一、身份认证
1、身份认证流程:
1)、调用subject.login( token ),自动委托给Securityanager,调用需通过SecurityUtils.setSecurityManager()绑定SercurityManager(全局设置执行一次即可);
2)、SecurityManager负责真正的身份认证逻辑,会委托给Authenticator进行身份认证;
3)、Authentitor为Shiro API核心身份认证入口(此处可以插入自定义实现);
4)、Authentitor委托给AuthenticationStrategy(认证策略)进行多Realm身份认证(默认ModularRealmAuthenticator调用AuthenticationStrategy进行认证);
5)、Authenticator将token传入Realm,从realm中获取身份认证信息,若没有返回、抛出异常就表示身份认证失败
2、SecurityManager集成Authenticator,另外还有个实现ModularRealmAuthenticator,其委托Realm进行认证,认证策略有AuthenticationStrategy接口指定,
默认提供了以下三个实现:
1)、FirstSuccessfulStrategy
2)、AtLeastIneSuccessfulStrategy
3)、AllSuccessfulStrategy
3、配置
4、Realm继承图
二、授权
1、Shiro支持粗粒度权限(以角色为单位)、细粒度权限(以资源为单位)
2、授权流程:
1)、首先调用subject.isPermitted/hasRole,自动委托给securityManager,接着委托给Authorizer;
2)、Authorizer是真正的授权者,当我们调用isPermited( “user:view” )时会通过PermissionResolver将字符窜转换成Permission实例;
3)、进行授权前,会调用相应的realm获取subject相应的角色/群贤用于匹配传入的角色/权限;
4)、Authorizer判断Realm中的角色/权限是否与传入的角色/权限匹配,若有多个Realm,则委托给ModularRealmAutorizer循环判断
3、ModularRealmAuthorizer进行多Realm匹配流程:
1)、首先检查realm是否实现Authorizer;
2)、若实现Authorizer则调用其相应的isPermitted/hasRole;
3)、如果有一个匹配则返回true,否则返回false;
4、实现AuthorizreRealm的realm进行授权流程:
1)、如果调用hasRole,则直接获取AuthorizationInfo.getRoles()与传入的角色进行匹配即可;
2)、如果调用isPermited( “user:view” ),则:
a)、通过PermissionResolver(默认使用WildcardPermissionResolver)将字符串转换成Permission(默认为WildcardPermission);
b)、获取用户Permission实例集合
方式一:AuthorizationInfo.getObjectPermissions( )
方式二:AuthorizationInfo.getStringPermissions( )
c)、获取用户角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自定义)
d)、调用Permission.implies( Permission p)逐个与传入的权限比较,有匹配上则返回true,否则返回false;
5、配置:
三、编码与加密
1、编码/解码方式:
1)、Base64
2)、Hex
3)、MD5
4)、SHA-1
//Base64
String base64Encoded = Base64.encodeToString("admin".getBytes()); //编码
String base64Decoded = Base64.decodeToString(base64Encoded) //解码
//Hex
Stirng hexEncoded = Hex.encodeToString("admin".getBytes()); //编码
String hexDecoded = new String(Hex.decode(hexEncoded.getBytes())); //解码
//MD5
String md5 = new MD5Hash(str,salt)toString();
//SHA-1
String sha1Hash = new SimpleHash("SHA-1",str,salt).toString();
5)、为了方便,shiro提供了HashService(默认实现:DefaultHashService)
2、DefaultPasswordService+PasswordMatcher实现加解密
1)、自定义Realm
public class MyRealm extends AuthorizingRealm {
private PasswordService passwordService;
public void setPasswordService(PasswordService passwordService) {
this.passwordService = passwordService;
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
。。。
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
return new SimpleAuthenticationInfo(
"wu",
//实际为存进数据库中的加密密文
passwordService.encryptPassword("123"),
getName());
}
}
2)、配置
[main]
passwordService=org.apache.shiro.authc.credential.DefaultPasswordService
hashService=org.apache.shiro.crypto.hash.DefaultHashService
passwordService.hashService=$hashService
hashFormat=org.apache.shiro.crypto.hash.format.Shiro1CryptFormat
passwordService.hashFormat=$hashFormat
hashFormatFactory=org.apache.shiro.crypto.hash.format.DefaultHashFormatFactory
passwordService.hashFormatFactory=$hashFormatFactory
passwordMatcher=org.apache.shiro.authc.credential.PasswordMatcher
passwordMatcher.passwordService=$passwordService
myRealm=com.github.zhangkaitao.shiro.chapter5.hash.realm.MyRealm
myRealm.passwordService=$passwordService
myRealm.credentialsMatcher=$passwordMatcher
securityManager.realms=$myRealm
图解:
3、MD5+HashedCredentialsMatcher实现加解密
1)、生成密码散列值
String algorithmName = "md5";
String userName = "admin";
String password = "admin";
String salt1 = username;
String salt2 = new SecureRandomNumberGenerator().nextBytes().toHex();
String salt = salt1 + salt2;
int hashIterations = 2;
SimpleHash hash = new SimpleHash(algorithmName,password,salt,hashIterations)
2)、自定义realm
public class MyRealm2 extends AuthorizingRealm {
...
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = "liu";
String password = "be320beca57748ab9632c4121ccac0db"; //加密后的密码
SimpleAuthenticationInfo ai = new SimpleAuthenticationInfo(username, password, getName());
String salt = username + salt2;
ai.setCredentialsSalt(ByteSource.Util.bytes(salt)); //盐是用户名+随机数
return ai;
}
}
3)、配置
[main]
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
credentialsMatcher.hashAlgorithmName=md5
credentialsMatcher.hashIterations=2
credentialsMatcher.storedCredentialsHexEncoded=true
myRealm=com.github.zhangkaitao.shiro.chapter5.hash.realm.MyRealm2
myRealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$myRealm
图解:
4、继承图