一:Shiro
1.shiro是一个安全框架 使用shiro可以非常容易开发出足够好的应用,可以帮助我们完成:认证 授权 加密 会话管理 与web集成 缓存等。
2.Shiro的三个核心组件
*Subject:即”当前操作用户“,但在shiro中不仅仅指人还指第三方进程 后台账户 或其他类似事物。仅仅意味着”当前跟软件交互的东西“。
*SecurityManager:是shiro框架的核心 ,用来管理内部组件实例 提供安全管理的各种服务。
*Realm:充当Shiro与应用安全数据间的”桥梁“或者连接器。当用户执行认证(登录)和授权(访问控制)时,shiro会从应用配置的realm中查找用户及其权限信息。
二 shiro的运行过程
* 程序员自己编写的代码 在程序中需要进行权限控制 需要调用Subject的API
* Subject主体代表当前用户,所有的Subject都绑定到SecurityMananger。可以理解为Subject是个门面 而真正执行的是SecurityMananger。
* SecurityMananger(安全管理器) 所有与安全有关的操作都会与SecurityMananger交互,并且管理所有的Subject。
* Realm(域) shiro是从realm中获取安全数据(用户 角色 权限) 。就是说SecurityMananger要验证用户身份,那么默认要从realm中获取相应的用户进行比较以确定用户 身份是否合法。也需要从realm得到用户相应的角色、权限进行验证用户是否能进行操作。可以把realm看作是安全数据源。
三:shiro 的四种权限控制方式
* url级别权限控制
* 方法注解权限控制
* 代码级别控制权限
* 页面标签权限控制
原文链接:https://blog.csdn.net/mrxiaoliang123/article/details/80216371
Shiro实例-模拟最简单的HelloWord
引入Shiro的Jar包:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.3.2</version>
</dependency>
- 1
- 2
- 3
- 4
- 5
配置配置文件(放在resource文件下):
最简单的账户密码形式
[users]
chx=123456
jack=12345
- 1
- 2
- 3
Java-HelloWord类
package cn.chenhaoxiang;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
public class HelloWord {
private static Logger logger = LoggerFactory.getLogger(HelloWord.class);
public static void main(String[] args) {
//IniSecurityManagerFactory方法在1.4.0中被注解标志为不建议使用
//读取配置文件,初始化SecurityManager工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//获取securityManager 实例
SecurityManager securityManager=factory.getInstance();
//把securityManager实例绑定到SecurityUtils
SecurityUtils.setSecurityManager(securityManager);
//得到当前执行的用户
Subject subject = SecurityUtils.getSubject();//认证实体,当前进来的用户
//创建token令牌,用户名/密码
UsernamePasswordToken token = new UsernamePasswordToken("jack","12345");
//身份认证
try {
subject.login(token);
logger.info("登录成功!");
} catch (AuthenticationException e) {
//login的接口函数 void login(AuthenticationToken var1) throws AuthenticationException;所以直接抓AuthenticationException异常即可
//身份认证失败即抛出此异常
logger.info("登录失败!");
e.printStackTrace();
}
//登出
subject.logout();
}
}
源代码下载地址:
GITHUB源码下载地址: 【点我进行下载】