Shiro安全框架——【快速入门、登录拦截、用户认证

Apache Shiro是一个Java的安全（权限）框架。

Shiro 可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境。Shiro可以完成，认证，授权，加密，会话管理，Web集成，缓存等。

官网地址：Apache Shiro | Simple. Java. Security.

shiro功能：

---

Authentication:身份认证、登录，验证用户是不是拥有相应的身份;

Authorization:授权，即权限验证，验证某个已认证的用户是否拥有某个权限，即判断用户能否进行什么操作，如:验证某个用户是否拥有某个角色，或者细粒度的验证某个用户对某个资源是否具有某个权限!

Session Manager:会话管理，即用户登录后就是第一次会话，在没有退出之前，它的所有信息都在会话中;会话可以是普通的JavaSE环境，也可以是Web环境;

Cryptography:加密，保护数据的安全性，如密码加密存储到数据库中，而不是明文存储;Web Support: Web支持，可以非常容易的集成到Web环境;

Caching:缓存，比如用户登录后，其用户信息，拥有的角色、权限不必每次去查，这样可以提高效率

Concurrency: Shiro支持多线程应用的并发验证，即，如在一个线程中开启另一个线程，能把权限自动的传播过去

Testing:提供测试支持;

Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me:记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了

Shiro架构(外部)

---

从外部来看Shiro，即从应用程序角度来观察如何使用shiro完成工作:

**subject:**应用代码直接交互的对象是Subject，也就是说Shiro的对外API核心就是Subject，Subject代表了当前的用户，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如网络爬虫，机器人等，与Subject的所有交互都会委托给SecurityManager; Subject其实是一个门面，SecurityManageer才是实际的执行者

SecurityManager: 安全管理器，即所有与安全有关的操作都会与SercurityManager交互，并且它管理着所有的Subject，可以看出它是Shiro的核心，它负责与Shiro的其他组件进行交互，它相当于SpringMVC的

DispatcherServlet的角色

Realm: Shiro从Realm获取安全数据（(如用户，角色，权限)，就是说SecurityManager要验证用户身份，那么它需要从Realm 获取相应的用户进行比较，来确定用户的身份是否合法;也需要从Realm得到用户相应的角色、权限，进行验证用户的操作是否能够进行，可以把Realm看成DataSource;

Shiro架构（内部）

---

**subject:**任何可以与应用交互的’用户’;

**Security Manager:**相当于SpringMVC中的DispatcherServlet;是Shiro的心脏，所有具体的交互都通过Security Manager进行控制，它管理者所有的Subject，且负责进行认证，授权，会话，及缓存的管理.

**Authenticator:**负责Subject认证，是一个扩展点，可以自定义实现;可以使用认证策略(AuthenticationStrategy)，即什么情况下算用户认证通过了;

Authorizer: 授权器，即访问控制器，用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的那些功能;

**Realm:**可以有一个或者多个的realm，可以认为是安全实体数据源，即用于获取安全实体的，可以用DBC实现，也可以是内存实现等等，由用户提供;所以一般在应用中都需要实现自己的realm

SessionManager: 管理Session生命周期的组件，而Shiro并不仅仅可以用在Web环境，也可以用在普通的JavaSE环境中

**CacheManager:**缓存控制器，来管理如用户，角色，权限等缓存的;因为这些数据基本上很少以受，成到缓存中后可以提高访问的性能;

**Cryptography:**密码模块，Shiro提高了一些常见的加密组件用于密码加密，解密等

二、快速入门

======

1.拷贝案例

---

1.按照官网提示找到 快速入门案例             GitHub地址：shiro/samples/quickstart/

2.新建一个 Maven 工程，删除其 src 目录，将其作为父工程

3.在父工程中新建一个 Maven 模块

4.复制快速入门案例 POM.xml 文件中的依赖

org.apache.shiro

shiro-core

1.4.1

org.slf4j

jcl-over-slf4j

1.7.29

org.slf4j

slf4j-log4j12

1.7.29

log4j

log4j

1.2.17

5.把快速入门案例中的 resource 下的log4j.properties复制下来

6.复制一下shiro.ini文件

7.复制一下Quickstart.java文件

8.运行启动Quickstart.java

2.分析代码

---

public class Quickstart {

private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);

public static void main(String[] args) {

//工厂模式，通过shiro.ini配置文件中的信息，生成一个工厂实例

Factory factory = new IniSecurityManagerFactory(“classpath:shiro.ini”);

SecurityManager securityManager = factory.getInstance();

SecurityUtils.setSecurityManager(securityManager);

//获取当前的用户对象Subject

Subject currentUser = SecurityUtils.getSubject();

//通过当前用户拿到session

Session session = currentUser.getSession();

session.setAttribute(“someKey”, “aValue”);

String value = (String) session.getAttribute(“someKey”);

if (value.equals(“aValue”)) {

log.info(“Subject=>session[” + value + “]”);

}

//判断当前的用户是否被认证

if (!currentUser.isAuthenticated()) {

//Token :令牌,没有获取，随机

UsernamePasswordToken token = new UsernamePasswordToken(“lonestarr”, “vespa”);

token.setRememberMe(true); //设置记住我

try {

currentUser.login(token); //执行了登录操作

} catch (UnknownAccountException uae) {

//如果 用户名不存在

log.info("There is no user with username of " + token.getPrincipal());

} catch (IncorrectCredentialsException ice) {

//如果 密码不正确

log.info(“Password for account " + token.getPrincipal() + " was incorrect!”);

} catch (LockedAccountException lae) {

//用户被锁定，如密码输出过多，则被锁定

log.info("The account for username " + token.getPrincipal() + " is locked. " +

“Please contact your administrator to unlock it.”);

}

//…在此处捕获更多异常

catch (AuthenticationException ae) {

//意外情况 ? 错误 ?

}

}

//打印其标识主体(在这种情况下，为用户名)

log.info(“User [” + currentUser.getPrincipal() + “] logged in successfully.”);

//测试角色是否存在

if (currentUser.hasRole(“schwartz”)) {

log.info(“May the Schwartz be with you!”);

} else {

log.info(“Hello, mere mortal.”);

}

//粗粒度，极限范围小

//测试类型化的极限（不是实例级别）

if (currentUser.isPermitted(“lightsaber:wield”)) {

log.info(“You may use a lightsaber ring. Use it wisely.”);

} else {

log.info(“Sorry, lightsaber rings are for schwartz masters only.”);

}

//细粒度，极限范围广

//实例级别的权限（非常强大）

if (currentUser.isPermitted(“winnebago:drive:eagle5”)) {

log.info("You are permitted to ‘drive’ the winnebago with license plate (id) ‘eagle5’. " +

“Here are the keys - have fun!”);

} else {

log.info(“Sorry, you aren’t allowed to drive the ‘eagle5’ winnebago!”);

}

//注销

currentUser.logout();

//退出

System.exit(0);

}

}

三、SpringBoot 集成 Shiro

=====================

1.编写测试环境

---

1.在刚刚的父项目中新建一个 springboot 模块

2.导入 SpringBoot 和 Shiro 整合包的依赖

org.apache.shiro

shiro-spring

1.4.1

下面是编写配置文件

Shiro 三大要素

Subject        用户      ->    ShiroFilterFactoryBean

SecurityManager        管理所有用户  -> DefaultWebSecurityManager

Realm          连接数据

实际操作中对象创建的顺序 ： realm -> securityManager -> subject

3.编写自定义的 realm ，需要继承 AuthorizingRealm

//自定义的 UserRealm extends AuthorizingRealm

public class UserRealm extends AuthorizingRealm {

//授权

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

//打印一个提示

System.out.println(“执行了授权方法”);

return null;

}

//认证

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

//打印一个提示

System.out.println(“执行了认证方法”);

return null;

}

}

4.新建一个ShiroConfig配置文件

@Configuration

public class ShiroConfig {

//ShiroFilterFactoryBean:3

@Bean

public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier(“securityManager”) DefaultWebSecurityManager defaultWebsecurityManager){

ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

//设置安全管理器

bean.setSecurityManager(defaultWebsecurityManager);

return bean;

}

//DefaultWebSecurityManager:2

@Bean(name=“securityManager”)

public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier(“userRealm”) UserRealm userRealm){

DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();

//关闭UserRealm

securityManager.setRealm(userRealm);

return securityManager;

}

//创建realm 对象，需要自定义类:1

@Bean(name=“userRealm”)

public UserRealm userRealm(){

return new UserRealm();

}

}

5.测试成功！

2.使用

---

1.登录拦截

在getShiroFilterFactoryBean方法中添加需要拦截的登录请求

@Configuration

public class ShiroConfig {

//ShiroFilterFactoryBean:3

@Bean

public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier(“securityManager”) DefaultWebSecurityManager defaultWebsecurityManager){

ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

//设置安全管理器

bean.setSecurityManager(defaultWebsecurityManager);

//添加shiro的内置过滤器

/*

anon : 无需认证，就可以访问

authc : 必须认证了才能访问

user : 必须拥有 “记住我” 功能才能用

perms : 拥有对某个资源的权限才能访问

role : 拥有某个角色权限才能访问

*/

filterMap.put(“/user/add”,“authc”);

filterMap.put(“/user/update”,“authc”);

//拦截

Map<String,String> filterMap=new LinkedHashMap<>();

filterMap.put(“/user/*”,“authc”);

bean.setFilterChainDefinitionMap(filterMap);

// //设置登录的请求

// bean.setLoginUrl(“/toLogin”);

return bean;

}

测试:点击 add链接，不会跳到 add 页面，而是跳到登录页，拦截成功

2.用户认证

1.在Controller层写一个登录的方法

//登录的方法

@RequestMapping(“/login”)

public String login(String username, String password, Model model) {

//获取当前用户

Subject subject = SecurityUtils.getSubject();

//封装用户的登录数据,获得令牌

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

//登录 及 异常处理

try {

//执行用户登录的方法，如果没有异常就说明OK了

subject.login(token);

return “index”;

} catch (UnknownAccountException e) {

//如果用户名不存在

System.out.println(“用户名不存在”);

model.addAttribute(“msg”, “用户名错误”);

return “login”;

} catch (IncorrectCredentialsException ice) {

//如果密码错误

System.out.println(“密码错误”);

model.addAttribute(“msg”, “密码错误”);

return “login”;

}

}

}

2.测试

可以看出是先执行了自定义的UserRealm中的AuthenticationInfo方法，再执行登录相关的操作

3.修改UserRealm中的doGetAuthenticationInfo方法

//认证

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

//打印一个提示

System.out.println(“执行了认证方法”);

// 用户名密码

String name = “root”;

String password = “123456”;

//通过参数获取登录的控制器中生成的 令牌

UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;

//用户名认证

if (!token.getUsername().equals(name)){

// return null UnKnownAccountException

return null;

}

//密码认证， Shiro 自己做，为了避免和密码的接触

//最后返回一个 AuthenticationInfo 接口的实现类，这里选择 SimpleAuthenticationInfo

// 三个参数：获取当前用户的认证 ； 密码 ； 认证名

return new SimpleAuthenticationInfo(“”, password, “”);

}

}

4.测试，输入错误的密码

输入正确的密码，即可登录成功

四、Shiro整合Mybatis

================

1.导入依赖

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！