shiro入门(一)身份验证

最新推荐文章于 2024-03-06 13:15:00 发布
最新推荐文章于 2024-03-06 13:15:00 发布
阅读量323 收藏
点赞数
分类专栏: shiro java 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39404258/article/details/104199496
版权
java 同时被 2 个专栏收录
70 篇文章 2 订阅
订阅专栏
shiro
6 篇文章 0 订阅
订阅专栏

一、简介

Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。

本教程只介绍基本的 Shiro 使用,不会过多分析源码等,重在使用。

Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其基本功能点如下图所示:

Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;

Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;

Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web Support:Web 支持,可以非常容易的集成到 Web 环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;

Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

Testing:提供测试支持;

Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。

二、环境准备

项目结构:

maven配置:

 <dependencies>
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.9</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.1.3</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.2.2</version>
    </dependency>
</dependencies>

shiro.ini

[users]
zhang=123
wang=123

Login1

@Test
	public void testHelloworld() {
		//1.通过 new IniSecurityManagerFactory 并指定一个 ini 配置文件来创建一个 SecurityManager 工厂;
	    Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
	    //2.通过工厂得到一个SecurityManager对象实例
	    SecurityManager securityManager = factory.getInstance();
	    //3.将SecurityManager绑定到 SecurityUtils,这是一个全局设置,设置一次即可
	    SecurityUtils.setSecurityManager(securityManager);
	    //4.通过 SecurityUtils 得到 Subject,其会自动绑定到当前线程;如果在 web 环境在请求结束时需要解除绑定;
	    Subject subject = SecurityUtils.getSubject();
	    //5.获取身份验证的 Token,如用户名 / 密码
	    UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
	    try {
	        //6调用 subject.login 方法进行登录,其会自动委托给 SecurityManager.login 方法进行登录
	        subject.login(token);
	        System.out.println("成功!");
	    } catch (AuthenticationException e) {
	        //7如果身份验证失败请捕获 AuthenticationException 或其子类,
	    	  System.out.println("失败!");
	    }
	    //8调用subject.isAuthenticated()判断是否登录进来了
	    System.out.println("是否登录:"+ subject.isAuthenticated());
	    //9最后可以调用 subject.logout 退出,其会自动委托给 SecurityManager.logout 方法退出。
	    subject.logout();
	}

三、身份认证流程

流程如下:

  1. 首先调用 Subject.login(token) 进行登录,其会自动委托给 Security Manager,调用之前必须通过 SecurityUtils.setSecurityManager() 设置;
  2. SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
  3. Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
  4. Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
  5. Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回 / 抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。
干了这杯柠檬多
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro入门.rar
06-12
在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一、Shiro基本概念** 1. **认证**:也称为身份验证,是确认用户身份的过程,通常通过用户名和密码进行验证。 2. **授权**:也称为...
shiro(权限开元轻量级框架)
anhldd的博客
12-23 823
什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。 在应用程序角度来观察如何使用Shiro完成工作(图01) ini文件 Subject:主体,代表了当...
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro整理2-----介绍Shiro 身份验证
m0_67391401的博客
03-28 458
一、shiro身份验证的基本概念: (1)身份验证: 这就不多说了,给shiro传递【身份+证明】,就可以进行验证。 (2)身份 粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。 准确的说,相当于身份shiro中把这个封装成了【principals】 (3)证明 证明其实就是密码。 shiro中把这个封装成了【credentials】 二、实例使用 接下来,看看如何使用shiro进行身份验证。 (1)环境准备 maven引入,这个不解释了。 <dependency>
Shiro身份认证流程
m0_73875507的博客
03-14 103
Subject把标识token交给SecurityManager,在SecurityManager安全中心中,SecurityManager把标识token委托给认证器;认证器的作用一般是用来指定如何验证,它规定本次认证用到哪些Realm;认证器Authenticator将传入的标识token,与数据源Realm对比,验证token是否合法。Shiro把用户的数据封装成标识token,token一般封装着用户名,密码等信息;使用Subject门面获取到封装着用户的数据的标识token;
Shiro 实现身份验证和授权功能
最新发布
m0_45440818的博客
03-06 534
在本文中,我们深入探讨了如何使用 Apache Shiro 和 Spring Boot 构建一个简单的用户管理系统。通过本文的学习,我们了解了 Apache Shiro 的核心概念和功能特性,并学习了如何在实际项目中应用 Apache Shiro 来实现用户身份认证和授权功能。首先,我们介绍了 Apache Shiro 的核心概念,包括 Subject、SecurityManager、Realm 和 SessionManager。我们了解了它们各自的作用和关系,以及如何通过它们来实现安全功能。
shiro入门demo
04-18
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、加密以及会话管理功能,简化了开发人员在应用安全方面的开发工作。本教程将引导你入门 Shiro,通过一个简单的 demo 来理解其基本概念和用法。 ...
Shiro入门实例
03-28
在这个"Shiro入门实例"中,我们将探讨Shiro的基础知识和如何在项目中进行实战应用。 **1. 认证与授权** Shiro 的核心概念包括主体(Subject)、安全管理者(SecurityManager)、身份验证(Authentication)、授权...
Shiro入门到精通
06-26
本课程“Shiro入门到精通”旨在帮助开发者全面理解和掌握Shiro的使用,通过与Spring Security的对比,进一步突出Shiro在实际开发中的优势和适用场景。 首先,我们来探讨Shiro的基础知识。Shiro的核心组件包括...
shiro入门学习.ppt
06-15
1. **身份验证 (Authentication)**:这是用户登录过程,验证用户的身份Shiro提供了Authenticator组件来处理这一过程。如果配置了多个Realm,AuthenticationStrategy接口将决定如何处理不同Realm的认证结果,以确定...
Shiro实现Token认证
梅子黄时雨
05-10 1327
shiro使用
解决前后端分离 Shiro 的用户 Token 认证问题
weixin_44338092的博客
04-17 706
【代码】解决前后端分离 Shiro 的用户 Token 认证问题。
008-shiro使用token认证
这个需求,做不了
05-25 8373
实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现的shiro功能进行一些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
springboot集成shiro完成token认证,以及需要注意的点
qq_26112725的博客
08-24 1423
注意 :继承 UsernamePasswordToken 类后,账号跟密码使用了 UsernamePasswordToken 类的构造方法2.自定义Realm@Override//授权@Override/*常见的方法:addRole(String role):向授权信息中添加角色。addRoles(Collection roles):向授权信息中添加多个角色。
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3987
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
Shiro身份验证
lyflyyvip的博客
10-27 392
1,在实际的开发之中所有的用户名和密码的认证过程一定是交由数据库完成的,本次将利用固定的资源文件来实现用户名和密码的配置以及基础的认证实现。 (1).搭建项目开发环境 如果要进行shiro项目的开发环境搭建,建议使用Maven完成。 1、 建立一个manve的项目:shirodemo; · 本次为了以后的开发方便,将建立的web项目; 2、 需要配置与 shiro
shiro身份验证授权入门
fwdwqdwq的博客
04-22 544
一、 介绍: shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org/reference.html 与spring security区别,个人觉得二者的主要区别是: 1、shir
shiro进行身份验证的流程
qq_38930240的博客
01-28 601
1.Subject.login(token)  ,委托SecurityManager,所有使用前要用SecurityUtils.setSecurityManager(),设置安全管理者 2.SecurityManager委托给Authenticator进行身份验证 3、Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自 定义插入自己的实...
Shiro身份验证(三)
小小舒宸的专栏
11-27 8667
身份验证就是验证身份的过程,即在应用程序中验证他们到底存不存在。为了验证他们的身份,他们需要提供一些让应用程序信任的标识信息。 在Shiro中,用户必须提供principals(身份)和credentials(凭证)给Shiro,让应用程序验证用户身份。 Principals是一个主体的标识属性,它可以是任何东西,比如用户名、邮箱和手机等唯一标识。虽然Subject可以有任意数量pri
Apache Shiro入门身份验证与授权教程
1. **身份验证 (Authentication)**: 这是用户登录的过程,Shiro通过`doGetAuthenticationInfo()`方法来获取并验证用户的身份信息。在示例代码中,`UsernamePasswordToken`被用来获取用户名和密码,然后与数据库中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值