1.shiro是什么
shiro是apache开源组织开发的一套开源的安全(权限)框架,跨语言跨平台,能在B/S架构上运行,也能在C/S架构上运行。
2.shiro与传统权限的区别
shiro是对传统的五表权限进行了封装,shiro把用户的认证(登录)和授权(用户赋权限)功能进行了封装处理,使权限操作更加简便,shiro需要传统五表权限来维护用户 角色 权限之间的关系。(五表:用户表,角色表,权限表,用户角色关联表,角色权限关联表)
3.shiro的原理(运行流程)
securityManager 安全管理中心(shiro的所有操作都由它来完成)
Authenticator 认证 (登录)
Authorizer 授权(使用当前登录用户的id到数据库中查询用户所拥有的权限)
Realm 域 用来连接关系型数据库 执行对应的sql语句
Subject 主体 当前的登录用户 相当于五表权限中的session
流程:
java 下建一个 shiro 包 ,在包下建一个MyRealm 包 和ShiroConfig 包
自定义一个Realm:
1、MyRealm 继承AuthorizingRealm类
2、重写认证、授权方法
认证方法:doGetAuthenticationInfo
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
String userName = (String) authenticationToken.getPrincipal();
User user = userService.findByUserName(userName);
if(user==null){
return null;
}else{
AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUserName(),user.getPassword(),this.getClass().getName());
return authenticationInfo;
}
}
授权方法:doGetAuthorizationInfo
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
String userName = (String) SecurityUtils.getSubject().getPrincipal();
User user = userService.findByUserName(userName);
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
Set<String> roles = new HashSet<>();
if("管理员".equals(user.getRoleName())){
roles.add("管理员");
info.addStringPermission("进入管理员主页");
info.addStringPermission("根据id查询资源类型实体");
info.addStringPermission("添加或修改资源类型信息");
//等等
}
info.setRoles(roles);
return info;
}
ShiroConfig 包:
shiro 的过滤器链、拦截器
1、shiro过滤器工厂ShiroFilterFactoryBean 、必须设置 SecurityManager 如果不设置就无法完成认证和授权
2、// 拦截器步骤
**Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
// 拦截器authc:所有的url必须认证通过才可以访问 anon:所有url都可以匿名访问
//配置退出过滤器,其中的具体的退出代码Shiro已经帮我们实现了,
// 浏览器访问的地址栏路径中以/logout结尾的路径 走logout过滤器
// logout会清除session 退出登录
filterChainDefinitionMap.put("/user/logout",“logout”);
**/// 代表所有路径 除以上路径外都拦截 authc代表权限拦截过滤器
filterChainDefinitionMap.put("/",“authc”);
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
// 最终返回过滤器链
return shiroFilterFactoryBean;
3、开启Shrio的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
只需要配置两个Bean对象
1>开启 cglib动态代理DefaultAdvisorAutoProxyCreator /地否特-额的歪泽-AutoProxyCreator /
2>开启aop 前置通知AuthorizationAttributeSourceAdvisor /哦色瑞.贼声-额踹不由特-索斯-额的歪泽/
//开启 cglib动态代理
@Bean
@DependsOn("lifecycleBeanPostProcessor")
public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
advisorAutoProxyCreator.setProxyTargetClass(true);
return advisorAutoProxyCreator;
}
//开启aop 前置通知
@Bean
public AuthorizationAttributeSourceAdvisor authori zationAttributeSourceAdvisor(){
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
return authorizationAttributeSourceAdvisor;
}
如何处理登录form表单:
由于现在没有登录,所以一开始会前往登录界面,填写用户账号和密码,点击提交,因为我们form表单的action是loginUser,此时数据提交到Controller中对应的处理方法中:
整个form表单的验证流程:
将登陆的用户/密码传入UsernamePasswordToken,当调用subject.login(token)开始,调用Relam的doGetAuthenticationInfo方法,开始密码验证。此时这个时候执行我们自己编写的CredentialMatcher(密码匹配器),执行doCredentialsMatch方法,具体的密码比较实现在这实现我们会把用户名,密码存入到UsernamePasswordToken中,UsernamePasswordToken是一个用户,密码认证令牌,里面有用户名,密码,是否缓存等属性。然后代码就会跳转到我们自己编写的Realm–AuthRealm的doGetAuthenticationInfo方法(具体可以看这篇博文https://www.cnblogs.com/ccfdod/p/6436353.html 这理由详细的介绍,这个代码调用如下:subject.login(token)–>DelegatingSubject类的login方法–>SecurityManager的login–>DefaultSecurityManager的login方法–>AuthenticatingSecurityManager的authenticate方法–>实现类AuthenticatingRealm中的getAuthenticationInfo方法)。在我们自己的getAuthenticationInfo方法中,我们根据用户名查询出用户的信息,返回AuthenticationInfo对象,如果token与获取到的AuthenticationInfo都不为空,缓存AuthenticationInfo信息。接着代码会跳转到我们的凭证验证的方法CredentialMatcher类的doCredentialsMatch方法: