shiro
简介
Apache Shiro 是java的一个安全框架.基本功能如下图所示:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xzsaX9IX-1622012282726)(C:\Users\Lenovo\AppData\Roaming\Typora\typora-user-images\image-20210515110004895.png)]
Authentication:身份认证/登录,验证用户是不是拥有相应的身份
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限
Session Managerment: 绘画管理.即用户登录后就是一次会话,在没有退出前,它的所有信息都在会话中
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是铭文存储
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching: 缓存,比如用户登录后,其用户信息,拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency: shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装成为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,记一次的登陆后,下次再来的话不用登录了.
**注意:Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
架构 外部
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mbtgRKm2-1622012282730)(C:\Users\Lenovo\AppData\Roaming\Typora\typora-user-images\image-20210515111222060.png)]
可以看到:应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外 API 核心就是 Subject;其每个 API 的含义:
Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面;SecurityManager 才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行交互,如果学习过 SpringMVC,你可以把它看成 DispatcherServlet 前端控制器;
Realm:域,Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。
依赖
<!--shiro整合spring-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.7.1</version>
</dependency>
<!--shiro整合thymeleaf-->
<dependency>
<groupId>com.github.theborakompanioni</groupId>
<artifactId>thymeleaf-extras-shiro</artifactId>
<version>2.0.0</version>
</dependency>
配置
ShiroConfig 例子:
@Configuration
public class ShiroConfig {
//ShiroFilterFactoryBean
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager) {
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
//设置安全管理器
bean.setSecurityManager(securityManager);
/*
anon:无需认证就可以访问
authc:必须认证了才能访问
user:必须拥有记住我功能才可以访问;
perms:拥有对某个资源的权限次啊能访问;
role:拥有某个角色权限才能访问;
*/
//添加shiro内置过滤器
//拦截
//授权
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/user/add", "perms[user:add]");
filterMap.put("/user/update", "perms[user:update]");
filterMap.put("/user/*", "authc");
bean.setFilterChainDefinitionMap(filterMap);
//设置登录页面
bean.setLoginUrl("/toLogin");
//设置未授权页面
bean.setUnauthorizedUrl("/unauthorized");
return bean;
}
//DefaultShiroManager
@Bean(name = "securityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
//关联UserRealm对象
securityManager.setRealm(userRealm);
return securityManager;
}
//UserRealm
@Bean(name = "userRealm")
public UserRealm getUserRealm() {
return new UserRealm();
}
//整合shiroDialect: 用来整合shiro 和 thymeleaf
@Bean
public ShiroDialect getShiroDialect() {
return new ShiroDialect();
}
}
UserRealm 例子:
public class UserRealm extends AuthorizingRealm {
@Autowired
UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
Subject subject =SecurityUtils.getSubject();
//获取当前Subject中的user
User user = (User) subject.getPrincipal();
//授权
for(String perms : user.getPerms().split(",")){
info.addStringPermission(perms);
}
return info;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
User user = userService.queryByName(token.getUsername());
if (user == null) {
return null;
}
//密码认证 并将user放入Subject中 在上边就可以用了
return new SimpleAuthenticationInfo(user, user.getPassword(), "");
}
}
controller
@Controller
public class IndexController {
@RequestMapping("/login")
public String login(String username, String password, Model model) {
Subject subject = SecurityUtils.getSubject();
//用于储存用户密码
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try {
//进行登录认证
subject.login(token);
//走到这一步肯定登录成功 将用户写入会话
Session session = subject.getSession();
User user = (User) subject.getPrincipal();
session.setAttribute("loginUser",user);
return "index";
} catch (UnknownAccountException e) {
model.addAttribute("msg", "用户名不存在");
return "login";
} catch (IncorrectCredentialsException e) {
model.addAttribute("msg", "密码不存在");
return "login";
}
}
@RequestMapping("/unauthorized")
@ResponseBody
public String unauthorized(){
return "未授权";
}
}
index.html
<!DOCTYPE html>
<html lang="zh-CN" xmlns:th="http://www.thymeleaf.org"
xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>title</title>
</head>
<body>
<h1>首页</h1>
<h3 th:text="${msg}"></h3>
<div th:if="${session.loginUser==null}">
<a th:href="@{/toLogin}">登录</a>
</div>
<div th:if="${session.loginUser!=null}">
欢迎:<span th:text="${session.loginUser.name}"></span>
</div>
<hr>
<div shiro:hasPermission="user:add">
<a th:href="@{/user/add}">add</a>
</div>
<div shiro:hasPermission="user:update">
<a th:href="@{/user/update}">update</a>
</div>
</body>
</html>