学习内容
今天的主要内容是通过Shiro自定义的Realm来实现认证和授权。
Shiro简介
Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。
实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成与其他安全框架同样的功能,这不也是我们一直努力想要得到的吗!
Apache Shiro相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Shiro都能做什么
1,验证用户身份
2,用户访问控制,比如用户是否被赋予了某个角色;是否允许访问某些资源
3,在任何环境都可以使用Session API,即使不是WEB项目或没有EJB容器
4,事件响应(在身份验证,访问控制期间,或是session生命周期中)
5,集成多种用户信息数据源
6,SSO-单点登陆
7,Remember Me,记住我
8,Shiro尝试在任何应用环境下实现这些功能,而不依赖其他框架、容器或应用服务器。
Shiro的三个核心组件
三个核心组件:Subject, SecurityManager 和 Realms.
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
代码实现
util层新建文件ShiroConfiguration.java
@Configuration
public class ShiroConfiguration {
@Bean
public NewsRealm getRealm(){
return new NewsRealm();
}
@Bean
public SecurityManager securityManager(NewsRealm realm){
DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager(realm);
return securityManager;
}
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
shiroFilterFactoryBean.setLoginUrl("/admin");
shiroFilterFactoryBean.setUnauthorizedUrl("/unauthor");
Map<String,String> filterMap=new LinkedHashMap<>();
filterMap.put("/admin/login","anon"); //不拦截
filterMap.put("/admin/**","authc"); //拦截
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
return shiroFilterFactoryBean;
}
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager);
return advisor;
}
}
修改controller层的LoginController.java中的Login()方法来实现登录拦截
@PostMapping("login")
public String Login(String username, String password , HttpSession session, RedirectAttributes redirectAttributes){
redirectAttributes.addFlashAttribute("message","用户名和密码错误1");
try {
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
Subject subject = SecurityUtils.getSubject();
subject.login(token);
User user=(User) subject.getPrincipal();
session.setAttribute("user",user);
return "admin/index";
}catch (Exception e){
redirectAttributes.addFlashAttribute("message","用户名和密码错误1");
return "redirect:/admin";
}
}
总结
这是第一次接触Shiro,以前在别的地方见到过但是从没有去了解过,今天学习了一点内容就感觉还挺难的,但是这也说明了自己不会的还很多,还有很多的要学习。做了认证和实现之后,系统也更加完善了。下午的时候主要就是继续写自己小组的项目,把错误改了一下,现在这一部分已经基本完成了。