30分钟如何学会使用Shiro

最新推荐文章于 2025-07-16 14:14:17 发布
转载 最新推荐文章于 2025-07-16 14:14:17 发布 · 1.5w 阅读 · 186
文章标签:

#shiro #apache #spring #spring security #java


Shiro简介


shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密,目前使用Apache Shiro的人越来越多。


与spring security区别,个人觉得二者的主要区别是:

1、shiro灵活性强,易学易扩展。同时,不仅可以在web中使用,可以工作在任务环境内中。
2、acegi security灵活性较差,比较难懂,但与spring整合性好。


并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。但是如果想深入学习的话,还是完全不够的!小编为小伙伴找到了一份不错的 shiro 教学视频 公众号 回复 “shiro” 获取


一、架构


要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例:



(1)使用用户的登录信息创建令牌


UsernamePasswordToken token = new UsernamePasswordToken(username, password);


token可以理解为用户令牌,登录的过程被抽象为Shiro验证令牌是否具有合法身份以及相关权限。


(2)执行登陆动作


SecurityUtils.setSecurityManager(securityManager); // 注入SecurityManager
Subject subject = SecurityUtils.getSubject(); // 获取Subject单例对象
subject.login(token); // 登陆


Shiro的核心部分是SecurityManager,它负责安全认证与授权。Shiro本身已经实现了所有的细节,用户可以完全把它当做一个黑盒来使用。SecurityUtils对象,本质上就是一个工厂类似Spring中的ApplicationContext。Subject是初学者比较难于理解的对象,很多人以为它可以等同于User,其实不然。Subject中文翻译:项目,而正确的理解也恰恰如此。它是你目前所设计的需要通过Shiro保护的项目的一个抽象概念。通过令牌(token)与项目(subject)的登陆(login)关系,Shiro保证了项目整体的安全。

(3)判断用户

Shiro本身无法知道所持有令牌的用户是否合法,因为除了项目的设计人员恐怕谁都无法得知。因此Realm是整个框架中为数不多的必须由设计者自行实现的模块,当然Shiro提供了多种实现的途径,本文只介绍最常见也最重要的一种实现方式——数据库查询。

(4)两条重要的英文

我在学习Shiro的过程中遇到的第一个障碍就是这两个对象的英文名称:AuthorizationInfo,AuthenticationInfo。不用怀疑自己的眼睛,它们确实长的很像,不但长的像,就连意思都十分近似。

在解释它们前首先必须要描述一下Shiro对于安全用户的界定:和大多数操作系统一样。用户具有角色和权限两种最基本的属性。例如,我的Windows登陆名称是learnhow,它的角色是administrator,而administrator具有所有系统权限。这样learnhow自然就拥有了所有系统权限。那么其他人需要登录我的电脑怎么办,我可以开放一个guest角色,任何无法提供正确用户名与密码的未知用户都可以通过guest来登录,而系统对于guest角色开放的权限极其有限。

同理,Shiro对用户的约束也采用了这样的方式。AuthenticationInfo代表了用户的角色信息集合,AuthorizationInfo代表了角色的权限信息集合。如此一来,当设计人员对项目中的某一个url路径设置了只允许某个角色或具有某种权限才可以访问的控制约束的时候,Shiro就可以通过以上两个对象来判断。说到这里,大家可能还比较困惑。先不要着急,继续往后看就自然会明白了。


二、实现Realm


如何实现Realm是本文的重头戏,也是比较费事的部分。这里大家会接触到几个新鲜的概念:缓存机制、散列算法、加密算法。由于本文不会专门介绍这些概念,所以这里仅仅抛砖引玉的谈几点,能帮助大家更好的理解Shiro即可。

(1)缓存机制

Ehcache是很多Java项目中使用的缓存框架,Hibernate就是其中之一。它的本质就是将原本只能存储在内存中的数据通过算法保存到硬盘上,再根据需求依次取出。你可以把Ehcache理解为一个Map<String,Object>对象,通过put保存对象,再通过get取回对象。


<?xml version="1.0" encoding="UTF-8"?>
<ehcache name="shirocache">
    <diskStore path="java.io.tmpdir" />

    <cache name="passwordRetryCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="1800"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>
</ehcache>


以上是ehcache.xml文件的基础配置,timeToLiveSeconds为缓存的最大生存时间,timeToIdleSeconds为缓存的最大空闲时间,当eternal为false时ttl和tti才可以生效。更多配置的含义大家可以去网上查询。

(2)散列算法与加密算法

md5是本文会使用的散列算法,加密算法本文不会涉及。散列和加密本质上都是将一个Object变成一串无意义的字符串,不同点是经过散列的对象无法复原,是一个单向的过程。例如,对密码的加密通常就是使用散列算法,因此用户如果忘记密码只能通过修改而无法获取原始密码。但是对于信息的加密则是正规的加密算法,经过加密的信息是可以通过秘钥解密和还原。

(3)用户注册

请注意,虽然我们一直在谈论用户登录的安全性问题,但是说到用户登录首先就是用户注册。如何保证用户注册的信息不丢失,不泄密也是项目设计的重点。


public class PasswordHelper {
    private RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();
    private String algorithmName = "md5";
    private final int hashIterations = 2;

    public void encryptPassword(User user) {
        // User对象包含最基本的字段Username和Password
        user.setSalt(randomNumberGenerator.nextBytes().toHex());
        // 将用户的注册密码经过散列算法替换成一个不可逆的新密码保存进数据,散列过程使用了盐
        String newPassword = new SimpleHash(algorithmName, user.getPassword(),
                ByteSource.Util.bytes(user.getCredentialsSalt()), hashIterations).toHex();
        user.setPassword(newPassword);
    }
}


如果你不清楚什么叫加盐可以忽略散列的过程,只要明白存储在数据库中的密码是根据户注册时填写的密码所产生的一个新字符串就可以了。经过散列后的密码替换用户注册时的密码,然后将User保存进数据库。剩下的工作就丢给UserService来处理。

那么这样就带来了一个新问题,既然散列算法是无法复原的,当用户登录的时候使用当初注册时的密码,我们又应该如何判断?答案就是需要对用户密码再次以相同的算法散列运算一次,再同数据库中保存的字符串比较。

(4)匹配

CredentialsMatcher是一个接口,功能就是用来匹配用户登录使用的令牌和数据库中保存的用户信息是否匹配。当然它的功能不仅如此。本文要介绍的是这个接口的一个实现类:HashedCredentialsMatcher


public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher {
    // 声明一个缓存接口,这个接口是Shiro缓存管理的一部分,它的具体实现可以通过外部容器注入
    private Cache<String, AtomicInteger> passwordRetryCache;

    public RetryLimitHashedCredentialsMatcher(CacheManager cacheManager) {
        passwordRetryCache = cacheManager.getCache("passwordRetryCache");
    }

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        String username = (String) token.getPrincipal();
        AtomicInteger retryCount = passwordRetryCache.get(username);
        if (retryCount == null) {
            retryCount = new AtomicInteger(0);
            passwordRetryCache.put(username, retryCount);
        }
        // 自定义一个验证过程:当用户连续输入密码错误5次以上禁止用户登录一段时间
        if (retryCount.incrementAndGet() > 5) {
            throw new ExcessiveAttemptsException();
        }
        boolean match = super.doCredentialsMatch(token, info);
        if (match) {
            passwordRetryCache.remove(username);
        }
        return match;
    }
}


可以看到,这个实现里设计人员仅仅是增加了一个不允许连续错误登录的判断。真正匹配的过程还是交给它的直接父类去完成。连续登录错误的判断依靠Ehcache缓存来实现。显然match返回true为匹配成功。

(5)获取用户的角色和权限信息

说了这么多才到我们的重点Realm,如果你已经理解了Shiro对于用户匹配和注册加密的全过程,真正理解Realm的实现反而比较简单。我们还得回到上文提及的两个非常类似的对象AuthorizationInfo和AuthenticationInfo。因为Realm就是提供这两个对象的地方。


public class UserRealm extends AuthorizingRealm {
    // 用户对应的角色信息与权限信息都保存在数据库中,通过UserService获取数据
    private UserService userService = new UserServiceImpl();

    /**
     * 提供用户信息返回权限信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        // 根据用户名查询当前用户拥有的角色
        Set<Role> roles = userService.findRoles(username);
        Set<String> roleNames = new HashSet<String>();
        for (Role role : roles) {
            roleNames.add(role.getRole());
        }
        // 将角色名称提供给info
        authorizationInfo.setRoles(roleNames);
        // 根据用户名查询当前用户权限
        Set<Permission> permissions = userService.findPermissions(username);
        Set<String> permissionNames = new HashSet<String>();
        for (Permission permission : permissions) {
            permissionNames.add(permission.getPermission());
        }
        // 将权限名称提供给info
        authorizationInfo.setStringPermissions(permissionNames);

        return authorizationInfo;
    }

    /**
     * 提供账户信息返回认证信息
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        User user = userService.findByUsername(username);
        if (user == null) {
            // 用户名不存在抛出异常
            throw new UnknownAccountException();
        }
        if (user.getLocked() == 0) {
            // 用户被管理员锁定抛出异常
            throw new LockedAccountException();
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),
                user.getPassword(), ByteSource.Util.bytes(user.getCredentialsSalt()), getName());
        return authenticationInfo;
    }
}


根据Shiro的设计思路,用户与角色之前的关系为多对多,角色与权限之间的关系也是多对多。在数据库中需要因此建立5张表,分别是用户表(存储用户名,密码,盐等)、角色表(角色名称,相关描述等)、权限表(权限名称,相关描述等)、用户-角色对应中间表(以用户ID和角色ID作为联合主键)、角色-权限对应中间表(以角色ID和权限ID作为联合主键)。具体dao与service的实现本文不提供。总之结论就是,Shiro需要根据用户名和密码首先判断登录的用户是否合法,然后再对合法用户授权。而这个过程就是Realm的实现过程。

(6)会话

用户的一次登录即为一次会话,Shiro也可以代替Tomcat等容器管理会话。目的是当用户停留在某个页面长时间无动作的时候,再次对任何链接的访问都会被重定向到登录页面要求重新输入用户名和密码而不需要程序员在Servlet中不停的判断Session中是否包含User对象。启用Shiro会话管理的另一个用途是可以针对不同的模块采取不同的会话处理。以淘宝为例,用户注册淘宝以后可以选择记住用户名和密码。之后再次访问就无需登陆。但是如果你要访问支付宝或购物车等链接依然需要用户确认身份。当然,Shiro也可以创建使用容器提供的Session最为实现。


三、与SpringMVC集成


有了注册模块和Realm模块的支持,下面就是如何与SpringMVC集成开发。有过框架集成经验的同学一定知道,所谓的集成基本都是一堆xml文件的配置,Shiro也不例外。

(1)配置前端过滤器

先说一个题外话,Filter是过滤器,interceptor是拦截器。前者基于回调函数实现,必须依靠容器支持。因为需要容器装配好整条FilterChain并逐个调用。后者基于代理实现,属于AOP的范畴。

如果希望在WEB环境中使用Shiro必须首先在web.xml文件中配置


<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
    id="WebApp_ID" version="3.0">
    <display-name>Shiro_Project</display-name>
    <welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>
    <servlet>
        <servlet-name>SpringMVC</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>classpath:springmvc.xml</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
        <async-supported>true</async-supported>
    </servlet>
    <servlet-mapping>
        <servlet-name>SpringMVC</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <listener>
        <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>
    </listener>
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <!-- 将Shiro的配置文件交给Spring监听器初始化 -->
        <param-value>classpath:spring.xml,classpath:spring-shiro-web.xml</param-value>
    </context-param>
    <context-param>
        <param-name>log4jConfigLoaction</param-name>
        <param-value>classpath:log4j.properties</param-value>
    </context-param>
    <!-- shiro配置 开始 -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <async-supported>true</async-supported>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- shiro配置 结束 -->
</web-app>


熟悉Spring配置的同学可以重点看有绿字注释的部分,这里是使Shiro生效的关键。由于项目通过Spring管理,因此所有的配置原则上都是交给Spring。DelegatingFilterProxy的功能是通知Spring将所有的Filter交给ShiroFilter管理。

接着在classpath路径下配置spring-shiro-web.xml文件


<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
    xmlns:context="http://www.springframework.org/schema/context"
    xmlns:mvc="http://www.springframework.org/schema/mvc"
    xsi:schemaLocation="http://www.springframework.org/schema/beans    
                        http://www.springframework.org/schema/beans/spring-beans-3.1.xsd    
                        http://www.springframework.org/schema/context    
                        http://www.springframework.org/schema/context/spring-context-3.1.xsd    
                        http://www.springframework.org/schema/mvc    
                        http://www.springframework.org/schema/mvc/spring-mvc-4.0.xsd">

    <!-- 缓存管理器 使用Ehcache实现 -->
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml" />
    </bean>

    <!-- 凭证匹配器 -->
    <bean id="credentialsMatcher" class="utils.RetryLimitHashedCredentialsMatcher">
        <constructor-arg ref="cacheManager" />
        <property name="hashAlgorithmName" value="md5" />
        <property name="hashIterations" value="2" />
        <property name="storedCredentialsHexEncoded" value="true" />
    </bean>

    <!-- Realm实现 -->
    <bean id="userRealm" class="utils.UserRealm">
        <property name="credentialsMatcher" ref="credentialsMatcher" />
    </bean>

    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="userRealm" />
    </bean>

    <!-- Shiro的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="/" />
        <property name="unauthorizedUrl" value="/" />
        <property name="filterChainDefinitions">
            <value>
                /authc/admin = roles[admin]
                /authc/** = authc
                /** = anon
            </value>
        </property>
    </bean>

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
</beans>


需要注意filterChainDefinitions过滤器中对于路径的配置是有顺序的,当找到匹配的条目之后容器不会再继续寻找。因此带有通配符的路径要放在后面。三条配置的含义是: /authc/admin需要用户有用admin权限、/authc/**用户必须登录才能访问、/**其他所有路径任何人都可以访问。

说了这么多,大家一定关心在Spring中引入Shiro之后到底如何编写登录代码呢。


@Controller
public class LoginController {
    @Autowired
    private UserService userService;

    @RequestMapping("login")
    public ModelAndView login(@RequestParam("username") String username, @RequestParam("password") String password) {
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
        } catch (IncorrectCredentialsException ice) {
            // 捕获密码错误异常
            ModelAndView mv = new ModelAndView("error");
            mv.addObject("message", "password error!");
            return mv;
        } catch (UnknownAccountException uae) {
            // 捕获未知用户名异常
            ModelAndView mv = new ModelAndView("error");
            mv.addObject("message", "username error!");
            return mv;
        } catch (ExcessiveAttemptsException eae) {
            // 捕获错误登录过多的异常
            ModelAndView mv = new ModelAndView("error");
            mv.addObject("message", "times error");
            return mv;
        }
        User user = userService.findByUsername(username);
        subject.getSession().setAttribute("user", user);
        return new ModelAndView("success");
    }
}


登录完成以后,当前用户信息被保存进Session。这个Session是通过Shiro管理的会话对象,要获取依然必须通过Shiro。传统的Session中不存在User对象。


@Controller
@RequestMapping("authc")
public class AuthcController {
    // /authc/** = authc 任何通过表单登录的用户都可以访问
    @RequestMapping("anyuser")
    public ModelAndView anyuser() {
        Subject subject = SecurityUtils.getSubject();
        User user = (User) subject.getSession().getAttribute("user");
        System.out.println(user);
        return new ModelAndView("inner");
    }

    // /authc/admin = user[admin] 只有具备admin角色的用户才可以访问,否则请求将被重定向至登录界面
    @RequestMapping("admin")
    public ModelAndView admin() {
        Subject subject = SecurityUtils.getSubject();
        User user = (User) subject.getSession().getAttribute("user");
        System.out.println(user);
        return new ModelAndView("inner");
    }
}


四、总结


Shiro是一个功能很齐全的框架,使用起来也很容易,以上教程对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。但是如果想深入学习的话,还是完全不够的!小编为小伙伴找到了一份不错的 shiro教学视频 公众号回复 “shiro” 获取


原文:https://www.cnblogs.com/learnhow/p/5694876.html


推荐阅读:


技术:大牛:你真的懂反射吗?

技术:设计图都不会画,还想做”架构师“?

技术:毕业季,跳槽季,不刷点面试题怎么能行?

技术:Google在推动AI普及又往前迈了一步-Learn with Google AI

技术:你真的了解HR问你的问题么?

技术:Java9逆天的十大新特性


工具:如何通过技术手段 “干掉” 视频APP里讨厌的广告?

工具:通过技术手段 “干掉” 视频APP里讨厌的广告之(腾讯视频)


干货分享:


分享:1T 软件开发视频资源分享

分享:深度机器学习56G视频资源分享


springboot整合 shiro框架 && jwt验证
shaun的博客
08-28 1049
shiro + jwt 快速搭建前言一、jwt是什么?1. jwt构成1.1 header1.2 playload1.3 signature2. jwt实现二、shiro是什么?1. shiro的三个核心组件1.1 Subject1.2 SecurityManager1.3 Realm2. shiro的引入2.1 Realm领域类2.2 过滤器2.3 配置类三、jwt的校验和授权总结 前言 一个系统在起步的时候最重要的权限系统,最简单的实现就是通过角色表+菜单表相关联,通过登陆用户的角色查到对应的菜单,
springboot集成shiro控制登录权限
不了痕的博客
02-21 813
Shiro入门: ApacheShiro是一个功能强大且易于使用Java安全框架,提供了认证,授权,加密,和会话管理。 Shiro有三大核心组件: Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前应用交互的任何东西都是Subjec...
shiro 教程
10-09
Apache ShiroJava 的一个安全框架。目前,使用Apache Shiro 的人越来越多,因为它相 当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以使用小而简单的Shiro 就足够了。对于它俩到底哪个 好,这个不必纠结,能更简单的解决项目问题就好了。
30分钟学会如何使用Shiro
weixin_30426879的博客
07-22 1181
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
Springboot中的Shiro框架
最新发布
m0_58680378的博客
07-16 1255
** doGetAuthorizationInfo:权限校验* 获取用户权限信息*/@Override/** doGetAuthenticationInfo:认证校验*/@Override认证和授权的过程通常需要把这两个方法实现就可以。
Shiro使用教程
苝花向暖丨楠枝向寒
10-15 1565
Shiro使用教程 入门使用加完整源码 链接: 点击进入. 该原文中最后面项目源码下载需要30积分,如果你有优快云会员直接下载即可,还是要尊重原创。 如果真不舍得花钱开会员就从从github上下载吧 git@github.com:zzh546934282/shiro.git 关于何时执行shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGet...
Shiro完整教程
m0_67402564的博客
03-28 1735
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro 要简单的多。 Shiro简介 Shiro身份验证 Shiro授权 Shiro授权方式 Shiro授权的访问控制 Shiro 的Permission字符串通配符权限 Shiro授权流程 Shiro InI配置 Shiro编码加密 Shiro Realm Shiro 的AuthenticationToken和A
Shiro 入门教程
让我们荡起双桨的博客
06-07 2302
一、名词解释 1、Subject:即" 当前操作用户 "。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 2、SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。 3、Realm:Realm充当了Shiro与应用安全
Java私塾:《深入浅出》Shiro权限管理教程
**第三章** 针对Shiro的配置,详细讲解了程序配置和两种常见的配置方式,如ini配置和权限字符串方式,让学员学会如何设置和调整Shiro的行为。 **第四章** 深入探讨身份认证,通过实例展示认证过程,区分Remembered...
项目有BUG?代码审查没做好?没关系!SonarQube详细使用教程
互扯程序的博客
04-02 5883
前言现在很少有公司做 code review(对写好的程序做代码级检查),于是很多人在进度的压力下潦草应付,只要测试通过就算搞定。表面上看,开发速度很快,进度有保障;但实际上,这样的程序连开发者自己都...
Java 学习路线大全,再也不用迷路啦(持续更新)
腾讯全栈-ITCJF
10-14 3655
路线特点 最新,完整一条龙,从入门到入土(⭐ 表示推荐学习) 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 划分阶段、更有计划,且在最后给出持续学习的方向、探索 Java 程序员发展的无限可能 前言 首先呢,我们要了解 Java 的应用场景和就业方向,看看和自己的学习目的是否一致,目前,Java 的岗位需求多,是后台开发的主流编程语言,功能强大,还是很值得学习的。 阶段 1:Java 入门 目标 培养兴趣、快速上手 前期准备 准备好一款在线、随时随地
shiro教程 跟我学Shiro教程
10-28
本资源包含: Apache_Shiro参考手册中文版.pdf; Shiro教程.pdf; shrio-example.rar; 跟我学Shiro教程.zip
shiro_入门教程
04-02
shiro教程shiro教程shiro教程shiro教程shiro教程shiro教程shiro教程shiro教程
1.shiro视频教程-最全,通俗易懂
07-06
掌握Java认证框架的使用,并且可以实现基于Maven工具整合SpringMVC + MyBatis + Shiro开发 适用人群 Java开发者,相关专业与技术爱好者 课程简介 ShiroApache推出的,并且是现在最流行的一套开发框架,利用Shiro可以方便的实现用户的认证以及角色认证的操作处理,在所有的项目开发之中都会被大量的采用。 本课程将为读者详细的讲解Shiro开发框架的每一个组成部分,并且重点结合当前开发的主流要求,详细的讲解了与Spring开发框架的整合开发,同时也完整讲解了Shiro的实现机制。 本课程采用Eclipse + Maven进行开发。
Shiro教程
一个人走的博客
07-28 1012
文章目录1. Shiro基础1.1 Shiro简介1.2 核心组件 1. Shiro基础 1.1 Shiro简介 shiro是一个Java的 安全(权限)框架 shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 shiro可以完成:认证、授权、加密、会话管理,与web集成、缓存 shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密 易于理解的Java SecurityApi 简单的身份认证,支持多种数据源 对角色
第一章 Shiro简介——《跟我学Shiro
jinnianshilongnian的专栏
02-19 3494
  扫一扫,关注我的公众号    我的新书 购买地址   目录贴: 跟我学Shiro目录贴   1.1  简介 Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的...
Shiro 教程
Tasavor_Kon的博客
02-27 222
Shiro 教程 https://pan.baidu.com/s/1m97B4Lq0BieiuUhEPne4QA 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的...
shiro使用
04-03
<think>好的,我现在需要帮助用户了解Apache Shiro使用方法和示例代码。根据用户提供的引用内容,我需要整理出一个清晰的步骤指南,并确保符合系统级指令的要求。首先,用户要求使用中文回答,结构清晰,并且包含相关问题。同时,要注意行内数学表达式用$...$,不过这里可能涉及的不多,但需要检查是否有需要的地方。另外,要正确引用提供的引用内容,并在末尾添加引用标识。 首先,我需要回顾用户提供的引用内容。引用[1]提到了配置Shiro、创建Realm和用户登录的步骤。引用[2]是示例代码的链接,引用[3]则补充了SpringBoot集成Shiro的依赖配置和配置步骤。用户的需求是了解Shiro使用方法或教程,以及示例代码。 接下来,我需要将这些信息组织成结构化的步骤。可能分为几个部分:环境配置、创建Realm、配置Shiro、用户登录认证、权限控制、会话管理和示例代码参考。每个部分需要结合引用内容,并适当添加代码示例,比如如何添加依赖,如何编写Realm类,如何配置Shiro的安全管理器等。 需要注意,用户提供的引用中有提到添加依赖的部分,这里需要正确引用引用[3]中的内容,例如Maven依赖的代码块。同时,在配置Shiro的部分,引用[1]和引用[3]都有提到,需要整合这两部分的信息,说明配置的步骤,比如创建ShiroConfig类,配置SecurityManager和ShiroFilterFactoryBean。 在用户登录认证部分,引用[1]提到使用Shiro的Subject进行登录,需要展示如何获取Subject实例,并调用login方法。同时,需要处理可能的异常情况,比如UnknownAccountException和IncorrectCredentialsException。 权限控制部分,可以提到Shiro的注解,如@RequiresPermissions,以及如何在代码中进行权限校验,这里需要引用相关的示例,但用户提供的引用中没有详细代码,可能需要简要说明。 会话管理部分,可以说明如何获取会话并设置属性,这部分引用中没有详细提到,但属于Shiro的常见用法,可以适当补充。 最后,示例代码参考部分需要引用用户提供的链接,即引用[2],并提示用户查看具体示例。 在生成相关问题的时候,要考虑用户可能进一步想知道的内容,比如集成SpringBoot的步骤、自定义Realm的实现、异常处理、权限控制方法、会话管理以及性能优化等。确保每个问题都覆盖用户可能感兴趣的方面。 现在需要检查是否符合所有系统级指令:使用正确的LaTeX格式(如果有数学表达式的话,但当前内容可能不需要),结构清晰,引用正确,生成相关问题,使用中文回答。此外,确保代码块正确使用三个反引号,并标明语言类型,如java或xml。 可能需要调整的地方包括正确引用每个步骤对应的引用来源,例如在添加依赖时引用[3],在配置Shiro时引用[1]和[3],在示例代码部分引用[2]。同时,注意引用标识的位置,应在相关段落末尾自然添加,如配置Shiro的步骤后添加[^1][^3]。 最后,确保回答中没有使用Markdown格式,除了代码块外,其他部分保持自然的中文叙述。检查所有引用是否正确对应,代码示例是否准确,并且相关问题是否覆盖了用户可能的需求。</think>### Apache Shiro 使用教程 Apache Shiro 是一个功能强大的安全框架,用于身份认证、权限控制和会话管理。以下是其核心使用方法: --- #### **1. 环境配置(SpringBoot集成)** 在 `pom.xml` 中添加 ShiroSpring Boot 依赖: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.8.0</version> </dependency> ``` 通过此配置可快速集成 ShiroSpring Boot 项目中[^3]。 --- #### **2. 创建自定义 Realm** Realm 是 Shiro 的核心组件,用于连接安全数据(如数据库)与权限配置。需继承 `AuthorizingRealm` 并实现以下方法: ```java public class CustomRealm extends AuthorizingRealm { // 权限校验 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.addRole("admin"); // 添加角色 info.addStringPermission("user:read"); // 添加权限 return info; } // 身份认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) { String username = (String) token.getPrincipal(); if (!"admin".equals(username)) { throw new UnknownAccountException("用户不存在"); } return new SimpleAuthenticationInfo(username, "123456", getName()); } } ``` --- #### **3. 配置 Shiro 安全管理器** 在 Spring Boot 中通过 `ShiroFilterFactoryBean` 配置过滤规则: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.setSecurityManager(securityManager); Map<String, String> filterMap = new LinkedHashMap<>(); filterMap.put("/login", "anon"); // 匿名访问 filterMap.put("/**", "authc"); // 需要认证 factoryBean.setFilterChainDefinitionMap(filterMap); return factoryBean; } @Bean public SecurityManager securityManager(Realm realm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm); return securityManager; } } ``` 此配置定义 URL 的访问权限[^3]。 --- #### **4. 用户登录认证** 在控制器中调用 Shiro 的 `Subject` 进行登录: ```java @PostMapping("/login") public String login(String username, String password) { Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { subject.login(token); // 触发 Realm 的认证逻辑 return "登录成功"; } catch (UnknownAccountException | IncorrectCredentialsException e) { return "用户名或密码错误"; } } ``` --- #### **5. 权限控制** 通过注解或代码校验权限: ```java @RequiresPermissions("user:delete") // 需要 user:delete 权限 @GetMapping("/deleteUser") public String deleteUser() { return "删除用户成功"; } ``` --- #### **6. 会话管理** Shiro 提供统一的会话 API: ```java Subject subject = SecurityUtils.getSubject(); Session session = subject.getSession(); session.setAttribute("key", "value"); // 存储会话数据 ``` --- #### **7. 示例代码参考** 完整示例代码可参考:[Spring Boot 集成 Shiro 示例](https://gitee.com/itwenke/spring-boot-demo/tree/master/shiro)[^2]。 ---
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值