1.Shiro安全框架
1.1 Shiro安全框架简介
Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/),它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。
1.2 Shiro基本环境配置
使用spring整合shiro时,需要在pom.xml中添加如下依赖:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.5.3</version>
</dependency>
1.3 Shiro概要架构
**shiro中的三个核心组件
Subject:
安全校验中,最常⻅的问题是"当前⽤户是谁?" “当前⽤户是否有权做x事?”,所以考虑安全校验过程最⾃
然的⽅式就是基于当前⽤户。Subject 代表了当前“⽤户”,
应⽤代码直接交互的对象是 Subject,只要得到Subject对象⻢上可以做绝⼤多数的shiro操作。
也就是说 Shiro 的对外API 核⼼就是 Subject。
Subject 会将所有交互都会委托给 SecurityManager。
Subject是安全管理中直接操作的对象
SecurityManager:
安全管理器;即所有与安全有关的操作都会与SecurityManager 交互(负责认证,授权等业务实现);
且其管理着所有 Subject;它是 Shiro的核⼼,
它负责与 Shiro 的其他组件进⾏交互,它相当于 SpringMVC 中DispatcherServlet 的⻆⾊
Realm:
Shiro 从 Realm 获取安全数据(如⽤户、⻆⾊、权限),就是说SecurityManager 要验证⽤户身份,那么
它需要从 Realm 获取相应的⽤户进⾏⽐较以确定⽤户身份是否合法;
也需要从 Realm 得到⽤户相应的⻆⾊/权限进⾏验证⽤户是否能进⾏操作;
领域对象,负责从数据层获取业务数据
可以把 Realm 看成 DAO,( 数据访问⼊⼝ )**
1.4 Shiro核心对象配置
因为SpringBoot 实现的项目中,没有提供shiro的自动化配置,需要我们自己配置。
2.Shiro框架认证业务实现
2.1认证流程分析
身份认证即判定用户是否是系统的合法用户,用户访问系统资源时的认证(对用户身份信息的认证)流程图:
其中认证流程分析如下:
1)系统调用subject的login方法将用户信息提交给SecurityManager
2)SecurityManager将认证操作委托给认证器对象Authenticator
3)Authenticator将用户输入的身份信息传递给Realm。
4)Realm访问数据库获取用户信息然后对信息进行封装并返回。
5)Authenticator 对realm返回的信息进行身份认证。
2.2核心业务实现
2.2.1Dao接口定义
2.2.2Mapper文件实现
2.2.3Service接口及实现
本模块的业务在Realm类型的对象中进行实现,我们编写realm时,要继承
AuthorizingRealm并重写相关方法,完成认证数据的获取及封装。
2.2.3 Controller 类实现
1490
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
