What is Apache Shiro?

Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。

Apache Shiro的首要目标是易于使用和理解。安全通常很复杂,甚至让人感到很痛苦,但是Shiro却不是这样子的。一个好的安全框架应该屏蔽复杂性,向外暴露简单、直观的API,来简化开发人员实现应用程序安全所花费的时间和精力。

Shiro能做什么呢?

  • 验证用户身份
  • 用户访问权限控制,比如:1、判断用户是否分配了一定的安全角色。2、判断用户是否被授予完成某个操作的权限
  • 在非 web 或 EJB 容器的环境下可以任意使用Session API
  • 可以响应认证、访问控制,或者 Session 生命周期中发生的事件
  • 可将一个或以上用户安全数据源数据组合成一个复合的用户 "view"(视图)
  • 支持单点登录(SSO)功能
  • 支持提供“Remember Me”服务,获取用户关联信息而无需登录

等等——都集成到一个有凝聚力的易于使用的API。

Shiro 致力在所有应用环境下实现上述功能,小到命令行应用程序,大到企业应用中,而且不需要借助第三方框架、容器、应用服务器等。当然 Shiro 的目的是尽量的融入到这样的应用环境中去,但也可以在它们之外的任何环境下开箱即用。

Apache Shiro Features 特性

Apache Shiro是一个全面的、蕴含丰富功能的安全框架。下图为描述Shiro功能的框架图:

Authentication(认证), Authorization(授权), Session Management(会话管理), Cryptography(加密)被 Shiro 框架的开发团队称之为应用安全的四大基石。那么就让我们来看看它们吧:

  • Authentication(认证):用户身份识别,通常被称为用户“登录”
  • Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。
  • Session Management(会话管理):特定于用户的会话管理,甚至在非web 或 EJB 应用程序。
  • Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。

还有其他的功能来支持和加强这些不同应用环境下安全领域的关注点。特别是对以下的功能支持:

  • Web支持:Shiro 提供的 web 支持 api ,可以很轻松的保护 web 应用程序的安全。
  • 缓存:缓存是 Apache Shiro 保证安全操作快速、高效的重要手段。
  • 并发:Apache Shiro 支持多线程应用程序的并发特性。
  • 测试:支持单元测试和集成测试,确保代码和预想的一样安全。
  • "Run As":这个功能允许用户假设另一个用户的身份(在许可的前提下)。
  • "Remember Me":跨 session 记录用户的身份,只有在强制需要时才需要登录。

注意: Shiro不会去维护用户、维护权限,这些需要我们自己去设计/提供,然后通过相应的接口注入给Shiro。

High-Level Overview 高级概述

在概念层,Shiro 架构包含三个主要的理念:Subject,SecurityManager和 Realm。下面的图展示了这些组件如何相互作用,我们将在下面依次对其进行描述。

  • Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它--当前和软件交互的任何事件。
  • SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
  • Realms:用于进行权限信息的验证,我们自己实现。Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

我们需要实现Realms的Authentication 和 Authorization。其中 Authentication 是用来验证用户身份,Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

快速上手

第一步:

话不多说,我们先构建一个最简单的项目,结构如下:

第二步:

编辑shiro.ini

这里面定义了和安全相关的数据: 用户,角色和权限
注释很详细了,挨个看就能理解了

#定义用户

[users]

#用户名 zhang3  密码是 12345, 角色是 admin

zhang3 = 12345, admin

#用户名 li4  密码是 abcde, 角色是 产品经理

li4 = abcde,productManager

#定义角色

[roles]

#管理员什么都能做

admin = *

#产品经理只能做产品管理

productManager = addProduct,deleteProduct,editProduct,updateProduct,listProduct

#订单经理只能做订单管理

orderManager = addOrder,deleteOrder,editOrder,updateOrder,listOrder

第三步:

准备用户类User,用于存放账号密码

public class User {

    private String name;

    private String password;

    public String getName() {

        return name;

    }

    public void setName(String name) {

        this.name = name;

    }

    public String getPassword() {

        return password;

    }

    public void setPassword(String password) {

        this.password = password;

    }

}

第四步:

编辑TestShiro

准备3个用户,前两个能在 shiro.ini 中找到,第3个不存在
然后测试登录
接着测试是否包含角色
最后测试是否拥有权限

注:Subject 在 Shiro 这个安全框架下, Subject 就是当前用户

 public class TestShiro {

     public static void main(String[] args) {

         //用户们

         User zhang3 = new User();

         zhang3.setName("zhang3");

         zhang3.setPassword("12345");

         User li4 = new User();

         li4.setName("li4");

         li4.setPassword("abcde");

         User wang5 = new User();

         wang5.setName("wang5");

         wang5.setPassword("wrongpassword");

         List<User> users = new ArrayList<>();

         users.add(zhang3);

         users.add(li4);

         users.add(wang5);

         //角色们

         String roleAdmin = "admin";

         String roleProductManager ="productManager";

         List<String> roles = new ArrayList<>();

         roles.add(roleAdmin);

         roles.add(roleProductManager);

         //权限们

         String permitAddProduct = "addProduct";

         String permitAddOrder = "addOrder";

         List<String> permits = new ArrayList<>();

         permits.add(permitAddProduct);

         permits.add(permitAddOrder);

         //登陆每个用户

         for (User user : users) {

             if(login(user))

                 System.out.printf("%s \t成功登陆,用的密码是 %s\t %n",user.getName(),user.getPassword());

             else

                 System.out.printf("%s \t成功失败,用的密码是 %s\t %n",user.getName(),user.getPassword());

         }

         System.out.println("-------how2j 分割线------");

         //判断能够登录的用户是否拥有某个角色

         for (User user : users) {

             for (String role : roles) {

                 if(login(user)) {

                     if(hasRole(user, role))

                         System.out.printf("%s\t 拥有角色: %s\t%n",user.getName(),role);

                     else

                         System.out.printf("%s\t 不拥有角色: %s\t%n",user.getName(),role);

                 }

             }

         }

         System.out.println("-------how2j 分割线------");

         //判断能够登录的用户,是否拥有某种权限

         for (User user : users) {

             for (String permit : permits) {

                 if(login(user)) {

                     if(isPermitted(user, permit))

                         System.out.printf("%s\t 拥有权限: %s\t%n",user.getName(),permit);

                     else

                         System.out.printf("%s\t 不拥有权限: %s\t%n",user.getName(),permit);

                 }

             }

         }

     }

     private static boolean hasRole(User user, String role) {

         Subject subject = getSubject(user);

         return subject.hasRole(role);

     }

     private static boolean isPermitted(User user, String permit) {

         Subject subject = getSubject(user);

         return subject.isPermitted(permit);

     }

     private static Subject getSubject(User user) {

         //加载配置文件,并获取工厂

         Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

         //获取安全管理者实例

         SecurityManager sm = factory.getInstance();

         //将安全管理者放入全局对象

         SecurityUtils.setSecurityManager(sm);

         //全局对象通过安全管理者生成Subject对象

         Subject subject = SecurityUtils.getSubject();

         return subject;

     }

     private static boolean login(User user) {

         Subject subject= getSubject(user);

         //如果已经登录过了,退出

             if(subject.isAuthenticated()) {

                 subject.logout();

         }

         //封装用户的数据

         UsernamePasswordToken token = new UsernamePasswordToken(user.getName(), user.getPassword());

         try {

             //将用户的数据token 最终传递到Realm中进行对比

             subject.login(token);

         } catch (AuthenticationException e) {

             //验证错误

             return false;

         }                

         return subject.isAuthenticated();

     }

 }

代码行数较多,点击展开

第五步:

运行 TestShiro,可以观察到如图所示的效果
某个用户是否登陆成功
某个用户是否拥有某个角色
某个用户是否拥有某种权限

最后

代码下载地址:https://gitee.com/fengyuduke/my_open_resources/blob/master/shiro.rar

在这里,账号密码,角色信息都是放在配置文件里的,真实工作的时候,肯定都是放在数据库里的。那么怎么做呢?请看下期!!!

Apache Shiro(一)-登录认证和权限管理初识的更多相关文章

  1. Apache Shiro(五)-登录认证和权限管理ssm

    创建一个web动态项目 jar包 web.xml web.xml做了如下几件事情1. 指定spring的配置文件有两个 applicationContext.xml: 用于链接数据库的 applica ...

  2. Apache Shiro(四)-登录认证和权限管理WEB支持(Servlet)

    新建web项目 web.xml 修改web.xml,在里面加了个过滤器. 这个过滤器的作用,简单的说,就是 Shiro 入门里的TestShiro 这部分的工作,悄悄的干了. //加载配置文件,并获取 ...

  3. Apache Shiro(三)-登录认证和权限管理MD5加密

    md5 加密 在前面的例子里,用户密码是明文的,这样是有巨大风险的,一旦泄露,就不好了.所以,通常都会采用非对称加密,什么是非对称呢?就是不可逆的,而 md5 就是这样一个算法.如代码所示 123 用 ...

  4. Apache Shiro(二)-登录认证和权限管理数据库操作

    数据库支持 在上一篇中使用ini 配置文件进行了相关权限数据的配置. 但是实际工作中,我们都会把权限相关的内容放在数据库里. 所以本知识点讲解如何放在数据库里来撸. RBAC 概念 RBAC 是当下权 ...

  5. Spring Cloud之路:(七)SpringBoot+Shiro实现登录认证和权限管理

    版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/sage_wang/article/details/79592269一.Shiro介绍1.Shiro是 ...

  6. spring boot(十四)shiro登录认证与权限管理

    这篇文章我们来学习如何使用Spring Boot集成Apache Shiro.安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求.在Java领域一般有Spring Security ...

  7. shiro实现APP、web统一登录认证和权限管理

    先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证和权限控制.好的,那么问题来了w ...

  8. Springboot-shiro-redis实现登录认证和权限管理

    Springboot-shiro-redis实现登录认证和权限管理 在学习之前: 首先进行一下Apache Shiro和Shiro比较: Apache Shiro是一个功能强大.灵活的,开源的安全框架 ...

  9. Spring boot 入门(四):集成 Shiro 实现登陆认证和权限管理

    本文是接着上篇博客写的:Spring boot 入门(三):SpringBoot 集成结合 AdminLTE(Freemarker),利用 generate 自动生成代码,利用 DataTable 和 ...

随机推荐

  1. sql 字符串函数、数学函数

    -- 字符函数:-- 查询结果姓名小写 select lower(ename), sal, job from emp;-- 查询结果姓名大写 select upper(ename), sal, job ...

  2. Eclipse Ctrl + H 搜索文件不覆盖已打开文件解决办法

    1.windows------->preferences

  3. 八、Vue中的computed属性

    看了网上很多资料,对vue的computed讲解自己看的都不是很清晰,今天忙里抽闲,和同事们又闲聊起来,对computed这个属性才有了一个稍微比较清晰的认识,下面的文章有一部分是转自: https: ...

  4. 探索ORM之iBati(一)

    ibatis   iBATIS一词来源于“internet”和“abatis”的组合,是一个由Clinton Begin在2001年发起的开放源代码项目.最初侧重于密码软件的开发,现在是一个基于Jav ...

  5. LeetCode题解之Missing Number

    1.题目描述 2.题目分析 将 [ 0 , n ]之间的整数放到 n 个元素的数组中去,必然缺失一个元素.在一次遍历中,将元素n[i] 放到 n[ n[i] ] ,位置.最后检查元素值和下标不相等的情 ...

  6. spring boot(10)-tomcat jdbc连接池

    默认连接池 tomcat jdbc是从tomcat7开始推出的一个连接池,相比老的dbcp连接池要优秀很多.spring boot将tomcat jdbc作为默认的连接池,只要在pom.xml中引入了 ...

  7. Nginx 泛解析配置请求映射到多端口实现二级域名访问

    由于想实现一个域名放置多个应用运行的目的,而不想通过域名后加端口号方式处理,这种方式处理记起来太麻烦,偷懒党简直不能忍,故而考虑了使用二级域名来处理多个应用同时运行.Google了一番资料并进行了尝试 ...

  8. How To create extension in Hybris(创建Hybris的扩展)

    How To create extension in Hybris What is an extension? An extension is an encapsulated piece of the ...

  9. Sharepoint 2013/2010 登陆身份验证

    SharePoint 2013 and SharePoint 2010登陆身份验证格式: <IdentityClaim>:0<ClaimType><ClaimValueT ...

  10. scrapy爬虫框架之Xpath选择器

    问题: 本篇博文主要记录scrapy框架爬取伯乐在线文章的相关知识,在实践中学习对框架的理解.今天主要记录了xpath的相关用法以及语法规范. ----->>>点击进入爬取页面 一. ...