Shiro

初识Shiro

·Apache shiro 是一个Java的安全（权限）框架。
·shiro可以非常容易的开发出足够好的应用，其不仅可以用在javaSE环境。
·Shiro可以完成 认证，授权，加密，会话管理，web集成，缓存等

1.快速上手

1.1 导入依赖

springboot 默认日志logback，不过大多数时候使用slf4j+log4j
slf4j是日志的接口只定义了一些方法而没有去实现，和commons-logging一样。而log4j是具体的实现，即怎么来打印日志等，和logback是一样的。

官方默认推荐以下依赖，使用commons-logging
使用log4j，先创建好该日志的配置文件
1.2创建好shiro.ini

该文本主要是安装Action Tracker插件（或者ini插件）
1.3建立quickstart.java文件
复制官网

注意，这里碰到一个错误
Quickstart报错，查了好久，发现是factory方法过时了，新版本会有一场
需要将这两行代码
Factory factory = new IniSecurityManagerFactory(“classpath:shiro.ini”);
SecurityManager securityManager = factory.getInstance();

替换为
DefaultSecurityManager securityManager = new DefaultSecurityManager();
IniRealm iniRealm = new IniRealm(“classpath:shiro.ini”);
securityManager.setRealm(iniRealm);

2.quickstart.java

1.获取当前对象subject

2.通过当前对象拿到session

3.判断当前用户是否被认证 （认证了则跳4）
用户没有登录认证过，则根据ini中的用户名和密码创建token(令牌)，并执行登录操作
4.获得当前用户的认证
5.判断该用户的权限（粗粒度 细粒度）
6.注销
7.结束

3.Springboot整合Shiro

导入 shiro-…-web启动器
或者手动导入：

编写config

3.1 自定义realm

3.2 ShiroConfig

1. 创建realm实例对象

·@Bean放入spring容器托管，需要事先创建好UserReanl类，该类存放的是认证和权限方法

2.DefaltWebSecurityManager

·放入spring容器，关联UserRealm，用到了@Qualifer，
某个对象类托管给spring时，需要被注入时可以使用@Qualifier，@Qualifier限定哪个bean应该被自动注入。当Spring无法判断出哪个bean应该被注入时，@Qualifier注解有助于消除歧义bean的自动注入
@Qualifier（“参数”）相当于xml文件中的id=参数，通常可以作为@Autowired的补充，来指定某一具体id的bean
@Bean（name=“”），某个类的实例，假如有多个同类的实例对象，可通过name来区分，相当于指定了该实例对象的id，可被@Resources和@Qualifier（）找到。
一般来说，@bean定义某个类对象时，默认id为方法名,比如userRealm

补：
@Resource的作用相当于@Autowired，均可标注在字段或属性的setter方法上。

不同点：

（1）提供方：@Autowired是由org.springframework.beans.factory.annotation.Autowired提供，换句话说就是由Spring提供；@Resource是由javax.annotation.Resource提供，即J2EE提供，需要JDK1.6及以上。

（2）注入方式：@Autowired只按照byType 注入；@Resource默认按byName自动注入，也提供按照byType 注入；

（3）属性：@Autowired按类型装配依赖对象，默认情况下它要求依赖对象必须存在，如果允许null值，可以设置它required属性为false。如果我们想使用按名称装配，可以结合@Qualifier注解一起使用。@Resource有两个中重要的属性：name和type。name属性指定byName，如果没有指定name属性，当注解标注在字段上，即默认取字段的名称作为bean名称寻找依赖对象，当注解标注在属性的setter方法上，即默认取属性名作为bean名称寻找依赖对象。需要注意的是，@Resource如果没有指定name属性，并且按照默认的名称仍然找不到依赖对象时， @Resource注解会回退到按类型装配。但一旦指定了name属性，就只能按名称装配了。

@Resource装配顺序

1. 如果同时指定了name和type，则从Spring上下文中找到唯一匹配的bean进行装配，找不到则抛出异常

2. 如果指定了name，则从上下文中查找名称（id）匹配的bean进行装配，找不到则抛出异常

3. 如果指定了type，则从上下文中找到类型匹配的唯一bean进行装配，找不到或者找到多个，都会抛出异常

4. 如果既没有指定name，又没有指定type，则自动按照byName方式进行装配；如果没有匹配，则回退为一个原始类型进行匹配，如果匹配则自动装配；

推荐使用@Resource注解在字段上，这样就不用写setter方法了.并且这个注解是属于J2EE的，减少了与Spring的耦合,这样代码看起就比较优雅 。

3.使用Shiro

1.拦截请求

修改shiroConfig

还没认证，访问/user/*的请求会被拒绝并返回到/toLogin，注意，这里都是url路径(或者url请求)

2.用户认证

和UserReaml类有关
![在这里插入图片描述](https://img-blog.csdnimg.cn/40ae92f7fdfc4ec5aa0af90fec535cea.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5aeL5LqO56GF5q2l,size_19,color_FFFFFF,t_70,g_se,x_16)

前端
/tologin路径下为登录页面，即login.html，从前端接收用户数据

表单返回到/login路径下，即返回controller层
判断
在 UserRealm类中，数据库取

4.加上Mybatis

1.ShiroConfig

授权的代码写在shiroConfig，shiroConfig有三部分，如下图
·实例化UserRealm 第一步
·DefaultWebSerurityManager 第二步
·ShiroFileterFactoryBean 第三步
认证和授权的具体操作都写在第三步中
判断有没有认证和授权
没有认证或者授权跳转到响应界面
有则允许访问响应路径

授权的代码要写在拦截前面
未授权路径同样要controller要创建

2.UserRealm

权限和认证方法
获得当前用户，根据当前用户的权限字段授权
一般权限在数据库中保存，可以用varchar字段或者int

授权


注意：要把info.add… user：add去掉

Shiroconfig


授权，perms里的值就是权限字段，可以从数据库中获取
认证用authc 授权用perm
授权的代码要写在拦截前面，即同个页面perm写在authc前面

3.Controller层处理

/tologin路径下为登录页面，即login.html，从前端接收用户数据

表单返回到/login路径下，即返回controller层

判断