功能

  • 认证

  • 授权

  • 加密

  • session 管理

认证

Subject 是一个与系统交互的实体,可以是人,也可以是其他等

调用 SecurityUtils.getSubject()返回当前Subject,即当前用户

// 创建 Realm

IniRealm iniRealm = new IniRealm("classpath:shiro.ini");

// 将 Realm 给 SecurityManager

SecurityManager securityManager = new DefaultSecurityManager(iniRealm);


// 将 SecurityManager 赋值给 SecurityUtils

SecurityUtils.setSecurityManager(securityManager);

// 获取当前 Subject (当前用户)

Subject currentUser = SecurityUtils.getSubject();


// 判断是否认证

if (! currentUser.isAuthenticated()) {

    // 要进行登录的 Token

    UsernamePasswordToken token = new UsernamePasswordToken("name", "password");

    token.setRememberMe(true);

    try {

        // 登录-使用 Realm 校验要登录的 Token

        currentUser.login(token);

    } catch (UnknownAccountException uae) {

        log.error("Username Not Found!", uae);

    } catch (IncorrectCredentialsException ice) {

        log.error("Invalid Credentials!", ice);

    } catch (LockedAccountException lae) {

        log.error("Your Account is Locked!", lae);

    } catch (AuthenticationException ae) {

        log.error("Unexpected Error!", ae);

    }

}

Realm 配置文件

[users]

user = password, admin

user2 = password2, editor


[roles]

admin = *

editor = articles:*

授权

对用户赋予指定的角色,每个角色有特定的权限

// 判断用户是否有特定角色

if (currentUser.hasRole("admin")) {

    log.info("Welcome Admin");

} else if (currentUser.hasRole("editor")) {

    log.info("Welcomt Editor");

} else {

    log.info("Welcome Guest");

}

// 判断当前用户是否有特定权限

if (currentUser.isPermitted("articles:compose")) {

    log.info("You can compose an article");

} else {

    log.info("You are not permitted to compose an article!");

}

Realm 配置

Realm 是一个 DAO,用来保存用户认证和授权所需要的信息,它可以来自文件也可以来自数据库等

要创建一个 Realm,只需要实现 Realm 接口,框架中有已经实现的 JdbcRealm,可以继承它,覆写下面的方法

doGetAuthenticationInfo()doGetAuthorizationInfo()getRoleNamesForUser()getPermissions()

之后可以与之前IniRealm同样使用

登出

currentUser.logout();

Session 管理

如果在 Web 环境下,默认使用HttpSession实现,在独立桌面应用中也可使用

Session session = currentUser.getSession();

session.setAttribute("key", "value");

String value = (String) session.getAttribute("key");

if (val.equals("value")) {

    log.info("Retrieved the correct value! [" + vallue + "]");

}

集成到 SpringBoot

maven 依赖:

<dependency>

    <groupId>org.apache.shiro</groupId>

    <artifactId>shiro-spring-boot-web-starter</artifactId>

    <version>1.4.0</version>

</dependency>

下面需要配置 Realm 与 Shiro security filters

@Bean

public Realm realm() {

    return new MyCustomRealm();

}

@Bean

public ShiroFilterChainDefinition shiroFilterChainDefinition() {

    DefaultShiroFilterChainDefinition filter

      = new DefaultShiroFilterChainDefinition();

    filter.addPathDefinition("/secure", "authc");

    filter.addPathDefinition("/**", "anon");

    return filter;

}

参考文献

Shiro 笔记的更多相关文章

  1. Shiro笔记(五)JSP标签

    Shiro笔记(五)JSP标签 导入标签库 <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags&q ...

  2. Shiro笔记(四)编码/加密

    Shiro笔记(四)编码/加密 一.编码和解码 //base64编码.解码 @Test public void testBase64(){ String str="tang"; b ...

  3. Shiro笔记(三)授权

    Shiro笔记(三)授权 一.授权方式 1.编程式: Subject subject=SecurityUtils.getSubject(); if(subject.hasRole("root ...

  4. Shiro笔记(二)身份验证

    Shiro笔记(二)身份验证 一.核心代码 @Test public void helloWorldTest(){ IniSecurityManagerFactory factory = new In ...

  5. Shiro笔记(一)基本概念

    Shiro笔记(一)基本概念 一.简介 Shiro是一个Java安全框架,可以帮助我们完成:认证.授权.加密.会话管理.与Web集成.缓存等. Authentication:身份认证/登录,验证用户是 ...

  6. Apache shiro 笔记整理之web整合一

    下面内容是在看了涛哥的<跟我一起学shiro> 和 视频<一头扎入进shiro> 后整理出来备忘和方便自己和其它人学习. 个人主页:http://www.itit123.cn/ ...

  7. Shiro笔记--shiroFilter权限过滤

    1.shiro中shiroFilter中的一些配置页面的过滤权限 <!--名字必须和web.xml里面的filter-name一样--> <bean id="shiroFi ...

  8. Shiro笔记(六)Shiro标签的使用

    Shiro标签的使用 引入标签库 <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags"% ...

  9. Shiro笔记(五)Shiro授权

    Shiro授权 也叫访问控制,即在应用中控制谁能访问那些资源(如访问页面.编辑数据.页面操作等).在授权中需要了解几个关键对象:主体(subject).资源(resource).权限(Permissi ...

  10. Shiro笔记(四)Shiro的realm认证

    认证流程: 1.获取当前Subject.调用SecurityUtils.getSubject(); 2.测试当前用户是否已经被认证,即是否已经登录,调用Subject的isAurhenticated( ...

随机推荐

  1. 基于osg的python三维程序开发(一)

    背景: osg是一款开源的三维引擎,在过去多年的发展中积累了大量的用户,该引擎基于场景树的管理,使用方法简单.但是对长期使用python作为开发工具的朋友来说, 有一定门槛. 下面的小程序,演示了如何 ...

  2. 如何创建一个自定义的`ErrorHandlerMiddleware`方法

    在本文中,我将讲解如何通过自定义ExceptionHandlerMiddleware,以便在中间件管道中发生错误时创建自定义响应,而不是提供一个"重新执行"管道的路径. 作者:依乐 ...

  3. Python自定义模块

    自定义模块 自定义模块(也就是私人订制),我们要自定义模块,首先就要知道什么是模块 一个函数封装一个功能,比如现在有一个软件,不可能将所有程序都写入一个文件,所以咱们应该分文件,组织结构要好,代码不冗 ...

  4. JVM入门必看——JVM结构

    转载自:http://blog.csdn.net/yfqnihao 这一节,主要来学习jvm的基本结构,也就是概述.说是概述,内容很多,而且概念量也很大,不过关于概念方面,你不用担心,我完全有信心,让 ...

  5. 【Weiss】【第03章】增补附注

    基本上每章到增补附注这里就算是结束了. 根据设想,每章的这一篇基本上会注明这一章哪些题没有做,原因是什么,如果以后打算做了也会在这里补充. 还有就是最后会把有此前诸多习题的代码和原数据结构放整理后,以 ...

  6. JavaScript隐式类型转换(详解 +,-,*,/,==)

    JavaScript 在 运算 或 比较 之前, 会自动进行隐式类型转换. 下面我们来仔细讲一讲 + - * / == 运算符经历了哪些过程. 类型转换 ECMAScript 运行时系统会在需要时从事 ...

  7. Natas14 Writeup(sql注入、sql万能密码)

    Natas14: 是一个登录页面.源码如下. if(array_key_exists("username", $_REQUEST)) { $link = mysql_connect ...

  8. BeanShell断言:根据响应的2个数据的比较结果来决定断言

    需求:目前有一个请求,请求的响应中有2个值,aaa和bbb,我们比较aaa和bbb,如果aaa大于bbb,则断言通过,否则失败. 1.添加一个Dummy Sampler,模拟请求. 2.添加2个正则表 ...

  9. IntegerCache缓存占用堆、栈、常量池的问题,自动拆装箱的基本概念,Integer==int时的问题说明

    原创声明:作者:Arnold.zhao 博客园地址:https://www.cnblogs.com/zh94 先普及一个基本概念:Java中基本数据类型的装箱和拆箱操作 自动装箱 在JDK5以后,我们 ...

  10. vue 拖拽框架 draggable

    直接使用  npm i -S vuedraggable  页面使用 <template> <div class="addProduct"> <el-d ...