安全框架之Shiro
1、Shiro是什么?
Apache下的一个框架,易于使用,官网网址:https://shiro.apache.org/
2、Shiro相比Sring Security优势
-
需要与spring整合使用
-
社区资源丰富
-
上手简单
-
依赖性低,可以独立运行
-
使用不局限环境,场景较多
3、Shiro基本功能
-
认证登录功能
-
授权、权限验证
-
会话管理
-
加密
4、三个核心组件:Subject, SecurityManager 和 Realms.
-
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
-
SecurityManager:它是Shiro框架的核心,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
-
Realm:Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权访问控制验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
5、基本使用
-
环境搭建
--使用idea搭建maven项目
--引入依赖
<dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.9.0</version> </dependency> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.2</version> </dependency> </dependencies>
--resources目录下创建shiro.ini文件,写入以下信息
[users]
zhangsan=zhangsan123
lisi=lisi123
-
登录认证
登录案例如下,用户名密码应该是前端传到后端,这里只做模拟
package com.cdy.shiro; import com.sun.org.omg.CORBA.InitializerSeqHelper; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.*; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.subject.Subject; /* * 实现步骤 * 1、初始化SecurityManager * 2、获取Subject对象 * 3、获取token对象:用户名及密码 * 4、完成登录 * */ public class ShiroRun { public static void main(String[] args) { //1、初始化SecurityManager IniSecurityManagerFactory factory = new IniSecurityManagerFactory(); SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); //2、获取Subject对象 Subject subject = SecurityUtils.getSubject(); //3、获取token对象:用户名及密码 AuthenticationToken token = new UsernamePasswordToken("zhangsan","zhangsan123"); //4、完成登录 try{ subject.login(token); System.out.println("登录成功"); } catch(UnknownAccountException e ){ e.printStackTrace(); System.out.println("用户不存在"); }catch (IncorrectCredentialsException e ){ e.printStackTrace(); System.out.println("密码错误"); } catch (AuthenticationException e){ e.printStackTrace(); } } }
-
角色、授权
--ini文件添加权限
[roles] role1=user:insert,user:select
代码案例
//5、判断角色
boolean role1 = subject.hasRole("role1");
System.out.println("是否有角色role:"+role1);
//6、判断权限
boolean permitted = subject.isPermitted("user:insert");
System.out.println("是否有权限"+permitted);
-
shiro加密
--使用MD5+盐的方式加密,可以迭代加密
public class ShiroMD5 { private static String pwd = "zhangsan123"; public static void main(String[] args) { //md5不加盐方式加密 Md5Hash md5Hash1 = new Md5Hash(pwd); System.out.println("md5不加盐方式加密="+md5Hash1.toHex()); //md5+盐 Md5Hash md5Hash2 = new Md5Hash(pwd,"cdy"); System.out.println("md5+盐="+md5Hash2.toHex()); //迭代方式多次加密 Md5Hash md5Hash3 = new Md5Hash(pwd,"cdy",3); System.out.println("迭代方式多次加密="+md5Hash3.toHex()); } }
更多内容获取可以关注博主,记得评论加收藏哦,感谢支持!