Shiro框架-史上详解

最新推荐文章于 2024-07-13 23:11:02 发布

m0_67402026

最新推荐文章于 2024-07-13 23:11:02 发布

阅读量576

点赞数

分类专栏：面试学习路线阿里巴巴文章标签： android 前端后端

本文链接：https://blog.csdn.net/m0_67402026/article/details/126063346

版权

Shiro

1.权限管理概述

2.Shiro权限框架
 2.1 概念
 2.2 Apache Shiro 与Spring Security区别

3.Shiro认证
 3.1 基于ini认证
 3.2 自定义Realm --认证

4.Shiro授权
 4.1 基于ini授权
 4.2 自定义realm – 授权

5.项目集成shiro 认证-授权注意点
 5.1 认证
 5.2 授权
 5.3 注解@RequiresPermissions()
5.4 标签式权限验证

6.Shiro加密

7.Shiro缓存

权限管理概述

RBAC(Role Based Access Control) :某个用户拥有什么角色,被允许做什么事情(权限)

用户登录—>分配角色---->(权限关联映射)---->鉴权(拥有什么什么权限)

熟悉框架流程

概念能做什么
架构是怎样
代码怎么实现
项目运用

Shiro权限框架

概念: Apache Shiro 是一个强大且易用的 Java 安全框架
能做什么:Shiro可以帮我们完成 :认证、授权、加密、会话管理、与 Web 集成、缓存等。
架构是怎样的

在这里插入图片描述

主要认识:

Subject(用户):当前的操作用户获取当前用户Subject currentUser = SecurityUtils.getSubject()
SecurityManager（安全管理器）:Shiro的核心,负责与其他组件进行交互,实现 subject 委托的各种功能
Realms（数据源） :Realm会查找相关数据源,充当与安全管理间的桥梁,经过Realm找到数据源进行认证,授权等操作
Authenticator（认证器): 用于认证，从 Realm 数据源取得数据之后进行执行认证流程处理。
Authorizer（授权器):用户访问控制授权，决定用户是否拥有执行指定操作的权限。
SessionManager （会话管理器）:支持会话管理
CacheManager （缓存管理器):用于缓存认证授权信息
Cryptography（加密组件）:提供了加密解密的工具包

Apache Shiro 与Spring Security区别

Shiro::用于中小型项目比较常见,简单易上手,可以支持多种环境
       Shiro 可以不跟任何的框架或者容器绑定，可独立运行
Spring Security:一般多用于spring环境,中大型项目,更强大
                Spring Security 则必须要有Spring环境

Shiro认证

基于ini认证

1.新建项目 --导入依赖
           --新建 配置文件ini
    
2. shiro帮我们创建用户
    创建令牌 ,类比页面传入的账号密码
    密码错误--  IncorrectCredentialsException
    账号错误--  UnknownAccountException
    
   源码分析--

在这里插入图片描述

导入依赖
commons-logging commons-logging 1.1.3 org.apache.shiro shiro-core 1.5.2 junit junit 4.13.2 org.projectlombok lombok 1.16.22 provided
编写ini,shiro默认支持的是ini配置的方式(只是演示) shiro-au.ini,真实项目使用xml

#用户的身份、凭据
[users]
zhangsan=555
xiaoluo=666
使用 Shiro 相关的 API 完成身份认证

@Test
public void testLogin(){
//创建Shiro的安全管理器，是shiro的核心
DefaultSecurityManager securityManager = new DefaultSecurityManager();
//加载shiro.ini配置，得到配置中的用户信息（账号+密码）
IniRealm iniRealm = new IniRealm(“classpath:shiro-au.ini”);
securityManager.setRealm(iniRealm);
//把安全管理器注入到当前的环境中
SecurityUtils.setSecurityManager(securityManager);
//无论有无登录都可以获取到subject主体对象，但是判断登录状态需要利用里面的属性来判断
Subject subject = SecurityUtils.getSubject();
System.out.println(“认证状态：”+subject.isAuthenticated());
//创建令牌(携带登录用户的账号和密码)
UsernamePasswordToken token = new UsernamePasswordToken(“xiaoluo”,“666”);
//执行登录操作(将用户的和 ini 配置中的账号密码做匹配)
subject.login(token);
System.out.println(“认证状态：”+subject.isAuthenticated());
//登出
//subject.logout();
//System.out.println(“认证状态：”+subject.isAuthenticated());
}

自定义Realm–认证

模拟

@Getter
@Setter
public class Employee {
    private String username;
    private String password;}

思路:

//继承 AuthorizingRealm
//参数的token ,subject进行登录匹配传入的token : UsernamePasswordToken
1.获取用户名
    方式一:将token强转为UsernamePasswordToken-->getUsername()
    方式二:通过token.getPrincipal()    
    
2.以用户名为条件,查询mysql数据库,得到用户对象(用户名/密码)
        模拟从数据库查询的对象 ------->自己new一个
        
3.将用户对象封装成认证info对象返回
        //存在两种可能