Shiro 权限框架
先来了解下什么是Shiro 能干嘛?:
Shiro可以完成:认证、加密、授权、会话管理、与Web集成、缓存等
1,Authentication
身份认证/登录,验证用户是不是拥有相应的身份;
2, Authorization
授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用
户对某个资源是否具有某个权限;
3, Session Manager
会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信
息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
4,Cryptography
加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
5,Web Support
Web 支持,可以非常容易的集成到Web 环境;
6,Caching
缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
7,Concurrency
shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能 把权限自动传播过去;
8,Testing
提供测试支持;
9,Run As
允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
10,Remember Me
记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
→shiro下载地址
Shiro执行流程:
Application Code->Subject(当前用户)->Shiro SecurityManager(管理各个组件)->Realm
1.SecurityManager<安全管理器>:它负责与 Shiro 的其他组件进行交互,它相当于 SpringMVC 中DispatcherServlet 的角色
2.Realm<领域:相当于数据源>:从 Realm 获取安全数据(如用户、角色、权限),就是说SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource
基础依赖配置:
<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-all -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.3.2</version>
</dependency>
<!-- https://mvnrepository.com/artifact/log4j/log4j -->
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-api -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-api</artifactId>
<version>1.7.25</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-log4j12 -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.25</version>
<scope>test</scope>
</dependency>
shiro自带的word程序:
class Quickstart(){
// 获取当前的 Subject. 调用 SecurityUtils.getSubject();
Subject currentUser = SecurityUtils.getSubject();
// 测试使用 Session
Session session = currentUser.getSession();
session.setAttribute("someKey", "aValue");
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
log.info("---> Retrieved the correct value! [" + value + "]");
}
// 测试当前的用户是否已经被认证. 即是否已经登录.
// 调动 Subject 的 isAuthenticated()
if (!currentUser.isAuthenticated()) {
//如果没有登录 那么就会进行判断 将登录的信息保存在token里面进行表示
// 把用户名和密码封装为 UsernamePasswordToken 对象
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
// 记住我
token.setRememberMe(true);
try {
// 执行登录.
currentUser.login(token);
}
// 若没有指定的账户, 则 shiro 将会抛出 UnknownAccountException 异常.
// 用户名不存在
catch (UnknownAccountException uae) {
log.info("----> There is no user with username of " + token.getPrincipal());
return;
}
// 若账户存在, 但密码不匹配, 则 shiro 会抛出 IncorrectCredentialsException 异常。
// 密码错误
catch (IncorrectCredentialsException ice) {
log.info("----> Password for account " + token.getPrincipal() + " was incorrect!");
return;
}
// 用户被锁定的异常 LockedAccountException
catch (LockedAccountException lae) {
log.info("The account for username " + token.getPrincipal() + " is locked. " +
"Please contact your administrator to unlock it.");
}
// ... catch more exceptions here (maybe custom ones specific to your application?
// 所有认证时异常的父类.
catch (AuthenticationException ae) {
//unexpected condition? error?
}
}
// 测试是否有某一个角色. 调用 Subject 的 hasRole 方法.
// 判断用户是否具有某一个权限
if (currentUser.hasRole("schwartz")) {
log.info("----> May the Schwartz be with you!");
} else {
log.info("----> Hello, mere mortal.");
return;
}
// 测试用户是否具备某一个行为. 调用 Subject 的 isPermitted() 方法。
// 测试用于是否具有某一个具体的行为
if (currentUser.isPermitted("lightsaber:weild")) {
log.info("----> You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
//a (very powerful) Instance Level permission:
// 测试用户是否具备某一个行为.
if (currentUser.isPermitted("user:delete:zhangsan")) {
log.info("----> You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'. " +
"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
}
shiro认证:
1.获取当前的 Subject. 调用 SecurityUtils.getSubject();
2.测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated()
3.若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象
4.创建一个界面 来提交用户的账号和密码,获取用户的账号与密码
5.执行登录方法 调用Subject的login(AuthenticationToken) 方法.
6.自定义Realm的方法 从数据库中获取对应的记录 ,返回给Shiro
------1 .实际是继承Shiro这个类 实现对应的doGetAuthenticationInfo方法
------2.这个里面接受的Token就是在isAuthenticated里面调用的currentUser.login(token)传递的Token
7.让Shiro实现对密码的对比
会话管理:
Subject.getSession()获取当前会话
session.getId()获取当前会话的唯一的标识
session.getHost()获取当前Subject的主机地址
session.getTimeout() & session.setTimeout(毫秒) 获取/设置当前Session的过期时间
session.getStartTimestamp() & session.getLastAccessTime() 获取会话的启动时间及最后访问时间
会话验证
ubject.getSession()获取当前会话
session.getId()获取当前会话的唯一的标识
session.getHost()获取当前Subject的主机地址
session.getTimeout() & session.setTimeout(毫秒) 获取/设置当前Session的过期时间
session.getStartTimestamp() & session.getLastAccessTime() 获取会话的启动时间及最后访问时间会话验证
Shiro提供了会话验证调度器,用于定期的验证会话是否已经过期,会话验证调度器>SessionValidationScheduler或者QuartzSessionValidationScheduler
不完整欢迎评论区补充