Apache Shiro 使用教程
shiroApache Shiro项目地址:https://gitcode.com/gh_mirrors/shiro25/shiro
1. 项目介绍
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,用于开发简单、安全的应用程序。它既可作为传统的 Servlet 应用的过滤器,也可在现代的 JavaFX 和 Web 服务中使用。Shiro 的目标是使安全实现尽可能地简单,但又不失灵活性。
2. 项目快速启动
2.1 添加依赖
在 Maven 项目中,将以下依赖添加到 pom.xml
文件:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.7.5</version>
</dependency>
2.2 创建配置文件
创建名为 shiro.ini
的配置文件,配置基本的身份验证和授权信息。例如:
[main]
# 登录成功的回调函数
authc.loginUrl = /login.html
authc.successUrl = /index.html
credentialsMatcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher
hashAlgorithmName = MD5
hashIterations = 2
[users]
# 用户名=密码,角色列表
admin = admin,ROLE_ADMIN
user = user,ROLE_USER
[roles]
# 角色=权限列表
ROLE_ADMIN = *
ROLE_USER = read,write
2.3 初始化 Shiro
在你的应用程序启动时,需要初始化 Shiro:
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
public class ShiroBootstrap {
public static void main(String[] args) {
IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
DefaultSecurityManager securityManager = (DefaultSecurityManager) factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
// 测试身份验证
Subject currentUser = SecurityUtils.getSubject();
if (!currentUser.isAuthenticated()) {
currentUser.login(new UsernamePasswordToken("admin", "admin"));
}
}
}
2.4 添加过滤器
在 web.xml
文件中配置 Shiro 过滤器:
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
<dispatcher>INCLUDE</dispatcher>
<dispatcher>ERROR</dispatcher>
</filter-mapping>
3. 应用案例和最佳实践
- 用户登录:使用
Subject
对象进行登录操作。
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
subject.login(token);
- 权限控制:通过注解或配置文件限制访问特定方法或资源。
@RequiresPermissions("user:view")
public void viewUser() {
// ...
}
- 会话管理:Shiro 提供了会话 API,可用于会话数据存储、会话超时处理等。
Session session = SecurityUtils.getSubject().getSession();
session.setAttribute("key", value);
4. 典型生态项目
- Spring Boot集成:利用 Spring Boot Starter Shiro 实现更便捷的安全管理。
- Web MVC 应用:在 Struts、SpringMVC 等 MVC 框架中集成 Shiro,提供统一的认证和授权机制。
- 微服务场景:在分布式环境中,Shiro 可与 JWT 或 OAuth2 协议配合,实现单点登录。
在实际项目中,结合 Shiro 的丰富的插件和社区支持,可以构建出更加安全可靠的系统。
shiroApache Shiro项目地址:https://gitcode.com/gh_mirrors/shiro25/shiro