提起Java社区中的安全框架,大家的第一反应应该是Spring Security,我曾经在09年看《Spring In Action 2nd Edition》时,学习了一下,按照书中的Demo搭建了一个Web项目,深感其配置之繁杂,浅尝辄止,索性就没管它了。去年江南白衣在公布SpringSide4的路线图中提及将使用Apache Shiro替换Spring Security,我才第一次知道Apache Shiro这个东西,看了一圈评论,都是“大家都说好,谁用谁知道”之类的。因为实际项目中还没有关于安全框架方面的需求,所以也没有跟进,最近上头跟我说了一个需求,我觉得用安全框架可以满足,这才把学习Apache Shiro摆上日程。
学习一门技术首先要看的就是看官方手册,下面列出Apache Shiro官方提供的教程和文档:
http://shiro.apache.org/10-minute-tutorial.html:10分钟入门指南
http://shiro.apache.org/java-authentication-guide.html:Apache Shiro 授权 入门
http://shiro.apache.org/java-authorization-guide.html:Apache Shiro 认证 入门
http://shiro.apache.org/reference.html:Apache Shiro参考手册,目录结构:
I. 概览
1. 介绍
2. 入门
3. 架构
4. 配置
II. 核心
5. 授权
6. 认证
6.1 权限
7. Realms
8. 会话管理
9. 密码加密
III. Web应用
10. Web
10.1. 配置
10.2. [urls](基于路径的安全控制)
10.3. 默认过滤器
10.4. 会话管理
10.5. JSP标签库
IV. 辅助支持
11. 缓存
12. 并发和多线程
13. 测试
14. 定制Subjects
V. 集成
15. Spring框架
16. Guice
17. CAS
VI. 工具
18. 命令行哈希校验器
VII. 索引
19. 术语
在看完《10分钟入门指南》、《Apache Shiro 授权 入门》、《Apache Shiro 认证 入门》后,知道了Apache Shiro基本概念和代码写法。
接着就是搭建Web项目,Apache Shiro参考手册第10节讲了如何在Web应用中加入Apache Shiro,但是我搭建的Web项目基于SpringMVC,所以先看了第15节。
然后想到一个问题,《10分钟入门指南》和Apache Shiro参考手册第10节中都使用了shiro.ini作为Shiro的配置文件,但在和SpringMVC集成后,该配置文件就不需要了。
在stackoverflow上搜索到一个帖子 http://stackoverflow.com/questions/7448460/spring-mvc-and-shiro-configuration-using-ini-files 解答了我的疑惑。
最后便是看看江南白衣的SpringSide4的mini-web模块是如何应用Apache Shiro的。
我写的例子程序samples-shiro放在GitHub上了。
补充:
InfoQ上有一篇《让Apache Shiro保护你的应用》,翻译的还不错。
IBM上还有一篇《将 Shiro 作为应用的权限基础》。
吐槽一下:Apache Shiro官方文档有很多错别字,或者重复输入的,看了这么多开源软件的官网文档,这种情况我还是第一次见。
[2012.04.04 10:51 PM 正巧在Amazon购书有感] 补充:
java Authentication Guide | Apache Shiro
Remembered vs Authenticated
下面这个场景阐述了为什么isAuthenticated和isRemembered之间的区别是重要的。
假设你正在使用Amazon.com。你登陆后添加了一些书到购物车中。一天以后,你的用户会话(session)当然过期了,你已经登出了,但是Amazon“remember”你,通过名字和你打招呼,仍然给你个人书籍推荐。对于Amazon来说,isRemembered()返回TRUE。那么如果你试着使用信用卡结帐或者修改你的帐户信息会发生什么事呢?此时Amazon“remember”你,isRemembered() = TRUE,这并不意味着你就是事实上的你,因为isAuthenticated() = FALSE。所以在你进行下一步理智(sensitive)的行为之前,Amazon需要通过强制一个认证过程验证你的身份,这个过程就是返回登陆窗口。在登陆后,你的身份被确认了同时isAuthenticated() = TRUE。
该场景在web领域非常常见,因此Shiro内置了该功能,帮助你很容易的区分这两点。
分享到:
相关推荐
通过这个Apache Shiro教程,你可以学习到如何构建安全的Java应用,了解Shiro的配置和用法,以及如何在实际项目中实施身份验证、授权、会话管理和加密策略。无论你是初学者还是经验丰富的开发者,Shiro都是一个值得...
总之,Apache Shiro 1.13.0 源码提供了深入了解 Java 安全框架的机会,无论是对于学习安全基础知识,还是解决实际项目中的安全问题,都是非常宝贵的资源。通过深入阅读和实践,开发者可以提升自身的安全编程能力,为...
在本项目中,我们利用Spring Boot、MyBatis、Thymeleaf以及Apache Shiro这四个核心技术栈构建了一个面向学习型的后台管理系统。这个系统旨在提供一个高效、易用的平台,帮助用户进行学习资源的管理和分享。接下来,...
本文档合集包含了多个 PDF 文件,全面覆盖了 Apache Shiro 的核心概念和使用方法,非常适合初学者和进阶开发者学习。 1. **认证**:在 Shiro 中,认证是指验证用户身份的过程。Shiro 提供了简单易用的 API 来处理...
这是一个基于Java技术栈的仓库管理系统源码,使用了Spring MVC作为MVC框架,Mybatis作为持久层框架,Ehcache作为缓存管理工具,Apache Shiro进行权限控制,以及Bootstrap作为前端UI框架。下面将详细解析这些技术在...
Apache Shiro 是一个强大且易用的...书中的目录将指导你逐个章节深入学习,从基础概念到高级应用,确保你能够全面掌握Apache Shiro 的精髓。通过实践书中给出的例子,相信你将能更好地理解和运用这个强大的安全框架。
### Apache Shiro 开发文档详解 #### 一、Apache Shiro 概述 Apache Shiro 是一款强大且灵活的开源安全框架,旨在简洁地解决身份验证(Authentication)、授权(Authorization)、会话管理(Session Management)...
截止到2015年8月1日,Shiro的最新版本为1.2.4,有兴趣的开发者可以访问官方提供的GitBook版本,进行阅读和学习。 Shiro的社区也十分活跃,开发者可以参与到翻译工作中来,贡献自己的力量。如果有任何疑问,可以通过...
《配对Apache Shiro和Java EE7》这本书详细介绍了如何将Apache Shiro安全框架与Java EE7企业版进行整合。在学习和实践中,本书以NetBeans集成开发环境(IDE)为基础,提供了丰富的实例教程,这些示例基于边界-控制-...
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它专注于应用程序的安全性,而不是网络安全性,因此它非常适合用于Web应用和桌面...
通过阅读"Apache Shiro 中文手册",你将能够全面了解Shiro的工作原理,学习如何在项目中配置和使用它,从而提高你的应用安全性,并实现高效的身份验证和授权机制。无论是初学者还是有经验的开发者,这都是一个宝贵的...
Apache Shiro是一款强大的Java安全框架,它为开发者提供了一种简单易用的API来处理认证、授权、会话...通过《Apache Shiro参考手册中文版》的详细学习,你将能够更好地应对各种安全场景,为你的项目提供稳固的保护。
在深入学习 Shiro 的身份认证示例时,你可以关注以下几个方面: - 如何创建自定义 Realm 以连接到实际的数据源(如数据库)并实现 `getPrincipals()` 和 `getCredentials()` 方法。 - 如何配置 Shiro 的 Ini 文件或...
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以简化开发人员处理安全的复杂性。Shiro适用于各种应用,从小型独立应用到大型分布式系统,都能有效地支持。 在"shiro-...
Apache Shiro 是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。在本文中,我们将深入探讨Apache Shiro的核心概念、主要功能以及如何在实际项目中进行使用。 ...
spring boot+mybatis+thymeleaf+apache shiro开发面向学习型的后台管理系统BootDo,参考地址 http://blog.csdn.net/zhaokejin521/article/details/78719722
本文将深入探讨如何使用Maven作为构建工具,结合Spring MVC作为MVC框架,Apache Shiro作为安全管理组件,以及MySQL作为数据库来搭建这样的系统。这四个技术组件都是Java开发中的热门选择,它们各自在应用程序的不同...
标题 "基于SpringBoot + Thymeleaf + Layui + Apache Shiro + Redis + .zip" 描述了一个使用现代Web开发技术构建的项目。这个项目利用了SpringBoot作为核心框架,Thymeleaf作为模板引擎,Layui作为前端UI框架,...