Shiro框架的知识点一网打尽,生命不息,学习不止
您好,我是码农飞哥(wei158556),感谢您阅读本文,欢迎一键三连哦。
1. Python基础专栏,基础知识一网打尽,9.9元买不了吃亏,买不了上当。 Python从入门到精通
2. 毕业设计专栏,毕业季咱们不慌忙,几百款毕业设计等你选。
❤️ 3. Python爬虫专栏,系统性的学习爬虫的知识点。9.9元买不了吃亏,买不了上当 。python爬虫入门进阶
❤️ 4. Ceph实战,从原理到实战应有尽有。 Ceph实战
❤️ 5. Java高并发编程入门,打卡学习Java高并发。 Java高并发编程入门
文章目录
- Shiro框架介绍
-
- 一、什么是shiro框架
- 二、shiro的工作原理
- 三、shiro的主要功能和特点
- 四、shiro的使用场景
- 五、shiro与其他框架的比较
- 六、shiro应用举例
-
- 1. 引入Shiro和相关依赖:
- 2. 创建Shiro的配置:
- 3. 创建Realm:
- 4. 配置访问控制
- 5. 测试
- 七、总结
Shiro框架介绍
Shiro是一个开源的安全框架,它提供了身份认证、授权和加密等功能。Shiro具有灵活的扩展性和可配置性,可以与各种Java应用程序集成。本文将介绍Shiro框架的基本原理、主要功能和特点、使用场景以及与其他框架的比较,最后给出一个Shiro应用举例。
一、什么是shiro框架
Shiro是一个安全框架,它提供了身份认证、授权和加密等功能。Shiro的核心组件包括Realm、SecurityManager和Cache等。Realm用于管理用户和对象,SecurityManager用于控制用户访问权限,Cache用于管理会话和缓存数据。
二、shiro的工作原理
Shiro的工作原理如下:
- 用户通过登录请求到达SecurityManager进行身份认证。
- SecurityManager验证用户的身份信息,如果验证成功则生成一个Token并返回给客户端。
- Token被客户端保留并在后续请求中作为身份凭证传递给各个服务端点。
- 服务端点对Token进行验证,如果验证成功则允许用户访问相应的资源,否则拒绝访问。
- 如果用户需要执行敏感操作(如修改密码),则需要进行加密处理以保证安全性。
三、shiro的主要功能和特点
Shiro的主要功能和特点如下:
- 灵活的认证和授权机制:Shiro支持多种认证方式(如基于数据库的用户名密码认证、LDAP认证、OAuth2认证等),同时支持多种授权方式(如基于角色的访问控制、基于资源的访问控制等)。
- 强大的缓存机制:Shiro内置了缓存机制,可以缓存用户的认证信息、会话信息和授权信息等,从而提高系统的性能和响应速度。
- 易于集成:Shiro提供了丰富的API和文档,可以方便地与其他框架或工具集成,如Spring、Hibernate、Apache Tomcat等。
- 可扩展性强:Shiro提供了丰富的插件和扩展点,可以根据具体需求定制自己的安全策略和实现。
- 安全性高:Shiro内置了多种安全机制,如加密、防止跨站点脚本攻击、防止会话劫持等,可以保护系统不受各种安全威胁。
四、shiro的使用场景
Shiro适用于各种Java应用程序的安全控制,下面是一些Shiro适用的场景:
- Web应用程序:Shiro可以为Web应用程序提供身份认证和授权功能,从而保护Web应用程序的安全性和可靠性。
- RESTful API:Shiro可以为RESTful API提供身份认证和授权功能,从而保护API的数据安全和隐私性。
- 分布式系统:Shiro可以为分布式系统提供身份认证和授权功能,从而保护系统的安全性和一致性。
- 单点登录系统:Shiro可以为单点登录系统提供身份认证和授权功能,从而简化用户的登录流程和提高系统的可用性。
- 企业级应用:Shiro可以为企业级应用提供身份认证和授权功能,从而保护企业的安全性和合规性。
五、shiro与其他框架的比较
Shiro与其他安全框架相比具有以下优点:
- 灵活性:Shiro提供了灵活的扩展性和可配置性,可以根据具体需求定制自己的安全策略和实现。
- 性能优化:Shiro内置了缓存机制,可以提高系统的性能和响应速度。
- 易用性:Shiro提供了丰富的API和文档,可以方便地与其他框架或工具集成。
- 安全性高:Shiro内置了多种安全机制,可以保护系统不受各种安全威胁。
- 可扩展性强:Shiro提供了丰富的插件和扩展点,可以根据具体需求定制自己的安全策略和实现。
相比之下,其他安全框架可能存在以下缺点:
- 不够灵活:其他安全框架可能缺乏灵活性,无法满足某些特殊需求。
六、shiro应用举例
下面是一个使用Shiro框架的Java Web应用程序示例:
1. 引入Shiro和相关依赖:
<dependency>
<groupId>org.apache.shirogroupId>
<artifactId>shiro-coreartifactId>
<version>1.8.0version>
dependency>
2. 创建Shiro的配置:
public class MyShiroConfig {
private static SecurityManager securityManager = null;
public static SecurityManager getSecurityManager() {
if (securityManager == null) {
DefaultSecurityManager securityManager = new DefaultSecurityManager();
securityManager.setRealm(new MyRealm()); // 设置自定义Realm
SecurityUtils.setSecurityManager(securityManager);
return securityManager;
}
return securityManager;
}
}
3. 创建Realm:
public class MyRealm extends AuthorizingRealm {
// 模拟用户和角色信息
private static Map<String, String> userMap = new HashMap<>();
private static Map<String, Set<String>> roleMap = new HashMap<>();
static {
userMap.put("admin", "123456");
roleMap.put("admin", new HashSet<>(Arrays.asList("admin")));
userMap.put("user", "123456");
roleMap.put("user", new HashSet<>(Arrays.asList("user")));
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String username = (String) principals.getPrimaryPrincipal();
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.setRoles(roleMap.get(username));
return authorizationInfo;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String) token.getPrincipal();
String password1 = userMap.get(username);
if (password1 == null) {
throw new UnknownAccountException();
}
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password1, getName());
return authenticationInfo;
}
}
4. 配置访问控制
public class MyFilterChainDefinition {
private static Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
static {
filterChainDefinitionMap.put("/admin/**", "roles[admin]");
filterChainDefinitionMap.put("/user/**", "roles[user]");
filterChainDefinitionMap.put("/login", "anon");
filterChainDefinitionMap.put("/**", "authc");
}
public static Map<String, String> getFilterChainDefinitionMap() {
return filterChainDefinitionMap;
}
}
5. 测试
public class TestShiro {
public static void main(String[] args) {
SecurityManager securityManager = MyShiroConfig.getSecurityManager();
SecurityUtils.setSecurityManager(securityManager);
Subject currentUser = SecurityUtils.getSubject();
String username = "admin";
String password2 = "12345612";
currentUser.login(new UsernamePasswordToken(username, password2)); // 登录
System.out.println("是否登录成功:" + currentUser.isAuthenticated());
System.out.println(username + "是否有角色 user:" + currentUser.hasRole("user")); // 返回false
currentUser.logout(); // 登出
System.out.println("是否已经登出:" + currentUser.isAuthenticated());
}
}
在上述示例里,我们模拟了两个用户:admin和user,admin拥有admin角色,user拥有user角色。
访问/admin/**的URL必须要拥有admin角色才能访问,同理,/user/**的URL需要拥有user角色才能访问。
在测试代码中,我们实现了登录和登出操作,并且判断admin用户是否有user角色,最终输出登录状态和是否拥有user角色的判断结果。
七、总结
Shiro框架是一个功能强大的安全框架,它提供了身份认证、授权、加密等多种安全功能。Shiro具有灵活性高、性能好、易用性好等特点,可以满足各种Java应用程序的安全需求。通过本文的介绍,我们了解了Shiro的基本原理、主要功能和特点以及使用场景,希望能够对大家学习和应用Shiro框架有所帮助。