什么是shiro?
Apache Shiro是一个功能强大且灵活的开源安全框架,可以清晰地处理身份验证,授权,企业会话管理和加密。
Apache Shiro的首要目标是易于使用和理解。安全有时可能非常复杂,甚至是痛苦的,但事实并非如此。框架应尽可能掩盖复杂性,并提供简洁直观的API,以简化开发人员确保其应用程序安全的工作。
以下是Apache Shiro可以做的一些事情:
验证用户以验证其身份
为用户执行访问控制,例如:
1、确定是否为用户分配了某个安全角色
2、确定是否允许用户执行某些操作
3、在任何环境中使用Session API,即使没有Web容器或EJB容器也是如此。
4、在身份验证,访问控制或会话生命周期内对事件做出反应。
5、聚合用户安全数据的1个或多个数据源,并将其全部显示为单个复合用户“视图”。
6、启用单点登录(SSO)功能
7、无需登录即可为用户关联启用“记住我”服务
- ...... ... ... .... ...
以及更多 - 全部集成到一个易于使用的内聚API中。
Shiro尝试为所有应用程序环境实现这些目标 - 从最简单的命令行应用程序到最大的企业应用程序,而不会强制依赖其他第三方框架,容器或应用程序服务器。当然,该项目旨在尽可能地融入这些环境,但它可以在任何环境中开箱即用。
Apache Shiro功能
shiro具备如下功能:
功能 | 说明 |
---|---|
Authentication | 身份认证/验证,验证用户是不是拥有相应的身份。 |
Authorization | 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;<br>即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色;<br>或者细粒度的验证某个用户对某个资源是否具有某个权限; |
Session Manager | 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;<br>会话可以是普通JavaSE环境,也可以是Web 环境的; |
Cryptography | 加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储; |
Web Support | Web 支持,可以非常容易的集成到Web 环境; |
Caching | 缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率; |
Concurrency | Shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去; |
Testing | 提供测试支持; |
Run As | 允许一个用户假装为另一个用户(如果他们允许)的身份进行访问; |
Remember Me | 记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了 |
Shiro针对Shiro开发团队所称的“应用程序安全的四大基石” - 身份验证,授权,会话管理和加密:
身份验证:有时称为“登录”,这是证明用户是他们所说的人的行为。 授权:访问控制的过程,即确定“谁”可以访问“什么”。 会话管理:即使在非Web或EJB应用程序中,也可以管理特定于用户的会话。 密码学:使用加密算法保持数据安全,同时仍然易于使用。
shiro中的shiro.ini说明:
- shiro.ini放置在class path路径下shiro会自动查询。
- ini配置文件中有四大主要配置类:
main、users、roles、urls
main
提供了对根对象securityManager及其依赖对象的配置
[main]
# 自定义 realm
customRealm=com.sxt.realm.MyRealm
#将realm设置到securityManager
securityManager.realms=$customRealm
其构造器必须是public空参构造器,通过反射创建相应的实例。
1、对象名=全限定类名 相对于调用public无参构造器创建对象 2、对象名.属性名=值 相当于调用setter方法设置常量值 3、对象名.属性名=$对象引用 相当于调用setter方法设置对象引用
users
提供了对用户/密码及其角色的配置,用户名=密码,角色1,角色2 username=password,role1,role2 例如:配置用户名/密码及其角色,格式:“用户名=密码,角色1,角色2”,角色部分可省略。如:
[users]
zmf = 111,admin,root
# 账号为zmf 密码为111,其角色为admin超级管理员,root管理员
roles
提供了角色及权限之间关系的配置,角色=权限1,权限2 role1 = permission1 , permission2 例如:配置角色及权限之间的关系,格式:“角色=权限1,权限2”;如:
[roles]
role1=user:create,user:update
role2=*
如果只有角色没有对应的权限,可以不配roles
urls
用于web,提供了对web url拦截相关的配置,url=拦截器[参数],拦截器
/index.html = anon
/admin/** = authc, roles[admin],perms["permission1"]
案例:
添加依赖:
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.1.0</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-simple</artifactId>
<version>1.6.1</version>
<scope>test</scope>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.2</version>
</dependency>
</dependencies>
创建shiro.ini配置文件:
[users]
root = root
# 账号为root 密码为root
认证操作:
public class Main {
public static void main(String[] args) {
//1、获取securityManager工厂对象
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//2、通过factory对象获取securityManager对象。
SecurityManager securityManager = factory.getInstance();
//3、将securityManager对象添加到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);
//4、获取subject对象
Subject subject = SecurityUtils.getSubject();
//5、验证信息
UsernamePasswordToken token = new UsernamePasswordToken("root", "root");
//登陆操作
try {
subject.login(token);
System.out.println("验证:" + subject.isAuthenticated());
} catch (UnknownAccountException e) {
// TODO: handle exception
System.out.println("账号错误....");
}catch (IncorrectCredentialsException e) {
// TODO: handle exception
System.out.println("密码错误...");
}
}
}
测试结果: