【架构组件-Shiro】Shiro快速入门

最新推荐文章于 2023-01-27 20:06:09 发布
最新推荐文章于 2023-01-27 20:06:09 发布
阅读量252 收藏
点赞数
分类专栏: 架构组件 文章标签: 架构组件 shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qqchaozai/article/details/85259148
版权

1 Shiro是什么

Shiro是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能。

应用安全的四要素:

  • 认证 - 用户身份识别,常被称为用户“登录”;
  • 授权 - 访问控制;
  • 密码加密 - 保护或隐藏数据防止被偷窥;
  • 会话管理 - 与用户相关的时间敏感的状态;

Shiro 还支持一些辅助特性,如 Web 应用安全、单元测试和多线程

2 Hello Shiro

最好的学习地址是官网:http://shiro.apache.org/

运行一个简单的样例:

pom.xml:

<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-core</artifactId>
	<version>1.4.1</version>
</dependency>
<dependency>
	<groupId>org.slf4j</groupId>
	<artifactId>slf4j-log4j12</artifactId>
	<version>1.7.21</version>
</dependency>
<dependency>
	<groupId>commons-logging</groupId>
	<artifactId>commons-logging</artifactId>
	<version>1.2</version>
</dependency>

src\main\resources下:

log4j.properties:

log4j.rootLogger=info,appender1

#输出到控制台
log4j.appender.appender1=org.apache.log4j.ConsoleAppender
#样式为PatternLayout
log4j.appender.appender1.layout=org.apache.log4j.PatternLayout 
#输出格式
log4j.appender.appender1.layout.ConversionPattern=[%p] %l - %m%n

shiro.ini:创建几个默认用户,角色,权限

# -----------------------------------------------------------------------------
# Users and their (optional) assigned roles
# username = password, role1, role2, ..., roleN
# -----------------------------------------------------------------------------
[users]
admin = admin, admin
manager = 12345, manager
managerOperator = 12345, manager, operator
auditor = 12345, auditor

# -----------------------------------------------------------------------------
# Roles with assigned permissions
# roleName = perm1, perm2, ..., permN
# -----------------------------------------------------------------------------
[roles]
admin = *
manager = manager:*
auditor = auditor:*
operator = operator:*

主程序-App.java:

/**
 * Hello Shiro!
 * </p>
 * 以常见权限系统为例,包含4种角色:admin、manager、operator、auditor
 * 
 * </p>
 */
public class App 
{
    private static final transient Logger log = LoggerFactory.getLogger(App.class);

    public static void main(String[] args) {
	
        log.info("Hello Shiro!");
        
        //加载classpath下的shiro.ini配置文件,使用url:或者file:格式也可以
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //解析ini文件并返回一个SecurityManager实例
        SecurityManager securityManager = factory.getInstance();
        //securityManager只能单例访问,一般交由容器管理
        SecurityUtils.setSecurityManager(securityManager);

        //获取当前执行的用户:
        Subject currentUser = SecurityUtils.getSubject();

        //获取当前用户的会话,并效验数据(shiro独立会话,非HTTP环境也可以存在)
        Session session = currentUser.getSession();
        session.setAttribute("nickname", "shiro");
        String value = (String) session.getAttribute("nickname");
        if (value.equals("shiro")) {
            log.info("Retrieved the correct nickname! [" + value + "]");
        }

        // 登录当前用户,以便检查角色和权限:先判断是否已经登录,否则,执行登录操作
        if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken("managerOperator", "12345");
            token.setRememberMe(true);
            try {
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
        	// 若没有指定的账户
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
        	// 若账户存在, 但密码不匹配
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
        	 // 若用户被锁定
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            //你可以检查许多不同类型的异常,也可以针对自定义条件抛出自己的异常,而Shiro可能无法解决
            catch (AuthenticationException ae) {
        	//  用户角色异常的父类,意想不到的条件?错误?
            }
        }

        log.info("User [" + currentUser.getPrincipal() + "] login successfully.");

        //测试是否包含manager角色:
        if (currentUser.hasRole("manager")) {
            log.info("you can do something that manager can do!");
        } else {
            log.info("you are not manager");
        }
        //测试是否包含operator角色:
        if (currentUser.hasRole("operator")) {
            log.info("you can do something that operator can do!");
        } else {
            log.info("you are not operator");
        }
        //测试是否包含auditor角色:
        if (currentUser.hasRole("auditor")) {
            log.info("you can do something that auditor can do!");
        } else {
            log.info("you are not auditor");
        }

        //测试是否包含某个权限:
        if (currentUser.isPermitted("manager:*")) {
            log.info("you has permission [manager:*]");
        } else {
            log.info("you has not permission[manager:*]");
        }

        //一个超出自身的权限:
        if (currentUser.isPermitted("*")) {
            log.info("you has permission [*]!");
        } else {
            log.info("you has not permission[*]!");
        }

        //登出
        currentUser.logout();

    }
}

运行结果:

[INFO] com.chaozai.shiro.App.main(App.java:30) - Hello Shiro!
[INFO] org.apache.shiro.session.mgt.AbstractValidatingSessionManager.enableSessionValidation(AbstractValidatingSessionManager.java:233) - Enabling session validation scheduler...
[INFO] com.chaozai.shiro.App.main(App.java:47) - Retrieved the correct nickname! [shiro]
[INFO] com.chaozai.shiro.App.main(App.java:73) - User [managerOperator] login successfully.
[INFO] com.chaozai.shiro.App.main(App.java:77) - you can do something that manager can do!
[INFO] com.chaozai.shiro.App.main(App.java:83) - you can do something that operator can do!
[INFO] com.chaozai.shiro.App.main(App.java:91) - you are not auditor
[INFO] com.chaozai.shiro.App.main(App.java:96) - you has permission [manager:*]
[INFO] com.chaozai.shiro.App.main(App.java:105) - you has not permission[*]!

3 总结

上述例子简单的体现了shiro的权限判定功能,可能你会有疑问,感觉没用实际作用呀,用户登陆这么草率么?密码加密呢?权限控制又体现在哪里?这些就需要后续章节的补充啦。敬请期待......

 

 

爱家人,爱生活,爱设计,爱编程,拥抱精彩人生!

qqchaozai
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Shiro入门.rar
06-12
在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一、Shiro基本概念** 1. **认证**:也称为身份验证,是确认用户身份的过程,通常通过用户名和密码进行验证。 2. **授权**:也称为...
shiro入门教程
08-11
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、...`shiro-example-master`这个压缩包很可能是包含了一个完整的Shiro入门示例项目,你可以下载后进行学习和调试,更好地理解Shiro的工作原理和实际应用。
自己加了shiro在ssm框架里报错
qq_18178205的博客
01-11 2162
INFO: Server startup in 19189 ms [DEBUG][2018/01/11 17:13:19338][org.apache.shiro.session.mgt.AbstractValidatingS essionManager.createSessionValidationScheduler(AbstractValidatingSessionManager. ja
Shrio授权验证详解
dengjuyan2649的博客
08-27 250
所谓授权,就是控制你是否能访问某个资源,比如说,你可以方位page文件夹下的jsp页面,但是不可以访问page文件夹下的admin文件夹下的jsp页面。 在授权中,有三个核心元素:权限,角色,用户。 每个用户可以有多个角色,每个角色也可以有多个权限。 权限:代表了可以执行的行为,例如对表的读写之类的。 角色:代表了一组权限 用户:代表了一个subject,可以为用户赋予角色,或...
shiro学习笔记-1 环境搭建
Freeplay的专栏
04-26 7456
Shiro AbstractValidatingSessionManager设计概念
07-11 1566
AbstractValidatingSessionManager具体实现了ValidatingSessionManager的行为,覆盖AbstractNativeSessionManager的行为,定义抽象行为 具备了SessionValidationScheduler(Session校验任务调度器,set注入方式)、sessionValidationSchedulerEnabled(...
Spring Boot学习之Shiro
最新发布
缘友一世的博客
01-27 2317
Apache Shiro 是一个Java 的安全(权限)框架。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。Shiro官网。
shiro入门学习.ppt
06-15
在本文中,我们将深入探讨Shiro的核心概念、功能及其架构。 首先,Shiro的主要目标是简化安全管理,使其既简单又易于扩展。通过以下几个关键组件Shiro能够实现全面的安全控制: 1. **身份验证 (Authentication)*...
SSM整合shiro入门
08-15
SSM整合Shiro是Java开发中常见的安全框架集成方式,主要涉及到Spring、Spring MVC和MyBatis这三大组件与Apache Shiro的结合使用。Shiro是一个强大且易用的Java安全框架,处理认证、授权、会话管理和并发控制等多个...
Shiro框架从入门到实战
06-09
1. **Shiro架构**:Shiro组件包括Subject、Realms、Caches等,它们协同工作以实现安全功能。 2. **快速入门**:如何创建一个简单的Shiro项目,设置依赖并进行基本的登录验证。 3. **配置Shiro**:学习如何在...
关于shiro session失效报错问题
热门推荐
小牛的成长史
08-03 4万+
最近做了一个项目,要用到shiro,做完之后发现有个异常经常发生,经过多天的研究,终于得以解决 登录的时候异常信息: org.apache.shiro.session.UnknownSessionException: There is no session with id [4e8fe40a-6347-4c53-b273-829889656f6e] at org.apache.shi
Shiro学习第一式身份验证1
zhangshufei的博客
02-23 144
本来应该学习Maven的,从网上下载了Maven3.2.5,也配置好了!但是没法用,一用就报错,问度娘!结果很不幸,好像必须能上外网。买了表的,这让我们断网狗怎么用啊!公司基于安全方面的考虑,内外网都是物理隔绝的,算了,不学Maven了,等能上网了再学吧!还是学习Shiro吧! Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能 Shiro能做什...
shiro中session缓存中关于JSESSIONID失效问题
Anxiaolu的博客
05-14 7114
考研期间,再次抽点时间来搞点开发(其实上的课不想听又放不下之前弄了一半的东西,所以有点开小差了.....),哈哈。用一个小dmeo来学习shiro的权限分配管理,在学习其中的在线会话管理,要用到sesssion管理,结果跟着张凯涛的shiro教程学到这里后使用了自定义实现的缓存管理和session管理,碰到了这么个错误。    测试的时候一直是拿后台的登录页面进行测试。在最初请求该页面时,shir...
shiro mysql_Shiro系列之Shiro+Mysql实现用户认证(Authentication)
weixin_29196891的博客
02-04 256
网上大多数介绍Apache Shiro的资料都是使用ini文件的简单配置为例,很少用讲到如何配合数据库来实现用户认证的。我也是刚刚开始接触Shiro,在这里介绍一个入门级别的Shiro+Mysql的配置方法,这个方法仅仅是个开始,并没有和Web,Spring,Mybatis等框架进行整合,后续我还会继续和大家分享我的学习过程及心得。now we can start the things that ...
Shiro - 缓存管理与CacheManagerAware接口
小小默:进无止境
11-06 3179
Shiro内部相应的组件(DefaultSecurityManager)会自动检测相应的对象(如Realm)是否实现了CacheManagerAware并自动注入相应的CacheManager。 如项目启动日志: [INFO][2018-11-06 15:18:18,443][org.apache.shiro.cache.ehcache.EhCacheManager]Cache with name...
Apache Shiro SessionManager配置详解.
weixin_33762321的博客
06-03 570
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro - 关于session
dengtangu7674的博客
12-01 503
Shiro Session session管理可以说是Shiro的一大卖点。 Shiro可以为任何应用(从简单的命令行程序还是手机应用再到大型企业应用)提供会话解决方案。 在Shiro出现之前,如果我们想让你的应用支持session,我们通常会依赖web容器或者使用EJB的Session Bean。 Shiro对session的支持更加易用,而且他可以在任何应用、任...
Apache Shiro SessionManager
王浩的技术博客
11-28 242
SessionManager是在应用程序中为所有Subject提供Session的管理,包括创建,删除,失效及验证等。同其的核心组件一样,SessionManager也是一个由SecurityManager维护的顶级组件。 在Shiro中默认提供了一个SessionManager的实现DefaultSessionManager。DefaultSessionManager提供一个应用程序所需的所有...
Shiro入门指南:架构与核心组件详解
SecurityManager是Shiro架构的心脏,采用Facade模式,作为安全管理的入口,负责管理内部组件实例并提供各种安全服务。 Realm在Shiro中扮演着至关重要的角色,它是连接Shiro框架与应用程序安全数据的桥梁。在认证和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qqchaozai

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值