Java shiro安全框架使用介紹
1.shiro安全框架
Apache Shiro 是一個強大易用的 Java 安全框架,提供瞭認證、授權、加密和session會話管理等功能,對於任何一個應用程序,Shiro 都可以提供全面的安全管理服務。並且相對於其他安全框架spring security,Shiro 要簡單的多。
Shiro是apache旗下一個開源框架,它將軟件系統的安全認證相關的功能抽取出來,實現用戶身份認證,權限授權、加密、會話管理等功能,組成瞭一個通用的安全認證框架。
Shiro可以非常容易的開發出足夠好的應用,其不僅可以用在JavaSE環境,也可以用在JavaEE環境。Shiro可以幫助我們完成:認證、授權、加密、會話管理、與Web集成、緩存等。
1.1 什麼是權限管理
基本上涉及到用戶參與的系統都要進行權限管理,權限管理屬於系統安全的范疇,權限管理實現對用戶訪問系統的控制,按照安全規則或者安全策略控制用戶可以訪問而且隻能訪問自己被授權的資源。
權限管理包括用戶身份認證和授權兩部分,簡稱認證授權。對於需要訪問控制的資源用戶首先經過身份認證,認證通過後用戶具有該資源的訪問權限方可訪問。
1.2 什麼是身份認證
身份認證,就是判斷一個用戶是否為合法用戶的處理過程。最常用的簡單身份認證方式是系統通過核對用戶輸入的用戶名和口令,看其是否與系統中存儲的該用戶的用戶名和口令一致,來判斷用戶身份是否正確。對於采用指紋等系統,則出示指紋;對於硬件Key等刷卡系統,則需要刷卡。
1.3 什麼是授權
授權,即訪問控制,控制誰能訪問哪些資源。主體進行身份認證後需要分配權限方可訪問系統的資源,對於某些資源沒有權限是無法訪問的 .
1.4 認證授權框架有哪些
shiro框架和spring security框架 這款框架是現在市面比較流行。
2.使用shiro完成認證工作
2.1 shiro中認證的關鍵對象
Subject:主體訪問系統的用戶,主體可以是用戶、程序等,進行認證的都稱為主體;
Principal:身份信息—-賬號是主體(subject)進行身份認證的標識,標識必須具有唯一性,如用戶名、手機號、郵箱地址等,一個主體可以有多個身份,但是必須有一個主身份(Primary Principal)。
credential:憑證信息—密碼是隻有主體自己知道的安全信息,如密碼、證書等。
2.2 認證流程
2.3 項目代碼
1.先不用數據庫來進行身份認證,–我們ini文件,window系統文件,該文件中可以存放賬號和密碼。
(1) 創建一個maven java工程
2.3.1 依賴
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.9.0</version> </dependency>
2.3.2 創建ini文件
2.3.3 測試代碼
public class Test01 { public static void main(String[] args) { //1.獲取SecurityManager對象 DefaultSecurityManager securityManager=new DefaultSecurityManager(); //2.讀取ini文件 IniRealm iniRealm=new IniRealm("classpath:shiro.ini"); //3。設置securityManager的realm securityManager.setRealm(iniRealm); //4.設置securityManager上下文生效 SecurityUtils.setSecurityManager(securityManager); //5.獲取subject的主體對象 Subject subject=SecurityUtils.getSubject(); try{ //UsernamePasswordToken作用是封裝你輸入的賬號和密碼 是客戶自己輸入的 用來進行比較與realm UsernamePasswordToken token=new UsernamePasswordToken("admin","123456"); //拋出異常 比對shiro中realm和自己的對比,如果一致則登錄成功,不一致則登錄失敗 subject.login(token); System.out.println("登陸成功"); }catch(Exception e){ e.printStackTrace(); System.out.println("登陸失敗"); } } }
2.4 認證的原理
Subject: 主題 登錄信息提交給SecurityManager —>認證器Authenticator—->根據你的realm提供的數據進行相關的認證。 realm—與數據源交互的類。
3.授權
3.1 修改ini文件
3.2 修改代碼
public class Test01 { public static void main(String[] args) { //1.獲取SecurityManager對象 DefaultSecurityManager securityManager=new DefaultSecurityManager(); //2.讀取ini文件 IniRealm iniRealm=new IniRealm("classpath:shiro.ini"); //3。設置securityManager的realm securityManager.setRealm(iniRealm); //4.設置securityManager上下文生效 SecurityUtils.setSecurityManager(securityManager); //5.獲取subject的主體對象 Subject subject=SecurityUtils.getSubject(); try{ //UsernamePasswordToken作用是封裝你輸入的賬號和密碼 是客戶自己輸入的 用來進行比較與realm UsernamePasswordToken token=new UsernamePasswordToken("admin","123456"); //拋出異常 比對shiro中realm和自己的對比,如果一致則登錄成功,不一致則登錄失敗 subject.login(token); System.out.println("登陸成功"); }catch(Exception e){ e.printStackTrace(); System.out.println("登陸失敗"); } System.out.println("=========================登陸後==========================="); boolean authenticated = subject.isAuthenticated(); if(authenticated){ //判斷當前登錄者是否具有user:query權限 boolean permitted = subject.isPermitted("user:update"); System.out.println(permitted); //從角色角度 boolean role1 = subject.hasRole("role1"); System.out.println(role1); }else { System.out.println("請先認證"); } } }
到此這篇關於Java shiro安全框架使用介紹的文章就介紹到這瞭,更多相關Java shiro安全框架內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- spring-shiro權限控制realm實戰教程
- Shiro:自定義Realm實現權限管理方式
- SpringBoot 整合 Shiro 密碼登錄的實現代碼
- SecurityUtils.getSubject().getPrincipal()為null的問題
- 詳解Java springboot 整合Shiro框架