shiro基础知识学习

cccy001

已于 2023-08-22 10:24:02 修改

阅读量95

点赞数 1

文章标签：学习

于 2023-07-08 10:00:47 首次发布

本文链接：https://blog.csdn.net/qq_56923228/article/details/131608127

版权

文章详细介绍了权限管理的基本概念，包括身份认证和授权，并重点讲解了ApacheShiro框架，它的核心组件如Subject、SecurityManager、Realm等。Shiro因其简单易用且功能全面，常用于Java应用的安全管理。文章还通过示例展示了如何使用Shiro进行用户认证和授权的配置与实现。

摘要由CSDN通过智能技术生成

1.权限管理

1.1 什么是权限管理

基本上涉及到用户参与的系统都要进行权限管理，权限管理属于系统安全的范畴，权限管理==实现对用户访问系统的控制，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证和授权两部分，简称：认证授权。对于需要访问控制的资源用户首先经过身份认证，认证通过后该用户需要具有该资源的访问权限方可访问。

1.2身份认证

身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。对于采用指纹等系统，则出示指纹；对于硬件Key等刷卡系统，则需要刷卡。

1.3 什么是授权

授权，即访问控制，控制哪些用户能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源，对于某些没有权限的资源是无法访问的。

如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。使用比较多的第三方框架---shiro和springsecurity安全框架。shiro使用比较简单。而且它可以单独使用也可以和spring框架整合。

2、什么是shiro

Apache Shiro 是一个强大易用的 Java 安全框架，提供了认证、授权、加密和会话管理等功能，对于任何一个应用程序，Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security，Shiro 要简单的多。

Shiro是apache旗下一个开源框架，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证，权限授权、加密、会话管理等功能，组成了一个通用的安全认证框架。

2.1 为什么学shiro--简单--安全

Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用JavaEE环境。Shiro可以帮助我们完成：认证、授权、加密、会话管理、与Web集成、缓存等。

2.2 shiro的核心组件

Subject

Subject主体，外部应用与subject进行交互，subject将用户作为当前操作的主体，这个主体：可以是一个通过浏览器请求的用户，也可能是一个运行的程序。Subject在shiro中是一个接口，接口中定义了很多认证授相关的方法，外部程序通过subject进行认证授，而subject是通过SecurityManager安全管理器进行认证授权

SecurityManager

SecurityManager权限管理器，它是shiro的核心，负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等，SecurityManager是通过Authenticator进行认证，通过Authorizer进行授权，通过SessionManager进行会话管理等。SecurityManager是一个接口，继承了Authenticator, Authorizer, SessionManager这三个接口

Authenticator

Authenticator即认证器，对用户登录时进行身份认证

Authorizer

Authorizer授权器，用户通过认证器认证通过，在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

Realm（数据库读取+认证功能+授权功能实现）

Realm领域，相当于datasource数据源，securityManager进行安全认证需要通过Realm获取用户权限数据
比如：
如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
注意：
不要把realm理解成只是从数据源取数据，在realm中还有认证授权校验的相关的代码。　

SessionManager

SessionManager会话管理，shiro框架定义了一套会话管理，它不依赖web容器的session，所以shiro可以使用在非web应用上，也可以将分布式应用的会话集中在一点管理，此特性可使它实现单点登录。

SessionDAO

SessionDAO即会话dao，是对session会话操作的一套接口
比如:
可以通过jdbc将会话存储到数据库
也可以把session存储到缓存服务器redis

CacheManager

CacheManager缓存管理，将用户权限数据存储在缓存，这样可以提高性能

Cryptography

Cryptography密码管理，shiro提供了一套加密/解密的组件，方便开发。比如提供常用的散列、md5等功能

2.3 使用shiro完成认证-ini

用户的信息存在ini文件中【实际开发存储数据库】。

（1）创建java的maven工程并引入shiro依赖

<dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.7.0</version>
        </dependency>
    </dependencies>

（2）创建一个ini文件

# [users]定义用户的信息--当对于表名叫users
[users]
# =左边表示用户名  =右边表示密码
zhangsan=123456
lisi=123456

（3）编写代码

package demo01;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;


public class Test {
    public static void main(String[] args) {
        //创建一个SecurityManager对象
        DefaultSecurityManager securityManager=new DefaultSecurityManager();
        //设置securityManager使用的realm
        IniRealm realm=new IniRealm("classpath:shiro.ini");
        securityManager.setRealm(realm);
        //把SecurityManager放入上下文中。使其有效
        SecurityUtils.setSecurityManager(securityManager);
        //获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        //shiro把用户输入的账号和密码封装到UsernamePasswordToken类中。
        UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","1234567");
        try {
            //调用subject中的认证方法。
            subject.login(token);
            System.out.println("登录成功");
        }catch (Exception e){
            e.printStackTrace();
            System.out.println("登录失败");
        }

    }
}

流程图:

2.4 使用shiro完成授权功能-ini

只有认证后才能对进行权限判断

(1)修改ini文件

# [users]定义用户的信息--当对于表名叫users
[users]
# =左边表示用户名  =右边表示密码和对应的角色
zhangsan=123456,admin
lisi=123456,role1,role2
#[roles]定义角色信息以及该角色具有的权限信息。
[roles]
#=左边:角色名  右边: 该角色具有的权限
admin=user:query,user:insert,user:delete,user:update
role1=user:query,user:export
role2=user:delete,user:update

（2）修改代码

package demo01;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

import java.util.Arrays;

public class Test02 {
    public static void main(String[] args) {
        //1.获取SecurityManager对象
        DefaultSecurityManager securityManager=new DefaultSecurityManager();
        //2.为SecurityManager指定操作数据源的对象realm
        IniRealm realm=new IniRealm("classpath:shiro.ini");
        securityManager.setRealm(realm);

        //3.把securityManager放入上下文 使其生效
        SecurityUtils.setSecurityManager(securityManager);



        //4.获取Subject
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token=new UsernamePasswordToken("lisi","123456");
        try {
            subject.login(token);
        }catch (Exception e){
            e.printStackTrace();
            System.out.println("登录失败");
        }
        //subject.logout();//退出

        System.out.println("==============================权限校验=======================================");
        boolean permitted = subject.isPermitted("user:query");
        System.out.println("判断当前用户是否具有user:query的权限:"+permitted);
        boolean[] permitted1 = subject.isPermitted("user:query", "user:delete", "user:export");
        System.out.println("判断当前用户具有的权限:"+ Arrays.toString(permitted1));
        boolean permittedAll = subject.isPermittedAll("user:query", "user:update", "user:insert");
        System.out.println("是否同时具有上面的权限:"+permittedAll);

    }
}

流程图：