Shiro 是一个强大的且易用的Java安全框架,执行身份验证、授权、密码和会话管理,作为一款安全框架shiro的设计相当巧妙。shiro的应用不依赖任何容器,不仅可以在JavaEE中使用,还可以应用在JavaSE环境中。
核心角色:
subject:认证主体
即代表的就是当前系统的使用者,就是当前用户,认证主体通常就是userName和passWord,或者其他用户唯一标识。
(2)SecurityManager:安全管理器
shiro 架构中最核心的组件,通过它可以协调其他组件完成用户认证和授权,SecurityManager就是Shiro框架的控制器
(3)Realm域对象
定义了访问数据的方式,用来连接不同的数据源,关系数据库、配置文件。
不仅维护用户和权限,通过Subject用户主体和Realm域对象的注入,完成用户的认证和授权
核心依赖:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
Shiro核心配置:
实现思路:创建会话管理
@Configuration
public class ShiroConfig{
@Bean("sessionManager")
public SessionManager sessionManager()
{
//创建websessionManager管理器
DefaultWebSessionManager sessionmanager=new DefaultWebSessionManager
//设置session的过期时间
sessionmanager.setGobalSessionTimeout(60*60*1000);
//打开会话
sessionManager.setSessionValidationSchedulerEnabled(true);
//登录时不保存sessionId
sessionManager.setSessionIdUrlRewritingEnabled(false);
return sessionManager;
}
//创建安全管理器
@Bean("securityManager")
public SessionManager sessionmanager(UserRealm userrealm,SessionManager sessionmanager)
{
DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager ();
securityManager.setRealm(userrealm);
securityManager.setSessionManager(sessionmanager);
return sessionmanager;
}
//创建shiro过滤器 用于拦截需要安全控制的请求进行处理
@Bean("shiro