搭建第一个shiro安全框架。

最新推荐文章于 2025-07-06 23:42:49 发布

原创最新推荐文章于 2025-07-06 23:42:49 发布 · 816 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#java #框架 #apache

Java 专栏收录该内容

30 篇文章

订阅专栏

本文介绍了Apache Shiro框架的基本概念，包括其提供的认证、授权、加密和会话管理功能。通过一个示例项目详细讲解了如何在JavaSE环境中搭建Shiro框架，实现用户登录验证及权限管理。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Java se 环境下搭建你的第一个shiro框架实现用户登录验证以及权限的验证

1.什么是shiro框架？

1）Apache Shiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功能：

认证：用户身份识别，也就是常说的“用户登录”。
授权：访问控制
密码加密 - 保护或隐藏数据防止被偷窥；
会话管理 - 每用户相关的时间敏感的状态。
shiro框架可以对任何一个应用程序提供全面的安全管理服务，无论是在java se 环境还是java ee环境下都可以实现相应的功能，并且相比其他框架，shiro更加简单，属于轻量级安全框架。

2.shrio核心组件介绍：
shiro有三个核心组件Subject,SecurityManager,Realms,可以参照下图：
这里写图片描述
Subject：即“当前操作用户”。但是，在Shiro中，Subject这一概念并不仅仅指人，也可以是第三方进程、后台帐户（Daemon Account）或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途，你可以把它认为是Shiro的“用户”概念。
Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。

SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务。

Realm： Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。
从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。
Shiro内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求，你还可以插入代表自定义数据源的自己的Realm实现。

shiro完整架构图：
这里写图片描述

除前文所讲Subject、SecurityManager 、Realm三个核心组件外，Shiro主要组件还包括：
Authenticator ：认证就是核实用户身份的过程。这个过程的常见例子是大家都熟悉的“用户/密码”组合。多数用户在登录软件系统时，通常提供自己的用户名（当事人）和支持他们的密码（证书）。如果存储在系统中的密码（或密码表示）与用户提供的匹配，他们就被认为通过认证。
Authorizer ：授权实质上就是访问控制 - 控制用户能够访问应用中的哪些内容，比如资源、Web页面等等。
SessionManager ：在安全框架领域，Apache Shiro提供了一些独特的东西：可在任何应用或架构层一致地使用Session API。即，Shiro为任何应用提供了一个会话编程范式 - 从小型后台独立应用到大型集群Web应用。这意味着，那些希望使用会话的应用开发者，不必被迫使用Servlet或EJB容器了。或者，如果正在使用这些容器，开发者现在也可以选择使用在任何层统一一致的会话API，取代Servlet或EJB机制。
CacheManager :对Shiro的其他组件提供缓存支持。

以上是Apache官方文档中对shiro中介绍，下面通过一个实例来搭建shiro框架并且编写第一个shiro验证框架。

1.首先，要搭建一个框架，要导入其相应的jar包，shiro只要导入一下的几个核心jar包就可以：
log4j-1.2.14.jar
shiro-all-1.2.0.jar
slf4j-api-1.7.25.jar
slf4j-log4j12-1.7.25.jar

其中log4j和self4j这几个jar包相信大家都不陌生，而shiro-all这个jar包要去官方去进行下载。
当从apach官网上下载完相应的jar包后，打开文件夹下面有samples目录，点进去以后有quickstart目录下的src目录下有resources文件下有两个配置文件，将其拷贝到你创建的java项目下的src目录下。

这里写图片描述

关于这两个配置文件，log4j.properties相信大家都非常熟悉，日志文件，shiro.ini这个文件是存储着你的用户信息，包括用户名，密码，当前用户的角色，以及当前用户的权限，一个用户可以扮演多个角色，同时也可以有多个权限，用户之间的角色和权限可以不同。

举个例子：
这里写图片描述

这个是shiro.ini中的部分信息，通过上面的介绍相信大家对这个文件有一定的了解了吧，下面我们接着搭建我们的项目。

2.在进行完上面的配置之后就可以开始编写相应的代码了。
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class HelloWorld {
private static final Logger log=LoggerFactory.getLogger(HelloWorld.class);
public static void main(String[] args) {
log.info(“我们正在测试Log4j…..”);
/**
* 1.获取安全管理器
* 2.获取用户
* 3.用户登录验证
* 4.权限管理
* 5.角色管理
* 6.session:用户登录到用户退出
*/
//获取安全管理器
Factory factory=new IniSecurityManagerFactory(“classpath:shiro.ini”);
SecurityManager securityManager=factory.getInstance();
//2.需要设置安全管理器
SecurityUtils.setSecurityManager(securityManager);
//3.获取Subject对象，即将登陆的用户
org.apache.shiro.subject.Subject currentUser=SecurityUtils.getSubject();
//4.获取session
Session session=currentUser.getSession();

    session.setAttribute("name", "张三");
    String value=(String)session.getAttribute("name");
    if(value!=null){
        log.info("Shiro已经帮我们获取到了session对象中的值:"+value);
    }

    //如果当前"用户没有通过验证"
    if(currentUser.isAuthenticated()==false){
        UsernamePasswordToken token=new UsernamePasswordToken("lonestarr", "vespa");
        //记住我
        token.setRememberMe(true);
        try{
        currentUser.login(token);
        log.info("用户名和密码正确，登录成功");
        }catch(UnknownAccountException e){
            log.info("用户名 不存在");
        }catch(IncorrectCredentialsException e){
            log.info("密码错误");
        }catch(LockedAccountException e){
            log.info("用户已经被锁定");
        }catch(AuthenticationException e){
            log.info("认证异常");
        }
    }
    //判断当前用户是否拥有指定的角色
    if(currentUser.hasRole("goodguy")){
        log.info("拥有当前指定角色");
    }else{
        log.info("不拥有当前指定角色");
    }
    //判断当前用户是否拥有指定的权限
    if(currentUser.isPermitted("winnebago:drive:eagle5")){
        log.info("拥有当前指定权限");
    }else{
        log.info("不拥有当前指定权限");
    }
    //退出登录
    currentUser.logout();
    System.exit(0);
}

}
可以运行上面的代码对当前用户信息进行验证，至此，我们完成了自己的第一个在java se环境下的shiro框架项目。