Shiro入门 -- 第一个Shiro程序

于 2020-05-18 20:50:49 发布
阅读量300 收藏
点赞数
分类专栏: Apache Shiro学习 文章标签: shiro 安全 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouth94/article/details/106201071
版权

# 1、什么是Shiro
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
## 下载:http://shiro.apache.org/
# 2、Shiro工作原理


 

  • Authentication: 身份认证/登录,验证用户是否拥有相应的身份
  • Authorization: 授权,即授权验证,验证某个已认证的用户是否拥有某个权限。;即判断用 户是否能做事情,
    常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用 户对某个资源是否具有某个权限
  • Session Management: 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中。
    会话可以是普通 JavaSE 环境的,也可以是如Web 环境的
  • Cryptography: 加密,保护数据的安全性。如密码加密存储到数据库,而不是明文存储
  • Web Support :Web 支持,可以非常容易的集成到 Web 环境
  • Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率
  • Concurrency :shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能 把权限自动传播过去
  • Testing :提供测试支持
  • Run As :允许一个用户假装为另一个用户(如果他们允许)的身份进行访问

Remember Me :记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录 了

# 3、Shiro架构

  • 应用程序去访问Shiro,一定是Subject,表示的是当前用户,实际上Subject是一个门面,真正核心是SecurityManager,管理Shiro的各个组件;当访问安全数据的时候,比如获取用户信息、获取权限信息,需要用到Realm。
  • 总结:可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject; 其每个 API 的含
    义: Subject :主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互 的任何东西都是
    Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定 到 SecurityManager,与 Subject
    的所有交互都会委托给 SecurityManager;可以把 Subject 认 为是一个门面;SecurityManager 才是实际的执
    行者。
    SecurityManager :安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互; 且它管理着所有
    Subject;可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行 交互,你可以把它看成 SpringMVC的DispatcherServlet 前端控制器。
    Realm:Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证
    用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。

#4、 Shiro官方文档shiro-root-1.3.2-source-release  quickstart  案例分析

文档参考:http://shiro.apache.org/download.html

(1)测试1

Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();

// get the currently executing user:
        //获取当前的Subject,调用SecurityUtils.getSubject()
        Subject currentUser = SecurityUtils.getSubject();

        // Do some stuff with a Session (no need for a web or EJB container!!!)
        //测试session
        //1.获取session: Subject#getSession()
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("---> Retrieved the correct value! [" + value + "]");
        }

运行后显示:

(2)测试2

// let's login the current user so we can check against roles and permissions:
        //测试当前用户是否已经被认证,即是否已经登录
        //调用Subject的isAuthenticated()
        if (!currentUser.isAuthenticated()) {
            //将用户名和密码封装成UsernamePasswordToken对象
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true);
            try {
                //调用Subject#login(),执行登录。能否登录成功,取决于shiro.ini配置文件中是否配了用户"lonestarr"和密码"vespa"
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }

        //say who they are:
        //print their identifying principal (in this case, a username):
        log.info("---> User [" + currentUser.getPrincipal() + "] logged in successfully.");

shiro.ini文件的配置:

(3)测试3

# The 'goodguy' role is allowed to 'delete' (action) the user (type) with
# license plate 'zhangsan' (instance specific id)
goodguy = user:delete:zhangsan

 

 //test a typed permission (not instance-level)
        // 测试用户是否具备某一个行为
        if (currentUser.isPermitted("lightsaber:weild")) {
            log.info("---> You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        //a (very powerful) Instance Level permission:
        // 测试用户是否具备某一个行为,更具体的行为
        if (currentUser.isPermitted("user:delete:zhangsan")) {
            log.info("---> You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

 

dan_zhoudan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值