apache shiro 不依赖于spring
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。
以下是你可以用 Apache Shiro所做的事情:
1.· 验证用户
2.· 对用户执行访问控制,如:
· 判断用户是否拥有角色admin。
判断用户是否拥有访问的权限
3.· 在任何环境下使用 Session API。例如CS程序。
4.· 可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。
5.· 单点登录(SSO)功能。
6.· “Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。
Shiro的4大部分——身份验证,授权,会话管理和加密
•· Authentication:身份验证,简称“登录”。
•· Authorization:授权,给用户分配角色或者权限资源
•· Session Management:用户session管理器,可以让CS程序也使用session来控制权限
•· Cryptography:把JDK中复杂的密码加密方式进行封装。
----------------------------------------------------------------------------------------------------------------------------------------------------------
Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。
所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。
认证流程
SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。然而,一旦 SecurityManager协调完毕,SecurityManager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作。
Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如LDAP数据源的JndiLdapRealm,JDBC数据源的JdbcRealm,ini文件数据源的IniRealm,properties文件数据源的PropertiesRealm,等等。我们也可以插入自己的 Realm实现来代表自定义的数据源。 像其他组件一样,Realms也是由SecurityManager控制
1. subject 认证的用户
2. securitymanager 安全管理器是shiro的核心,协调shiro的各个组件
3. Authenticator 认证器注:Authentication Strategy(org.apache.shiro.authc.pam.AuthenticationStrategy) 如果存在多个realm,则接口AuthenticationStrategy会确定什么样算是登录成功(例如,如果一个Realm成功,而其他的均失败,是否登录成功?)。
4. Authorizer 授权器:决定subject能拥有什么样角色或者权限。
5. SessionManager 会话管理器:创建和管理用户session。通过设置这个管理器,shiro可以在任何环境下使用session。
java web容器管理session
c/s 管理session
6. SessionDao 对session数据的管理
7. Cachemanager 缓存管理器,可以减少不必要的后台访问。提高应用效率,增加用户体验。
8. Realm 程序与安全数据的桥梁
领域
保存认证数据的模块
保存认证的业务逻辑
可在授权的业务逻辑
-- 系统realm
-- 自定义realm【重点】
9. cryptography 加密管理 MD5:Shiro的api大幅度简化java api中繁琐的密码加密。
*.ini 配置文件
-- [users] 用户列表
-- [main]
-- [roles]
测试:
public class TestShiro {
@Test
public void t() {
/**构建securityManager环境*/
Factory<SecurityManager> factory =new IniSecurityManagerFactory("classpath:shiro-first.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
try {
//提交认证
SecurityUtils.getSubject().login(new UsernamePasswordToken("zhangsan","111111"));
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
@Test
public void t2() {
/**构建securityManager环境*/
Factory<SecurityManager> factory =new IniSecurityManagerFactory("classpath:shiro-realm.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
try {
//提交认证
SecurityUtils.getSubject().login(new UsernamePasswordToken("zhangsan","111111"));
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
@Test
public void t3() {
/**构建securityManager环境*/
Factory<SecurityManager> factory =new IniSecurityManagerFactory("classpath:shiro-realm-md5.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
try {
//提交认证
SecurityUtils.getSubject().login(new UsernamePasswordToken("zhangsan","111111"));
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
@Test
public void t4() {
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");
SecurityManager securityManager = factory.getInstance();
//构建SecurityManager环境
SecurityUtils.setSecurityManager(securityManager);
//认证的主体
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","111111");
try {
//提交认证
subject.login(token);//调用CustomRealm
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
System.out.println("1 认证的结果:" + subject.isAuthenticated());
//授权的判断
boolean result1 = subject.hasRole("role1");
System.out.println("是否拥有角色: " + result1);
boolean result2 = subject.isPermitted("item:delete");
System.out.println("是否有权限: " + result2);
}
}
spring配置模式:
Jar包名称 | 版本 |
核心包shiro-core | 1.2.0 |
Web相关包shiro-web | 1.2.0 |
缓存包shiro-ehcache | 1.2.0 |
与spring整合包shiro-spring | 1.2.0 |
Ehcache缓存核心包ehcache-core | 2.5.3 |
Shiro自身日志包slf4j-jdk14 | 1.6.4 |
使用maven时,在pom中添加依赖包
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.0</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.2.0</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>1.2.0</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.2.0</version>
</dependency>
<dependency>
<groupId>net.sf.ehcache</groupId>
<artifactId>ehcache-core</artifactId>
<version>2.5.3</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-jdk14</artifactId>
<version>1.6.4</version>
</dependency>
自定义realm:继承AuthorizingRealm 类
public class CustomRealm extends AuthorizingRealm {
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
//先获取用户名
//模拟数据库查询用户的权限和角色
Set<String> roles = new HashSet<>();
roles.add("role1");
Set<String> permission = new HashSet<>();
permission.add("item:create");
permission.add("item:query");
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setRoles(roles);
info.setStringPermissions(permission);
return info;
}
/*@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String userid= (String)token.getPrincipal();
String userid_db="zhangsan";
String userpassword_db="f51775f5ed43dc50a7488567bb234541";
String salt = "aaa";
if(!userid.equals(userid_db)) {
return null;
}
SimpleAuthenticationInfo info =new SimpleAuthenticationInfo(userid,userpassword_db,ByteSource.Util.bytes(salt),"CustomRealm");
return info;
}*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//先获取用户输入的帐号
String userId = (String) token.getPrincipal();
//以下是模拟登录代码
String userId_db = "zhangsan"; //表示数据库中的帐号
String password_db = "111111";
if (!userId.equals(userId_db)) {
return null;
}
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userId, password_db, "CustomRealm");
return info;
}
}
在web.xml中配置shiro的过滤器:
<!-- Shiro filter-->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>
org.springframework.web.filter.DelegatingFilterProxy
</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
认证失败:
-- 帐号错误:org.apache.shiro.authc.UnknownAccountException
-- 密码错误:org.apache.shiro.authc.IncorrectCredentialsException
自定义Realm
MD5 不可逆 "穷举法"
login.jsp (login.action) ---> FormAuthenticationFilter(authc)做用户认证
---> 获取username和password
----> 调用Realm做认证
--------------------------------------------------------------------------------------------
select* from sys_permission
where type = 'permission'
and id in
(select sys_permission_id from sys_role_permission where sys_role_id in (
select sys_role_id from sys_user_role where sys_user_id ='zhangsan'
)
使用shiro做安全验证和授权管理:中医药集中采集系统