Apache Shiro 是一个功能强大且易用的 Java 安全框架,用于身份验证、授权、加密和会话管理

已于 2024-05-18 17:59:41 修改
阅读量1.8k 收藏
点赞数
分类专栏: SpringBoot(TomcatJettyServlet) Apache(Apache HTTP Server ) Job(a good job programmer) 文章标签: java
于 2020-05-20 16:27:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blog_programb/article/details/106238963
版权
Apache Shiro是一个功能强大且灵活的Java安全框架,提供身份验证、授权、加密和会话管理。支持多种认证机制,如用户名/密码、LDAP等,以及基于角色和资源的访问控制。它可以与Spring Boot无缝集成,通过配置文件和 Realm 实现应用安全。Shiro还具备易扩展性,允许自定义组件以满足特定需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Apache Shiro 是一个强大且灵活的 Java 安全框架,它提供了身份验证、授权、加密和会话管理等一系列功能,帮助开发者构建安全的应用程序。

以下是 Apache Shiro 的一些主要特点:

身份验证:Shiro 提供了强大的身份验证功能,支持多种认证机制,如用户名/密码、LDAP、OAuth、OpenID 等。它还支持自定义身份验证逻辑,以满足特定应用的需求。
授权:Shiro 提供了基于角色的访问控制(RBAC)和基于资源的访问控制(ABAC)等授权机制。它允许你定义角色、权限和资源的层次结构,并配置它们之间的关系。Shiro 还支持跨多个应用程序的授权策略共享。
加密:Shiro 提供了加密算法和工具,用于保护敏感数据。你可以使用 Shiro 提供的加密工具对数据进行加密和解密,以确保数据的机密性和完整性。
会话管理:Shiro 提供了一个强大会话管理组件,用于跟踪和管理用户的会话。它支持单点登录(SSO)和会话集群等功能,以便在分布式环境中管理用户的会话。
与 Spring Boot 集成:Shiro 提供了与 Spring Boot 的集成支持,使得在 Spring Boot 应用程序中集成 Shiro 变得非常简单。你可以通过添加 Shiro 的 Spring Boot Starter 依赖项,并在配置文件中进行简单的配置来启用 Shiro 的功能。
易扩展和定制:Shiro 提供了灵活的扩展机制,允许你根据自己的需求定制和扩展其功能。你可以实现自定义的 Realm、过滤器、认证器等组件,以满足特定应用的安全需求。
支持多种数据源:Shiro 支持从多种数据源中获取用户信息,如关系数据库、LDAP、JDBC、JPA 等。你可以根据自己的数据存储方式选择适合的数据源,并将用户信息映射到 Shiro 的用户模型上。
详细的日志和审计:Shiro 提供了详细的日志和审计功能,可以帮助你跟踪和记录用户的操作和行为。你可以配置 Shiro 的日志记录器,以便在出现问题时进行调试和排查。
总的来说,Apache Shiro 是一个功能强大且易用的 Java 安全框架,它提供了全面的身份验证、授权、加密和会话管理功能,帮助开发者构建安全的应用程序。通过简单的配置和定制,你可以轻松地将 Shiro 集成到你的项目中,并保护你的应用程序免受各种安全威胁。
Apache Shiro 是一个功能强大且易用的 Java 安全框架,用于身份验证、授权、加密和会话管理。在 Spring Boot 应用程序中集成 Apache Shiro 可以很容易地为你的应用提供安全功能。

以下是如何在 Spring Boot 项目中导入和使用 Apache Shiro 的基本步骤:

添加依赖
在你的 pom.xml(Maven)或 build.gradle(Gradle)文件中添加 Shiro 的依赖。如果你使用 Maven,添加如下依赖:

xml

org.apache.shiro
shiro-spring-boot-web-starter
YOUR_DESIRED_VERSION

注意替换 YOUR_DESIRED_VERSION 为你想要的 Shiro Spring Boot Starter 的版本。

配置 Shiro
在 Spring Boot 中,你可以通过配置文件(如 application.yml 或 application.properties)或 Java 配置类来配置 Shiro。例如,你可以配置 Realm、安全管理器(SecurityManager)等。

如果你使用 Java 配置,可以创建一个配置类,并使用 @Configuration 和相关的 Shiro 注解来定义你的配置。

创建 Realm
Realm 是 Shiro 与你的应用安全数据之间的桥梁。你需要实现一个或多个 Realm 来处理身份验证和授权。Realm 可能会访问数据库、LDAP 或其他数据源来获取用户的安全数据。

配置安全管理器
安全管理器(SecurityManager)是 Shiro 的核心组件,它负责协调 Shiro 的所有安全操作。你需要在配置中定义安全管理器,并指定要使用的 Realm。

使用 Shiro 的 API
在你的应用代码中,你可以使用 Shiro 的 API 来进行身份验证、授权等。例如,你可以使用 Subject 类来获取当前用户,并使用其方法来检查用户的角色和权限。
6. 整合 Spring Security(可选)

虽然 Shiro 和 Spring Security 是两个独立的安全框架,但 Shiro 提供了一个与 Spring Security 兼容的模块,允许你在 Shiro 中使用 Spring Security 的某些功能。然而,这通常不是必需的,因为 Shiro 本身已经提供了丰富的安全功能。
7. 测试

确保你的安全配置按预期工作。你可以编写集成测试和/或单元测试来验证你的 Shiro 配置和代码。
8. 部署和监控

将你的应用部署到生产环境,并使用日志和监控工具来跟踪和解决任何安全问题。

请注意,这些步骤是一个概述,并可能需要根据你的具体需求进行调整。你可以查阅 Apache Shiro 的官方文档和示例代码以获取更详细的信息和最佳实践。
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

package com.programb.jwt;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class Application {
   
    public static void main(String[] args) {
   
        SpringApplication.run(Application.class, args);
    }

}


package com.programb.jwt.api;

import org.apache.shiro.ShiroException;
import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseStatus;
import org.springframework.web.bind.annotation.RestControllerAdvice;

import com.programb.jwt.api.model.BaseResponse;

import javax.servlet.http.HttpServletRequest;


@RestControllerAdvice
public class ExceptionController {
   


    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    @ExceptionHandler(ShiroException.class)
    public BaseResponse handle401(ShiroException e) {
   
        return new BaseResponse<>(false, "异常", null);
    }

    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    @ExceptionHandler(UnauthorizedException.class)
    public BaseResponse handle401() {
   
        return new BaseResponse<>(false, "UnauthorizedException", null);
    }

    @ExceptionHandler(Exception.class)
    @ResponseStatus(HttpStatus.BAD_REQUEST)
    public BaseResponse globalException(HttpServletRequest request, Throwable ex) {
   
        return new BaseResponse<>(false, "异常", null);
    }

    private HttpStatus getStatus(HttpServletRequest request) {
   
        Integer statusCode = (Integer) request.getAttribute("javax.servlet.error.status_code");
        if (statusCode == null) {
   
            return HttpStatus.INTERNAL_SERVER_ERROR;
        }
        return HttpStatus.valueOf(statusCode);
    }
}



package com.programb.jwt.api;

import org.apache.shiro.authz.UnauthorizedException;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.*;

import com.programb.jwt.api.model.BaseResponse;
import com.programb.jwt.api.model.LoginParam;
import com.programb.jwt.common.util.JWTUtil;
import com.programb.jwt.model.ManagerInfo;
import com.programb.jwt.service.ManagerInfoService;
import com.programb.jwt.shiro.ShiroKit;

import javax.annotation.Resource;


@RestController
public class LoginController {
   

    @Resource
    private ManagerInfoService managerInfoService;

    private static final Logger _logger = LoggerFactory.getLogger(LoginController.class);

    @PostMapping("/login")
    public BaseResponse<String> login(@RequestHeader(name="Content-Type", defaultValue = "application/json") String contentType,
                                      @RequestBody LoginParam loginParam) {
   
        _logger.info("用户请求登录获取Token");
        String username = loginParam.getUsername();
        String password = loginParam.getPassword();
        ManagerInfo user = managerInfoService.findByUsername(username);
        String salt = user.getSalt();
        String encodedPassword = ShiroKit.md5(password, username + salt);
        if (user.getPassword().equals(encodedPassword)) {
   
            return new BaseResponse<>(true, "Login success", JWTUtil.sign(username, encodedPassword));
        } else {
   
            throw new UnauthorizedException();
        }
    }

}


package com.programb.jwt.api;

import org.apache.shiro.authz.annotation.RequiresAuthentication;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.*;

import com.programb.jwt.api.model.BaseResponse;


@RestController
@RequestMapping(value = "/api/v1")
public class PublicController {
   

    private static final Logger _logger = LoggerFactory.getLogger(PublicController.class);

    @RequestMapping(value = "/join", method = RequestMethod.GET)
    @RequiresAuthentication
    public BaseResponse join(@RequestParam("programb") String imei) {
   
        _logger.info("programb start... programb=" + imei);
        BaseResponse result = new BaseResponse();
        result.setSuccess(true);
        result.setMsg("programb");
        return result;
    }
}


package com.programb.jwt.api.model;


public class BaseResponse<T> {
   
 boolean success;

    private String msg;
    private T data;

    public BaseResponse() {
   

    }

    public BaseResponse(boolean success, String msg, T data) {
   
        this.success = success;
        this.msg = msg;
        this.data = data;
    }

    public boolean isSuccess() {
   
        return success;
    }

    public void setSuccess(boolean success) {
   
        this.success = success;
    }

    public String getMsg() {
   
        return msg;
    }

    public void setMsg(String msg) {
   
        this.msg = msg;
    }

    public T getData() {
   
        return data;
    }

    public void setData(T data) {
   
        this.data = data;
    }

}


package com.programb.jwt.api.model;


public class LoginParam {
   

    private String username;

    private String password;

    public String getUsername() {
   
        return username;
    }

    public void setUsername(String username) {
   
        this.username = username;
    }

    public String getPassword() {
   
        return password;
    }

    public void setPassword(String password) {
   
        this.password = password;
    }
}


package com.programb.jwt.common.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.util.Date;

public class JWTUtil {
   

    private static final Logger log = LoggerFactory.getLogger(JWTUtil.class);

    // 过期时间5分钟
    private static final long EXPIRE_TIME = 5 * 60 * 1000;


    public static String sign(String username, String secret) {
   
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        Algorithm algorithm = Algorithm.HMAC256(secret);
        // 附带username信息
        return JWT.create()
                .withClaim("username", username)
                .withExpiresAt(date)
                .
最低0.47元/天 解锁文章
Apache Shiro 快速入门教程,shiro 基础教程
SwingLife的专栏
06-03 11万+
第一部分 什么是Apache Shiro 1、什么是 apache shiroApache Shiro一个功能强大易于使用的Java安全框架,提供了认证,授权加密会话管理 如同 Spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了比较简洁易懂的认证授权方式。 2、A
Shiro 身份验证授权、密码会话管理
05-07
Apache Shiro一个强大易用Java 安全框架,它提供了身份验证授权、密码管理会话管理等功能,简化了在 Java 应用程序中处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
什么是 Apache Shiro
web15085599741的博客
03-29 5925
什么是Apache Shiro Apache Shiro 是一种功能强大易于使用的Java安全框架,它具有身份验证、访问授权、数据加密会话管理等功能,可用于保护任何应用程序的安全。 如: 命令行应用程序、移动应用程序、Web应用程序、企业级应用程序。从小到大到很大,Apache Shiro都会给你提供安全帮助。 Shiro 为你的应用程序提供如下API,帮助你更好的管理应用程序的安全。 身份验证 证明用户的身份。也就是所谓的用户的 “登录” 功能,验证访问的用户是否有权利登录系统或者访问后台接口。
Shiro认证授权-超详细,看这篇就够了
最新发布
小Ti博客
03-14 844
Shiroapache旗下的一个开源安全框架,它可以帮助我们完成身份认证,授权加密会话管理等功能。易于理解的API简单的身份认证,支持多种数据源简单的授权鉴权简单的加密API支持缓存,以提升应用程序的性能内置会话管理,适用于Web以及非Web的环境不跟任何的框架或者容器捆绑,可以独立运行使用dbcRealm认证时,数据库表名、字段名、认证逻辑都不能改变,我们可以自定义 Realm进行更灵活的认证。编写自定义Realm@Autowired//自定义认证方法。
Apache Shiro 安全框架
m0_73745224的博客
01-25 1847
Realm域:Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源/*** 自定义Realm 处理登录 权限*/@Autowired@Autowired@Autowired/*** 授权*/@Override// 角色列表。
在 Web 项目中应用 Apache Shiro 开源权限框架
百威
03-28 296
Apache Shiro功能强大容易集成的开源权限框架,它能够完成认证、授权加密会话管理等功能。认证授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 Shiro 的一系列特征及优点,很多文章已有列举,这里不再逐一赘述,本文重点介绍 Shiro 在 Web Appli...
Apache Shiro
tiantiantbtb的博客
06-12 1122
Apache Shiro一个Java的安全(权限)框架.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSe环境,也可以用在JavaEE环境Shiro可以完成,认证,授权,加密,会话管理,Web集成官网:https://shiro.apache.org 里面有Shiro 在gitee的下载地址什么的,看不懂,1分钟就解决了建议好好读一下:三个核心组件:Subject, SecurityManager Realms.Subject:即“当前操作用户”。但是,在Shiro中,Subjec
Apache ShiroJava安全框架,实现身份验证授权会话管理
Apache Shiro一个强大的Java安全框架,专用于身份验证授权加密会话管理。它被设计用来保护各种类型的软件应用,包括命令行、移动应用以及大规模的Web企业级系统。Shiro的核心功能体现在以下几个方面: 1....
Apache Shiro: Java安全框架详解 - 身份验证授权会话管理
Apache Shiro一个专为Java应用程序设计的强大安全框架,它旨在简化身份验证授权、密码管理会话控制的过程。其易用的API使得开发者能够快速集成安全功能到各种规模的应用程序中,包括移动应用大型企业系统。 ...
Apache Shiro易用的开源安全框架,涵盖身份验证授权会话管理
Apache Shiro一个强大的开源安全框架,其核心价值在于提供简单易用的身份认证(Authentication)、授权(Authorization)、企业会话管理加密功能,旨在减轻开发者在应用程序安全性方面的复杂性。Shiro强调了...
Apache Shiro易用安全框架,简化身份验证授权
Apache Shiro一个强大的开源安全框架,设计用于简化开发人员在构建安全应用程序中的工作。其核心理念在于提供一个易于理解使用的API,尽管安全问题在某些情况下可能复杂,但Shiro致力于隐藏背后的复杂性,让...
Apache_Shiro
03-14
Apache Shiro一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理加密Apache Shiro 的首要目标是易于使用理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用Apache Shiro 所做的事情: . 验证用户来核实他们的身份 . 对用户执行访问控制,如: . 判断用户是否被分配了一个确定的安全角色 . 判断用户是否被允许做某事 . 在任何环境下使用Session API,即使没有Web 或EJB 容器。 . 在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。 . 聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。 . 启用单点登录(SSO)功能。 . 为没有关联到登录的用户启用"Remember Me"服务 … 以及更多——全部集成到紧密结合的易于使用的API 中。
Apache Shiro教程
12-30
Apache Shiro一个框架,可用于身份验证授权Apache Shiro的教程(PDF),相关jar包,源码等。
import org.apache.http
09-14
import org.apache.http.Header; import org.apache.http.HttpException; import org.apache.http.HttpRequest; import org.apache.http.HttpRequestInterceptor; import org.apache.http.HttpResponse; import org.apache.http.HttpStatus; import org.apache.http.NameValuePair; import org.apache.http.client.entity.UrlEncodedFormEntity; import org.apache.http.client.methods.HttpGet; import org.apache.http.client.methods.HttpPost; import org.apache.http.conn.scheme.Scheme; import org.apache.http.conn.ssl.SSLSocketFactory; import org.apache.http.impl.client.DefaultHttpClient; import org.apache.http.message.BasicNameValuePair; import org.apache.http.params.CoreConnectionPNames; import org.apache.http.protocol.HttpContext; jar包
Apache Shiro 是什么?
王浩的技术博客
09-19 574
Apache Shiro 是ASF旗下的一款开源软件(Shiro发音为“shee-roh”,日语“堡垒(Castle)”的意思),提供了一个强大而灵活的安全框架。可为任何应用提供安全保障— 从命令行应用、移动应用到大型网络及企业应用。 Apache Shiro提供了认证、授权加密会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并在实现此目...
Security - 轻量级Java身份认证、访问控制安全框架
weixin_33831196的博客
05-24 197
前言   此框架由小菜独立开发,并已经在生产环境中运行大约一年时间。   也就是说,Security 框架写出来有一段时间了,但是一直没有公布、开源,经过不断迭代完善,终于算是拿得出手啦~   Security 框架存在的意义并不是为了替代 Shiro 或 Spring Security ,而提供另一种选择。   当读者因为现有安全框架的复杂繁琐而苦恼时,为什么不尝试一下 Securi...
Apache Shiro(一)
qq_42847719的博客
01-01 1257
如同上面提到的,Realm 是 shiro 你的应用程序安全数据之间的“桥”或“连接”,当实际要与安全相关的数据进行交互如用户执行身份认证(登录)授权验证(访问控制)时,shiro 从程序配置的一个或多个Realm 中查找这些数据,你需要配置多少个 Realm 便可配置多少个 Realm(通常一个数据源一个),shiro 将会在认证授权中协调它们。是不是需要所有方面的验证都成功?简单就是不同的角色用户只能访问指定的信息 ,我们需要知道用户有那些角色,用户有那些权限 ,包结构之前的一致3-3。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bol5261

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值