提起Java社区中的安全框架,大家的第一反应应该是Spring Security,我曾经在09年看《Spring In Action 2nd Edition》时,学习了一下,按照书中的Demo搭建了一个Web项目,深感其配置之繁杂,浅尝辄止,索性就没管它了。去年江南白衣在公布SpringSide4的路线图中提及将使用Apache Shiro替换Spring Security,我才第一次知道Apache Shiro这个东西,看了一圈评论,都是“大家都说好,谁用谁知道”之类的。因为实际项目中还没有关于安全框架方面的需求,所以也没有跟进,最近上头跟我说了一个需求,我觉得用安全框架可以满足,这才把学习Apache Shiro摆上日程。
学习一门技术首先要看的就是看官方手册,下面列出Apache Shiro官方提供的教程和文档:
http://shiro.apache.org/10-minute-tutorial.html:10分钟入门指南
http://shiro.apache.org/java-authentication-guide.html:Apache Shiro 授权 入门
http://shiro.apache.org/java-authorization-guide.html:Apache Shiro 认证 入门
http://shiro.apache.org/reference.html:Apache Shiro参考手册,目录结构:
I. 概览
1. 介绍
2. 入门
3. 架构
4. 配置
II. 核心
5. 授权
6. 认证
6.1 权限
7. Realms
8. 会话管理
9. 密码加密
III. Web应用
10. Web
10.1. 配置
10.2. [urls](基于路径的安全控制)
10.3. 默认过滤器
10.4. 会话管理
10.5. JSP标签库
IV. 辅助支持
11. 缓存
12. 并发和多线程
13. 测试
14. 定制Subjects
V. 集成
15. Spring框架
16. Guice
17. CAS
VI. 工具
18. 命令行哈希校验器
VII. 索引
19. 术语
在看完《10分钟入门指南》、《Apache Shiro 授权 入门》、《Apache Shiro 认证 入门》后,知道了Apache Shiro基本概念和代码写法。
接着就是搭建Web项目,Apache Shiro参考手册第10节讲了如何在Web应用中加入Apache Shiro,但是我搭建的Web项目基于SpringMVC,所以先看了第15节。
然后想到一个问题,《10分钟入门指南》和Apache Shiro参考手册第10节中都使用了shiro.ini作为Shiro的配置文件,但在和SpringMVC集成后,该配置文件就不需要了。
在stackoverflow上搜索到一个帖子 http://stackoverflow.com/questions/7448460/spring-mvc-and-shiro-configuration-using-ini-files 解答了我的疑惑。
最后便是看看江南白衣的SpringSide4的mini-web模块是如何应用Apache Shiro的。
我写的例子程序samples-shiro放在GitHub上了。
补充:
InfoQ上有一篇《让Apache Shiro保护你的应用》,翻译的还不错。
IBM上还有一篇《将 Shiro 作为应用的权限基础》。
吐槽一下:Apache Shiro官方文档有很多错别字,或者重复输入的,看了这么多开源软件的官网文档,这种情况我还是第一次见。
[2012.04.04 10:51 PM 正巧在Amazon购书有感] 补充:
java Authentication Guide | Apache Shiro
Remembered vs Authenticated
下面这个场景阐述了为什么isAuthenticated和isRemembered之间的区别是重要的。
假设你正在使用Amazon.com。你登陆后添加了一些书到购物车中。一天以后,你的用户会话(session)当然过期了,你已经登出了,但是Amazon“remember”你,通过名字和你打招呼,仍然给你个人书籍推荐。对于Amazon来说,isRemembered()返回TRUE。那么如果你试着使用信用卡结帐或者修改你的帐户信息会发生什么事呢?此时Amazon“remember”你,isRemembered() = TRUE,这并不意味着你就是事实上的你,因为isAuthenticated() = FALSE。所以在你进行下一步理智(sensitive)的行为之前,Amazon需要通过强制一个认证过程验证你的身份,这个过程就是返回登陆窗口。在登陆后,你的身份被确认了同时isAuthenticated() = TRUE。
该场景在web领域非常常见,因此Shiro内置了该功能,帮助你很容易的区分这两点。
分享到:
相关推荐
spring boot+mybatis+thymeleaf+apache shiro开发面向学习型的后台管理系统!
Apache Shiro使用手册.pdf 学习shiro 入门之用
张开涛《跟我学Shiro》PDF原件版本,学习交流使用,带目录,清晰。
spring boot+mybatis+thymeleaf+apache shiro开发面向学习型的后台管理系统BootDo,参考地址 http://blog.csdn.net/zhaokejin521/article/details/78719722
张开涛关于Shiro学习教程与源码.Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不...
包含Apache_Shiro_reference(中文版).pdf,shiro 安全框架--最好的中文配置文档.pdf,shiro入门学习.ppt,shiro使用方法.ppt
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> /checkLogin.json = anon /** = authc </bean> <!-- 用户授权信息Cache --> ...
1. 了解基于资源的权限管理方式 2. 权限数据模型 3. 基于url的权限管理(不适应shiro实现权限管理) 4. Shiro实现用户认证 5. Shiro实现用户授权 6. Shiro与企业web整合开发方法
安全认证框架-Apache_Shiro,综合学习笔记
Java企业级权限系统,可供学习Spring Security权限框架、 Apache Shiro权限框架、Spring MVC、 RBAC模型、模块开发等等,内有详细视频教程,由于上传大小限制,可联系免费获取!
Apache Shiro Java Security Framework.mht,shiro,shiro,shiro,shiro
Shiro1.2.2 的源码包,大家有兴趣的阔以下来学习学习!
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户...
NULL 博文链接:https://yingzhuo.iteye.com/blog/1709002
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: ? 验证用户 ? 对用户执行访问控制,如: ? 判断用户是否...
Apache Shiro的操作手册,涵盖整个Shiro的大部分知识点,入门好资料。对于公司中要使用的童鞋来说,非常有用。
Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相 当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,...
基于SpringBoot + Thymeleaf+ Apache Shiro + Redis + Mybatis Plus 的后台管理系统 支持菜单权限与数据权限 数据库支持 MySQL、Oracle、sqlServer 等主流数据库 提供代码生成器,基本增删改查无需编写,可快速完成...