shiro框架简单介绍

最新推荐文章于 2022-08-24 22:40:13 发布
最新推荐文章于 2022-08-24 22:40:13 发布
阅读量556 收藏
点赞数
分类专栏: 安全框架 文章标签: shiro框架 安全框架 权限验证 模块管理
本文深入解析Apache Shiro框架,一个强大的Java安全框架,用于认证、授权、会话管理和加密。文章涵盖Shiro的工作原理,包括Subject、SecurityManager和Realm的概念,以及常见问题和解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

大家好,我是IT修真院武汉分院第15期学员,一枚正直善良的JAVA程序员。

今天给大家分享一下,java复盘中需要使用的shiro框架简单介绍

 

1.背景介绍

 

Apache Shiro是Java的一个安全框架。可以用在 JavaSE 和 JavaEE 环境,去帮助 完成:认证、授权、加密、会话管理、与Web集成、缓存等。

 

2.知识剖析

Authentication:身份认证/登录,验证用户是不是拥有相应的身份

Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。

Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中

Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web Support:Web支持,可以非常容易的集成到Web环境

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率

Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去

Testing:提供测试支持

Run As:允许一个用户假装为另一个用户的身份进行访问

Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

 

其中每个 api 的含义:

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager执行

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;它是Shiro的核心,它负责与后边介绍的其他组件进行交互,类似于 DispatcherServlet

Realm:域,Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份(权限),那么它需要从Realm获取相应的用户进行去确定用户身份是否合法(是否有权限);可以把Realm看成DataSource,即安全数据源。

 

 

3.常见问题

问题一:SHIRO认证内部的处理顺序
问题二:SHIRO在什么时候进行了权限授权
问题三:该如何扩展SHIRO的各种功能实现自己的业务逻辑

 

4.解决方案

 

回答一:
1、应用程序构建了一个终端用户认证信息的AuthenticationToken 实例后,调用Subject.login方法。

2、在认证开始时,会委托应用程序设置的securityManager实例调用securityManager.login(token)方法。

3、SecurityManager接受到token信息后会委托内置的Authenticator的实例,对设置的Realm实例进行适配

4、在Realm被调用后,AuthenticationStrategy将对每一个Realm的结果作出响应。

5、判断每一个Realm是否支持提交的token,如果支持,Realm将调用getAuthenticationInfo(token); 该方法就是实际认证处理,我们通过覆盖Realm的doGetAuthenticationInfo方法来编写我们自定义的认证处理。

 

回答二:访问权限页面而不是登录的时候

 

回答三:只需要继承各种默认类然后@override即可<p/>

 

 

5.编码实战

详见腾讯视频

 

 

6.扩展思考

 

Spring Security和Shiro的比较

1.首先Shiro较之 Spring Security,Shiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。

2.Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点:

1.易于理解的 Java Security API。

2.对角色的简单的签权(访问控制),支持细粒度的签权,

3.内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境。

4.不跟任何的框架或者容器捆绑,可以独立运行。

 

 

7.参考文献

 

参考一:http://jinnianshilongnian.iteye.com/blog/2018398

参考二:https://blog.youkuaiyun.com/it_java_shuai/article/details/78054951

 

8.更多讨论

今天的分享就到这里啦,欢迎大家提问和探讨!

Shiro框架简单介绍
Math_freak的博客
03-14 308
Shiro框架简单介绍权限认证框架shiro框架 权限认证框架 当下最常用的几款登录和鉴权框架有: spring-security(这不是本文重点,略) • 基于Spring开发,和Spring契合度高 • 功能多 • 社区资源丰富 • 使用起来比较复杂 apache-shiro • 不依赖于Spring • 简单易上手 • 功能和社区资源比SpringSecurity稍弱 oauth2.0(推荐http://www.ruanyifeng.com/blog/2019/04/oauth_design.h
Shiro框架详解
qq_39756007的博客
02-21 914
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
shiro安全框架(一)框架的简介及框架结构的介绍
12-13
Apache Shiro 是java的一个安全框架。它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Shiro框架简单介绍及使用
凡是过往,皆为序章
03-26 1181
目录 一、架构 二、实现Realm (1)缓存机制 (2)散列算法与加密算法 (3)用户注册 (4)匹配 (5)获取用户的角色和权限信息 (6)会话 三、与SpringMVC集成 (1)配置前端过滤器 四、总结 五、推荐 本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936...
Shiro 框架简单介绍
晓宇博客
07-15 461
Shiro介绍 Shiro 是 JAVA 权限框架,较之 JAAS 和 Spring Security,Shiro 在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。 Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。 如下是它所具有的特点: 易于理解的 Java Security API; 简单的身份认证(登录),支持多种数据源(LDAP,...
Shiro 简单介绍
嵩园
08-22 442
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架Shiro简单的多。因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单Shiro...
1.初始shiro框架简单shiro框架使用.docx
09-19
Shiro 框架简介和基本使用 Shiro 是一个开源的 Java 安全框架,由 Apache 软件基金会开发和维护。它提供了强大的身份验证、授权、加密和会话管理功能,帮助开发者快速构建安全的应用程序。下面是 Shiro 框架的基本...
Shiro权限框架 01(shiro框架入门)
m0_67094505的博客
08-24 567
Shiro是Apache的一个开源框架,是一个权限管理框架,实现用户认证、用户授权。​ 权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。Spring中有Spring security(原名Acegi),是一个权限框架,它和Spring依赖过于紧密,没有Shiro使用简单Shiro不依赖于Spring,Shiro不仅可以实现Web应用的权限管理,还可以实现c/s系统。
shiro框架教程
07-17
Shiro框架的设计理念是简单易用,它提供了易于理解和操作的API,使其在Java项目中广泛应用。与Spring Security相比,Shiro虽然功能相对简单,但它更加轻量级,适用于不需要过于复杂安全功能的应用。 Shiro框架的...
Apache Shiro 框架简介
01-11
一、什么是Shiro  ...并且相对于其他安全框架Shiro简单的多。  二、Shiro的架构介绍  首先,来了解一下Shiro的三个核心组件:Subject, SecurityManager 和 Realms. 如下图:  Subject:即“当
shiro 简单介绍
qq_42218123的博客
08-25 315
大家好,我是修真院 武汉分院 第十五期 java 学员,今天 我给大家分享的是——shiro 简单介绍   1.背景介绍 2.知识剖析 3.常见问题 4.编码实战 5.扩展思考 6.参考文献 7.更多讨论   1.背景介绍 Apache Shiro是Java的一个安全框架。可以用在 JavaSE 和 JavaEE 环境,去帮助 完成:认证、授权、加密、会话管理、与Web集成、...
Shiro简单介绍
qq_33923684的博客
08-06 211
一、shiro介紹 ①简介 Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架Shiro简单的多。本教程只介绍基本的 Shiro 使用,不会过多分析源码等,重在使用。相比较 Spring Security,Shiro 小巧的多。 Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API
简单介绍shiro
weixin_43857576的博客
10-12 286
shiro shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的解决方案的认证,授权,加密,会话管理 1、shiro主要的功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。 Subject代表了当前用户的安全操作,Security
Shiro框架的简介
weixin_44664095的博客
02-03 842
1, 什么是shiro Apache Shiro 是Java 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 2,为什么要学shiro 1,既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成...
Shiro的简介及原理
笙箫的博客
10-23 972
1. 简单介绍一下 Shiro 框架 Apache Shiro 是 Java 的一个安全框架。使用 shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。三个核心组件:Subject, SecurityManager 和 Realms. Subject:...
shiro介绍
zlt的博客
03-22 381
1.1 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 1.2 为什么要学shiro 既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 shiro使用广泛,shiro可以运行在web应...
Shiro框架(一)-Shiro概述
threelifeadv的博客
03-28 564
Shiro: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Shiro的核心组件: Subject: 表示主体,代表了当前用户的安全操作。外部用户与Subject进行交互,Subject记录了当前操作用户。在Shiro中,...
shiro简介
lujiangui的专栏
07-01 2511
什么是shiro Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架 应该尽可能掩盖复杂的地方,露出一个干净而直...
Shiro框架总结
cxmengxin的博客
07-08 1213
Shiro框架总结 一、Shrio框架 1、Shiro介绍 (1)RBAC Shiro是一款基于资源的访问控制框架即RBAC(Resource-Based Access Control),其将安全认证等相关功能全部提取出来抽象成了一个框架,使用Shiro能够轻松方便的完成认证、授权、加密等功能的开发。 (2)角色(roles)与权限(Permission) 角色与权限Shiro认证授权的核心概念。在用户登录时,Shiro对用户进行认证,并授予其相应的角色,而角色也有其对应的权限,根据角色所具有的权限从而可
Apache Shiro 框架详解及核心组件介绍
Apache Shiro 是一个广泛使用的 Java 安全框架,它为开发人员提供了简单易用的工具来实现应用程序的安全性。Shiro 的核心功能涵盖了四个主要领域:认证、授权、加密和会话管理。 **认证**,也称为身份验证,是确认...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值