初识Shiro
·Apache shiro 是一个Java的安全(权限)框架。
·shiro可以非常容易的开发出足够好的应用,其不仅可以用在javaSE环境。
·Shiro可以完成 认证,授权,加密,会话管理,web集成,缓存等
1.快速上手
1.1 导入依赖
springboot 默认日志logback,不过大多数时候使用slf4j+log4j
slf4j是日志的接口只定义了一些方法而没有去实现,和commons-logging一样。而log4j是具体的实现,即怎么来打印日志等,和logback是一样的。
官方默认推荐以下依赖,使用commons-logging
使用log4j,先创建好该日志的配置文件
1.2创建好shiro.ini
该文本主要是安装Action Tracker插件(或者ini插件)
1.3建立quickstart.java文件
复制官网
注意,这里碰到一个错误
Quickstart报错,查了好久,发现是factory方法过时了,新版本会有一场
需要将这两行代码
Factory factory = new IniSecurityManagerFactory(“classpath:shiro.ini”);
SecurityManager securityManager = factory.getInstance();
替换为
DefaultSecurityManager securityManager = new DefaultSecurityManager();
IniRealm iniRealm = new IniRealm(“classpath:shiro.ini”);
securityManager.setRealm(iniRealm);
2.quickstart.java
1.获取当前对象subject
2.通过当前对象拿到session
3.判断当前用户是否被认证 (认证了则跳4)
用户没有登录认证过,则根据ini中的用户名和密码创建token(令牌),并执行登录操作
4.获得当前用户的认证
5.判断该用户的权限(粗粒度 细粒度)
6.注销
7.结束
3.Springboot整合Shiro
导入 shiro-…-web启动器
或者手动导入:
编写config
3.1 自定义realm
3.2 ShiroConfig
1. 创建realm实例对象
·@Bean放入spring容器托管,需要事先创建好UserReanl类,该类存放的是认证和权限方法
2.DefaltWebSecurityManager
·放入spring容器,关联UserRealm,用到了@Qualifer,
某个对象类托管给spring时,需要被注入时可以使用@Qualifier,@Qualifier限定哪个bean应该被自动注入。当Spring无法判断出哪个bean应该被注入时,@Qualifier注解有助于消除歧义bean的自动注入
@Qualifier(“参数”)相当于xml文件中的id=参数,通常可以作为@Autowired的补充,来指定某一具体id的bean
@Bean(name=“”),某个类的实例,假如有多个同类的实例对象,可通过name来区分,相当于指定了该实例对象的id,可被@Resources和@Qualifier()找到。
一般来说,@bean定义某个类对象时,默认id为方法名,比如userRealm
补:
@Resource的作用相当于@Autowired,均可标注在字段或属性的setter方法上。
不同点:
(1)提供方:@Autowired是由org.springframework.beans.factory.annotation.Autowired提供,换句话说就是由Spring提供;@Resource是由javax.annotation.Resource提供,即J2EE提供,需要JDK1.6及以上。
(2)注入方式:@Autowired只按照byType 注入;@Resource默认按byName自动注入,也提供按照byType 注入;
(3)属性:@Autowired按类型装配依赖对象,默认情况下它要求依赖对象必须存在,如果允许null值,可以设置它required属性为false。如果我们想使用按名称装配,可以结合@Qualifier注解一起使用。@Resource有两个中重要的属性:name和type。name属性指定byName,如果没有指定name属性,当注解标注在字段上,即默认取字段的名称作为bean名称寻找依赖对象,当注解标注在属性的setter方法上,即默认取属性名作为bean名称寻找依赖对象。需要注意的是,@Resource如果没有指定name属性,并且按照默认的名称仍然找不到依赖对象时, @Resource注解会回退到按类型装配。但一旦指定了name属性,就只能按名称装配了。
@Resource装配顺序
1. 如果同时指定了name和type,则从Spring上下文中找到唯一匹配的bean进行装配,找不到则抛出异常
2. 如果指定了name,则从上下文中查找名称(id)匹配的bean进行装配,找不到则抛出异常
3. 如果指定了type,则从上下文中找到类型匹配的唯一bean进行装配,找不到或者找到多个,都会抛出异常
4. 如果既没有指定name,又没有指定type,则自动按照byName方式进行装配;如果没有匹配,则回退为一个原始类型进行匹配,如果匹配则自动装配;
推荐使用@Resource注解在字段上,这样就不用写setter方法了.并且这个注解是属于J2EE的,减少了与Spring的耦合,这样代码看起就比较优雅 。
3.使用Shiro
1.拦截请求
修改shiroConfig
还没认证,访问/user/*的请求会被拒绝并返回到/toLogin,注意,这里都是url路径(或者url请求)
2.用户认证
和UserReaml类有关
![在这里插入图片描述](https://img-blog.csdnimg.cn/40ae92f7fdfc4ec5aa0af90fec535cea.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5aeL5LqO56GF5q2l,size_19,color_FFFFFF,t_70,g_se,x_16)
前端
/tologin路径下为登录页面,即login.html,从前端接收用户数据
表单返回到/login路径下,即返回controller层
判断
在 UserRealm类中,数据库取
4.加上Mybatis
1.ShiroConfig
授权的代码写在shiroConfig,shiroConfig有三部分,如下图
·实例化UserRealm 第一步
·DefaultWebSerurityManager 第二步
·ShiroFileterFactoryBean 第三步
认证和授权的具体操作都写在第三步中
判断有没有认证和授权
没有认证或者授权跳转到响应界面
有则允许访问响应路径
授权的代码要写在拦截前面
未授权路径同样要controller要创建
2.UserRealm
权限和认证方法
获得当前用户,根据当前用户的权限字段授权
一般权限在数据库中保存,可以用varchar字段或者int
授权
注意:要把info.add… user:add去掉
Shiroconfig
授权,perms里的值就是权限字段,可以从数据库中获取
认证用authc 授权用perm
授权的代码要写在拦截前面,即同个页面perm写在authc前面
3.Controller层处理
/tologin路径下为登录页面,即login.html,从前端接收用户数据
表单返回到/login路径下,即返回controller层
判断