shiro的核心概念

最新推荐文章于 2025-03-25 16:39:55 发布
最新推荐文章于 2025-03-25 16:39:55 发布
阅读量380 收藏 1
点赞数 1
分类专栏: shiro 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_61754040/article/details/125419949
版权
Apache Shiro是一个轻量级的安全框架,提供认证、授权等功能,不依赖Spring,适合各种环境。其核心概念包括Subject、SecurityManager和Realm。Subject代表当前操作用户,SecurityManager是框架核心,负责调度安全操作,而Realm负责用户信息和权限的验证。Shiro支持与Web的集成,通过过滤器实现URL级别的安全控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

  • 1. shiro简介
  • 2. shiro优势
  • 3. 核心概念
    •  Subject
    • SecurityManager
    • Realm
    • 工作原理示意图
  • 4. 典型安全场景
    • 4.1 认证
    • 4.2 授权
  • 5. shiro与web集成
    • 5.1 集成
    • 5.2 url过滤器

1.shiro简介

shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。

应用场景:

  1. 在独立应用中使用
  2. 在web中使用
  3. 在spring框架中集成。

shiro 解决应用安全的四要素:

  • 认证 - 用户身份识别,常被称为用户“登录”
  • 授权 - 访问控制
  • 密码加密 - 保护或隐藏数据防止被偷窥
  • 会话管理 - 与用户相关的时间敏感的数据

 

2. shiro优势

  • 易用: 相当于其他安全框架,shiro比较简单易用
  • 广泛: 使用非常广泛,资料好找
  • 灵活: 可以工作在很多工作环境,web,ejb,ioc等等
  • web支持: 对web的支持好,允许你基于应用 URL 和 Web 协议(如 REST)创建灵活的安全策略,同时还提供了一套控制页面输出的 JSP 标签库
  • 支持:应用广泛,是 Apache 软件基金会成员

 

3. 核心概念

Shiro的核心概念有三个:Subject,SecurityManager 和 Realms。

核心类:
Authentication
    身份认证/登录,验证用户是不是拥有相应的身份;
Authorization
    授权,即权限验证,验证某个已认证的用户是否拥有某个权限;

主要概念:
Subject 
    当前的操作用户:可以是人、爬虫、当前跟软件交互的东西。 在shiro当中我们可以统称"用户";
    在代码的任何地方,都能轻易的获得Shiro Subject。
    一旦获得Subject就能,登录、退出、访问会话、执行授权检查等 

在应用系统中,使用shiro可以方便的获取当前操作的主体:

//获取当前主体
Subject currentUser =SecurityUtils.getSubject();

//判断主体是否具有指定角色。
subject.hasRole("administrator")


SecurityManager
    SecurityManager管理所有用户的安全操作
    引用了多个内部嵌套安全组件,是Shiro框架的核心
    可以把它看成DispatcherServlet(springmvc)前端控制器。
    用于调度各种Shiro框架的服务SecurityManager是通过java代码或配置文件生成,用来管理所有      用户的安全操作的对象,是单例的。

以ini配置文件为例:

// 1.装入 INI 配置
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

//2. 创建 SecurityManager
SecurityManager securityManager = factory.getInstance();

//3. 使其可访问
SecurityUtils.setSecurityManager(securityManager);


Realms
    Realms是用户的信息认证器和用户的权限认证器
    执行认证(登录)和授权(访问控制)时,Shiro会从应用配置的Realm中查找很多内容
    Realm 可以理解为读取用户信息、角色及权限的 DAO
    SecurityManager要验证用户身份与权限,那么它需要从Realm获取相应的信息进行比较以确定用户身份是否合法;
    可以把Realm看成DataSource,即安全数据源。

选择其中的JdbcRealm,他的继承体系如下

 

注意:在配置Shiro 时,必须指定至少一个 Realm ,可以配置多个。

Shiro 内置了一些Realm ,支持多种数据源的连接,如JDBC、LDAP、INI文件的连接等。另外,可以自定义Realm 实现,方便个性化的应用场景。

4.典型的安全场景 

 

应用安全的四要素:认证、授权、会话管理、加密。

4.1 认证

虽然有些武断,但是一般web 应用认证就是登录功能。也就是说,当用户使用应用进行认证时,他们就在证明他们就是自己所说的那个人。

这是一个典型的三步过程

1、收集用户身份信息,成为当事人(principal),以及身份的支持证明,称为证书(Credential)

2、将当事人和证书提交给系统。

3、如果提交的证书与系统期望的该用户身份(当事人)匹配,该用户就被认为是经过认证的,反之则被认为未经认证的。

Shiro 以简单直观的方式支持同样的流程。Shiro 有一套以Subject 为中心的API,几乎你想要用 Shiro 在运行时完成的所有事情都能通过与当前执行的 Subject 进行交互而达成。因此,要登录 Subject,只需要简单地调用它的 login 方法。传入表示被提交当事人和证书(在这种情况下,就是用户名和密码)的 AuthenticationToken 实例。

4.2 授权

授权实质上就是访问控制,控制已认证的用户能够访问应用的哪些内容,如资源、页面等。

多数用户执行访问控制是通过 角色 + 权限 的概念来完成的。角色是所有用户个体的一个分组,如管理员、普通用户、商家等;而权限 则表示具体能够操作的行为,比如查询所有用户、删除某些用户、修改信息等等,是与具体应用资源直接挂钩的。

用户、角色和 权限三者往往通过 角色 来进行转换,用户和权限之间通常不进行直接绑定:

 

5.shiro与web的集成

5.1 集成

1)配置文件shiro-web.ini
2)通过监听器EnvironmentLoaderListener读取配置文件,来创建相应的WebEnvironment

可通过shiroConfigLocations参数,指定shiro的配置文件
shiroConfigLocations 默认是“/WEB-INF/shiro.ini”IniWebEnvironment默认是先从/ WEB-INF/shiro.ini加载, 如果没有就默认加载 classpath:shiro.ini。

3) 配置过滤器,放在web.xml的最前面。该过滤器拦截所有的请求进行安全验证。

5.2 url过滤器

shiro通过url过滤器链功能支持特定的过滤规则。示例:

[urls]
/assets/** = anon
/user/signup = anon
/user/** = user
/rpc/rest/** = perms[rpc:invoke], authc
/** = authc

对于每一行,等号左边的值表示相对上下文的 Web 应用路径。等号右边的值定义了过滤器链 - 一个逗号分隔的有序 Servlet 过滤器列表,它会针对给出的路径进行执行。
shiro内置的安全过滤器:

过滤器示例作用
anon/admins/**=anon表示可以匿名使用,如登录页面
authc/admins/user/**=authc表示需要认证才可使用
roles/admins/user/**=roles[admin]参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法
perms/admins/user/**=perms[user:add:*]perms参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:,user:modify:"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法
rest/admins/user/**=rest[user]根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等
authcBasic/admins/user/**=authcBasic没有参数表示httpBasic认证
过滤器实现类
anonorg.apache.shiro.web.filter.authc.AnonymousFilter
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
restorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
shiro核心资料笔记
04-04
超级详细的shiro笔记 , 基本使用 , 整合web , 整合spring ,都有详细的记录 , 纯手写笔记 , 包含代码.............
Shiro安全框架概念
01-10
Apache Shiro是一个强大的Java安全框架,它为开发者提供了认证、授权、加密和会话管理等功能,使得在构建...通过理解Shiro的基本概念和组件,开发者能够更有效地利用Shiro保护他们的应用程序,并确保用户数据的安全。
Apache Shiro 核心概念
王浩的技术博客
09-25 399
Shiro框架中有三个核心概念:Subject ,SecurityManager和Realms。 2.1.1 Subject Subject一词是一个安全术语,其基本意思是“当前的操作用户”。称之为“用户”并不准确,因为“用户”一词通常跟人相关。在安全领域,术语“Subject”可以是人,也可以是第三方进程、后台帐户(Daemon Account)、定时作业(Corn Job)或其他类似事...
Shiro学习(一):Shiro介绍和基本使用
最新发布
liang8999的博客
03-25 786
Shiro 的设计目标是简化企业级应用程序的安全性开发过程,同时保持代码的简洁和易于维护。1)IniRealm:基于 .ini文件的配置,从Shiro.ini读取用户 认证/授权 和 角色数据。Realm,安全数据源, 是连接Shiro 与 安全数据的桥梁(如:JDBC数据库数据、LADP、SimpleAccountRealm是Shiro 提供的一个最基本的 Realm 内存实现,适用于快速原型开发。SecurityManager 是Shrio 的核心,管理所有的安全操作,协调所有安全组件,
Shiro————核心设计思想
热门推荐
Morty的技术乐园
09-14 2万+
引言 以此篇博客为引,开启一个新的专栏分类——Shiro。 之前在工作中有比较快速的学习过Shiro安全框架,但经过一年的荒废,已经不是很熟悉了,通过这个系列,深入研究和学习Shiro的一些知识,填补安全管理方面的知识漏洞。使我们在web 开发领域更具竞争力,不做只会CRUD的程序员! 一、Shiro介绍 Shiro是一个Java安全框架,执行身份验证、授权、密码、会话管理。Shiro是A...
shiro基础概念
robin912的专栏
05-29 495
原文 shiro的功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。 Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它...
Shiro概述以及核心概念
weixin_43478300的博客
10-25 385
Shiro概述以及核心概念 Shiro概述 Apache ShiroJava的一个安全框架 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证、授权、加密、会话管理、与Web集成、缓存等 Shiro使用起来小而简单 spring中有spring security ,是一个权限框架,它和spring依赖过于紧密,没有shiro使用简...
Java安全框架Shiro核心概念与面试重点解析
Apache Shiro是一个强大的Java安全框架,它提供了身份认证、授权、加密和会话管理功能,大大简化了在应用程序中处理安全问题的过程。...对于面试而言,理解并掌握Shiro的这些核心概念和用法是非常重要的。
Apache Shiro入门教程:过滤器详解与核心概念
以下是对Shiro核心概念和组件的深入解析: 1. 身份验证(Authentication):这是验证用户身份的过程,也就是通常所说的“登录”。Shiro提供了多种方式来实现这一过程,包括基于表单的身份验证...
Apache Shiro安全框架详解:核心概念与基本语法
### Shiro核心概念 1. **SecurityManager**: 安全管理器是Shiro框架的核心,负责协调所有组件并管理安全相关的操作。它执行认证和授权流程,管理Subject的状态,并可配置不同的 Realm 实现不同的数据源。 2. **...
shiro 概念
昭瑞的专栏
07-19 438
http://www.infoq.com/cn/articles/apache-shirosubject :登录系统的主体import org.apache.shiro.subject.Subject; import org.apache.shiro.SecurityUtils; … Subject currentUser = SecurityUtils.getSubject();securi
Shiro的三大核心
qq_42426993的博客
12-24 640
Shiro的三大核心 subject 应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject,Subject代表了当前的用户,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等,与Subject的所有交互都会委托给SecurityManager;Subject其实是一个门面,SecurityManager才是实际的执行者。 SecurityManager 安全管理器,即所有与安全有关的操作都会与SercurityManger
Shiro中的核心概念
e_watermelons的博客
07-14 759
Apache Shiro™ 是一个功能强大且易于使用的 Java 安全框架,用于执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序 - 从最小的移动应用程序到最大的 Web 和企业应用程序。Apache Shiro(发音为“shee-roh”,日语中“城堡”的意思)是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理,可用于保护任何应用程序的安全 -从命令行应用程序、移动应用程序到最大的 Web 和企业应用程序。
Shiro基本概念
pur_e的专栏
10-24 565
来源日文单词“城”(读音-xi lao) 一、三个基本概念——Subject,SecurityManager,Realms Subject,通俗讲代表当前用户,不叫User,因为一般User是用来代表一个人的,Subject更加宽泛,如第三方进程,后台用户等,指的是当前与软件进行交互的东西。在需要时,任何位置都可以调用: import org.apache.shiro.subject.Subj...
Apache Shiro 授权概念
王浩的技术博客
10-26 159
授权即是访问控制,是对资源访问管理过程。它将判断用户在应用程序中是否对资源有相应的访问权限。比如:判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。 授权有三个核心元素:权限,角色和用户。 1权限 在ApacheShiro中权限是安全机制中最核心的元素。它在应用程序中明确地声明了被允许的行为,一个格式良好的权限声明可以清晰地表达出用户与资源交互...
shiro】基本概念
Elsa
12-19 1186
           Apache Shiro是一个强大的且易用的java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,可以快速,轻松的获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。      Shiro是一个开源框架,一个权限管理的框架,在Spring中有Spring security,是一个权限框架,它和Spring依赖过于紧密,虽然功...
shiro核心流程
qq_40345074的博客
06-15 263
分为三大块:第一块 :Subject 主题、用户第二块:Security Manager shiro核心第三块:Realm校验密码/权限
Shiro核心概念
m0_37208669的博客
04-08 230
官网 http://shiro.apache.org/introduction.html http://shiro.apache.org/architecture.html [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-J2rdihpo-1586338243922)(http://tuchuang.zhangln.com/h6PW9V.png)] 核心概念 身份认...
Shiro - 安全框架核心类及相关概念概述
江南烟雨却痴缠丶
09-09 631
Apache ShiroJava的一个安全框架 1.Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证、授权、加密、会话管理、与Web集成、缓存等 2.Shiro使用起来小而简单 3.spring中有spring security ,是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 4.shiro不依赖于spring,shiro不仅可以实现web...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值