安全框架Shiro
1.Shiro简介
Shiro是Apache开源组织下的一款安全框架产品,执行认证,授权,密码,会话管理。有着强大简单易用,轻量的特点。
2.支持特性
- 支持web
- 支持多线程
- 支持测试
3.主要功能
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。
4.Shiro在JavaSE中的运用
1.创建一个简单的maven项目
2.在pom.xml文件中导入Shiro依赖
3.新建Resource目录,在目录下新建.ini安全数据文件
[users]
zhangsan=123456,seller
dengfucheng=111111,teacher
admin=123,admin
[roles]
admin=*
seller=order-add,order-del
teacher=c-add,c-del
4.新建一个测试类
package org.example;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import java.util.Scanner;
public class ShiroTest {
public static void main(String[] args) {
Scanner scanner = new Scanner(System.in);
//输入用户名
System.out.println("输入用户名");
String username = scanner.nextLine();
//输入密码
System.out.println("输入密码");
String password = scanner.nextLine();
//创建securityManger
DefaultSecurityManager securityManager = new DefaultSecurityManager();
//拿到认证数据通过realm
IniRealm realm = new IniRealm("classpath:shiro.ini");
securityManager.setRealm(realm);
/**
* 将securityManager交给SecurityUtils,在SecurityUtils中拿
* 到Subject,这样Subject封装数据后就可以
* 有securityManager进行管理
*/
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
//login方法需要传入一个token,将用户信息封装到token中传递
AuthenticationToken token = new UsernamePasswordToken(username,password);
/**
* 执行login后,如果认证失败会抛出异常,认证成功不会抛出异常
* 此时通过一个tag标识
*/
boolean tag = false;
try {
subject.login(token);
tag = true;
}catch (IncorrectCredentialsException e){
tag = false;
}
System.out.println(tag?"登录成功":"登录失败");
boolean b = subject.hasRole("seller");
System.out.println(b);
}
}
5.测试结果
登录成功截图,当前登录用户是在.ini文件中存在安全数据账户
登录失败,此时为密码输入错误。