Shiro基础知识
1. shiro基本功能
认证:验证用户登录认证;
授权:即权限验证,对已经登录的用户验证是否有相应的权限;
会话管理:用户在认证成功之后创建会话,当前用户的所有信息都会保存在这个会话中;
密码管理:加密管理,对敏感信息进行加密处理;
2. shiro核心组件
subject:表示当前用户角色及权限信息
Security Manager:安全管理器,实现对内部实例的管理,并通过他来提供安全管理的各种服务
Realm:相当于shiro进行认证和授权的数据源,
Authenticator:认证器,加载realm实现认证
Authorizer:授权器
SessionManager:会话管理器
CacheManager:缓存管理器
3. shiro认证和授权流程
- 首先将用户账号信息封装成token、
- 通过Subject.login(token)进行登录,就会将token包含的用户信息(账号密码)传递给SecurityManager
- SecurityManager就会调用Authenticator认证器进行身份认证
- Authenticator把token传递给Realm,
- Realm就会根据得到的token,调用doGetAuthentocation方法进行认证校验,如果认证失败则抛出异常
JWT基础知识
Token令牌
- 为什么使用Token作为用户登录的令牌而不用Session呢?
在前后端一体的项目中,一般使用Session来保存用户信息,当用户要访问某些受限资源时,需要先从Session中获取用户信息,从而判断用户是否已经登录。
但是由于在前后端分离的项目中,用户的每次请求都是创建不同的Session,且之前的Session会被回收,因此无法根据Session来判断用户是否登录
而Token可以解决上述问题,在用户登录时,根据特定的规则生成Token令牌,并将其返回给前端,在前端将Token保存在Cookie中,
JWT作用-------生成Token,并解析Token
Shiro+JWT+Redis
创建ShiroConfig ,在其中配置Realm ,SecurityManager来拦截所有的请求,所有的请求都需要经过JWTFileter
因为shiro-redis已经集成了Redis,所以不需要考虑Redis的相关处理
package com.tmy.vueblog.config;
import com.tmy.vueblog.shiro.AccountRealm;
import com.tmy.vueblog.shiro.JwtFiler;
import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
public class ShiroConfig {
@Autowired
JwtFiler jwtFiler;
@Bean
public SessionManager sessionManager(RedisSessionDAO redisSessionDAO) {
DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
// inject redisSessionDAO
sessionManager.setSessionDAO(redisSessionDAO);
return sessionManager;
}
@Bean
public DefaultWebSecurityManager securityManager(AccountRealm accountRealm,
SessionManager sessionManager,
RedisCacheManager red