Apache Shiro 快速入门教程,shiro 基础教程

最新推荐文章于 2023-01-09 10:08:02 发布
最新推荐文章于 2023-01-09 10:08:02 发布
阅读量640 收藏 1
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web15285868498/article/details/124503091
版权

第一部分 什么是Apache Shiro

1、什么是 apache shiro :

Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理

如同 spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。

2、Apache Shiro 的三大核心组件:

1、Subject :当前用户的操作

2、SecurityManager:用于管理所有的Subject

3、Realms:用于进行权限信息的验证

Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。

SecurityManager:即所有Subject的管理者,这是Shiro框架的核心组件,可以把他看做是一个Shiro框架的全局管理组件,用于调度各种Shiro框架的服务。

Realms:Realms则是用户的信息认证器和用户的权限人证器,我们需要自己来实现Realms来自定义的管理我们自己系统内部的权限规则。

3、Authentication 和 Authorization

在shiro的用户权限认证过程中其通过两个方法来实现:

1、Authentication:是验证用户身份的过程。

2、Authorization:是授权访问控制,用于对用户进行的操作进行人证授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

4、其他组件:

除了以上几个组件外,Shiro还有几个其他组件:

1、SessionManager :Shiro为任何应用提供了一个会话编程范式。

2、CacheManager :对Shiro的其他组件提供缓存支持。

5、Shiro 完整架构图:

**
**

图片转自:http://kdboy.iteye.com/blog/1154644

第二部分 Apache Shiro 整合Spring的Web程序构建

1、准备工具:

持久层框架:Hibernate4 这边我使用了hibernate来对数据持久层进行操作

控制显示层框架:SpringMVC 这边我使用了SpringMVC实际开发中也可以是其他框架

数据库MySQL

准备好所需要的jar放到项目中。

2、创建数据库:

首先需要四张表,分别为 user(用户)、role(角色)、permission(权限)、userRole(用户角色关系表)

这边分别创建四张表的实体类,通过Hiberante的hibernate.hbm2ddl.auto属性的update 来自动生成数据表结构。

[java] view plain copy print ?

  1. /***

  2. *用户表

  3. *

  4. *@authorSwinglife

  5. *

  6. */

  7. @Table(name=“t_user”)

  8. @Entity

  9. publicclassUser{

  10. @Id

  11. @GeneratedValue(strategy=GenerationType.AUTO)

  12. Integerid;

  13. /**用户名**/

  14. Stringusername;

  15. /**密码**/

  16. Stringpassword;

  17. /**是否删除**/

  18. IntegerisDelete;

  19. /**创建时间**/

  20. DatecreateDate;

  21. //多对多用户权限表

  22. @OneToMany(mappedBy=“user”,cascade=CascadeType.ALL)

  23. ListuserRoles;

  24. 省略getset….

  25. }

[java] view plain copy print ?

  1. /****

  2. *角色表

  3. *

  4. *@authorSwinglife

  5. *

  6. */

  7. @Entity

  8. @Table(name=“t_role”)

  9. publicclassRole{

  10. @Id

  11. @GeneratedValue(strategy=GenerationType.AUTO)

  12. Integerid;

  13. /**角色名**/

  14. Stringname;

  15. /**角色说明**/

  16. Stringdescription;

  17. }

[java] view plain copy print ?

  1. /****

  2. *权限表

  3. *

  4. *@authorSwinglife

  5. *

  6. */

  7. @Entity

  8. @Table(name=“t_permission”)

  9. publicclassPermission{

  10. @Id

  11. @GeneratedValue(strategy=GenerationType.AUTO)

  12. Integerid;

  13. /**token**/

  14. Stringtoken;

  15. /**资源url**/

  16. Stringurl;

  17. /**权限说明**/

  18. Stringdescription;

  19. /**所属角色编号**/

  20. IntegerroleId;

  21. }

[java] view plain copy print ?

  1. /***

  2. *用户角色表

  3. *

  4. *@authorSwinglife

  5. *

  6. */

  7. @Entity

  8. @Table(name=“t_user_role”)

  9. publicclassUserRole{

  10. @Id

  11. @GeneratedValue(strategy=GenerationType.AUTO)

  12. Integerid;

  13. @ManyToOne(cascade=CascadeType.ALL)

  14. @JoinColumn(name=“userId”,unique=true)

  15. Useruser;

  16. @ManyToOne

  17. @JoinColumn(name=“roleId”,unique=true)

  18. Rolerole;

  19. }

3、编写操作用户业务的Service:

[java] view plain copy print ?

  1. @Service

  2. publicclassAccountService{

  3. /****

  4. *通过用户名获取用户对象

  5. *

  6. *@paramusername

  7. *@return

  8. */

  9. publicUsergetUserByUserName(Stringusername){

  10. Useruser=(User)dao.findObjectByHQL(“FROMUserWHEREusername=”,newObject[]{username});

  11. returnuser;

  12. }

  13. /***

  14. *通过用户名获取权限资源

  15. *

  16. *@paramusername

  17. *@return

  18. */

  19. publicListgetPermissionsByUserName(Stringusername){

  20. System.out.println(“调用”);

  21. Useruser=getUserByUserName(username);

  22. if(user==null){

  23. returnnull;

  24. }

  25. Listlist=newArrayList();

  26. //System.out.println(user.getUserRoles().get(0).get);

  27. for(UserRoleuserRole:user.getUserRoles()){

  28. Rolerole=userRole.getRole();

  29. Listpermissions=dao.findAllByHQL(“FROMPermissionWHEREroleId=”,newObject[]{role.getId()});

  30. for(Permissionp:permissions){

  31. list.add(p.getUrl());

  32. }

  33. }

  34. returnlist;

  35. }

  36. //公共的数据库访问接口

  37. //这里省略BaseDaodao的编写

  38. @Autowired

  39. privateBaseDaodao;

  40. }

4、编写shiro组件自定义Realm:

[java] view plain copy print ?

  1. packageorg.swinglife.shiro;

  2. importjava.util.List;

  3. importorg.apache.shiro.authc.AuthenticationException;

  4. importorg.apache.shiro.authc.AuthenticationInfo;

  5. importorg.apache.shiro.authc.AuthenticationToken;

  6. importorg.apache.shiro.authc.SimpleAuthenticationInfo;

  7. importorg.apache.shiro.authc.UsernamePasswordToken;

  8. importorg.apache.shiro.authz.AuthorizationInfo;

  9. importorg.apache.shiro.authz.SimpleAuthorizationInfo;

  10. importorg.apache.shiro.realm.AuthorizingRealm;

  11. importorg.apache.shiro.subject.PrincipalCollection;

  12. importorg.swinglife.model.User;

  13. importorg.swinglife.service.AccountService;

  14. /****

  15. *自定义Realm

  16. *

  17. *@authorSwinglife

  18. *

  19. */

  20. publicclassMyShiroRealmextendsAuthorizingRealm{

  21. /***

  22. *获取授权信息

  23. */

  24. @Override

  25. protectedAuthorizationInfodoGetAuthorizationInfo(PrincipalCollectionpc){

  26. //根据自己系统规则的需要编写获取授权信息,这里为了快速入门只获取了用户对应角色的资源url信息

  27. Stringusername=(String)pc.fromRealm(getName()).iterator().next();

  28. if(username!=null){

  29. Listpers=accountService.getPermissionsByUserName(username);

  30. if(pers!=null&&!pers.isEmpty()){

  31. SimpleAuthorizationInfoinfo=newSimpleAuthorizationInfo();

  32. for(Stringeach:pers){

  33. //将权限资源添加到用户信息中

  34. info.addStringPermission(each);

  35. }

  36. returninfo;

  37. }

  38. }

  39. returnnull;

  40. }

  41. /***

  42. *获取认证信息

  43. */

  44. @Override

  45. protectedAuthenticationInfodoGetAuthenticationInfo(AuthenticationTokenat)throwsAuthenticationException{

  46. UsernamePasswordTokentoken=(UsernamePasswordToken)at;

  47. //通过表单接收的用户名

  48. Stringusername=token.getUsername();

  49. if(username!=null&&!“”.equals(username)){

  50. Useruser=accountService.getUserByUserName(username);

  51. if(user!=null){

  52. returnnewSimpleAuthenticationInfo(user.getUsername(),user.getPassword(),getName());

  53. }

  54. }

  55. returnnull;

  56. }

  57. /**用户的业务类**/

  58. privateAccountServiceaccountService;

  59. publicAccountServicegetAccountService(){

  60. returnaccountService;

  61. }

  62. publicvoidsetAccountService(AccountServiceaccountService){

  63. this.accountService=accountService;

  64. }

  65. }

上述类继承了Shiro的AuthorizingRealm类 实现了AuthorizationInfo和AuthenticationInfo两个方法,用于获取用户权限和认证用户登录信息

5、编写LoginController:

[java] view plain copy print ?

  1. packageorg.swinglife.controller;

  2. importorg.apache.shiro.SecurityUtils;

  3. importorg.apache.shiro.authc.UsernamePasswordToken;

  4. importorg.apache.shiro.subject.Subject;

  5. importorg.springframework.beans.factory.annotation.Autowired;

  6. importorg.springframework.stereotype.Controller;

  7. importorg.springframework.web.bind.annotation.RequestMapping;

  8. importorg.springframework.web.bind.annotation.RequestMethod;

  9. importorg.springframework.web.portlet.ModelAndView;

  10. importorg.swinglife.model.User;

  11. importorg.swinglife.service.AccountService;

  12. /****

  13. *用户登录Controller

  14. *

  15. *@authorSwinglife

  16. *

  17. */

  18. @Controller

  19. publicclassLoginController{

  20. /***

  21. *跳转到登录页面

  22. *

  23. *@return

  24. */

  25. @RequestMapping(value=“toLogin”)

  26. publicStringtoLogin(){

  27. //跳转到/page/login.jsp页面

  28. return"login";

  29. }

  30. /***

  31. *实现用户登录

  32. *

  33. *@paramusername

  34. *@parampassword

  35. *@return

  36. */

  37. @RequestMapping(value=“login”)

  38. publicModelAndViewLogin(Stringusername,Stringpassword){

  39. ModelAndViewmav=newModelAndView();

  40. Useruser=accountService.getUserByUserName(username);

  41. if(user==null){

  42. mav.setView(“toLogin”);

  43. mav.addObject(“msg”,“用户不存在”);

  44. returnmav;

  45. }

  46. if(!user.getPassword().equals(password)){

  47. mav.setView(“toLogin”);

  48. mav.addObject(“msg”,“账号密码错误”);

  49. returnmav;

  50. }

  51. SecurityUtils.getSecurityManager().logout(SecurityUtils.getSubject());

  52. //登录后存放进shirotoken

  53. UsernamePasswordTokentoken=newUsernamePasswordToken(user.getUsername(),user.getPassword());

  54. Subjectsubject=SecurityUtils.getSubject();

  55. subject.login(token);

  56. //登录成功后会跳转到successUrl配置的链接,不用管下面返回的链接。

  57. mav.setView(“redirect:/home”);

  58. returnmav;

  59. }

  60. //处理用户业务类

  61. @Autowired

  62. privateAccountServiceaccountService;

  63. }

6、编写信息认证成功后的跳转页面:

[java] view plain copy print ?

  1. packageorg.swinglife.controller;

  2. importorg.springframework.stereotype.Controller;

  3. importorg.springframework.web.bind.annotation.RequestMapping;

  4. @Controller

  5. publicclassIndexController{

  6. @RequestMapping(“home”)

  7. publicStringindex(){

  8. System.out.println(“登录成功”);

  9. return"home";

  10. }

  11. }

7、Shiro的配置文件.xml

[java] view plain copy print ?

  1. <beanid="shiroFilter"class=“org.apache.shiro.spring.web.ShiroFilterFactoryBean”>

  2. <propertyname="securityManager"ref=“securityManager”/>

  3. <propertyname=“loginUrl"value=”/toLogin"/>

  4. <propertyname=“successUrl"value=”/home"/>

  5. <propertyname=“unauthorizedUrl"value=”/403"/>

  6. <propertyname=“filterChainDefinitions”>

  8. /toLogin=authc

  9. /home=authc,perms[/home]

  13. <beanid="myShiroRealm"class=“org.swinglife.shiro.MyShiroRealm”>

  14. <propertyname="accountService"ref=“accountService”/>

  16. <beanid="securityManager"class=“org.apache.shiro.web.mgt.DefaultWebSecurityManager”>

  17. <propertyname="realm"ref=“myShiroRealm”>

  19. <beanid="accountService"class=“org.swinglife.service.AccountService”>

loginUrl 用于配置登陆页

successUrl 用于配置登录成功后返回的页面,不过该参数只会在当登录页面中并没有任何返回页面时才会生效,否则会跳转到登录Controller中的指定页面。

unauthorizedUrl 用于配置没有权限访问页面时跳转的页面

filterChainDefinitions:apache shiro通过filterChainDefinitions参数来分配链接的过滤,资源过滤有常用的以下几个参数:

1、authc 表示需要认证的链接

2、perms[/url] 表示该链接需要拥有对应的资源/权限才能访问

3、roles[admin] 表示需要对应的角色才能访问

4、perms[admin:url] 表示需要对应角色的资源才能访问

8、登陆页login.jsp

[html] view plain copy print ?

  1. <body>

  2. <h1>userlogin</h1>

  3. <formaction="login"method=“post”>

  4. username:<inputtype="text"name=“username”><p>

  5. password:<inputtype="password"name=“password”>

  6. <p>

  7. ${msg}

  8. <inputtype="submit"value=“submit”>

  9. </form>

  10. </body>

9、运行程序

在数据库中添加一条用户、角色、以及权限数据,并且在关联表中添加一条关联数据:

在浏览器中访问: home页面 就会跳转到登录页面:

转载出处:

最后输入 账号密码 就会跳转

shiro jar:http://download.csdn.net/detail/swingpyzf/8766673

项目源码:github:https://github.com/swinglife/shiro_ex

web15285868498
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro教程
12-30
Apache Shiro 是一个框架,可用于身份验证和授权。Apache Shiro的教程(PDF),相关jar包,源码等。
安全之剑:深度解析 Apache Shiro 框架原理与使用指南
最新发布
dzqxwzoe的博客
06-15 871
ApacheShiro是一个强大且易用的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。它被广泛用于保护各种类型的应用程序,包括Web应用、RESTful服务、移动应用和大型企业级应用。使用Shiro,你可以将安全性集成到应用程序中而不必担心复杂的实现细节。ApacheShiro作为一款强大且灵活的Java安全框架,为我们提供了全面的安全性解决方案。通过本文的介绍,你应该对Shiro的基本原理、使用方法以及一些高级功能有了初步的了解。
Apache Shiro教程(2)
醉代码的博客
01-09 367
Shiroapache旗下的一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。
Apache Shiro教程(1)
醉代码的博客
01-09 527
*** 配置一个 SecurityManager安全管理器* @return} /*** 配置过滤器* 例如 什么可以进行访问,什么不可以进行访问等等* @return//配置用户登陆请求,如果需要进行登陆时, // shiro就会进入这个请求进入登陆页面 shiroFilterFactoryBean . setSecurityManager(securityManager);
shiro入门教程
08-11
**一、Shiro基础概念** 1. **认证(Authentication)**:确认用户身份的过程,通常涉及用户名和密码的验证。 2. **授权(Authorization)**:确定用户是否有权限访问某个资源,即权限管理。 3. **会话管理(Session...
Shiro全面教程
09-16
Shiro十分钟教程.docx》和《Shiro入门教程.docx》将带你快速上手 Shiro,了解基本概念和简单用法。这些教程通常会涵盖如何创建 Realm、配置 Shiro、实现用户认证和授权、以及如何在 Web 应用中使用 Shiro 过滤器...
Shiro-pdf教程
11-17
**初识Shiro应用**:Apache Shiro 教程提供了一个简单的入门示例,指导开发者创建首个受Shiro保护的应用。通过这个教程,你可以了解到Shiro的基本概念和API,为后续更深入的学习打下基础。 总结来说,Apache Shiro ...
shiro视频教程
12-18
**一、Shiro基础** 1. **认证(Authentication)**:这是验证用户身份的过程。Shiro提供了一套完整的认证流程,包括凭证匹配、身份验证等,使得开发者能够方便地进行用户登录验证。 2. **授权(Authorization)**...
Apache Shiro 快速入门教程
sunny潘先生的博客
11-14 576
第一部分 什么是Apache Shiro 1、什么是 apache shiroApache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 如同 spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权...
apache shiro中文教程
09-17
Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权. 中文文档
Apache shiro的简单介绍与使用教程(与spring整合使用)
09-15
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密这篇文章给大家介绍了Apache shiro的简单介绍与使用教程(与spring整合使用),感兴趣的朋友一起看看吧
Apache_Shiro
03-14
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用Apache Shiro 所做的事情: . 验证用户来核实他们的身份 . 对用户执行访问控制,如: . 判断用户是否被分配了一个确定的安全角色 . 判断用户是否被允许做某事 . 在任何环境下使用Session API,即使没有Web 或EJB 容器。 . 在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。 . 聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。 . 启用单点登录(SSO)功能。 . 为没有关联到登录的用户启用"Remember Me"服务 … 以及更多——全部集成到紧密结合的易于使用的API 中。
Apache Shiro教程(第一章 Shiro简介)
weixin_41541415的博客
07-01 171
Apache ShiroJava 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 • Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存 等。 • 下载:http://shiro.apache.org/ 功能简介: 基本功能点如下图所示: Authen...
Apache Shiro 10分钟教程
Ablel的博客
01-02 332
Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,它为开发人员提供了一个直观而全面的身份验证、授权、加密和会话管理解决方案。
Apache Shiro快速入门教程之初识Shiro(一)
积跬步,至千里。
08-04 625
环境准备 shiro的jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.3</version> </dependency> <dependency&g
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值