Apache Shiro学习

最新推荐文章于 2024-08-20 16:00:00 发布
最新推荐文章于 2024-08-20 16:00:00 发布
阅读量219 收藏
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gs932899178/article/details/53900782
版权

一.定义:Apche Shiro 是一个功能强大,使用简答的Java安全框架,为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案.

         其主要功能是:管理应用程序中与安全相关的全部,同时尽可能的支持多种实现方法.

下载路径:http://shiro.apache.org/download.html

  1. 进入快速指南文件夹

    cd shiro-root-1.1.0/samples/quickstart

  2. 运行快速指南

    mvn compile exec:java

  3.代码剖析 几乎所有的环境下,都可以通过这种方式获取当前用户:

    Subject currentUser = SecurityUtils.getSubject();

    Subject是应用中用户的一个特定安全的缩影,虽然感觉上直接使用User会更贴切,但是实际上它的意义远远超过了User。  而且每个应用程序都会有自己的用户以及框架,我们可不想和它们混淆在一起,况且Subject就是安全领域公认的名词。

如果你想得到应用中用户当前Session的其他参数,可以这样获取Session对象:

Session session = currentUser.getSession();

session.setAttribute( "someKey", "aValue" );

这个Session对象是Shiro中特有的对象,它和我们经常使用的HttpSession非常相似,但还提供了额外的东西,其中与HttpSession最大的不同就是Shiro中的Session不依赖HTTP环境(换句话说,可以在非HTTP 容器下运行)。

如果将Shiro部署在web应用程序中,那么这个Session就是基于HttpSession的。但是像QuickStart示例那样,在非web环境下使用,Shiro则默认使用EnterpriseSessionManagment。

补:API:应用程序接口

现在你可以得到当前Subject和它的Session对象。那么我们如何验证比如角色和权限这些东西呢?

可以通过已得到的user对象进行验证。Subject对象代表当前用户,但是,谁才是当前用户呢?

if ( !currentUser.isAuthenticated() ) {

UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");

token.setRememberMe(true);

currentUser.login(token);

}try {

currentUser.login( token );

} catch ( UnknownAccountException uae ) {

}

可以捕获Shiro提供的各种异常,最安全的做法是将登录失败的消息告知用户

//拿到登录的用户

log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );

//判断用户是否拥有特定的角色

if ( currentUser.hasRole( "schwartz" ) ) {

log.info("May the Schwartz be with you!" );

} else {

log.info( "Hello, mere mortal." );

}

还可以判断用户是否对特定某实体有操作权限:

if ( currentUser.isPermitted( "lightsaber:weild" ) ) {

log.info("You may use a lightsaber ring. Use it wisely.");

} else {

log.info("Sorry, lightsaber rings are for schwartz masters only.");

}

当然,还可以进行功能强大的实例级别的权限验证。通过它可以判断用户是否有访问特定类型实例的权限:

if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {

log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +"Here are the keys - have fun!");

} else {

log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");

}

最后,当用户使用完毕,还可以退出应用。

currentUser.logout();

session too.






追梦码仔
关注
专栏目录
Apache Shiro 学习
web13524385009的博客
09-01 97
Shiro 不包含通用的 LDAP 安全域,但它却包含了一个 ActiveDirectoryRealm 对象,允许针对 LDAP 进行用户的身份验证。虽然 AD DS 与 LDAP 不同,但本文中使用的 Shiro 的这个版本并没有自带通用的 LDAP 对象。幸运的是,Grails 提供了插件,可集成到 web.xml 生成过程并会让您也可以参与在 web.xml 文件内编写这些项。SecurityUtils 对象是一个 singleton,这意味着不同的对象可以使用它来获得对当前用户的访问。...
Apache Shiro学习笔记
csdn_life18的博客
11-24 122
2016-07-20 13:10:05 鲁春利的工作笔记,好记性不如烂笔头 Apache Shiro学习笔记(一)Shiro简介 http://luchunli.blog.51cto.com/2368057/1827392 Apache Shiro学习笔记(二)身份验证 http://luchunli.blog.51cto.com/2368057/1828038 http://luchunli.blog.51cto.com/2368057/1828080 ...
Apache shiro学习笔记+ spring整合shiro (一)
iijik55的博客
09-01 239
换言之,使用 Shiro 的 API 编写的代码让您可以构建连接到 LDAP 服务器的命令行应用程序并且与 web 应用程序内用来访问 LDAP 服务器的代码相同。由于 Shiro 提供具有诸多不同数据源的身份验证,以及 Enterprise Session Management,所以是实现单点登录(SSO)的理想之选 — 大型企业内的一个理想特性,因为在大型企业内,用户需要在一天内经常登录到并使用不同系统。或者,如果您更愿意自己添加这些项并进行配置,您也可以编写您自己的插件。此时,这个文件是空白的;...
什么是 Apache Shiro
热门推荐
崔二旦
03-30 1万+
Apache Shiro 学习记录
Apache Shiro 学习目录
又言又语
05-25 342
Apache Shiro 学习目录
Apache shiro学习
qq_29425387的博客
05-19 145
Apache shiro学习 shiro的核心概念: realm subject
Apache shiro学习总结
weixin_30878501的博客
10-04 74
Apache shiro集群实现 (一) shiro入门介绍 Apache shiro集群实现 (二) shiro 的INI配置 Apache shiro集群实现 (三)shiro身份认证(Shiro Authentication) Apache shiro集群实现 (四)shiro授权(Authentication)--访问控制 Apache shiro集群实现 (五)分布式集群系统下的...
Java Apache Shiro 入门指南
最新发布
java专栏
08-20 280
我们将在上面的基础上添加权限控制的功能。以下是修改后的shiro.ini[main]# 指定 Realm# 设置默认的登录 URL# 设置未授权的 URL[users]# 用户名: 密码: 角色[roles]# 角色: 权限[urls]通过以上的步骤,我们已经了解了如何使用 Apache Shiro 来实现用户登录和权限控制。Shiro 是一个非常强大的工具,支持多种复杂的安全功能。你可以根据需要添加更多的安全机制,以满足各种安全需求。
apache shiro漏洞复现
赵花花08042的博客
12-13 757
Shiro框架下,用户登陆成功后会生成一个经过加密的Cookie。
Apache shiro 1.13.0源码
01-17
总之,Apache Shiro 1.13.0 源码提供了深入了解 Java 安全框架的机会,无论是对于学习安全基础知识,还是解决实际项目中的安全问题,都是非常宝贵的资源。通过深入阅读和实践,开发者可以提升自身的安全编程能力,为...
Apache Shiro教程
12-30
通过这个Apache Shiro教程,你可以学习到如何构建安全的Java应用,了解Shiro的配置和用法,以及如何在实际项目中实施身份验证、授权、会话管理和加密策略。无论你是初学者还是经验丰富的开发者,Shiro都是一个值得...
Apache Shiro权限框架实战+项目案例视频课程
06-09
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。本课程旨在通过实战演练和项目案例,帮助学习者深入理解...
Apache Shiro 使用手册(五) Shiro 配置说明
09-15
### Apache Shiro 配置说明详解 #### 一、引言 Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理等功能,能够帮助开发者轻松地处理非常复杂的安全问题。本文将重点介绍 Shiro ...
Spring Security 和Apache Shiro你需要具备哪些条件
08-18
学习 Spring Security 和 Apache Shiro 需要具备一些条件,包括了解认证和鉴权的概念、过滤器链的使用、RBAC 模型、OAuth2.0 等安全协议等。只有具备这些条件,才能更好地学习和应用这两种框架。 六、为什么选择 ...
Spring中常用jar的作用
城里的砍柴匠
12-17 3984
1.spring-aop-3.2.2.jar   包含在应用中使用Spring的AOP特性时所需的类。 2.spring-aspects-3.2.2.jar   提供对AspectJ的支持,以便可以方便的将面向方面的功能集成进IDE中 3.spring-beans-3.2.2.jar  springIoC(依赖注入)的基础实现,所有应用都要用到的,它包含访问配置文件、创建和管理bea
关系型数据库优化操作
城里的砍柴匠
12-23 3427
目前使用率最多的数据库均为"关系型数据库",例如:oracle,MySql... 1.关系型数据库的瓶颈: 高并发读写需求-----------针对网站类用户的并发性访问非常高,而一台数据库的最大连接数有限,且硬盘I/O有限,其不能满足很多人同时连接 海量数据的高效率读写-------当表中数据量太大,每次的读写速率都将非常缓慢(解决方案:分表.分库) 高扩展性和可用性------一台数据
Apache CXF 与 阿里巴巴 Dubbo等常用web服务框架介绍
城里的砍柴匠
12-28 1761
Apache CXF是一个开源服务框架 特性:  支持Web services标准 支持不同类型前端开发模型 容易使用。CXF设计的简洁和直观,具有简洁APIs迅速的构建基于代码的服务 支持二进制和遗留协议。 Dubbo 是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring框架无缝集成。 特性:
DOBBO的学习
城里的砍柴匠
12-28 753
资源 源码:https://github.com/alibaba/dubbo下载:http://repo1.maven.org/maven2/com/alibaba/dubbo微博:http://weibo.com/dubboQQ群:222162989(已满),366736103 Dubbo是什么? Dubbo[]是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务
Apache Shiro 安全框架学习指南
Apache Shiro 安全框架详解 Apache Shiro 是一个 Java 的安全框架,提供了一种简单、灵活的安全解决方案。Shiro 框架的出现为 Java 开发者提供了一种轻便、灵活的安全解决方案,满足了大多数 Java 应用程序的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值