Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
三个核心组件:Subject、Security Manager、Realms
- Realm:相当于shiro进行认证和授权的数据源
- Security Manager:Shiro框架的核心,Shiro就是通过Security Manager来进行内部实例的管理,并通过它来提供安全管理的各种服务
- Subject:表示待认证和授权的用户
1.添加maven依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.1</version>
</dependency>
2.创建shiro的配置文件
在resource下创建ini后缀文件
[users]
zhangsan=123456,seller
lisi=123123,ckmgr
admin=admin,admin
[roles]
admin=*
seller=order-add,order-del,order-list
ckmgr=ck-add,ck-del,ck-list
3.使用测试
public class ShiroTest {
public static void main(String[] args) {
Scanner sc=new Scanner(System.in);
System.out.println("请输入账号:");
String username = sc.next();
System.out.println("请输入密码:");
String password = sc.next();
//1.创建安全管理器
DefaultSecurityManager securityManager=new DefaultSecurityManager();
//2.创建realm
IniRealm iniRealm=new IniRealm("classpath:shiro.ini");
//3.将realm设置给安全管理器
securityManager.setRealm(iniRealm);
//4.将Realm设置给SecurityUtil工具
SecurityUtils.setSecurityManager(securityManager);
//5.通过SecurityUtil工具类获取subject对象
Subject subject=SecurityUtils.getSubject();
//认证流程
//将认证账号和密码封装到token中
UsernamePasswordToken token=new UsernamePasswordToken(username,password);
//通过subject对象调用login方法进行认证
boolean flag=false;
try{
subject.login(token);
flag=true;
}catch (IncorrectCredentialsException e){
flag=false;
}
System.out.println(flag?"登录成功":"登录失败");
//授权
//判断是否有某个角色
System.out.println(subject.hasRole("seller"));
//判断是否有某个权限
System.out.println(subject.isPermitted("order-del"));
}
}