Shiro框架基础

最新推荐文章于 2023-01-02 16:40:31 发布
最新推荐文章于 2023-01-02 16:40:31 发布
阅读量566 收藏
点赞数
分类专栏: java web (jsp j2se开发 文章标签: 框架 shiro 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrEmotion/article/details/49863813
版权

Shiro 框架基础

简要概述一下shiro的主要组成,个人看来,Shiro 主要有四个组件:

  • SecurityManager 安全管理
  • Authenticator 身份认证
  • Authorization 权限鉴定
  • Session Manager 会话管理
    在官网的描述中,四个组件分别为:
  • Authentication - proving user identity, often called user ‘login’.
  • Authorization - access control
  • Cryptography - protecting or hiding data from prying eyes

  • Session Management - per-user time-sensitive state

    分别是身份验证,鉴权,加密以及会话管理。两者是一样的。
    用一张简图来描述一下Shiro的安全策略流程(简单的),不同应用程序环境下的Subject通过SecurityManager的安全策略管理,经过身份认证、权限、角色鉴定之后(这些几乎都包含在一个Realm中),以此访问数据库、可操作目录或者文件系统等等。
    Shiro框架简图-CM

当然,Shiro中还有会话管理、缓存管理以及加密等其他组件和功能,在简单的配置中就不做详细介绍。

-Shiro 的特点

Shiro相对于其他安全框架来说,更加的简单和灵活。有以下几个特点:

  • 使用更加简单
    按照官方的说法,ETU(easy to use)是项目的重要亮点之一。
  • 功能全面完善
    没有其他框架对于scope的深度管理,Shiro 几乎是“一站式”地解决你的安全需求。
  • 灵活
    可以应用于任何的应用程序环境中。
  • WEB开发支持更好
    允许你根据URL来构建更加灵活的web 安全管理策略,并且对各种协议有较好的支持,例如REST风格的支持
  • 插件化
    Shiro 的设计令它能够与更加容易的加入其他框架和应用程序中。
  • 更好的支持
    Shiro 框架是阿帕奇软件基金协会的一部分,有更好的团队以此为兴趣去开发和交流,并对此做出更新和支持。

- Shiro 的核心概念

在开始的时候我们提到,Shiro的组成有四个组件,而穿插在组件中用到的几个重要成分就是Shiro的核心概念,分别是:Subject, SecurityManager, and Realms。

- Subject 

Subject:当前用户。
对于程序的设计,在安全感框架中,涉及到的两个核心问题就是:
   1.当前用户是谁?
   2.当前用户在安全管理之下允许做什么?
当我们设计用户接口的,构建应用程序的时候,通常都是基于用户行为的。所以的你程序接口或者说安全策略都是针对“单人单元”的。所以,在我们程序中最正常的安全策略往往都是针对当前用户来设计的。Subject就是当前用户。

- SecurityManager

针对于Subject的安全管理器,其负责所有用户的安全管理。在Shiro的体系结构中,相当于心脏的存在。通常的安全管理器,几乎要花费开发人员所有的时间来了解其架构与针对用户的API。
关于Shiro的安全管理器如何构建,针对不同的应用程序环境,配置不同,详情请参考另外一篇文章,给予springmvc的shiro简单配置:[ springmvc + shiro 配置(一、结构及配置文件)](http://blog.csdn.net/mremotion/article/details/49181747)

当然,在框架中,如何使用SecurityManager,最常用的两个例子如下:

EG:Login 

//1. Acquire submitted principals and credentials:
AuthenticationToken token =
new UsernamePasswordToken(username, password);
//2. Get the current Subject:
Subject currentUser = SecurityUtils.getSubject();
//3. Login:
currentUser.login(token);
//4. Logout
currentUser.logout(); //removes all identifying information and invalidates their session too.

对于Login Failed的处理,直接用try{…}cath(…){…}即可。

EG:Authorization

//check subject s roles

if ( subject.hasRole(“administrator”) ) {
    //show the ‘Create User’ button
} else {
    //grey-out the button?
} 


//check subject s permission
if ( subject.isPermitted(“user:create”) ) {
    //show the ‘Create User’ button
} else {
    //grey-out the button?
}

两个例子分别是对用户的角色以及权限进行鉴定。

当然,还有密码加密、会话管理等一系列功能,此处就不做介绍。

蔻丁同学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro框架jar包+全
04-05
shiro框架jar包+全
Shiro(一):Shiro介绍及主要流程
weixin_34250709的博客
06-10 99
什么是Shiro Apache Shiro是一个强大且灵活的开源安全框架,易于使用且好理解,撇开了搭建安全框架时的复杂性。 Shiro可以帮助我们做以下几件事: 认证使用者的身份 提供用户的访问控制,比如: 决定一个用户是否被授予某个特定的安全角色 决定用户是否允许做某件事 可以在任何环境中使用Session API,不在局限于web或是EJB容器中 可以在认证,访问控制或是sessi...
2-Shiro框架-大致流程
mirai2333的博客
07-23 267
1. 可以看到web.xml中配置了过滤器过滤了所有的请求,Shiro把这些请求分为不拦截的请求和拦截的请求。 不拦截的请求可以是经过认证的请求,也可以是在spring中配置的过滤器类中的filterChainDefinitions属性规定的可以匿名访问的或者没有在该属性中规定的请求。 该属性规定的需要认证的请求会被拦截,然后重定向到配置好的登录页面。 注意:web.xml配置的过滤器是spr...
shiro 身份认证 流程图讲解
a3060858469的博客
06-18 2600
身份认证流程图的描述:
spring整合shiro框架的实现步骤记录
08-27
Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。下面这篇文章主要给大家介绍了关于spring整合shiro框架的实现步骤,文中通过示例代码介绍的非常详细,需要的朋友可以参考下
shiro基础框架搭建
08-13
springboot + shiro + redis + mybatis ,最基础的最全的shiro权限管理框架搭建
shiro框架基础学习
02-02
shiro框架基础学习、包含shiro框架的认证、授权、session管理、缓存管理
Shiro权限基础框架
04-22
NULL 博文链接:https://lzj0470.iteye.com/blog/1934029
permission_url:shiro框架基础配置
05-01
permission_url url权限框架基础配置:springmvc+mybatis 项目主要为:url+spring拦截器的权限管理设计
Shiro框架详解
王毅的专栏
05-19 1830
安全框架, 认证, 授权, 密码加密, 会话管理, 提供最简介的用户授权管理;
shiro-1.9.0版本jar包
05-10
shiro-1.9.0版本jar包,官网:https://mvnrepository.com/artifact/org.apache.shiro/shiro-core/1.9.0
SHIRO工作流程及原理及在Spring中集成
TOMCAT
08-18 5282
1.最近接触了Shiro这一安全框架: 这可以帮我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。 Shiro可以基本功能分为如下: Authentication:身份认证/登录,验证用户是不是拥有相应的身份;Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对
Shiro SpringSecurity 流程图
Kirito的博客
03-26 159
shiro流程图 SpringSecurity流程图
shiro框架详解
MING.Z
08-16 332
一、shiro介绍 1.实现权限的几种方式   (1)通过表来实现   (2)shiro框架   (3)Spring Security框架 2.shiro有哪些主要功能 3.搭建shiro环境(*)     (1)在pom.xml文件配置如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http...
二十三、shiro安全框架详解(一)
kejizhentan的博客
01-02 1266
shiro权限框架详解第一部分
jQuery在使用each及animate等方法出现卡顿
CM logs
02-20 5514
问题场景 jQuery 在使用选择器对页面上多个html元素进行动画操作的时候,如果元素数量较多则会出现卡顿。因此在页面特效的设计上需要考虑这一类情况。 解决方案 实际上我们在对for循环和each的比较中(写一个for循环和一个each来遍历DOM元素)可以明显看出,for循环的效率是比each高的,因为jQuery是将HTML标间先转化成jQuery对象再进行一系列的操作。基于这个情
springmvc + shiro 配置(一、结构及配置文件)
CM logs
10-16 3049
springmvc + shiro 配置 最近自己做的项目框架升级之后,一直没有时间来整理一个完整的配置笔记,大都是一些小问题,这两天项目得空,刚好整理一下,顺便也修正一下配置文件中的冗余配置和不规范。 整个框架涉及的部分分为以下几个部分: SpringMVC配置 SpringMVC+Hibernate配置 SpringMVC+Ibatis配置 *SpringMVC+Shiro配置
Tomcat部署项目jar包冲突问题
CM logs
09-09 1277
项目中包含了tomcat的包,比如jsp-api 或者servlet包并且版本较低,tomcat在部署时先加载了项目的jar包,因而在运行时报错。解决方法是删除项目中对这一类jar包的依赖
Linux(CenterOS 6.5)服务器安装Mysql5.6
CM logs
10-21 1068
昨天遇到一个字符串编码的问题,mysql5.1版本不支持emoji表情字符的存储,升级到mysql5.6的安装过程
shiro框架如何学习
最新发布
07-15
学习Shiro框架可以按照以下步骤进行: 1. 了解基础概念:首先,你需要了解Shiro的基本概念和术语,例如主体(Subject)、认证(Authentication)、授权(Authorization)、Realm等。可以阅读Shiro的官方文档或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值