定义Realm
dengjuyan2649的博客
08-26 135
Authentication(身份认证)是Shiro权限控制的第一步,用来告诉系统你就是你。 在提交认证的时候,我们需要给系统提交两个信息: Principals:是一个表示用户的唯一属性,可以是用户名,邮箱之类的。 Credentials:是证明用户身份的证书,可以是密码或者指纹之类的。 认证主要分为三步: 1、收集认证信息 2、提交认证信息 3、如果认证成功,则允许访问...
[shiro学习笔记]第二节 shiro与web融合实现一个简单的授权认证
weixin_30667301的博客
10-11 121
本文地址:http://blog.csdn.net/sushengmiyan/article/details/39933993shiro官网:http://shiro.apache.org/shiro中文手册:http://wenku.baidu.com/link?url=ZnnwOHFP20LTyX5ILKpd_P94hICe9Ga154KLj_3cCDXpJWhw5Evxt7sfr0B5...
shiro 入门 hello world
02-01
在这个"shiro 入门 hello world"项目中,我们将探讨Shiro基本概念和如何进行简单的集成。 **Shiro框架的核心组件** 1. **认证(Authentication)**:这是验证用户身份的过程。在Shiro中,可以通过`Subject`接口...
shiro入门案例_001.zip
06-11
入门案例将带你走进 Shiro 的世界,通过一系列简单的步骤,帮助你快速理解并掌握 Shiro 的基本用法。 Shiro 的核心组件包括: 1. **认证**:也称为身份验证,是确认用户身份的过程。在 Shiro 中,这通常涉及到...
SpringBoot与Shiro整合.docx
02-09
在课程中,首先会对SpringBoot和Shiro基本概念进行介绍。SpringBoot的核心特性包括快速入门体验、开箱即用的设置、非功能性特性的提供(如内嵌服务器、安全、指标监控、健康检查、外部化配置)以及无代码生成和XML...
Shiro源码分析-初始化-Realm
Dead_Knight的专栏
04-08 258
在上一篇介绍SecurityManager的初始化过程中,也有realm的粗略介绍。 realm的概念在安全领域随处可见: 各种中间件的realm、spring security的realm、shiro的realm。。。如下: tomcat的realm:[url]http://tomcat.apache.org/tomcat-7.0-doc/realm-howto.html[/url] w...
Shiro——从零开始进行详解官方入门案例
02-09 2257
首先进入shiro的官网下载源码http://mirror.bit.edu.cn/apache/shiro/1.5.0/shiro-root-1.5.0-source-release.zip 下载完毕后解压进入samples目录 然后进入quickstart目录 到了这你就比较熟悉了吧,接下来的任务就是复制粘贴了,你新建一个maven项目,然后把pom下的dependencie拷...
Shiro入门教程
weixin_34217773的博客
06-14 104
简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。 Shiro是一个有许多特性的全面的安全框架,下面这幅图可以了解Shiro的特性: image.png 可以看出shiro除了基本的认证,授权...
SSSDJday5
GG__bond1的博客
07-12 381
1.Shiro简介 1.1. Java安全框架,有身份验证、授权、密码学和会话管理。 Spring security 重量级安全框架 Apache Shiro轻量级安全框架 1.2.shiro能干什么? 1.3.架构 1.3.1.Shiro外部来看 从外部来看Shiro,即从应用程序角度来如何使用shiro来完成工作(认证、授权等)。 1.3.2.Shiro内部看 即shiro内部夹走 小结: ...
Apcahe Shiro学习笔记(一):简介及运行官方Demo
bangbang0203的博客
07-03 174
一、Apache Shrio:   apache shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的的解决方案的认证,授权,加密,会话管理。   支持认证跨一个或多个数据源(LDAP,JDBC,kerberos身份等)   执行授权,基于角色的细粒度的权限控制。   增强的缓存的支持。   支持web或者非web环境,可以在任何单点登录(SS...
Springbooot集成Shiro简单使用
我真的很不错的博客
09-24 351
文章目录1.Shiro架构2.Shiro环境搭建3.Shiro用户登录拦截与认证 1.Shiro架构 Shiro三个主要的概念: Subject SecurityManager Realms Shiro外部架构 Subject:主体,当前参与应用安全部分的主体。可以是用户,可以是第三方服务,可以是cron 任务,或者任何东西。主要指一个正在与当前软件交互的东西。所有Subject都需要SecurityManager,当与Subject进行交互,这些交互行为实际上被转换为与SecurityManage
Shiro 基础入门(二)
分享我的点点滴滴,在成长路上与你同行!
05-30 196
使用maven来搭建工程 New|Other|Maven|Maven Project在pom.xml中引入相关的包去官网下载源文件: http://shiro.apache.org/download.html#latestSource解压之后在samples|quickstart|src|main下拷贝相应的文件到shiro-1工程中哦!       说明: Quickstart是类文件; log...
Apache Shrio官方十分钟教程文档翻译
稀有气体的技术博客
10-16 795
本文是官方文档的中文翻译。通过本文学习,你可以自己搭建起简单的项目并引入shiro,通过代码示例了解shiro中的概念和最基本的使用。
Spring集成Shiro快速入门与配置详解
本文档主要介绍了Spring框架与Apache Shiro的集成,以帮助读者入门Shiro并掌握其核心概念和基本配置。首先,我们了解到Shiro是一个强大的开源安全框架,适用于身份验证、授权、会话管理和加密等多方面的需求。以下是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值