Shiro(1.3.2)——入门

最新推荐文章于 2024-03-24 15:36:03 发布
最新推荐文章于 2024-03-24 15:36:03 发布
阅读量524 收藏 1
点赞数
文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38386085/article/details/85233567
版权

1.简介:

Apache Shiro是Java的一个安全(权限)框架,不仅可以用在Java SE环境,也可以用在Java EE环境。Shiro可以完成:认证、授权、加密、会话管理、与Web集成、缓存等。

下载:http://shiro.apache.org/

2.功能简介:

主要功能:

Authentication:认证(登录)。

Authorization:授权。

Session Management:管理Session,此Session不止Web环境下的HttpSession,它是Shiro自己的Session,在JavaSE的环境下也有。

Cryptography:加密。

支持:

Web Support:跟Java EE进行集成。

Concurrency:在多线程的情况下进行授权认证。

Testing:测试。

Caching:缓存模块。

Run As:让已经登录的用户以另外一个用户的身份来操作系统。

Remember Me:记住我。

3.Shiro架构:

3.1 外部架构:

Subject:应用代码直接交互的对象是Subject,也就是说Shiro对外API核心就是Subject。Subject代表了当前“用户”,这个用户不一定是具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫和机器人;与Subject的所有交互都会委托给SecurityManager;Subject是门面,SecurityManager是实际的执行者。

Shiro SecurityManager:安全管理器,所有与安全相关的操作都会与SecurityManager交互;并且管理着所有的Subject;是Shiro的核心;它负责和Shiro的其他组件交互。

Realm:Shiro从Realm获取安全数据(如用户、角色和权限),也就是SecurityManager需要验证身份,那么它需要从Realm中获得相应的用户进行比较等等,Realm相当于是一个DataSource。

3.2 内部架构:

4.HelloWorld:

先导入基本的Jar包到类路径下:

导入配置文件和Java文件到Src下面:

package com.shiro.helloworld;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class Quickstart {

    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);

    public static void main(String[] args) {
        
        //使用工厂的方式获取.ini配置文件,返回一个SecurityManager实例
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();

        //在这个例子中SecurityManager在JVM中是单例可访问的
        SecurityUtils.setSecurityManager(securityManager);

        //获取当前的Subject
        Subject currentUser = SecurityUtils.getSubject();

        //获取Session并设置值
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("---> Retrieved the correct value! [" + value + "]");
        }

        //测试当前的用户是否已经被认证,即是否已经登录
        if (!currentUser.isAuthenticated()) {
            //把用户名和密码封装到UsernamePasswordToken对象
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            //Remember Me
            token.setRememberMe(true);
            try {
                //执行登录
                //能否登录成功取决于.ini配置文件是否存在对应的用户名和密码
                currentUser.login(token);
            } 
            catch (UnknownAccountException uae) {
                //没有指定账户时,抛出该异常
                log.info("----> There is no user with username of " + token.getPrincipal());
                return; 
            } 
            catch (IncorrectCredentialsException ice) {
                //密码不正确时,抛出该异常
                log.info("----> Password for account " + token.getPrincipal() + " was incorrect!");
                return; 
            } 
            catch (LockedAccountException lae) {
                //用户被锁定时,抛出该异常
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            catch (AuthenticationException ae) {
                //总的认证异常
                //unexpected condition?  error?
            }
        }

        log.info("----> User [" + currentUser.getPrincipal() + "] logged in successfully.");

        //测试是否有这个schwartz角色
        if (currentUser.hasRole("schwartz")) {
            log.info("----> May the Schwartz be with you!");
        } else {
            log.info("----> Hello, mere mortal.");
            return; 
        }

        //测试用户是否具备某一个行为
        if (currentUser.isPermitted("lightsaber:weild")) {
            log.info("----> You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        //同上,不过更具体,意思就是这个用户是否可以删除(delete)用户(user)张三(zhangsan)
        if (currentUser.isPermitted("user:delete:zhangsan")) {
            log.info("----> You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

        System.out.println("---->" + currentUser.isAuthenticated());
        
        //执行登出
        currentUser.logout();
        
        System.out.println("---->" + currentUser.isAuthenticated());

        System.exit(0);
    }
}
#
# Licensed to the Apache Software Foundation (ASF) under one
# or more contributor license agreements.  See the NOTICE file
# distributed with this work for additional information
# regarding copyright ownership.  The ASF licenses this file
# to you under the Apache License, Version 2.0 (the
# "License"); you may not use this file except in compliance
# with the License.  You may obtain a copy of the License at
#
#     http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing,
# software distributed under the License is distributed on an
# "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY
# KIND, either express or implied.  See the License for the
# specific language governing permissions and limitations
# under the License.
#
# =============================================================================
# Quickstart INI Realm configuration
#
# For those that might not understand the references in this file, the
# definitions are all based on the classic Mel Brooks' film "Spaceballs". ;)
# =============================================================================

# -----------------------------------------------------------------------------
# Users and their assigned roles
#
# Each line conforms to the format defined in the
# org.apache.shiro.realm.text.TextConfigurationRealm#setUserDefinitions JavaDoc
# -----------------------------------------------------------------------------
[users]
# user 'root' with password 'secret' and the 'admin' role
root = secret, admin
# user 'guest' with the password 'guest' and the 'guest' role
guest = guest, guest
# user 'presidentskroob' with password '12345' ("That's the same combination on
# my luggage!!!" ;)), and role 'president'
presidentskroob = 12345, president
# user 'darkhelmet' with password 'ludicrousspeed' and roles 'darklord' and 'schwartz'
darkhelmet = ludicrousspeed, darklord, schwartz
# user 'lonestarr' with password 'vespa' and roles 'goodguy' and 'schwartz'
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# Roles with assigned permissions
# 
# Each line conforms to the format defined in the
# org.apache.shiro.realm.text.TextConfigurationRealm#setRoleDefinitions JavaDoc
# -----------------------------------------------------------------------------
[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# The 'schwartz' role can do anything (*) with any lightsaber:
schwartz = lightsaber:*
# The 'goodguy' role is allowed to 'delete' (action) the user (type) with
# license plate 'zhangsan' (instance specific id)
goodguy = user:delete:zhangsan

 

PG_MT
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro(shiro1.3.2)
03-21
压缩包内容: shiro-all-1.3.2.jar log4j-1.2.15.jar slf4j-api-1.6.1.jar slf4j-log4j12-1.6.1.jar
shiro-all由1.3.2 升级到1.11.0后出现重定向次数过多的问题:ERR_TOO_MANY_REDIRECTS
dulabing的专栏
06-27 1210
1,假设网站的网址是http://localhost:8080/rrsck, 当用户没有认证的时候,在浏览器敲击http://localhost:8080/rrsck网址的时候,会去查找rrsck根目录下的名为index.jsp的文件。在升级shiro之前, loginUrl的value='/', 是没有问题的, 不知道为啥, 升级后, 单纯'/' 就匹配不上index了, 一直在循环调转.所以, 升级shiro后, loginUrl的value='/index.jsp'
安全之剑:深度解析 Apache Shiro 框架原理与使用指南
最新发布
繁依Fanyi的博客
03-24 1531
Apache Shiro是一个强大且易用的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。它被广泛用于保护各种类型的应用程序,包括Web应用、RESTful服务、移动应用和大型企业级应用。使用Shiro,你可以将安全性集成到应用程序中而不必担心复杂的实现细节。Apache Shiro作为一款强大且灵活的Java安全框架,为我们提供了全面的安全性解决方案。通过本文的介绍,你应该对Shiro的基本原理、使用方法以及一些高级功能有了初步的了解。
shiro1.3.2基本使用
WY001的博客
05-08 890
文章目录1 shiro基本功能2 shiro架构2.1从外部看shiro架构2.2从内部看shiro架构3 新建java project(非web)4 在spring环境下使用shiro(web工程) 1 shiro基本功能 2 shiro架构 2.1从外部看shiro架构 2.2从内部看shiro架构 3 新建java project(非web) 目录结构 shiro.ini文件 [...
org.apache.shiro1.3.2的0day漏洞
weixin_44464726的博客
08-17 1191
0day漏洞,可以直接控制服务器,需要替换版本升级至1.5.2及以上版本
Apache Shiro Java反序列化漏洞分析
2301_77512689的博客
04-18 481
最终利用ysoserial的CommonsBeanutils1命令执行。虽然在ysoserial里CommonsBeanutils1类的版本为1.9.2,不过上面环境测试确实可以命令执行。这里当时有一个问题是:如何获取Java里引用组件的版本?大多数的时候,我们只要解析pom.xml就能解析出相应组件的版本。但有的情况下,并不能获取组件的版本。比如有的pom.xml并没有设置组件的version版本,没有设置version的情况,是由依赖决定。项目中依赖了A,A依赖了B,B的版本由A决定;
Shiro1.3.2 source
09-18
shiro-1.3.2源码 Shiro 是一个权限控制框架,因其简单而又不失强大的特点引起了不少开发者的注意。找了好久才找到
shiro1.3.2 jars.rar
06-17
包含Apache Shiro1.3.2版本的jars包,真实可靠,升级首选,避免漏洞!
shiro1.3.2 源码和jar包
03-23
shiro ,源码,jar包全部是1.3.2 版本提取的: shiro ,源码,jar包全部是1.3.2 版本提取的:
shiro1.3.2相关jar(解决Websphere下项目变慢问题)
04-02
shiro项目在Websphere下项目变得很慢很卡,替换的jar包。was下使用shiro,系统卡慢。
Shiro 历史漏洞分析
include_voidmain的博客
09-19 810
Shiro 历史漏洞分析
shiro-spring-1.3.2-API文档-中文版.zip
04-08
赠送jar包:shiro-spring-1.3.2.jar; 赠送原API文档:shiro-spring-1.3.2-javadoc.jar; 赠送源代码:shiro-spring-1.3.2-sources.jar; 包含翻译后的API文档:shiro-spring-1.3.2-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:org.apache.shiro,artifactId:shiro-spring,version:1.3.2 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
shiro-1.3.2
07-12
shiro-1.3.2 zip包
[Java反序列化]Shiro反序列化学习(一)
feng的博客
08-24 2169
前言 看了点Servlet就回来直接看《Java安全漫谈》了,赶紧学点东西,过几天开学回去背sb马原就学不了了。 学习的是**《Java安全漫谈 - 15.TemplatesImpl在Shiro中的利用》**,因为之前刚把TemplatesImpl动态加载字节码还有它的应用CC3给学了,所以学习一下这篇文章。P神主要的还是结合CC6这个通用链,来对1.2.4及其之前的shiro存在的漏洞进行攻击,其中利用TemplatesImpl来对CC6进行改进。我个人感觉其实叫CC3在Shiro的应用更为确切,所以我也
shiro官方源码包下载
m0_67401270的博客
04-22 263
http://www.apache.org/dyn/closer.cgi/shiro/1.3.2/shiro-root-1.3.2-source-release.zip,点进这个地址找到蓝色文字的链接下载即可
什么是 Apache Shiro
web15085599741的博客
03-29 5646
什么是Apache Shiro Apache Shiro 是一种功能强大且易于使用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能,可用于保护任何应用程序的安全。 如: 命令行应用程序、移动应用程序、Web应用程序、企业级应用程序。从小到大到很大,Apache Shiro都会给你提供安全帮助。 Shiro 为你的应用程序提供如下API,帮助你更好的管理应用程序的安全。 身份验证 证明用户的身份。也就是所谓的用户的 “登录” 功能,验证访问的用户是否有权利登录系统或者访问后台接口。
Apache Shiro 安全框架
weixin_51715424的博客
10-24 1074
Apache Shiro 框架
Apache Shiro流量特征及漏洞利用
qq_53218512的博客
06-02 1078
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权和会话管理等功能。Shiro框架直观、易用,同时也能提供更健壮的安全性。
shiro 入门案例
09-06
关于 Shiro入门案例,你可以尝试以下步骤来理解 Shiro 的基本用法: 1. 导入 Shiro 依赖:在你的项目中添加 Shiro 的相关依赖,可以使用 Maven、Gradle 或直接下载 jar 包引入。 2. 创建 Shiro 配置文件:在你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值