摘要:Apache Shiro 是ASF旗下的一款开源软件(Shiro发音为“shee-roh”,日语“堡垒(Castle)”的意思),提供了一个强大而灵活的安全框架。可为任何应用提供安全保障— 从命令行应用、移动应用到大型网络及企业应用。Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时...
阅读全文
随笔分类 - Shiro
摘要:Shiro 是 Java 世界中新近出现的权限框架,较之 JAAS 和 Spring Security,Shiro 在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。本文介绍了 Shiro 的关键概念和权限模型,同时给出了 Shiro 以及 Grails Shiro Plugin 的使用示例。在阅读本文的过程中,读者可以充分的体会到 Shiro 的魅力。前言Shiro 是 JAVA 世界中...
阅读全文
摘要:Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 Shiro 的一系列特征及优点,很多文章已有列举,这里不再逐一赘述,本文重点介绍 Shiro 在 Web Appli...
阅读全文
摘要:注:这里只介绍Spring配置模式。因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。涉及的jar包核心包shiro-core1.2.0Web相关包shiro-web1.2.0缓存包shiro-ehcache1.2.0与spring整合包shiro-spring1.2.0Ehcache缓存核心包ehcache-core2....
阅读全文
摘要:声明本文只适合初学者,本人也是刚接触而已,经过一段时间的研究小有收获,特来分享下希望和大家互相交流学习。首先配置我们的web.xml代码如下: shiroFilter org.springframework.web.filter.DelegatingFilterProxy shiroFilter /* @...
阅读全文
摘要:当Shiro集成到Spring mvc中,却发现shiro的权限注解不起作用,官方的配置是要支持注解,只需要将以下代码加到spring 配置文件中即可: 后来研究发现,不起作用是因为代码放的位置不对,需要将上面代码放到视图的配置文件中,如:spring-mvc.xml文/Devid(简书作者)原文链接:http://www.jianshu.com/p/3716ee8e3adc来自为知...
阅读全文
摘要:在使用Shiro标签库前,首先需要在JSP引入shiro标签: 1、介绍Shiro的标签guest标签 :验证当前用户是否为“访客”,即未认证(包含未记住)的用户。 Hi there! Please Login or Signup today! 2、user标签 :认证通过或已记住的用户。 Welcome back John! Not John? Click here to login. ...
阅读全文
摘要:shiro验证权限方式一种是基于url配置文件:例如: /home=authc /resources/**=ano...
阅读全文
摘要:Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。 因为我总结的是使用SpringMVC和Apache Shiro整合,注重的是整合和使用,至于基础...
阅读全文
摘要:摘要: SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。第一步:配置web.xml --> shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecyc...
阅读全文
摘要:在尝试保护你的应用时,你是否有过挫败感?是否觉得现有的Java安全解决方案难以使用,只会让你更糊涂?本文介绍的Apache Shiro,是一个不同寻常的Java安全框架,为保护应用提供了简单而强大的方法。本文还解释了Apache Shiro的项目目标、架构理念以及如何使用Shiro为应用安全保驾护航。什么是Apache Shiro?Apache Shiro(发音为“shee-roh”,日语“堡垒(...
阅读全文
摘要:一、在web.xml中添加shiro过滤器 Xml代码 shiroFilter org.springframework.web.filter.DelegatingFilterProxy shiroFilter /* 二、在Spring的applicationContext.xml中添加shiro配置 1、...
阅读全文
摘要:Apache Shiro的配置主要分为四部分: 对象和属性的定义与配置URL的过滤器配置静态用户配置静态角色配置其中,由于用户、角色一般由后台进行操作的动态数据,因此Shiro配置一般仅包含前两项的配置。 Apache Shiro的大多数组件是基于POJO的,因此我们可以使用POJO兼容的任何配置机制进行配置,例如:Java代码、Sping XML、YAML、JSON、ini文件等等。下面,以Sp...
阅读全文
摘要:在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO。 一、认证实现 正如前文所提到的,Shiro的认证过程最终会交由Realm执行,这时会调用Realm的getAuthentic...
阅读全文
摘要:授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。 如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。 一、授权的三要素 授权有着三个核心元素:权限、角色和用户。 权限 权限是Apache Shiro安全机制最核心的元素。它在应用程序中明确声明了被允许的行为和表现。一个格式良好的权限声明可以清晰表达出用户对该资源拥有的权限。 大多...
阅读全文
摘要:认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。 一、Shiro认证过程 1、收集实体/凭据信息 Java代码 //Example using most common scenario of username/password pair: Usern...
阅读全文
摘要:一、什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”;授权 - 访问控制;密码加密 - 保护或隐藏数据防止被偷窥;会话管理 - 每用户相关的时间敏感的状态。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。 二、Shiro的架构...
阅读全文
摘要:1、什么是Apache ShiroApache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理如同Spring Security一样都是是一个权限安全框架,但是与Spring Security相比,在于它使用了和比较简洁易懂的认证和授权方式。2、Apache Shiro 的三大核心组件1、Subject :当前用户的操作2、SecurityManager:...
阅读全文
摘要:Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。Authenticator:认...
阅读全文
