Apache Shiro Tutorial
第一个shiro应用
使用ini配置文件代表用户分组、密码、权限
slf4j+log4j日志输出
加载配置
public static void main(String[] args) {
log.info("My First Apache Shiro Application");
//1.
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//2.
SecurityManager securityManager = factory.getInstance();
//3.
SecurityUtils.setSecurityManager(securityManager);
System.exit(0);
}
使用shiro进行验证和授权访问
subject代表用户
官方描述:
a security-specific view of the currently executing user
更加广泛,并不一定指人也可以是第三方平台进程、定时任务、守护进程或任何类似的东西
It simply means ‘the thing that is currently interacting with the software’.
基本上在所有环境中都可以通过
Subject currentUser = SecurityUtils.getSubject();
来获取当前用户
getSubject会获取当前线程中保存的用户信息(是根据现成的threadlocal来获取的
page request session application
web应用中代表一次请求request(还是一次session?
it acquires the Subject based on user data associated with current thread or incoming request.
多半是request
在程序运行时可获取当前用户与应用程序的会话 (session)无需在web环境中也可以获取(shiro的内置session?)
这里的Session代表shiro内置的,可以实现大部分HttpSession的功能并且有些额外的自己的功能
shiro自动识别不同环境,在web应用程序中使用基于HttpSession,在非web环境中提供shiro自己的企业级session管理器,可以在不同的应用中使用相同API
subject结构
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Svau2OhJ-1599285040726)(D:\Learning\shiro\Apache Shiro Tutorial.assets\image-20200829160102948.png)]
根据不同的subject环境获取session
获取subject就可以检查角色及其权限
检查用户是否登录,没登陆就获取用户名密码进行登录验证
if ( !currentUser.isAuthenticated() ) {
//collect user principals and credentials in a gui specific manner
//such as username/password html form, X509 certificate, OpenID, etc.
//We'll use the username/password example here since it is the most common.
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
//this is all you have to do to support 'remember me' (no config - built in!):
token.setRememberMe(true);
currentUser.login(token);
}
通过丰富的验证示范exception
来支持您根据发生的不同情况进行处理做出反应
try {
currentUser.login( token );
//if no exception, that's it, we're done!
} catch ( UnknownAccountException uae ) {
//username wasn't in the system, show them an error message?
} catch ( IncorrectCredentialsException ice ) {
//password didn't match, try again?
} catch ( LockedAccountException lae ) {
//account for that username is locked - can't login. Show them a message?
}
... more types exceptions to check if you want ...
} catch ( AuthenticationException ae ) {
//unexpected condition - error?
}
// shiro登录
Subject currentUser = SecurityUtils.getSubject();
AuthToken token = new AuthToken(JSONObject.toJSONString(staffInfo));
String cSession;
try {
currentUser.login(token);
// 设置登录用户信息缓存
Session session = currentUser.getSession();
cSession = session.getId().toString();
} catch (UnknownAccountException e) {
throw new CheckResultException(ErrMsg.NO_ACCOUNT);
} catch (IncorrectCredentialsException e) {
throw new CheckResultException(ErrMsg.INVALID_ACCOUNT_PASS);
}
登录后调用自己实现的realm的逻辑去验证登录
NoPassRealm->doGetAuthenticationInfo
登录后可以进行角色验证和权限验证然后登出
//say who they are:
//print their identifying principal (in this case, a username):
log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");
//test a role:
if (currentUser.hasRole("schwartz")) {
log.info("May the Schwartz be with you!");
} else {
log.info("Hello, mere mortal.");
}
//test a typed permission (not instance-level)
if (currentUser.isPermitted("lightsaber:wield")) {
log.info("You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
//a (very powerful) Instance Level permission:
if (currentUser.isPermitted("winnebago:drive:eagle5")) {
log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'. " +
"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
//all done - log out!
currentUser.logout();
小结
通过这个例子了解了如何在应用中使用shiro,shiro的主要设计意图,subject和securitymanager
这个应用很简单,如果不用INI而用复杂数据源(例如数据库)怎么办?
就需要接下去了解更深入的shiro架构以及配置机制。下一章
https://shiro.apache.org/architecture.html
Authentication特性
Authentication是识别认证的过程,例如你将验证一位用户是否是他们自己所描述的那位用户。
为此,用户需要提供系统可以理解和信任的某种身份证明。
Shiro框架旨在使身份验证尽可能干净和直观,同时提供丰富的功能。
-
基于Subject(客体)
在shiro中所作的几乎所有操作都基于当前用户,称为一个课题。你能简单在任何代码找到Subject。这使得它更易于让你在应用中使用和理解shiro。
-
单一方法调用
验证过程是一个简单的单一的方法调用,只需要一个方法调用是的API和你的英语代码简洁节约时间更加高效
-
丰富的报错层次
shiro提供了一个丰富的报错层次结构来提供在登录失败时的报错异常。层次结构能帮你更加简单的诊断代码bug或客户关于登录验证服务的问题。另外如果需要丰富性还能帮你创建更复杂的验证方法。
-
记住我
shiro中的标准能够在你的用户返回应用的时候记住他们。你能以最小的工作量提供更好的用户体验。
-
可插拔的数据源
shori使用可插拔的数据访问对象(data access objects,DAOs),被称为Realms,来安全的链接数据源类似LDAP或者Active Diectory,JDBC。如果有需要你能创建自己的Realm来支持在基础Realm之外的特殊功能。
-
使用一个或多个数据源登录
使用Shiro,你能简单的验证一个用户违反一个或一些realms返回一个验证其身份的统一视图。另外你能使用shiro身份验证策略概念来定义自己的验证过程
Authorization特性
Authorization(授权) ,也被称为访问控制,是一个应用程序中确定某个资源是否有访问权限的过程。换句话来说决定谁能访问它。授权用于回答类似是否用户能编辑账户、用户是否能访问网页,是否用户能点击这个按钮之类的安全问题。这些都是决定一个用户是否有权访问的检查。
Authorization授权是任何应用程序的关键要素,但它很快就会变得非常复杂。 Shiro的目标是消除授权方面的许多复杂性,以便您可以更轻松地构建安全软件。 下面是Shiro授权功能的重点。
- 基于Subject
- 基于角色和权限的检查
- 强大而只管的权限语法
- 多种强力操作
- 强大的缓存支持
- 可插拔数据源
- 支持数据模型
原文 https://shiro.apache.org/tutorial.html
107
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
