03-Apache Shiro 安全框架(练一个)

6. SessionDAO:代表 SessionManager 执行 Session 持久（CRUD）动作，它允许任何存储的数据挂接到 session 管理基础上。

7. CacheManager（缓存管理器）:提供创建缓存实例和管理缓存生命周期的功能。

8. Cryptography(加密管理器):提供了加密方式的设计及管理。

9. Realms(领域对象):是shiro和你的应用程序安全数据之间的桥梁。

Shiro框架认证拦截实现

=======================================================================

添加shiro依赖

---

使用spring整合shiro时，需要在pom.xml中添加如下依赖(参考官网http://shiro.apache.org/spring-boot.html),假如项目中添加过shiro-spring依赖，将shiro-spring依赖替换掉即可。代码如下：

org.apache.shiro

shiro-spring-boot-web-starter

1.7.0

Shiro核心对象配置

---

第一步: 创建一个Realm类型的实现类(基于此类通过DAO访问数据库)，关键代码如下：

package com.cy.pj.sys.service.realm;

public class ShiroRealm extends AuthorizingRealm {

/*此方法负责获取并封装授权信息/

@Override

protected AuthorizationInfo doGetAuthorizationInfo(

PrincipalCollection principalCollection) {

return null;

}

/*此方法负责获取并封装认证信息/

@Override

protected AuthenticationInfo doGetAuthenticationInfo(

AuthenticationToken authenticationToken)

throws AuthenticationException {

return null;

}

}

第二步：在项目启动类中添加Realm对象配置，关键代码如下：，关键代码如下：

@Bean

public Realm realm() {//org.apache.shiro.realm.Realm

return new ShiroRealm();

}

第三步: 在启动类中定义过滤规则(哪些访问路径要进行认证才可以访问),关键代码如下：

@Bean

public ShiroFilterChainDefinition shiroFilterChainDefinition() {

DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();

//配置/user/login/**开头的资源，可以匿名访问(不用登录就可以访问),

//其中anon为shiro框架指定的匿名过滤器 chainDefinition.addPathDefinition(“/user/login/**”,“anon”);

//配置登出操作

chainDefinition.addPathDefinition(“/user/logout”,“logout”);

//配置以/**开头的资源必须都要经过认证，

//其中authc为shiro框架指定的认证过滤器

chainDefinition.addPathDefinition(“/**”, “authc”);

return chainDefinition;

}

第四步：在spring的配置文件(application.yml)中，添加登录页面的配置，关键代码如下：

shiro:

loginUrl: /login.html

说明：假如没有login.html，需要先准备login.html

启动服务进行访问测试

---

打开浏览器，输入http://localhost/user/检测是否会出现登录窗口。

Shiro框架认证业务实现

=======================================================================

认证流程分析

---

身份认证即判定用户是否是系统的合法用户，用户访问系统资源时的认证（对用户身份信息的认证）流程图所示:

其中认证流程分析如下:

1. 系统调用subject的login方法将用户信息提交给SecurityManager

2. SecurityManager将认证操作委托给认证器对象Authenticator

3. Authenticator将用户输入的身份信息传递给Realm。

4. Realm访问数据库获取用户信息然后对信息进行封装并返回。

5. Authenticator 对realm返回的信息进行身份认证。

思考：不使用shiro框架如何完成认证操作？filter，intercetor。

认证逻辑实现

---

第一步: 定义Realm类，并修改ShiroRealm中获取认证信息的方法，关键代码如下：

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)

throws AuthenticationException {

//1.获取用户提交的认证用户信息

UsernamePasswordToken upToken=(UsernamePasswordToken) authenticationToken;

String username=upToken.getUsername();

//2.基于用户名查询从数据库用户信息

//3.判断用户是否存在

if(!“jack”.equals(username)) throw new UnknownAccountException();//账户不存在

//5.封装认证信息并返回

String salt=“ABCD”;

ByteSource credentialsSalt= ByteSource.Util.bytes(salt);

String hashedPassword=“来自数据库的密码”;

SimpleAuthenticationInfo info=

new SimpleAuthenticationInfo(

username, //principal 传入的用户身份

hashedPassword,//hashedCredentials

credentialsSalt,//credentialsSalt

getName());

return info;

}

第二步:在ShiroRealm中重谢获取凭证加密算法的方法，关键代码如下：

@Override

public CredentialsMatcher getCredentialsMatcher() {

HashedCredentialsMatcher matcher=new HashedCredentialsMatcher();

matcher.setHashAlgorithmName(“MD5”);

matcher.setHashIterations(1);

return matcher;

}

第三步：定义Controller逻辑

@GetMapping(“/login/{username}/{password}”)

public JsonResult doLogin(@PathVariable String username,

@PathVariable String password){

//将账号和密码封装token对象

UsernamePasswordToken token = //参考官网

new UsernamePasswordToken(username, password);

//基于subject对象将token提交给securityManager

Subject subject = SecurityUtils.getSubject();

subject.login(token);//提交给securityManager

return new JsonResult(“login ok”);

}

第四步：:统一异常处理类中添加shiro异常处理代码，关键如下：

@ExceptionHandler(ShiroException.class)

public JsonResult doShiroException(ShiroException e){

JsonResult r=new JsonResult();

r.setState(0);

if(e instanceof UnknownAccountException){

r.setMessage(“用户名不存在”);

}else if(e instanceof IncorrectCredentialsException){

r.setMessage(“密码不正确”);

}else if(e instanceof LockedAccountException){

r.setMessage(“账户被锁定”);

最后

无论是哪家公司，都很重视基础，大厂更加重视技术的深度和广度，面试是一个双向选择的过程，不要抱着畏惧的心态去面试，不利于自己的发挥。同时看中的应该不止薪资，还要看你是不是真的喜欢这家公司，是不是能真的得到锻炼。

针对以上面试技术点，我在这里也做一些分享，希望能更好的帮助到大家。

“密码不正确”);

}else if(e instanceof LockedAccountException){

r.setMessage(“账户被锁定”);

最后

无论是哪家公司，都很重视基础，大厂更加重视技术的深度和广度，面试是一个双向选择的过程，不要抱着畏惧的心态去面试，不利于自己的发挥。同时看中的应该不止薪资，还要看你是不是真的喜欢这家公司，是不是能真的得到锻炼。

针对以上面试技术点，我在这里也做一些分享，希望能更好的帮助到大家。

[外链图片转存中…(img-2Tx7H3tM-1719146059515)]

[外链图片转存中…(img-G30e8uq0-1719146059515)]

[外链图片转存中…(img-XYqkf0i7-1719146059516)]