Shiro 基本使用

最新推荐文章于 2025-06-02 11:39:57 发布
原创 最新推荐文章于 2025-06-02 11:39:57 发布 · 775 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开发语言 #java

本文介绍了Shiro的基本使用,包括添加Maven依赖,通过INI文件配置用户信息,详细阐述了登录认证的概念和流程,以及角色和授权的管理。同时,文章还讲解了Shiro中的加密机制,特别是MD5加密的运用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

前言

一、添加依赖

二、INI 文件

三、登录认证

1.概念

2.登录认证基本流程

四、角色、授权

1.授权概念

2.授权方式

3.实现方式

(1)获取角色信息

(2)判断权限信息信息

五、Shiro 加密

使用Shiro进行密码加密

前言

这篇文章主要介绍了Shiro基本使用,账号密码信息都使用通过 ini 配置文件获取,了解登录认证流程和角色、授权的方式,Shiro 内嵌很多常用的加密算法,比如 MD5 加密。Shiro 可以很简单的使用信息加密等。

一、添加依赖

我们先搭一个Maven项目,然后添加依赖

<dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.9.0</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>
    </dependencies>

二、INI 文件

Shiro 获取权限相关信息可以通过数据库获取,也可以通过 ini 配置文件获取
ini 配置文件可以在项目的resources目录下创建 
shiro.ini文件

[users]
admin=123456
query=147852
people=963

三、登录认证

1.概念

  • 身份验证:就相当于标明特定的身份ID,例如:账号密码,邮箱,姓名之内的。
  • 在shiro中,用户需要提供principals(身份)和credentials(证明)给shiro,从
    而应用能验证用户身份。
  • principals:身份,一般是用户名、邮箱。credentials:证明/凭证 ,一般是密码、密钥等。
  • 最常见的principals和credentials组合就是用户名/密码。

2.登录认证基本流程

  •  获取用户的身份信息,即用户名和密码。
  • 调用 Subject.login 进行登录,如果失败将得到相应 的 AuthenticationException
    异常,根据异常提示用户 错误信息;否则登录成功。
  • 创建自定义的 Realm 类,继承 AuthenticatingRealm类,实现 doGetAuthenticationInfo() 方法。 
    public static void main(String[] args) {
        //1 初始化获取 SecurityManager
        IniSecurityManagerFactory factory=new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager instance = factory.getInstance();
        SecurityUtils.setSecurityManager(instance);
        //2 获取 Subject 对象
        Subject subject=SecurityUtils.getSubject();
        //3 创建 token 对象,web 应用用户名密码从页面传递
        AuthenticationToken token=new UsernamePasswordToken("admin","123456");
        //4 完成登录
        try {
            subject.login(token);
            System.out.println("登录成功");
        }
        catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户不存在");
        }
        catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误");
        }
        catch (AuthenticationException ae) {
            
        }
    }

四、角色、授权

1.授权概念

  • 授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
  • 主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只
    有授权 后才允许访问相应的资源。
  • 资源(Resource):在应用中用户可以访问的 URL,用户只要授权后才能访问。
  • 权限(Permission):即权限表示在应用中用户能不能访问某个资源。
  • 角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限

2.授权方式

可以使用代码if/else判断

if(subject.hasRole("admin"))
{
    //有权限
}else{
    //没有权限
}

注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常 

@RequiresRoles("admin")

3.实现方式

(1)获取角色信息

1、给shiro.ini增加角色配置

[users]
admin=123456,role1234
query=147852

2、使用hasRole()判断用户是否有指定角色

 subject.login(token);
 System.out.println("登录成功");
 //判断角色
 boolean role = subject.hasRole("role1234");
 System.out.println(role);

(2)判断权限信息信息

1、给shiro.ini增加权限配置 
[roles]
role1234=user:insert,user:select

2、判断用户是否有指定权限  

boolean isPermitted = subject.isPermitted("user:insert");
System.out.println("是否拥有此权限:"+isPermitted);
//用 checkPermission 方法,但没有返回值,没权限抛 AuthenticationException
subject.checkPermission("user:select");

五、Shiro 加密

在有部分开发中,一些敏感信息需要进行加密,比如说用户的密码。Shiro 内嵌很多 常用的加密算法,比如 MD5 加密。Shiro 可以很简单的使用信息加密

使用Shiro进行密码加密

public static void main(String[] args) {
        //密码明文
        String password = "123456";
        //使用md5加密
        Md5Hash md5Hash = new Md5Hash(password);
        System.out.println("md5加密 = " + md5Hash.toHex());
        //带盐的md5加密,盐就是在密码明文后拼接新字符串,然后再进行加密
        Md5Hash md5Hash2 = new Md5Hash(password,"admin");
        System.out.println("带盐的md5加密 = " + md5Hash2.toHex());
        //为了保证安全,避免被破解还可以多次迭代加密,保证数据安全
        Md5Hash md5Hash3 = new Md5Hash(password,"admin",3);
        System.out.println("md5带盐的3次加密 = " + md5Hash3.toHex());
        //使用父类进行加密
        SimpleHash simpleHash = new SimpleHash("MD5",password,"admin",3);
        System.out.println("父类带盐的3次加密 = " + simpleHash.toHex());

    }

通过学习和实践记录笔记,继续加油冲冲冲!

Shiro使用
qq_43460315的博客
08-15 2858
关于shiro使用方法
SpringBoot整合shiro基本使用
hjvvlkn的博客
06-21 205
import cn/*** @description:自定义Realm实现授权认证} /***授权* 通过认证后 doGetAuthenticationInfo 传过来认证成功的用户进行授权管理 如果返回为null证明不需要权限* @return//获取认证成功传递过来的用户对象 String userName =(String) principalCollection . getPrimaryPrincipal();
shiro使用教程
11-27
Apache ShiroJava 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。
Shiro
余笙的博客
05-02 470
一、Shiro概述 1、什么是Shiro Apache ShiroJava 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 2、为什么要学Shiro shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快...
shiro使用详解
最新发布
weixin_51689532的博客
06-02 542
Apache Shiro是一个功能强大且易于使用Java安全框架,提供身份认证、授权、加密和会话管理等功能。本文详细介绍了Shiro的核心架构(包括Subject、SecurityManager、Realm等组件)、认证授权流程、MD5与盐值加密、SpringBoot整合、缓存机制(EhCache和Redis)以及权限控制实现。通过实战示例演示了用户注册登录、基于角色和资源的权限控制、Freemarker整合等场景,帮助开发者快速掌握Shiro在企业级应用中的安全防护技术。文章还涵盖了验证码集成、自定义R
shiro 用法
比你优秀的人比你还要努力
06-21 2557
最近在做项目的时候需要用到shiro做认证和授权来管理资源 在网上看了很多文章,发现大多数都是把官方文档的简介摘抄一段,然后就开始贴代码,告诉你怎么怎么做,怎么怎么做 相信很多小伙伴即使是跟着那些示例代码做完配完,并且成功搭建,估计也是一头雾水,可能会不理解,为什么要这么做 本人也是在看了大量文章之后,然后又自己动手搭了一便,得出如下使用的感悟,特此分享给大家 依照程序,我要在这里对...
1. shiro基本使用
weixin_39563769的博客
08-02 485
1. Shiro是基于Java语言编写的,Shiro最核心的功能就是认证和授权。
Shiro基本使用详解以及多Realm使用和配置.rar
08-09
Shiro基本使用详解以及多Realm使用和配置,拿来可以直接使用,也可以在此基础上进行自己业务逻辑的添加和修改,如果希望进一步深入学习,可以查看我的博客,可以查看...或给我留言
shiro基本使用
04-20
在这个“shiro基本使用”教程中,我们将深入理解 Shiro 的核心概念,并通过一个名为 "shirodemo" 的示例项目来实践这些概念。 **一、Shiro 的核心组件** 1. **认证**:Shiro 提供了身份验证(Authentication)...
shiro基本
10-10
这个"shiro基本包"应该是包含了Shiro框架的核心组件和必要的依赖,使得用户能够在项目中快速集成并使用Shiro。 **一、身份认证** Shiro的认证过程主要包括:凭证匹配、权限校验和账户状态检查。用户提交登录请求时...
Shiro基本使用
每天至少八杯水的博客
03-31 9475
1.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在.
Shiro使用手册
03-29
这个文档是Apache中的开源项目shiro使用手册,仅供参考
shiro如何使用详解
9527的博客
04-06 6489
一.Shiro能做什么。 Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单 (注意:记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可)二.Shiro使用步骤。1.先把账号密码传入Shiro里面的UsernamePasswor...
Shiro详细使用
残影的博客
10-10 1757
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
Shiro的简单使用
weixin_44342481的博客
04-23 241
流程 Shiro的执行流程: Subject --> SecurityManager --> Realm Subject:主体,相当于当前用户,所有用户将由SecurityManager来管理 SecurityManager:安全管理器,它管理着所有 Subject,它是 Shiro 的核心 Realm:域,Shiro 从从 Realm 获取安全数据,SecurityManager需要从Realm中获取数据进行校验 所需依赖 <groupId>commons-logg
授权 - Spring Security简单案例
个人纪录、总结!
10-21 926
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
shiro介绍和使用
myStyle的博客
03-06 2787
什么是shiroshiro是apache的一个开源框架,是一个权限管理的框架,实现用户认证、用户授权、会话管理等。 shiro的功能: 1、Authentication认证 -- 用户登录 2、Authorization授权-- 用户具有哪些权限 (1) 、编程式:通过写if/else 授权代码块完成 (2)、注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常, 例如:@RequiresPermissi...
shiro
u012112152的博客
11-08 173
ehcache.xml是配置缓存的文件 ehcache.xml只被spring-shiro.xml引用了 ehcache是spring框架自带的一个缓存插件 class=“org.springframework.cache.ehcache.EhCacheManagerFactoryBean”&gt; SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值