Apache Shiro是Java的一个安全框架。Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等.
在开始认识概念之前。我们先认识下一段示例代码:
/声明一个安全管理器//
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
获得当前线程的subject
Subject currentUser = SecurityUtils.getSubject();
///获取会话Session并操作/
Session session = currentUser.getSession();
session.setAttribute("someKey", "aValue");
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
log.info("Retrieved the correct value! [" + value + "]");
}
//subject使用token做登录操作
if (!currentUser.isAuthenticated()) {
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
token.setRememberMe(true);
try {
currentUser.login(token);
} catch (UnknownAccountException uae) {
log.info("There is no user with username of " + token.getPrincipal());
} catch (IncorrectCredentialsException ice) {
log.info("Password for account " + token.getPrincipal() + " was incorrect!");
} catch (LockedAccountException lae) {
log.info("The account for username " + token.getPrincipal() + " is locked. " +
"Please contact your administrator to unlock it.");
}
// ... catch more exceptions here (maybe custom ones specific to your application?
catch (AuthenticationException ae) {
//unexpected condition? error?
}
}
//判断subject是否拥有schwartz角色/
if (currentUser.hasRole("schwartz")) {
log.info("May the Schwartz be with you!");
} else {
log.info("Hello, mere mortal.");
}
非常好理解的代码,里面包含了重要的几个概念:subject、securityManager、role、session。还有里面未出现的一个Realm。Realm可以认为是隐藏在securityManager之后的用于提供用户认证的实际操作者。代码中之所以未出现,是因为IniSecurityManagerFactory所生成的securityManager拥有默认的Realm关联,即ini文件Realm。shiro提供了各种默认的安全管理器及realm实现,方便使用者做扩展。
应用程序与shiro的关系,如下图所示
Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;
Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
在实际使用的过程中,我们最为常见的做法是重新声明一个Realm,注册到SecurityManager中去
自定义realm继承org.apache.shiro.realm.AuthorizingRealm,实现以下两个方法:
doGetAuthenticationInfo:用于校验权限,currentUser.login(token),最终会调用此方法
doGetAuthorizationInfo:获取授权集合,PrincipalCollection是一个身份集合,有多少realm就有多少身份,根据身份获取授权信息返回。
public class Realm extends AuthorizingRealm {
private static Logger logger = Logger.getLogger(Realm.class);
@Autowired
TUserMapper tuserMapper ;
@Autowired
ShiroService shiroService;
/**
* 获取认证信息
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken cc =(UsernamePasswordToken)token;
if(cc instanceof UsernamePhoneCheckCodeToken ){//使用验证码登录
//查询返回
return new SimpleAuthenticationInfo(cc.getUsername(), cc.getPassword(), getName());
}else{
TUser u = tuserMapper.selectByUserName(cc.getUsername());
if(u!=null){
return new SimpleAuthenticationInfo(u.getUserName(), u.getUserPassword(), getName());
}else{
throw new AuthenticationException("用户名密码不正确");
}
}
}
/**
* 获取授权信息,这里会进行判断,如果是认证登录通过,则拥有user:*权限 如果是
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
if(principals == null){
throw new AuthorizationException("Principals对象不能为空");
}
String userName = (String) principals.fromRealm(getName()).iterator().next();
TUser u = tuserMapper.selectByUserName(userName);
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addRoles(shiroService.getPurviewsString(u.getUserId()));
return info;
}
}
那么如何将新realm注册到安全管理器中去呢,记得我们的安全管理器是个ini文件的管理器吗,将对应关系保存在ini文件中去即可。比如:
realm1=Realm
securityManager.realms=$realm1