Java 安全框架shiro初探之一

1.Java安全框架除了spring家族另一個就是shiro框架

不過最近還有一個國產框架很好用：Sa-Token 添加鏈接描述，想了解的小伙伴可以去look look

shiro 官方文檔

(https://shiro.apache.org/)

1. 學習教程參考 (https://www.w3cschool.cn/shiro/)

Apache Shiro 是 Java 的一個安全框架。目前，使用 Apache Shiro 的人越來越多，因為它相當簡單，對比 Spring Security，可能沒有 Spring Security 做的功能強大，但是在實際工作時可能并不需要那么復雜的東西，所以使用小而簡單的 Shiro 就足夠了。對于它倆到底哪個好，這個不必糾結，能更簡單的解決項目問題就好了。

1.Authentication：身份認證 / 登錄，驗證用戶是不是擁有相應的身份；

2.Authorization：授權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用戶是否能做事情，常見的如：驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具有某個權限；

3.Session Management：會話管理，即用戶登錄后就是一次會話，在沒有退出之前，它的所有信息都在會話中；會話可以是普通 JavaSE 環境的，也可以是如 Web 環境的；

4.Cryptography：加密，保護數據的安全性，如密碼加密存儲到數據庫，而不是明文存儲；

5.Web Support：Web 支持，可以非常容易的集成到 Web 環境；Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色 / 權限不必每次去查，這樣可以提高效率；

Concurrency：shiro 支持多線程應用的并發驗證，即如在一個線程中開啟另一個線程，能把權限自動傳播過去；
Testing：提供測試支持；
Run As：允許一個用戶假裝為另一個用戶（如果他們允許）的身份進行訪問；
Remember Me：記住我，這個是非常常見的功能，即一次登錄后，下次再來的話不用登錄了。
請添加圖片描述

Subject：主體，代表了當前 “用戶”，這個用戶不一定是一個具體的人，與當前應用交互的任何東西都是 Subject，如網絡爬蟲，機器人等；即一個抽象概念；所有 Subject 都綁定到 SecurityManager，與 Subject 的所有交互都會委托給 SecurityManager；可以把 Subject 認為是一個門面；SecurityManager 才是實際的執行者；

SecurityManager：安全管理器；即所有與安全有關的操作都會與 SecurityManager 交互；且它管理著所有 Subject；可以看出它是 Shiro 的核心，它負責與后邊介紹的其他組件進行交互，如果學習過 SpringMVC，你可以把它看成 DispatcherServlet 前端控制器；

Realm：域，Shiro 從 Realm 獲取安全數據（如用戶、角色、權限），就是說 SecurityManager 要驗證用戶身份，那么它需要從 Realm 獲取相應的用戶進行比較以確定用戶身份是否合法；也需要從 Realm 得到用戶相應的角色 / 權限進行驗證用戶是否能進行操作；可以把 Realm 看成 DataSource，即安全數據源。

1.添加依賴

 <dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.2.2</version></dependency>

2.創建配置信息用戶的信息

[users]
jiangnan=123456
huangchao=9521

3.編寫認證代碼 sample demo

  Scanner scanner = new Scanner(System.in);System.out.println("輸入用戶名");String userName = scanner.next();System.out.println("輸入密碼");String pwd = scanner.next();//1.創建安全管理器IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");SecurityManager securityManager = factory.getInstance();SecurityUtils.setSecurityManager(securityManager);//2.創建主體Subject subject = SecurityUtils.getSubject();AuthenticationToken userToken = new UsernamePasswordToken(userName, pwd);try {//3.認證subject.login(userToken);System.out.println("驗證成功");} catch (AuthenticationException e) {e.printStackTrace();System.out.println("驗證失敗");}

4.通過跟蹤源碼加深理解菜菜的我畫了一個草圖，大佬就別看笑話了~~~

請添加圖片描述

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/210534.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/210534.shtml
英文地址，請注明出處：http://en.pswp.cn/news/210534.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！