#shiro简介

一、简介

  • Apache Shiro 是一个强大而灵活的开源安全框架,可以用于应用程序的身份验证,授权,会话管理和加密。

    • Authentication:有时也简称为“登录”,这是一个证明用户是他们所说的他们是谁的行为。
    • Authorization:访问控制的过程,也就是绝对“谁”去访问“什么”。
    • Session Management:管理用户特定的会话,即使在非 Web 或 EJB 应用程序。
    • Cryptography:通过使用加密算法保持数据安全同时易于使用。

二、主要功能&附加特性

三、第一个shiro程序

1、使用说明

  • maven构建工程,log4j输出日志

  • idea终端里,当前工程目录下使用 mvn compile exec:java 命令运行程序,直接运行测试的类不会输出测试的信息

2、目录结构

3、关键文件内容及代码

  • pom文件

    <?xml version="1.0" encoding="UTF-8"?>
    
<project xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    
         xmlns="http://maven.apache.org/POM/4.0.0"
    
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0
    
http://maven.apache.org/maven-v4_0_0.xsd">
    
    <modelVersion>4.0.0</modelVersion>
    
    <groupId>com.stan</groupId>
    
    <artifactId>shiro</artifactId>
    
    <version>1.0.0-SNAPSHOT</version>
    
    <name>shiro-start</name>
    
    <packaging>jar</packaging>
    
    <properties>
    
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    
    </properties>
    
    <build>
    
        <plugins>
    
            <plugin>
    
                <groupId>org.apache.maven.plugins</groupId>
    
                <artifactId>maven-compiler-plugin</artifactId>
    
                <version>2.0.2</version>
    
                <configuration>
    
                    <source>1.8</source>
    
                    <target>1.8</target>
    
                    <encoding>${project.build.sourceEncoding}</encoding>
    
                </configuration>
    
            </plugin>
    
            <!-- This plugin is only to test run our little application. It is not
    
            needed in most Shiro-enabled applications: -->
    
            <plugin>
    
                <groupId>org.codehaus.mojo</groupId>
    
                <artifactId>exec-maven-plugin</artifactId>
    
                <version>1.1</version>
    
                <executions>
    
                    <execution>
    
                        <goals>
    
                            <goal>java</goal>
    
                        </goals>
    
                    </execution>
    
                </executions>
    
                <configuration>
    
                    <classpathScope>test</classpathScope>
    
                    <mainClass>QuickStart</mainClass>
    
                </configuration>
    
            </plugin>
    
        </plugins>
    
    </build>
    
    <dependencies>
    
        <dependency>
    
            <groupId>org.apache.shiro</groupId>
    
            <artifactId>shiro-core</artifactId>
    
            <version>1.1.0</version>
    
        </dependency>
    
        <!-- Shiro use SLF4J for logging. We'll use the 'simple' binding
    
        in this example app. See http://ww.slf4j.org for more info. -->
    
        <dependency>
    
            <groupId>org.slf4j</groupId>
    
            <artifactId>slf4j-simple</artifactId>
    
            <version>1.6.1</version>
    
            <scope>test</scope>
    
        </dependency>
    
    </dependencies>
    
</project>
  • shiro配置文件 
    [users]
    
root = secret, admin
    
guest = guest, guest
    
presidentskroob = 12345, president
    
darkhelmet = ludicrousspeed, darklord, schwartz
    
lonestarr = vespa, goodguy, schwartz

[roles]
    
admin = *
    
schwartz = lightsaber:*
    
goodguy = winnebago:drive:eagle5
  • log4j配置文件 
    log4j.rootLogger=INFO, stdout
    
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
    
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
    
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
    
# General Apache libraries
    
log4j.logger.org.apache=WARN
    
# Spring
    
log4j.logger.org.springframework=WARN
    
# Default Shiro logging
    
log4j.logger.org.apache.shiro=TRACE
    
# Disable verbose logging
    
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
    
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN
  • 测试类 
    public class QuickStart {
    
    private static final transient Logger log = LoggerFactory.getLogger(QuickStart.class);

    public static void main(String[] args) {
    
        log.info("My First Apache Shiro Application");
    
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
    
        SecurityManager securityManager = factory.getInstance();
    
        SecurityUtils.setSecurityManager(securityManager);
    
        //get the currently executing user:
    
        Subject currentUser = SecurityUtils.getSubject();
    
        //Do some stuff with a Session (no need for a web or EJB container!!!)
    
        Session session = currentUser.getSession();
    
        session.setAttribute("someKey", "aValue");
    
        String value = (String) session.getAttribute("someKey");
    
        if (value.equals("aValue")) {
    
            log.info("Retrieved the correct vlaue! [" + value + "]");
    
        }
    
        //let's login the current user so we can check against roles and permissions:
    
        if (!currentUser.isAuthenticated()) {
    
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "1223");
    
            token.setRememberMe(true);
    
            try {
    
                currentUser.login(token);
    
            } catch (UnknownAccountException uae) {
    
                log.info("There is no user with username of " + token.getPrincipal());
    
            } catch (IncorrectCredentialsException ice) {
    
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
    
            } catch (LockedAccountException lae) {
    
                log.info("The account for username " + token.getPrincipal() + " is locked. " +
    
                        "Please contact your administrator to unlock it.");
    
            }
    
            // … catch more exceptions here (maybe custom ones specific to your application?
    
            catch (AuthenticationException ae) {
    
                //unexpected condition? error?
    
            }
    
        }
    
        //say who they are:
    
        //print their identifying principal (in this case, a username):
    
        log.info("User [" + currentUser.getPrincipal() + " ] logged in successfully.");
    
        //test a role:
    
        if (currentUser.hasRole("schwartz")) {
    
            log.info("May the Schwartz be with you!");
    
        } else {
    
            log.info("Hello, mere mortal.");
    
        }
    
        //test a typed permission (not instance-level)
    
        if (currentUser.isPermitted("lightsaber:weild")) {
    
            log.info("You may use a lightsaber ring. Use it wisely.");
    
        } else {
    
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
    
        }
    
        //a (very powerful) Instance Level permission:
    
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
    
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5' . " +
    
                    "Here are the keys - have fun!");
    
        } else {
    
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
    
        }
    
        //all done - log out!
    
        currentUser.logout();
    
        System.exit(0);
    
    }
    
}

4、总结

  • SecurityManager 不是 java.lang 包里的那个,而是 shiro框架里的,是shiro的核心组件,shiro很多功能的实现都要依赖于这个组件;
  • shiro 里的 subject 代表的是当前用户的概念

#shiro的架构&配置

一、架构

1、架构图

2、shiro各个组件的说明

  • Subject:当前与软件进行交互的实体(用户,第三方服务等)的安全特定“视图”。
  • SecurityManager:SecurityManager 是 Shiro 架构的心脏。它基本上是一个“保护伞”对象,协调其管理的组件以确保它们能够一起顺利的工作。它还管理每个应用程序用户的 Shiro 的视图,因此它知道如何执行每个用户的安全操作。
  • Authenticator:Authenticator 是一个对执行及对用户的身份验证(登录)尝试负责的组件。Authenticator 知道如何与一个或多个 Realm 协调来存储相关的用户信息,从中获得的数据被用来验证用户的身份来保证用户确实是他们所说的他们是谁。
  • Authorizer:是负责在应用程序中决定用户的访问控制的组件,是一种最终判定用户是否被允许做某事的机制。他知道如何协调多个后台数据源来访问角色特化权限信息,然后使用该信息来准确地决定用户是否被允许执行给定的动作。
  • SessionManager:SessionManager知道如何去创建及管理用户 Session 生命周期来为所有环境下的用户提供一个强健的 Session体验。Shiro 拥有能够在任何环境下本地化管理用户Session的能力,不依赖于特定的应用环境(如web环境),它将会使用它内置的企业级会话管理来提供同样的编程体验。
  • SessionDAO:代表 SessionManager 执行 Session 持久化(CRUD)操作。这允许任何数据存储被插入到会话管理的基础之中。
  • CacheManager:创建并管理其他 Shiro 组件使用的 Cache 实例生命周期,支持集成第三方的缓存框架来提高性能
  • Cryptography:shiro有很多易于使用和理解编码器实现。Shiro的加密组件简化了复杂的Java复杂的本地密码支持,使加密对于普通人也易于使用Realms:Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 中查找用户及其权限信息。从这个意义上讲,Realm 实质上是一个安全相关的 DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给 Shiro 。当配置 Shiro时,你必须至少指定一个 Realm ,用于认证和(或)授权。配置多个 Realm 是可以的,但是至少需要一个。 Shiro 内置了可以连接大量安全数据源(又名目录)的 Realm,如 LDAP、关系数据库(JDBC)、类似 INI 的文本配置资源以及属性文件等。如果缺省的 Realm 不能满足需求,你还可以插入代表自定义数据源的自己的 Realm 实现

3、SecurityManger的设计

  • SecurityManager要实现的功能很多,一个类要实现这么多的功能任务会比较繁重;
  • SM实际上就是一个轻量级的容器,通过组合的设计思想将实现具体功能的各个类组合在一起进行管理,提高了框架的灵活性和可插拔性;
  • Sm及其组件都是兼容javaBean的,可以很方便配置到Spring等框架中使用,并且有很好的可插拔性;

二、核心配置

#

java框架之shiro的更多相关文章

  1. java框架之Shiro-安全/权限框架

    准备 简介 Apache Shiro 是 Java 的一个安全(权限)框架. Shiro 不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境. Shiro 可以完成:认证.授权.加密.会 ...

  2. Java环境下shiro的测试-认证与授权

    Java环境下shiro的测试 1.导入依赖的核心jar包 <dependency> <groupId>org.apache.shiro</groupId> < ...

  3. 权限框架之Shiro详解(非原创)

    文章大纲 一.权限框架介绍二.Shiro基础介绍三.Spring Boot整合Shiro代码实战四.项目源码与资料下载五.参考文章   一.权限框架介绍 1. 什么是权限管理   权限管理属于系统安全 ...

  4. 轻松搞定安全框架(Shiro)

    SpringBoot 是为了简化 Spring 应用的创建.运行.调试.部署等一系列问题而诞生的产物,自动装配的特性让我们可以更好的关注业务本身而不是外部的XML配置,我们只需遵循规范,引入相关的依赖 ...

  5. Java 框架、库和软件的精选列表(awesome java)

    原创翻译,原始链接 本文为awesome系列中的awesome java Awesome Java Java 框架.库和软件的精选列表 项目 Bean映射 简化 bean 映射的框架 dOOv - 为 ...

  6. 如何在Eclipse中查看JDK以及JAVA框架的源码(转载)

    原文链接:http://www.cnblogs.com/outlooking/p/5243415.html 设置步骤如下: 1.点 “window”-> "Preferences&qu ...

  7. Java框架介绍-13个不容错过的框架项目

    本文转自互联网,个人收藏所用. 下面,我们将一同分享各有趣且颇为实用的Java库,大家请任取所需.不用客气~ 1.极致精简的Java Bootique是一项用于构建无容器可运行Java应用的极简技术. ...

  8. 如何查看JDK以及JAVA框架的源码

    如何查看JDK以及JAVA框架的源码 设置步骤如下: 1.点 “window”-> "Preferences" -> "Java" -> &q ...

  9. 对java框架的几点认识

    java框架实在是太多了,网上一抄一大段,根本就了解不到什么.我还是以我的经验来说一下j2ee的框架.1.首先力推struts2框架,这是最经典的框架(可以说没有“之一”).可以帮你快速搭建出一个MV ...

随机推荐

  1. Direct2D 第2篇 绘制椭圆

    原文:Direct2D 第2篇 绘制椭圆 #include <windows.h> #include <d2d1.h> #include <d2d1helper.h> ...

  2. vue-waterfall2 基于Vue.js 瀑布流组件

    vue-waterfall2 1.宽度自适应,数据绑定特效(适用于上拉加载更多) 2.自定义程度高 3.使用极为简便,适用于PC/移动端 4.提供resize(强制刷新布局-适用于下拉刷新)/mix( ...

  3. 第一章 Web应用程序开发基础

    一.HTTP协议工作机制 HTTP协议(HyperText Transfer Protocol,超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传送协议.它是一种主流B/S架构中应用的通信 ...

  4. python 只导入某个对象

  5. 最短路-Dijkstra算法整理

    维基说的很全面:https://en.wikipedia.org/wiki/Dijkstra%27s_algorithm 理解: 先设置访问数组vis[]和距离数组dist[],开始时把源点(sour ...

  6. pytorch 多GPU训练总结(DataParallel的使用)

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明.本文链接:https://blog.csdn.net/weixin_40087578/artic ...

  7. 【NS2】使用SourceInsight阅读NS源代码全攻略(转载)

    NS的源码底层是C++,采用了C++/Tcl分裂对象模型,架构完善,堪称OOP编程的典范.但是NS源码体系庞大,源文件有2千多个,阅读起来不是特别方便,我推荐使用SourceInsight3.5.具体 ...

  8. 【NS2】NS2在ubuntu下的安装

    Step1: 更新系统.在终端输入如下命令 sudo apt-get  update #更新源列表sudo apt-get upgrade #更新已经安装的包sudo apt-get dist-upg ...

  9. java基础部分的一些有意思的东西。

    ${li.key!=''&&li.key!= null}可以直接判断不为空 ${empty li.value}也是不为空. 最近好烦迭代map里的map或者map里的list 后来发现 ...

  10. Java练习 SDUT-3422_小金问呀问不会问题

    小金问呀问不会问题 Time Limit: 1000 ms Memory Limit: 65536 KiB Problem Description 众所周知,C语言的学习是我们程序设计基础的重点和主要 ...