Shiro系列二:入门

最新推荐文章于 2024-01-04 15:39:15 发布
最新推荐文章于 2024-01-04 15:39:15 发布
阅读量275 收藏 1
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizhiqiang1217/article/details/90812361
版权

一、官方示例
1、shiro.ini配置文件

[users]
# user 'root' with password 'secret' and the 'admin' role
root = secret, admin
# user 'guest' with the password 'guest' and the 'guest' role
guest = guest, guest
# user 'presidentskroob' with password '12345' ("That's the same combination on
# my luggage!!!" ;)), and role 'president'
presidentskroob = 12345, president
# user 'darkhelmet' with password 'ludicrousspeed' and roles 'darklord' and 'schwartz'
darkhelmet = ludicrousspeed, darklord, schwartz
# user 'lonestarr' with password 'vespa' and roles 'goodguy' and 'schwartz'
lonestarr = vespa, goodguy, schwartz

[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# The 'schwartz' role can do anything (*) with any lightsaber:
schwartz = lightsaber:*
# The 'goodguy' role is allowed to 'delete' (action) the user (type) with
# license plate 'zhangsan' (instance specific id)
goodguy = user:delete:zhangsan

2、测试示例

public class Quickstart {

    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);

    public static void main(String[] args) {
    
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();

        SecurityUtils.setSecurityManager(securityManager);

        // 获取当前的 Subject. 调用 SecurityUtils.getSubject();
        Subject currentUser = SecurityUtils.getSubject();

        // 测试使用 Session 
        // 获取 Session: Subject#getSession()
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("---> Retrieved the correct value! [" + value + "]");
        }

        // 测试当前的用户是否已经被认证. 即是否已经登录. 
        // 调动 Subject 的 isAuthenticated() 
        if (!currentUser.isAuthenticated()) {
        	// 把用户名和密码封装为 UsernamePasswordToken 对象
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            // rememberme
            token.setRememberMe(true);
            try {
            	// 执行登录. 
                currentUser.login(token);
            } 
            // 若没有指定的账户, 则 shiro 将会抛出 UnknownAccountException 异常. 
            catch (UnknownAccountException uae) {
                log.info("----> There is no user with username of " + token.getPrincipal());
                return; 
            } 
            // 若账户存在, 但密码不匹配, 则 shiro 会抛出 IncorrectCredentialsException 异常。 
            catch (IncorrectCredentialsException ice) {
                log.info("----> Password for account " + token.getPrincipal() + " was incorrect!");
                return; 
            } 
            // 用户被锁定的异常 LockedAccountException
            catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // 所有认证时异常的父类. 
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }

        log.info("----> User [" + currentUser.getPrincipal() + "] logged in successfully.");

        // 测试是否有某一个角色. 调用 Subject 的 hasRole 方法. 
        if (currentUser.hasRole("schwartz")) {
            log.info("----> May the Schwartz be with you!");
        } else {
            log.info("----> Hello, mere mortal.");
            return; 
        }

        // 测试用户是否具备某一个行为. 调用 Subject 的 isPermitted() 方法。 
        if (currentUser.isPermitted("lightsaber:weild")) {
            log.info("----> You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        // 测试用户是否具备某一个行为. 
        if (currentUser.isPermitted("user:delete:zhangsan")) {
            log.info("----> You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

        // 执行登出. 调用 Subject 的 Logout() 方法. 
        System.out.println("---->" + currentUser.isAuthenticated());
        
        currentUser.logout();
        
        System.out.println("---->" + currentUser.isAuthenticated());

        System.exit(0);
    }
}

二、基本使用
1、shiro.ini配置文件

[users]  
zhang=123  
wang=123

2、测试

@Test  
public void testHelloworld() {  

    //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager  
    Factory<org.apache.shiro.mgt.SecurityManager> factory =  
            new IniSecurityManagerFactory("classpath:shiro.ini");  
            
    //2、得到SecurityManager实例 并绑定给SecurityUtils  
    org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  
    SecurityUtils.setSecurityManager(securityManager);  
    
    //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)  
    Subject subject = SecurityUtils.getSubject();  
    UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");  
  
    try {  
        //4、登录,即身份验证  
        subject.login(token);  
    } catch (AuthenticationException e) {  
        //5、身份验证失败  
    }  
  
    Assert.assertEquals(true, subject.isAuthenticated()); //断言用户已经登录  
  
    //6、退出  
    subject.logout();  
}

身份验证的基本流程:
 1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂;
 2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;
 3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名和密码;
 4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录;
 5、如果身份验证失败请捕获AuthenticationException或其子类,常见的如: DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)等;
 6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。

身份验证的步骤:
 1、收集用户身份和凭证,即如用户名和密码;
 2、调用Subject.login进行登录,如果失败将得到相应的AuthenticationException异常,根据异常提示用户错误信息;否则登录成功;
 3、最后调用Subject.logout进行退出操作。

如上测试的几个问题:

 1、用户名/密码硬编码在ini配置文件,以后需要改成如数据库存储,且密码需要加密存储;
 2、用户身份Token可能不仅仅是用户名和密码,也可能还有其他的,如登录时允许用户名、邮箱和手机号同时登录。

苍穹尘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro入门
trasewell的博客
09-25 855
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro简介及入门
qq_44847231的博客
10-13 454
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiro与web容器的集成 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
Shiro入门使用
yjt520557的博客
02-19 364
1. 什么是shiro  shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。    spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。    shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,    分布式系统权限管...
shiro 用法
比你优秀的人比你还要努力
06-21 2478
最近在做项目的时候需要用到shiro做认证和授权来管理资源 在网上看了很多文章,发现大多数都是把官方文档的简介摘抄一段,然后就开始贴代码,告诉你怎么怎么做,怎么怎么做 相信很多小伙伴即使是跟着那些示例代码做完配完,并且成功搭建,估计也是一头雾水,可能会不理解,为什么要这么做 本人也是在看了大量文章之后,然后又自己动手搭了一便,得出如下使用的感悟,特此分享给大家 依照程序,我要在这里对...
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 5138
Shiro入门概述与基本使用
Shiro基础(1)
weixin_67696142的博客
06-23 193
Shiro基础(1)
Shiro入门到集群搭建
04-30
Shiro提供了一系列的注解和API,使得权限控制变得直观。例如,我们可以使用`@RequiresAuthentication`和`@RequiresPermissions`注解来控制方法的访问权限。 2. **Shiro与Spring集成**:Spring是Java企业级应用的...
shiro入门案例_001.zip
06-11
入门案例将带你走进 Shiro 的世界,通过一系列简单的步骤,帮助你快速理解并掌握 Shiro 的基本用法。 Shiro 的核心组件包括: 1. **认证**:也称为身份验证,是确认用户身份的过程。在 Shiro 中,这通常涉及到...
apache_shiro入门实例
10-27
`shiroFilter` 配置了登录 URL、成功后重定向的 URL、无权限时跳转的 URL 以及一系列的过滤链定义。过滤链定义了不同 URL 对应的过滤器,如 `anon` 表示匿名访问,`authc` 表示需要认证。 `securityManager` 是 ...
Shiro-pdf教程
11-17
**初识Shiro应用**:Apache Shiro 教程提供了一个简单的入门示例,指导开发者创建首个受Shiro保护的应用。通过这个教程,你可以了解到Shiro的基本概念和API,为后续更深入的学习打下基础。 总结来说,Apache Shiro ...
shiro学习笔记
04-03
4. **Filter 配置**:Shiro 提供了一系列的Filter,如LoginFilter、AuthcFilter等,可以方便地配置在Web.xml中。 5. **记住我(Remember Me)**:Shiro 可以实现“记住我”功能,下次登录时自动识别用户身份。 6. **...
快速入门Shiro
JunDong的博客
06-01 2241
讲解结合案例,Shiro入门,看这篇就够了。
[问题篇]VMWare搭建Openstack——执行自动化Linux Shell 创建Admin Tenant User报错
GIS+=地理信息+云计算+大数据+容器+物联网+...
07-15 1717
最近在写基于OpenStack部署的自动化部署脚本,我没有使用官方推荐的工具,由于目前没有足够多的时间,学习成本比较高,还是自己写Linux Shell来的比较快,而且比较灵活,也不复杂,不过这个东西说起来简单,对于一个没有Linux Shell经验的人来说,还是比较耗费时间的。 目前针对三个节点的脚本已经整理完毕,可能里面还需要优化,但是在执行控制节点,特别是在执行Keystone创建
、了解shiro架构 (10 Minute Tutorial on Apache Shiro
Mr丶Yang
07-12 482
10 Minute Tutorial on Apache Shiro教程:https://shiro.apache.org/10-minute-tutorial.html#overview文档:https://shiro.apache.org/reference.htmlshiro: https://github.com/apache/shiro/blob/master/samples/quick...
Shiro-全面详解(学习总结---从入门到深化)
12-01 1746
身份认证/登录。权限验证,即判断用户是否能在系统中做某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。提供测试支持。
Shiro快速入门【基础总结】
Carson's Blog
03-27 226
Shiro是Apache旗下的一个开源项目,它是一个非常易用的安全框架,提供了包括认证、授权、加密、会话管理等功能,与Spring Security一样属基于权限的安全框架,但是与Spring Security 相比,Shiro使用了比较简单易懂易于使用的授权方式。Shiro属于轻量级框架,相对于Spring Security简单很多,并没有security那么复杂。
Shiro最全基础教程
思月行云
10-18 2405
以下引自百度百科shiro(java安全框架)_百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(一)主要功能三个核心组件:Subject,SecurityManager 和 Realms。
Shiro框架》 十分钟快速入门
最新发布
vdssdf的博客
01-04 1016
RBAC 权限模型,全称是 Role-Based Access Control 基于角色的访问控制。简单来说,每个用户拥有若干角色,每个角色拥有若干个菜单,菜单中存在菜单权限、按钮权限。这样,就形成了“用户角色菜单”的授权模型。在这种模型中,用户与角色、角色与菜单之间构成了多对多的关系。
Shiro入门教程:从基础到实战
"Shiro入门指导教程全集" Apache Shiro 是一个强大的Java安全框架,用于处理认证(身份验证)、授权(访问控制)、会话管理和加密等安全需求。本教程旨在帮助初学者全面理解并掌握Shiro的核心概念和用法。 1. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值