Shiro 之使用
2023-04-18 14:45:31 时间
一、shiro概述
- shiro 是一个功能强大且易于使用的Java安全框架.
- shiro官网:http://shiro.apache.org/
- Github地址:https://github.com/apache/shiro
- shiro官方架构图
二、主要名词解析
- Subject subject记录了当前操作用户,将用户的概念理解为当前操作的主体
- SecurityManager SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。
- Authenticator Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,也可以自定义认证器。
- Authorizer 用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
- Realm securityManager进行安全认证需要通过Realm获取用户权限数据
- SessionManager shiro框架定义了一套会话管理,它不依赖web容器的session
- SessionDAO 是对session会话操作的一套接口
- CacheManager 将用户权限数据存储在缓存,这样可以提高性能
- Cryptography shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。
三、十分钟快速入门
- 简单的运行一个dmeo
一、导入maven依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.7.1</version>
</dependency>
二、通过.ini 文件初始化一个Realm
- 配置文件:名称随意,以
.ini
结尾,放在resources
目录下
[users]
admin=admin321
lilei=lilei321
三、运行代码
package com.live.shiro;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
public class QuickstartShiro {
public static void main(String[] args) {
// 创建默认的安全管理器
DefaultSecurityManager securityManager = new DefaultSecurityManager();
// 通过.ini文件创建给安全管理器设置默认的Realm
securityManager.setRealm(new IniRealm("classpath:shiro-config.ini"));
// 全局安全工具类,设置安全管理器进行认证
SecurityUtils.setSecurityManager(securityManager);
// 创建令牌
UsernamePasswordToken token = new UsernamePasswordToken("admin", "admin321");
// 得到当前的 subject,也就是当前的用户
Subject subject = SecurityUtils.getSubject();
try{
// 打印是否授权
System.out.println(subject.isAuthenticated());
// 用户登陆认证
subject.login(token);
// true 登陆之后就是授权
System.out.println(subject.isAuthenticated());
}catch (UnknownAccountException e){
System.out.println("用户不存在");
}catch (IncorrectCredentialsException e){
System.out.println("密码错误");
}catch (AuthenticationException e){
System.out.println("认证失败");
e.printStackTrace();
}
}
}
- 运行发现执行
subject.login(token)
之后,认证成功了。 - 所以我们在
subject.login(token)
通过debug进入到里面的实现 - 调用到
DelegatingSubject.login()
->DefaultSecurityManager.login()
…->AuthenticatingRealm.doGetAuthenticationInfo()
->SimpleAccountRealm.doGetAuthenticationInfo()
- 也就是最终调用的认证就是
doGetAuthenticationInfo()
方法。
source: //rstyro.github.io/blog/2020/04/18/shiro之使用
相关文章
- 【技术种草】cdn+轻量服务器+hugo=让博客“云原生”一下
- CLB运维&运营最佳实践 ---访问日志大洞察
- vnc方式登陆服务器
- 轻松学排序算法:眼睛直观感受几种常用排序算法
- 十二个经典的大数据项目
- 为什么使用 CDN 内容分发网络?
- 大数据——大数据默认端口号列表
- Weld 1.1.5.Final,JSR-299 的框架
- JavaFX 2012:彻底开源
- 提升as3程序性能的十大要点
- 通过凸面几何学进行独立于边际的在线多类学习
- 利用行动影响的规律性和部分已知的模型进行离线强化学习
- ModelLight:基于模型的交通信号控制的元强化学习
- 浅谈Visual Source Safe项目分支
- 基于先验知识的递归卡尔曼滤波的代理人联合状态和输入估计
- 结合网络结构和非线性恢复来提高声誉评估的性能
- 最佳实践丨云开发CloudBase多环境管理实践
- TimeVAE:用于生成多变量时间序列的变异自动编码器
- 具有线性阈值激活的神经网络:结构和算法
- 内网渗透之横向移动 -- 从域外向域内进行密码喷洒攻击