Shiro 简介
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
Apache Shiro™是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
简而言之,Apache Shiro 是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、加密和会话管理。
Shiro能到底能做些什么呢?
- 验证用户身份
- 用户访问权限控制,比如:1、判断用户是否分配了一定的安全角色。2、判断用户是否被授予完成某个操作的权限
- 在非 Web 或 EJB 容器的环境下可以任意使用Session API
- 可以响应认证、访问控制,或者 Session 生命周期中发生的事件
- 可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图)
- 支持单点登录(SSO)功能
- 支持提供“Remember Me”服务,获取用户关联信息而无需登录
一、权限的管理🍉
1.什么是权限管理🥝
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。
2. 什么是身份认证🥝
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。
3. 什么是授权🥝
授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的
如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
使用比较多的第三方框架—shiro和springsecurity安全框架。shiro使用比较简单。而且它可以单独使用也可以和spring框架整合。
二、为什么使用Shiro🍉
使用 Shiro 官方给了许多令人信服的原因,因为 Shiro 具有以下几个特点:
- 易于使用——易用性是项目的最终目标。应用程序安全非常令人困惑和沮丧,被认为是“不可避免的灾难”。如果你让它简化到新手都可以使用它,它就将不再是一种痛苦了。
- 全面——没有其他安全框架的宽度范围可以同Apache Shiro一样,它可以成为你的“一站式”为您的安全需求提供保障。
- 灵活——Apache Shiro可以在任何应用程序环境中工作。虽然在网络工作、EJB和IoC环境中可能并不需要它。但Shiro的授权也没有任何规范,甚至没有许多依赖关系。
- Web支持——Apache Shiro拥有令人兴奋的web应用程序支持,允许您基于应用程序的url创建灵活的安全策略和网络协议(例如REST),同时还提供一组JSP库控制页面输出。
- 低耦合——Shiro干净的API和设计模式使它容易与许多其他框架和应用程序集成。你会看到Shiro无缝地集成Spring这样的框架, 以及Grails, Wicket, Tapestry, Mule, Apache Camel, Vaadin…等。
- 被广泛支持——Apache Shiro是Apache软件基金会的一部分。项目开发和用户组都有友好的网民愿意帮助。这样的商业公司如果需要Katasoft还提供专业的支持和服务。
三、 shiro的核心组件🍉
Subject🥝
Subject主体,外部应用与subject进行交互,subject将用户作为当前操作的主体,这个主体:可以是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权
SecurityManager🥝
SecurityManager权限管理器,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口
Authenticator🥝
Authenticator即认证器,对用户登录时进行身份认证
Authorizer🥝
Authorizer授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
Realm(数据库读取+认证功能+授权功能实现)🥝
Realm领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据
比如:
如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
注意:
不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。
SessionManager🥝
SessionManager会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
SessionDAO🥝
SessionDAO即会话dao,是对session会话操作的一套接口
比如:
可以通过jdbc将会话存储到数据库
也可以把session存储到缓存服务器redis
CacheManager 🥝
CacheManager缓存管理,将用户权限数据存储在缓存,这样可以提高性能
Cryptography🥝
Cryptography密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、md5等功能
四、Shiro 快速入门🍉
1.使用shiro完成认证-ini🥝
用户的信息存在–ini文件【实际开发存储数据库】。
(1)创建java的maven工程并引入shiro依赖
//shiro核心依赖 shiro-core
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.7.0</version>
</dependency>
(2)创建一个ini文件
# [users]定义用户的信息--当对于表名叫users
[users]
# =左边表示用户名 =右边表示密码和对应的角色
zhangsan=123456,admin
lisi=123456,role1,role2
(3)编写代码
//创建一个SecurityManager 权限管理器对象
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
//设置securityManager 使用的Realm (realm用来读取数据库数据,进行认证和授权操作)
//创建realm 领域 用来读取 ini文件
IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
//将自己创建的领域设置为SecurityManager权限管理器的领域
defaultSecurityManager.setRealm(iniRealm);
//把SecurityManager权限管理器放到上下文中,使其生效
SecurityUtils.setSecurityManager(defaultSecurityManager);
//获取Subject主体对象 可以理解为客户端操作
Subject subject = SecurityUtils.getSubject();
//shiro把用户输入的账号和密码封装到UsernamePasswordToken类中
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123456");
try {
//调用subject中的认证方法 传入账户密码
subject.login(token);
System.out.println("登陆成功");
} catch (Exception e) {
e.printStackTrace();
System.out.println("登陆失败");
}
认证流程图:
2.使用shiro完成授权功能–ini🥝
一定是认证后才能对权限判断
(1)修改ini文件
# [users]定义用户的信息--当对于表名叫users
[users]
# =左边表示用户名 =右边表示密码和对应的角色
zhangsan=123456,admin
lisi=123456,role1,role2
#[roles]定义角色信息以及该角色具有的权限信息。
[roles]
#=左边:角色名 右边: 该角色具有的权限
admin=user:query,user:insert,user:delete,user:update
role1=user:query,user:export
role2=user:delete,user:update
(2)修改代码
package dem01;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import java.util.ArrayList;
import java.util.Arrays;
public class Text2 {
public static void main(String[] args) {
//创建一个SecurityManager 权限管理器对象
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
//设置securityManager 使用的Realm (realm用来读取数据库数据,进行认证和授权操作)
//创建realm 领域 用来读取 ini文件
IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
//将自己创建的领域设置为SecurityManager权限管理器的领域
defaultSecurityManager.setRealm(iniRealm);
//把SecurityManager权限管理器放到上下文中,使其生效
SecurityUtils.setSecurityManager(defaultSecurityManager);
//获取Subject主体对象 可以理解为客户端操作
Subject subject = SecurityUtils.getSubject();
//shiro把用户输入的账号和密码封装到UsernamePasswordToken类中
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123456");
try {
//调用subject中的认证方法 传入账户密码
subject.login(token);
System.out.println("登陆成功");
} catch (Exception e) {
e.printStackTrace();
System.out.println("登陆失败");
}
//subject.logout();//退出登录认证
System.out.println("======================权限校验=========================");
boolean permitted = subject.isPermitted("user:query");
System.out.println("判断当前用户是否具有user:query的权限"+permitted);
boolean[] permitted1 = subject.isPermitted("user:query", "user:delete", "user:export");
System.out.println("判断当前用户具有的权限:"+ Arrays.toString(permitted1));
boolean permittedAll = subject.isPermittedAll("user:query", "user:update", "user:insert");
System.out.println("是否同时具有上面的权限"+permittedAll);
}
}
授权流程图:
3. 使用shiro完成认证–数据源🥝
上面我们通过读取ini文件,可以获取数据源。IniRealm完成的读取。
而现在如果要读取数据源的数据完成认证,则需要自定义realm类。
(1)引入依赖
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.7.0</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.28</version>
</dependency>
</dependencies>
(2)创建一个MyRealm类并继承AuthorizingRealm
package dem01;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import java.util.List;
public class MyRealm extends AuthorizingRealm {
private UserService userService=new UserService();
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("完成授权任务·······················");
String username = principalCollection.getPrimaryPrincipal().toString();
List<String> list = userService.findpermissionByusername(username);
if (list.size()!=0){
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(list);
return info;
}
return null;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("完成认证任务--------------------------");
//获取当前登录账号
String username = authenticationToken.getPrincipal().toString();
//根据账号查询数据库中是否存在对应的记录
User user = userService.findByusername(username);
if (user!=null){
//Object principal, 账号
// Object credentials, 密码---从数据库中查询到的该用户密码
// String realmName:realm的名称---随便起---内置一个方法getName
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, user.getPassword(), this.getName());
return info;
}
return null;
}
}
(3)UserService类
public User findByusername(String username){
//正常是要在这里连接数据库从数据库查出具体登录信息进行比对
//现在为了快速入门使用的是死数据进行认证比对
if ("admin".equals(username)){
return new User(1,"admin","123456");
} else if ("lisi".equals(username)) {
return new User(2,"lisi","123456");
}else if ("zhangsan".equals(username)){
return new User(3,"zhangsan","123456");
}
return null;
}
(4)User实体类
package dem01;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
@Data
@NoArgsConstructor
@AllArgsConstructor
public class User {
private Integer id;
private String username;
private String password;
}
(4)修改测试类
package dem01;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
public class Test3 {
public static void main(String[] args) {
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
MyRealm myRealm = new MyRealm();
defaultSecurityManager.setRealm(myRealm);
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken lisi = new UsernamePasswordToken("lisi", "123456");
try {
subject.login(lisi);
System.out.println("登陆成功");
}catch (Exception e){
System.out.println("登录失败");
}
System.out.println(subject.isPermitted("user:export"));
System.out.println(subject.isPermitted("user:query"));
}
}
4.使用shiro完成授权—数据源🥝
(1)在myRealm中增加权限方法的编写。
package dem01;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import java.util.List;
public class MyRealm extends AuthorizingRealm {
private UserService userService=new UserService();
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("完成授权任务·······················");
String username = principalCollection.getPrimaryPrincipal().toString();
List<String> list = userService.findpermissionByusername(username);
if (list.size()!=0){
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(list);
return info;
}
return null;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("完成认证任务--------------------------");
//获取当前登录账号
String username = authenticationToken.getPrincipal().toString();
//根据账号查询数据库中是否存在对应的记录
User user = userService.findByusername(username);
if (user!=null){
//Object principal, 账号
// Object credentials, 密码---从数据库中查询到的该用户密码
// String realmName:realm的名称---随便起---内置一个方法getName
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, user.getPassword(), this.getName());
return info;
}
return null;
}
}
(2)编辑UserService代码—根据用户名查询对应的权限
package dem01;
import java.util.ArrayList;
import java.util.List;
public class UserService {
public User findByusername(String username){
//正常是要在这里连接数据库从数据库查出具体登录信息进行比对
//现在为了快速入门使用的是死数据进行认证比对
if ("admin".equals(username)){
return new User(1,"admin","123456");
} else if ("lisi".equals(username)) {
return new User(2,"lisi","123456");
}else if ("zhangsan".equals(username)){
return new User(3,"zhangsan","123456");
}
return null;
}
public List<String> findpermissionByusername(String username){
List<String> list = new ArrayList<String>();
if ("admin".equals(username)){
list.add("user:query");
list.add("user:delete");
list.add("user:update");
list.add("user:insert");
}else if ("lisi".equals(username)){
list.add("user:query");
list.add("user:export");
} else if ("zhangsan".equals(username)){
list.add("user:query");
list.add("user:delete");
list.add("user:update");
}
return list;
}
}
(3)修改一个测试类
package dem01;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
public class Test3 {
public static void main(String[] args) {
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
MyRealm myRealm = new MyRealm();
defaultSecurityManager.setRealm(myRealm);
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken lisi = new UsernamePasswordToken("lisi", "123456");
try {
subject.login(lisi);
System.out.println("登陆成功");
}catch (Exception e){
System.out.println("登录失败");
}
System.out.println(subject.isPermitted("user:export"));
System.out.println(subject.isPermitted("user:query"));
}
}
461
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
