web开发实战教程：Apache Shiro在web项目中的应用

前阶段就 hadoop的发实分享了一些内容，希望对新手入门的战教朋友有点帮助吧！对于hadoop新手入门的目中，还是发实比较推荐大快搜索的DKHadoop发行版，三节点标准版还是战教值得拥有的（三节点的标准版是可以免费下载的，与付费版的目中目前功能一样，只是发实节点数量不同，对于新手而言三节点的战教够用了）。正在学习hadoop可以下载一下研究学习之用，目中也可以留言向我索要！发实

今天准备分享一下 Apache Shiro 在web开发中的应用。 shiro安全框架是目中目前为止作为登录注册最常用的框架，因为它十分的发实强大简单，提供了认证、战教授权、目中加密和会话管理等功能 。

shiro能做什么？

认证 ：验证用户的源码下载身份

授权 ：对用户执行访问控制：判断用户是否被允许做某事

会话管理 ：在任何环境下使用 Session API，即使没有 Web 或EJB 容器。

加密 ：以更简洁易用的方式使用加密功能，保护或隐藏数据防止被偷窥

Realms ：聚集一个或多个用户安全数据的数据源

单点登录 （ SSO）功能。

为没有关联到登录的用户启用 "Remember Me“ 服务

Shiro 的四大核心部分

Authentication(身份验证) ：简称为 “登录”，即证明用户是谁。

Authorization(授权) ：访问控制的过程，即决定是否有权限去访问受保护的资源。

Session Management(会话管理) ：管理用户特定的会话，即使在非 Web 或 EJB 应用程序。

Cryptography(加密) ：通过使用加密算法保持数据安全

shiro 的三个核心组件：

Subject ：正与系统进行交互的人，或某一个第三方服务。所有 Subject 实例都被绑定到（且这是必须的）一个SecurityManager 上。

SecurityManager ： Shiro 架构的心脏，用来协调内部各安全组件，管理内部组件实例，并通过它来提供安全管理的各种服务。高防服务器当 Shiro 与一个 Subject 进行交互时，实质上是幕后的 SecurityManager 处理所有繁重的 Subject 安全操作。

Realms ：本质上是一个特定安全的 DAO。当配置 Shiro 时，必须指定至少一个 Realm 用来进行身份验证和/或授权。Shiro 提供了多种可用的 Realms 来获取安全相关的数据。如关系数据库(JDBC)，INI 及属性文件等。可以定义自己 Realm 实现来代表自定义的数据源。

shiro 整合 SSM 框架：

1. 加入 jar 包

2. 配置 web.xml 文件

在 web.xml中加入以下代码—shiro过滤器。

< filter >

< filter-name > shiroFilter </ filter-name >

< filter-class >

org.springframework.web.filter.DelegatingFilterProxy

</ filter-class >

< init-param >

< param-name > targetFilterLifecycle </ param-name >

< param-value > true </ param-value >

</ init-param >

</ filter >

< filter-mapping >

< filter-name > shiroFilter </ filter-name >

< url-pattern > /* </ url-pattern >

</ filter-mapping >

3. 在 Spring 的配置文件中配置 Shiro

Springmvc配置文件中：

Spring配置文件中导入shiro配置文件：

<!-- 包含shiro的配置文件 -->

< import resource ="classpath:applicationContext-shiro.xml"/> 新建 applicationContext-shiro.xml

到这一步，配置文件都基本准备好了，接下来要写 Realm方法了，新建shiro包，在包下新建MyRealm.java文件继承 AuthorizingRealm

以上配置已经完成，接下来通过 action进行验证

//登录认证

    @RequestMapping("/shiro-login")

public  String login(@RequestParam("username") String username,

            @RequestParam("password") String password){

        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new  UsernamePasswordToken(username, password);        

try  {

//执行认证操作.

            subject.login(token);

        } catch  (AuthenticationException ae) {

            System.out.println("登陆失败: " + ae.getMessage());

return  "/index";

        }

return  "/shiro-success";

    }

//提示：记得在注册中密码存入数据库前也记得加密哦，提供一个utils方法

//进行shiro加密，返回加密后的结果

public static  String md5(String pass){

String saltSource = "blog";    

String hashAlgorithmName = "MD5";

Object salt = new  Md5Hash(saltSource);

int  hashIterations = 1024;    

Object result = new  SimpleHash(hashAlgorithmName, pass, salt, hashIterations);

String password = result.toString();

return  password;

}

shiro 登录验证到这里完了， shiro 主要是进行登陆认证，权限以及菜单模块的设置。亿华云