Java shiro 详解以及使用

最新推荐文章于 2025-11-29 07:00:00 发布
原创 最新推荐文章于 2025-11-29 07:00:00 发布 · 1.6k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

本文介绍了ApacheShiro,一个强大的Java安全框架,涵盖了身份验证、授权、会话管理、加密、集成Spring等核心功能,以及Subject、SecurityManager和Realms等关键概念及其在简单应用中的使用示例。

一,Shiro概念

Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证、授权、加密和会话管理等功能。Shiro 的设计目标是简化应用程序的安全性,让开发者能够快速地集成安全特性,而无需深入了解复杂的安全概念。

二,Shiro功能

1. 身份验证(Authentication)

Shiro 支持多种身份验证机制,包括用户名/密码、LDAP、OAuth、OpenID 等。它提供了灵活的 API 来处理身份验证请求,允许开发者根据业务需求定制身份验证流程。UsernamePasswordToken 是 Shiro 中用于处理基于用户名和密码的身份验证的类。

2. 授权(Authorization)

Shiro 提供了基于角色的访问控制(RBAC)和基于权限的访问控制(PBAC)两种授权机制。它允许开发者定义角色和权限,并将它们关联到用户或资源上。在运行时,Shiro 会根据用户的角色和权限来决定是否允许其访问特定的资源或执行特定的操作。

3. 会话管理(Session Management)

Shiro 提供了强大的会话管理功能,包括会话创建、会话验证、会话超时等。它支持多种会话存储方式,如内存、数据库、缓存等。Shiro 的会话管理可以与 Servlet 容器(如 Tomcat)的会话管理集成,也可以独立使用。

4. 加密(Cryptography)

Shiro 提供了加密和哈希算法的实现,用于保护敏感数据(如密码)的存储和传输。它支持多种加密算法和哈希算法,并提供了简单易用的 API 来进行加密和哈希操作。

5. 集成性(Integration)

Shiro 可以轻松地与 Spring、Struts2、JSF 等主流 Java 框架集成,提供一致的安全解决方案。此外,Shiro 还提供了丰富的插件和扩展点,允许开发者根据需要进行定制和扩展。

6. 缓存(Caching)

Shiro 支持缓存机制,用于提高身份验证和授权的性能。它允许开发者配置缓存策略,将身份验证和授权的结果缓存起来,以减少对后端系统的访问次数。

7. 易于使用和配置

Shiro 的 API 设计简洁明了,易于学习和使用。同时,Shiro 提供了丰富的配置文件和注解支持,允许开发者通过配置文件或注解来配置安全策略,而无需编写大量的代码。

三,核心三大类

Subject:

在 Shiro 中,Subject 可以看作是当前与系统进行交互的用户或第三方服务。它是 Shiro 安全框架的入口点,提供了用户与应用程序安全交互的接口。通过 Subject,你可以执行如登录、注销、访问会话、执行授权检查等操作。

SecurityManager:

SecurityManager 是 Shiro 架构的心脏,它负责协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务。当 Shiro 与一个 Subject 进行交互时,实质上是幕后的 SecurityManager 处理所有繁重的 Subject 安全操作。你可以把它看成是一个前端控制器,它负责调度 Shiro 框架的各种服务。

Realms:

Realm 本质上是一个特定安全的 DAO(数据访问对象)。Realm 用于从数据源(如关系数据库、LDAP 服务器等)获取安全数据(如用户账号、角色和权限信息)。当 SecurityManager 需要验证用户身份或授权时,它会从配置的 Realms 中获取必要的信息来进行判断。Shiro 提供了多种可用的 Realms 实现,同时也支持自定义 Realm 来满足特定的业务需求。

四,简单使用

简单流程图
在这里插入图片描述
代码实现:

1,登录
    @Override
    public R userShiroLogin(UserLoginDTO userLoginDTO) {
        try {
            //1,密码校验
            Integer level = PasswordVerifiersUtils.passwordStrong(userLoginDTO.getPassword());
            if (level==0){
                return R.error();
            }
            //2,密码加密
            String password = DESEncryptionDecryptionUtils.encrypt(userLoginDTO.getPassword());
            //获取当前的用户
            Subject subject = SecurityUtils.getSubject();
            //封装用户的登录数据
            UsernamePasswordToken token = new UsernamePasswordToken(userLoginDTO.getUserName(), password);

            try {
                subject.login(token); //执行登录的方法,如果没有异常就说明ok
                subject.isPermitted("admin");
                Subject currentSubject = SecurityUtils.getSubject();
                Session session = currentSubject.getSession();
                log.info("Shiro-Session过期时间:" + session.getTimeout());

                return R.ok("登录成功");
            } catch (UnknownAccountException e) {    //用户名不存在
                return R.error("该用户不存在!");
            } catch (IncorrectCredentialsException e) {     //密码不存在
                return R.error("密码错误!");
            }
        }catch (Exception e){
            log.error("UserLoginServiceImpl.userShiroLogin error:{}",e);
            return R.error();
        }
    }
2 ,配置Shiro
package com.zwxict.user.shiro;

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.mgt.SecurityManager;

import java.util.HashMap;
import java.util.Map;

/**
 * Shiro配置类
 * @author 汤义
 * @create 2024-03-17:53
 */
@Configuration
public class ShiroConfig {
    // 配置Realm
    @Bean
    public ShiroRealm realm() {
        return new ShiroRealm();
    }

    // 配置SecurityManager
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm());
        return securityManager;
    }

    // 配置ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
        filterFactoryBean.setSecurityManager(securityManager);
        // 配置登录页面
        filterFactoryBean.setLoginUrl("/userLogin/login");
        // 配置未授权页面
        filterFactoryBean.setUnauthorizedUrl("/unauthorized");
        // 配置拦截规则
        Map<String, String> filterChainDefinitionMap = new HashMap<>();
        filterChainDefinitionMap.put("/userLogin/login", "anon");
        filterChainDefinitionMap.put("/userRegister/register", "anon");
        filterChainDefinitionMap.put("/userLogin/shiro_login", "anon");
        filterChainDefinitionMap.put("/**", "authc");
        filterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return filterFactoryBean;
    }

    //配置session
    @Bean(name = "sessionManager")
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        // 设置session过期时间3600s
        sessionManager.setGlobalSessionTimeout(3600000L);
        return sessionManager;
    }
}
3,Realm
package com.zwxict.user.shiro;

import com.zwxict.user.entity.UserEntity;
import com.zwxict.user.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

/**
 * Shiro身份认证和授权类
 * @author 汤义
 * @create 2024-03-17:53
 */
@Component
@Slf4j
public class ShiroRealm extends AuthorizingRealm {
    @Autowired
    UserService userService;

    /**
     * 身份授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 获取用户名
        String username = (String) principalCollection.getPrimaryPrincipal();
//        User user = userService.findByUsername(username);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//        // 添加角色权限信息
//        info.addRole(user.getRole());
//        // 添加权限信息
//        info.addStringPermission(user.getPermission());

        return info;
    }

    /**
     * 身份认证
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 根据用户名从数据库中查询用户信息
        String username = (String) token.getPrincipal();
        UserEntity user = userService.queryUser(username);
        if(user == null) {
            throw new UnknownAccountException();
        }
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), getName());
        return info;
    }
}

这就是一个简单实现,实际使用后面在介绍。

java高级工程师必备技术栈-Shiro权限框架
无发可说的博客
12-15 625
背景 权限系统在任何一个系统中都存在,随着分布式系统的大行其道,权限系统也趋向服务化,对于一个高级工程师来说,权限系统的设计是必不可少需要掌握的技术栈 Apache Shiro™是一个功能强大且易于使用Java安全框架,用于执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序。 概述 采用渐进式的讲解方式: 权限基础 shiro权限组件介绍 web系统集成shiro spring-boot
Java研学-Shiro安全框架(一)
zhlyxx的博客
06-25 1918
我们需要使用的账户信息通常来自程序或者数据库中, 而不是前面使用到的 ini 文件的配置,因此要做到想去哪里查,就去那里查。此处使用 DataMapper 作为一组假数据模拟数据库static{//初始化数据//提供静态方法,模拟数据库返回数据实体类@Setter@Getter@ToString//用户名//密码UserRealm// 继承Realm下的接口 实现两个方法 一般来说do开头的方法就是模板设计模式。
Java 安全 08:Shiro 权限控制(URL 拦截 + 角色校验)
最新发布
千淘万漉虽辛苦,吹尽狂沙始到金
11-29 1万+
Java安全08:Shiro权限控制(URL拦截+角色校验) 摘要 本文深入解析Apache ShiroJava应用中的权限控制实现,重点讲解URL拦截和角色校验两大核心功能。文章首先通过真实案例说明权限漏洞的危害性,对比Shiro与Spring Security的适用场景。随后详细剖析Shiro的五大核心组件架构及认证授权流程,区分角色与权限的粒度差异。最后提供Spring Boot整合Shiro的实战指南,包括基础环境搭建、自定义Realm实现和URL拦截规则配置。通过"角色+权限&quot
Shiro权限管理框架详解
WGH100817的博客
01-25 1806
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
shiro框架了解与入门
lxn1214的博客
08-14 329
安全框架之shiro 1.RBAC介绍 RBAC是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。 在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限. RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离,极
Java 程序员如何使用 Shiro 框架
全栈码农,专注java项目实战教程分享、大学生项目辅导开发讲解。
07-03 453
微信搜索【编程大学姐远春儿】,领取免费小白教程。 作者:冷豪 来自:www.cnblogs.com/learnhow/p/5694876.html 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例: 1、使用用户的登录信息创建令牌 Usernam...
Shiro基本使用详解以及多Realm使用和配置.rar
08-09
Shiro基本使用详解以及多Realm使用和配置,拿来可以直接使用,也可以在此基础上进行自己业务逻辑的添加和修改,如果希望进一步深入学习,可以查看我的博客,可以查看...或给我留言
Spring 整合Shiro 并扩展使用EL表达式的实例详解
08-27
Spring 整合 Shiro 并扩展使用 EL 表达式实例详解 本文将详细介绍 Spring 整合 Shiro 框架,并通过扩展使用 Spring 的 EL 表达式来实现权限控制。Shiro 是一个轻量级的权限控制框架,应用非常广泛。下面是 Spring ...
Java安全框架Apache Shiro详解
最后,第十二章讨论了Shiro与Spring的集成,提供了在Java SE和Web应用中使用Shiro的指南,以及如何利用Shiro的权限注解进行细粒度的权限控制。 通过这个教程,读者将全面了解Apache Shiro的各个方面,并能有效地将...
Java Shiro教程详解:从入门到实战
1. **SHIRO简介**:这部分介绍了Shiro的基本概念,帮助读者理解这个开源安全框架在Java应用中的角色,以及其在身份验证和授权管理中的作用。 2. **身份验证**:详细讲述了如何设置环境、实现登录/退出功能,以及...
Java研学-Shiro安全框架(五)
zhlyxx的博客
08-26 1777
/ 自定义异常(向让用户看到的)// 异常也分为页面异常和 ajax 请求的异常。// ajax 请求try {} else{// 页面请求// 系统异常(不想让用户看到的)// 异常也分为页面异常和 ajax 请求的异常。// ajax 请求try {response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"系统繁忙,请联系管理员")));
Java---Shiro框架
weixin_67224308的博客
07-31 1805
Apache Shiro 是一个功能强大且易于使用Java 安全(权限)框架。Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。下载地址。
Shirojava中如何使用
m0_57836225的博客
09-10 382
Shiro 是一个强大的 Java 安全框架,它提供了全面的身份验证、授权、加密和会话管理功能。来从数据库中获取用户信息。首先,创建了一个数据源,并将其配置到。然后,进行了认证和授权的检查,最后进行了注销操作。在上述代码中,我们使用了。
shiro详解-shiro史上最全学习笔记
热门推荐
万和IT教育
12-13 2万+
1.shiro简介 1.1.基本功能点 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。其基本功能点如下图所示: Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证...
权限管理框架 - Shiro
知行
04-09 3566
第一章 入门概述 1.1 是什么 Apache Shiro 是一个功能强大且易于使用Java 安全(权限)框架。Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。 官网:https://shiro.apache.org/ 1.2 为什么要用 Shiro 自 2003 年以来,框架格局发生了相当大的变化,因此今天仍然有很多系统在使用Shiro。这与 Shiro 的特性密
Java安全框架—Shiro
王浩的技术博客
01-26 1万+
Apache 的孵化器项目Shiro其前身是JSecurity,是一个强大,灵活的java安全框架。用于简洁地处理身份验证,授权,企业多个系统会话管理,加密服务等。       其系统框架如下: Shiro的目标是成为一个最全面的,也是最容易使用Java安全框架,以下是Shiro的一些特点: 1、  类的接口的定义都很直观非常容易理解。 2、  身份验证支持多种数据源(如LD
Java-shiro介绍与使用
架构师之路。。
01-12 1126
Java Shiro是一个开源的、轻量级的身份认证和授权框架,可以帮助开发人员更加简单地实现应用程序的身份认证、授权、安全管理等功能。Shiro的设计理念是简单易用,同时也提供了很强大的功能和灵活的扩展性。使用Java Shiro可以快速实现认证和授权功能,而无需编写大量的安全代码。Shiro提供了一系列的认证和授权机制,包括用户名密码认证、基于角色的访问控制、基于权限的访问控制等。同时,Shiro还提供了会话管理、密码加密等常用的安全功能。
JAVA安全框架之shiro
xindongyuni666的博客
09-28 1638
一个容易,简单,安全,易上手的框架之shiro
java shiro教程_shiro教程1(HelloWorld)
weixin_30388691的博客
02-16 238
shiro简介Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。框架图说明从外部查看shiro框架>应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subjectapi说明Subject主体,代表当前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值