一.什么是Shiro
Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 加密机制。
二.与Spring Security比较
Apache Shiro相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
三.shiro的作用
Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。这不就是我们想要的嘛,而且Shiro的API也是非常简单;其基本功能点如下图所示:
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
记住一点,Shiro不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro即可。
2.传统的判断登录方法是在action中判断service,而加如shiro之后,在action中封装个token(令牌),然后直接调用shiro里的方法。shiro通过查找数据库判断是否存在。通俗来找将认证授权外包给shiro。
四.应用程序如何使用shiro框架
Application:应用代码
Subject:面向我们做的接口,我们要访问shiro时找它,相当于服务人员
Shiro SercuityManager:相当于总经理。它来协调各种事务。
Realm:通俗来找是实际干活的人,可以有多个,用getName()区分
五.shiro使用时配置相关的过滤器(10个)
| 过滤器简称 | 对应的java类 |
|---|---|
| anon | org.apache.shiro.web.filter.authc.AnonymousFilter |
| authc | org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
| authcBasic | org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter |
| perms | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
| port | org.apache.shiro.web.filter.authz.PortFilter |
| rest | org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter |
| roles | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
| ssl | org.apache.shiro.web.filter.authz.SslFilter |
| user | org.apache.shiro.web.filter.authc.UserFilter |
| logout | org.apache.shiro.web.filter.authc.LogoutFilter |
六.shiro使用(和spring整合)
1.导包:
2.web.xml中配:
<!-- Shiro Security filter filter-name这个名字的值将来还会在spring中用到 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3.导入配置文件
applicationContext-shiro.xml:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
xmlns:context="http://www.springframework.org/schema/context" xmlns:tx="http://www.springframework.org/schema/tx"
xmlns:aop="http://www.springframework.org/schema/aop"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/aop
http://www.springframework.org/schema/aop/spring-aop.xsd
http://www.springframework.org/schema/tx
http://www.springframework.org/schema/tx/spring-tx.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context.xsd">
<!-- 配置Spring整合shiro -->
<!-- 密码比较器类 -->
<bean id="passwordMatcher" class="cn.itcast.web.action.shiro.PasswordMatcher" />
<!-- 编写realm类 -->
<bean id="authRealm" class="cn.itcast.web.action.shiro.AuthRealm">
<!-- 注入密码比较器对象 -->
<property name="credentialsMatcher" ref="passwordMatcher" />
</bean>
<!-- 配置安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 自己编写一个realm域对象 -->
<property name="realm" ref="authRealm" />
</bean>
<!-- Spring框架需要整合shiro安全框架 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 注入安全管理器 -->
<property name="securityManager" ref="securityManager" />
<!-- 登录页面 -->
<property name="loginUrl" value="/index.jsp" />
<!-- 认证成功了,跳转的页面 <property name="successUrl" value=""/> -->
<!-- 没有权限的跳转页面 -->
<property name="unauthorizedUrl" value="/index2.jsp" />
<!-- 定义访问的规则 -->
<property name="filterChainDefinitions">
<!-- /**代表下面的多级目录也过滤 -->
<value>
/index.jsp* = anon
/home* = anon
/sysadmin/login/login.jsp* = anon
/sysadmin/login/loginAction_logout* = anon
/login* = anon
/logout* = anon
/components/** = anon
/css/** = anon
/img/** = anon
/js/** = anon
/plugins/** = anon
/images/** = anon
/js/** = anon
/make/** = anon
/skin/** = anon
/stat/** = anon
/ufiles/** = anon
/validator/** = anon
/resource/** = anon
/** = authc
/*.* = authc
</value>
</property>
</bean>
<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
<!-- 生成代理,通过代理进行控制 -->
<bean
class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor">
<property name="proxyTargetClass" value="true" />
</bean>
<!-- 安全管理器 -->
<bean
class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
</beans>
AuthRealm类:
package cn.itcast.web.action.shiro;
import java.util.List;
import javax.persistence.criteria.CriteriaBuilder;
import javax.persistence.criteria.CriteriaQuery;
import javax.persistence.criteria.Predicate;
import javax.persistence.criteria.Root;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.jpa.domain.Specification;
import cn.itcast.domain.User;
import cn.itcast.service.UserService;
public class AuthRealm extends AuthorizingRealm{
@Autowired
private UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
// TODO Auto-generated method stub
System.out.println("调用了授权方法");
return null;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
// TODO Auto-generated method stub、
System.out.println("调用了认证方法");
UsernamePasswordToken token = (UsernamePasswordToken) arg0;
final String username = token.getUsername();
Specification<User> spec = new Specification<User>() {
@Override
public Predicate toPredicate(Root<User> root, CriteriaQuery<?> query, CriteriaBuilder cb) {
// TODO Auto-generated method stub
return cb.equal(root.get("userName").as(String.class), username);
}
};
List<User> userList = userService.find(spec);
if(userList!=null && userList.size() > 0){
User user = userList.get(0);
//principal:主要对象(登录的用户) credentials:密码 realm的名字可以通过getName获取类名作为区分
return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
}
return null;
}
}
密码比较器类
PasswordMatcher:
package cn.itcast.web.action.shiro;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import org.apache.shiro.crypto.hash.Md5Hash;
public class PasswordMatcher extends SimpleCredentialsMatcher{
@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
// TODO Auto-generated method stub
System.out.println("调用了密码比较器");
//1.从token获取输入的密码
UsernamePasswordToken uToken = (UsernamePasswordToken) token;
String password = new String(uToken.getPassword());
//source:要加密的内容 salt:增加复杂度的内容 哈希次数:2
Md5Hash hash = new Md5Hash(password, uToken.getUsername(), 2);
System.out.println("输入的密码======="+hash.toString());
String dbPass = (String) info.getCredentials();
//2.从info中获取密码(数据库中的用户密码)
return equals(hash.toString(), dbPass);
}
}
/.jsp = anon 代表匿名可访问。注意:小范围要放在大范围的前面
/.jsp = authc 表式要拦截
注意:不要包含中文空格
login方法:
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
subject.login(token);
return SUCCESS;
登录成功进入shiro的认证方法,即AuthRealm的doGetAuthenticationInfo方法,底层由securityManager进行管理。
认证方法:
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
// TODO Auto-generated method stub、
System.out.println("调用了认证方法");
UsernamePasswordToken token = (UsernamePasswordToken) arg0;
final String username = token.getUsername();
Specification<User> spec = new Specification<User>() {
@Override
public Predicate toPredicate(Root<User> root, CriteriaQuery<?> query, CriteriaBuilder cb) {
// TODO Auto-generated method stub
return cb.equal(root.get("userName").as(String.class), username);
}
};
List<User> userList = userService.find(spec);
if(userList!=null && userList.size() > 0){
User user = userList.get(0);
//principal:主要对象(登录的用户) credentials:密码 realm的名字可以通过getName获取类名作为区分
return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
}
return null;
}
如果有值,然后进入密码比较器
会用到MD5加密算法
char型转String:
String password = new String(uToken.getPassword());
代码:
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
// TODO Auto-generated method stub
System.out.println("调用了密码比较器");
//1.从token获取输入的密码
UsernamePasswordToken uToken = (UsernamePasswordToken) token;
String password = new String(uToken.getPassword());
//source:要加密的内容 salt:增加复杂度的内容 哈希次数:2
Md5Hash hash = new Md5Hash(password, uToken.getUsername(), 2);
System.out.println("输入的密码======="+hash.toString());
String dbPass = (String) info.getCredentials();
//2.从info中获取密码(数据库中的用户密码)
return equals(hash.toString(), dbPass);
}
另一种方法:
在传token时把密码进行MD5加密
代码:
public String login() throws Exception {
if(UtilFuns.isEmpty(username)) {
return "login";
}
Subject subject = SecurityUtils.getSubject();
//组装token的时候,密码进行MD5处理
Md5Hash hash = new Md5Hash(password, username, 2);
UsernamePasswordToken token = new UsernamePasswordToken(username, hash.toString());
try {
subject.login(token);
//向shiro要对象
User user = (User) subject.getPrincipal();
session.put(SysConstant.CURRENT_USER_INFO, user);
return SUCCESS;
} catch (Exception e) {
e.printStackTrace();
super.put("errorInfo", "您的用户名或密码错误");
return "login";
}
}
注意:这时要注掉:
<property name="credentialsMatcher" ref="passwordMatcher" />
扫一扫
7223
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
