Shiro入门学习手册.ppt
《Shiro入门学习手册.ppt》由会员分享,可在线阅读,更多相关《Shiro入门学习手册.ppt(35页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Shiro入门学习手册,简单的介绍,简单的配置,简单的扩展By jfm,一,shiro简介,Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如CS程序。 可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。 单点登录(SSO)功能。 “Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。
2、,Shiro的4大部分身份验证,授权,会话管理和加密 Authentication:身份验证,简称“登录”。 Authorization:授权,给用户分配角色或者权限资源 Session Management:用户session管理器,可以让CS程序也使用session来控制权限 Cryptography:把JDK中复杂的密码加密方式进行封装。,除了以上功能,shiro还提供很多扩展 Web Support:主要针对web应用提供一些常用功能。 Caching:缓存可以使应用程序运行更有效率。 Concurrency:多线程相关功能。 Testing:帮助我们进行测试相关功能 Run As:一
3、个允许用户假设为另一个用户身份(如果允许)的功能,有时候在管理脚本很有用。 “Remember Me”:记住用户身份,提供类似购物车功能。,Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。,Subject:,SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。然而,一旦 SecurityManager协调完毕,Security
4、Manager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作。,SecurityManager:,Realms:,Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如LDAP数据源的Jndi
5、LdapRealm,JDBC数据源的JdbcRealm,ini文件数据源的IniRealm,properties文件数据源的PropertiesRealm,等等。我们也可以插入自己的 Realm实现来代表自定义的数据源。 像其他组件一样,Realms也是由SecurityManager控制,小结:,1.Subject(org.apache.shiro.subject.Subject):简称用户,2.SecurityManager(org.apache.shiro.mgt.SecurityManager) 如上所述,SecurityManager是shiro的核心,协调shiro的各个组件,3.
6、Authenticator(org.apache.shiro.authc.Authenticator): 登录控制,注:Authentication Strategy(org.apache.shiro.authc.pam.AuthenticationStrategy) 如果存在多个realm,则接口AuthenticationStrategy会确定什么样算是登录成功(例如,如果一个Realm成功,而其他的均失败,是否登录成功?)。,4.Authorizer(org.apache.shiro.authz.Authorizer) :决定subject能拥有什么样角色或者权限。,5.SessionM
7、anager(org.apache.shiro.session.SessionManager) :创建和管理用户session。通过设置这个管理器,shiro可以在任何环境下使用session。,6.CacheManager(org.apahce.shiro.cache.CacheManager) :缓存管理器,可以减少不必要的后台访问。提高应用效率,增加用户体验。,7.Cryptography(org.apache.shiro.crypto.*) :Shiro的api大幅度简化java api中繁琐的密码加密。,8.Realms(org.apache.shiro.realm.Realm) :
8、程序与安全数据的桥梁,二,简单配置,注:这里只介绍spring配置模式。因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。,涉及的jar包,使用maven时,在pom中添加依赖包,org.apache.shiroshiro-core1.2.0org.apache.shiroshiro-web1.2.0org.apache.shiroshiro-ehcache1.2.0,org.apache.shiroshiro-spring1.2.0net.sf.ehcacheehcache-core2.5.3org.slf4jslf
9、4j-jdk141.6.4,Spring整合配置,1.在web.xml中配置shiro的过滤器,shiroFilterorg.springframework.web.filter.DelegatingFilterProxyshiroFilter/*,2.在Spring的applicationContext.xml中添加shiro配置,/home* = anon/ = anon/logout = logout/role/* = rolesadmin/permission/* = permspermssion:look/* = authc,securityManager:这个属性是必须的。,log
10、inUrl :没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。,successUrl :登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。,unauthorizedUrl :没有权限默认跳转的页面。,anon:例子/admins/*=anon 没有参数,表示可以匿名使用。,authc:例如/admins/user/*=authc表示需要认证(登录)才能使用,没有参数,roles:例子/admins/user/*=r
11、olesadmin,参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/*=rolesadmin,guest,每个参数通过才算通过,相当于hasAllRoles()方法。,perms:例子/admins/user/*=permsuser:add:*,参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/*=permsuser:add:*,user:modify:*,当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。,rest:例子/admins/user/*=restuser
12、,根据请求的方法,相当于/admins/user/*=permsuser:method ,其中method为post,get,delete等。,port:例子/admins/user/*=port8081,当请求的url的端口不是8081是跳转到schemal:/serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。,authcBasic:例如/admins/user/*=authcBasic没有参数表示httpB
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- shiro 入门 学习 手册
限制150内