Shiro环境配置

已于 2022-08-21 09:27:24 修改
阅读量416 收藏 1
点赞数 1
分类专栏: Shiro 文章标签: springboot Shiro
于 2022-05-04 20:42:15 首次发布
“来自于网络,如果侵犯著作权,请联系删除”
本文链接:https://blog.csdn.net/weixin_45737330/article/details/124576897
版权

Shiro 简介:

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。

使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

Shiro 主要功能:

三个核心组件:Subject, SecurityManager 和 Realms.

Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
Subject代表了当前用户的安全操作!

SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
SecurityManager则管理所有用户的安全操作!

Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

导入依赖:
<dependencies>
        <!--核心shiro依赖-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.1</version>
        </dependency>
        <!--日志门面-->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>jcl-over-slf4j</artifactId>
            <version>1.7.25</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>1.7.36</version>
        </dependency>
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
    </dependencies>
在resource下创建log4j.properties
log4j.rootLogger=INFo,appender 
log4j.appender.appender=org.apache.log4j.ConsoleAppender  
log4j.appender.appender.layout=org.apache.log4j.TTCCLayout

log4j.appender.stdout=org.apache.log4j.consoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

#General Apache libraries
log4j.logger.org.apache=WARN

#Spring
log4j.logger.org.springframework=WARN

#Default Shiro Logging
log4j.logger.org.apache.shiro=INFO

#Disable verbose Logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN
在resource下创建shiro.ini
[users]
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darklord, schwartz
lonestarr = vespa, goodguy, schwartz

[roles]
admin = *
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5
配置ini,若不显示高亮,可添加如下插件!

在这里插入图片描述

创建Quickstart类:(这个很重要,要反复多看!)
package com.jin;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;


/**
 * Simple Quickstart application showing how to use Shiro's API.
 *
 * @since 0.9 RC2
 */
public class Quickstart {

    //日志(框架)输出
    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);


    public static void main(String[] args) {

        // The easiest way to create a Shiro SecurityManager with configured
        // realms, users, roles and permissions is to use the simple INI config.
        // We'll do that by using a factory that can ingest a .ini file and
        // return a SecurityManager instance:
        /**
         * // 创建 Shiro 安全管理器 的最简单方法
         * // 领域、用户、角色和权限是使用简单的 INI 配置。
         * // 我们将通过使用一个可以摄取 .ini 文件的工厂来做到这一点
         * // 返回一个 SecurityManager(安全管理器) 实例:
         */
        // Use the shiro.ini file at the root of the classpath
        // (file: and url: prefixes load from files and urls respectively):
        /**
         * // 使用类路径根目录下的 shiro.ini 文件
         * // (file: 和 url: 前缀分别从文件和 url 加载):
         */

        DefaultSecurityManager defaultSecurityManager=new DefaultSecurityManager();
        IniRealm iniRealm=new IniRealm("classpath:shiro.ini");
        defaultSecurityManager.setRealm(iniRealm);

        // for this simple example quickstart, make the SecurityManager
        // accessible as a JVM singleton.  Most applications wouldn't do this
        // and instead rely on their container configuration or web.xml for
        // webapps.  That is outside the scope of this simple quickstart, so
        // we'll just do the bare minimum so you can continue to get a feel
        // for things.
        /**
         * // 对于这个简单的示例快速入门,创建 SecurityManager
         * // 可作为 JVM 单例访问。 大多数应用程序不会这样做
         * // 而是依赖他们的容器配置或 web.xml
         * // 网络应用程序。 这超出了这个简单快速入门的范围,所以
         * // 我们只做最低限度的工作,这样您就可以继续感受事物。
         */
        SecurityUtils.setSecurityManager(defaultSecurityManager);

        // Now that a simple Shiro environment is set up, let's see what you can do:

        /**
         * // 现在一个简单的 Shiro 环境已经搭建好了,让我们看看你能做什么:
         */
        // get the currently executing user:
        /**
         * // 获取当前正在执行的用户:
         */

        // 获取当前的用户对象 Subject
        Subject currentUser = SecurityUtils.getSubject();

        // Do some stuff with a Session (no need for a web or EJB container!!!)
        /**
         * // 使用 Session 做一些事情(不需要 Web 或 EJB 容器!!!)
         */

        //通过当前用户拿到Session
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            //打印取值
            log.info("Retrieved the correct value! [" + value + "]");
        }

        // let's login the current user so we can check against roles and permissions:
        /**
         * // 让我们登录当前用户,以便我们检查角色和权限:
         */

        //判断当前用户是否被认证~
        if (!currentUser.isAuthenticated()) {
            //Token : 令牌 ! 没有获取 ,随机
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            //设置记住我
            token.setRememberMe(true);
            try {
                // 执行登录操作~
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            /**
             * // ...在此处捕获更多异常(可能是特定于您的应用程序的自定义异常?
             */
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
                /**
                 * //意外情况? 错误?
                 */
            }
        }

        //say who they are:
        //print their identifying principal (in this case, a username):
        /**
         * //说出他们是谁:
         * //打印他们的识别主体(在本例中为用户名):
         */
        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

        //test a role:
        /**
         * //测试一个角色:
         */
        if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        //test a typed permission (not instance-level)
        /**
         * //测试一个类型化的权限(不是实例级别的)
         */

        //粗粒度
        if (currentUser.isPermitted("lightsaber:wield")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        //a (very powerful) Instance Level permission:
        /**
         * //一个(非常强大的)实例级权限:
         */
        
        //细粒度
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

        //all done - log out!
        /**
         * //全部完成 - 退出!
         */
        currentUser.logout();

        //结束系统!
        System.exit(0);
    }
}
显示效果如下:

在这里插入图片描述

恭喜你,完成了Shiro环境配置!

已转行@
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解锁Apache Shiro:新手友好的安全框架指南(一)——整体架构与身份认证_apache shiro的配置包括安全管理器
2301_81327376的博客
04-14 761
在【Shiro 身份认证流程】小节中,我介绍了当用户提交 Token 后,Shiro 框架的整体认证流程,其中提到当 SecurityManager 配置了多个 Realm 实例时,认证器。INI 易于阅读,易于配置,易于设置,非常适合大多数应用程序。最常用的认证方式是系统核对用户输入的用户名和密码,查看是否与系统存储的用户名和密码匹配,来判断用户身份的正确性。在 Shiro 中,在使用 Realm 实例尝试身份认证前,它的 supports 方法会被调用,只有当 supports 返回true时,
SpringBoot整合Shiro框架实现加密、登录、授权
pan_junbiao的博客
05-30 7567
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 下面将使用SpringBoot整合Shiro框架实现加密、登录、授权。 1、创建数据表 使用MySQL数据库,创建实例所需的数据表,用户信息表、角色信息表、权限信息表等。 1.1 数据表结构 1.2 数据表脚本 (1)创建数据表脚本。 -- 创建数据表:us.
shiro基本配置
ksj_j的博客
01-21 1328
shiro:web配置 contextConfigLocation classpath:spring-shiro.xml 加载shiro配置文件 <!-- 这里的filter-name 要和spring 的applicationContext-shiro.xml 里的 org.apache.shiro.spring.web.ShiroFilterFa
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 2729
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
Shiro框架:Shiro SecurityManager安全管理器解析
博客园
01-13 1453
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,在前述文章全面解析Shiro框架原理的基础之上,详见:Shiro框架:ShiroFilterFactoryBean过滤器源码解析-CSDN博客、Shiro框架:Shiro内置过滤器源码解析-CSDN博客,本篇文章继续深入解析Shiro SecurityManager安全管理器的结构和功能。
spring配置shiro参考文档
07-12
适用于spring集成的javaweb环境
shiro1.7.1.zip
04-12
2. **shiro-web-1.7.1.jar**:这个模块是针对Web环境设计的,提供了Web相关的安全控制,如Filter配置、HTTP请求的拦截处理等,方便在Web应用中集成Shiro。 3. **shiro-lang-1.7.1.jar**:Shiro的语言支持模块,可能...
Apache shiro 1.13.0源码
最新发布
01-17
在 web 应用中,可以通过配置 `shiro.ini` 或者 `Web.xml` 来定制过滤器。 6. **Caching**:Shiro 支持缓存管理,可以缓存认证和授权信息,提高性能。 7. **Testing**:源码中包含了测试用例,帮助开发者理解和...
shiro_shiro_
10-03
Shiro 可以管理应用中的会话,无论是在Web环境还是在非Web环境下。它提供了会话的创建、读取、更新、删除以及超时等操作,还可以实现分布式会话,使得在集群环境下也能正确处理用户的会话状态。 **5. Web支持** ...
shiro_springboot
10-04
2. **多环境适配**:Shiro 支持多种环境,可以根据租户类型配置不同的安全策略。 3. **权限动态分配**:Shiro 的权限控制非常灵活,可以在运行时动态调整用户权限,适应 SaaS 平台的需求变化。 4. **统一的认证与...
SpringSecurity和Shiro---权限设置
JEREMY的博客
05-13 831
安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!
shiroshiro反序列化漏洞综合利用工具v2.2(下载、安装、使用)
热门推荐
Fighting_hawk的博客
07-01 2万+
本文主要介绍shiro反序列化漏洞综合利用工具的安装过程。
log4j.properties配置文件
qq_48091113的博客
03-31 823
第一种 日志配置 足够 在这里插入代码片 # priority :debug<info<warn<error #you cannot specify every priority with different file for log4j log4j.logger.com.kuang.shirospringboot=DEBUG log4j.rootLogger=info,ServerDailyRollingFile,stdout log4j.logger.weblog=INFO, web
Shiro环境搭建及登录认证
Massimo__JAVA的博客
10-04 274
Shiro环境搭建及登录认证
shiro框架的详细配置及使用
码畜
04-15 903
1.web.xml文件的配置 <!--Shiro过滤器 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> &...
springboot整合shiro-登录认证和权限管理
kagurawill的博客
05-30 4264
这篇文章我们来学习如何使用Spring Boot集成Apache Shiro。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在Java领域一般有Spring Security、Apache Shiro等安全框架,但是由于Spring Security过于庞大和复杂,大多数公司会选择Apache Shiro来使用,这篇文章会先介绍一下Apache Shiro,在结合Spri...
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3986
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
如何配置shiro环境
05-19
要配置Shiro环境,需要完成以下步骤: 1. 添加Shiro依赖:在项目的pom.xml文件中添加Shiro依赖项,例如: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.1</version> </dependency> ``` 2. 配置Shiro:创建一个shiro.ini文件(或者shiro.properties文件),并配置Shiro security manager和相应的realm,例如: ```ini [main] # 定义一个JDBC realm jdbcRealm = org.apache.shiro.realm.jdbc.JdbcRealm jdbcRealm.authenticationQuery = SELECT password FROM users WHERE username = ? jdbcRealm.userRolesQuery = SELECT role_name FROM user_roles WHERE username = ? # 定义一个security manager,使用上述的JDBC realm securityManager.realms = $jdbcRealm ``` 3. 在应用程序中使用Shiro:在需要进行安全认证的地方调用Shiro API,例如: ```java // 创建一个SecurityManager实例 SecurityManager securityManager = new IniSecurityManagerFactory("classpath:shiro.ini").getInstance(); // 将SecurityManager绑定到当前线程 SecurityUtils.setSecurityManager(securityManager); // 获取Subject对象 Subject currentUser = SecurityUtils.getSubject(); // 认证当前用户 UsernamePasswordToken token = new UsernamePasswordToken("username", "password"); currentUser.login(token); // 检查用户是否被授权 if (currentUser.hasRole("admin")) { // 执行管理员操作 } else { // 执行普通用户操作 } ``` 以上是Shiro的基本配置和使用方法,根据具体的应用场景和需求,可能还需要进行一些额外的配置和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

已转行@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值