Shiro的简单入门

最新推荐文章于 2021-12-29 23:32:22 发布

RRRRengar

最新推荐文章于 2021-12-29 23:32:22 发布

阅读量229

点赞数

文章标签： shiro java

本文链接：https://blog.csdn.net/weixin_42249441/article/details/106273678

版权

Shiro的简单入门

1、什么是Shiro
2、快速入门
3、在SpringBoot整合Shiro

1、什么是Shiro

shiro （java安全框架）
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

2、快速入门

1、在Github上下载一个简单的Shiro入门案例
https://github.com/apache/shiro
2、下载完之后是一个名为shiro-master.zip的压缩包，解压它
3、解压后在shiro-master\shiro-master\samples目录下找到quickstart，将它导入IDEA
4、简单分析一下Quickstart这个类
（1）

//读取类路径下的shiro.ini文件，创建工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//通过工厂获取安全管理器
SecurityManager securityManager = factory.getInstance();

（2）

//通过当前用户拿到对象  Subject
Subject currentUser = SecurityUtils.getSubject();
//通过当前用户拿到  Session
Session session = currentUser.getSession();

（3）

//可以往session里面存值取值
session.setAttribute("someKey", "aValue");
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
   log.info("Retrieved the correct value! [" + value + "]");
}

（4）

if (!currentUser.isAuthenticated()) {//没有被认证

    //设置令牌  token
    UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");

    //记住我
    token.setRememberMe(true);
    try {
        currentUser.login(token);//执行了登录操作，需要传入一个令牌token
    } catch (UnknownAccountException uae) {//未知的用户，username = lonestarr, 在ini文件里可以找到这个名字
        log.info("There is no user with username of " + token.getPrincipal());
    } catch (IncorrectCredentialsException ice) {//密码错误
        log.info("Password for account " + token.getPrincipal() + " was incorrect!");
    } catch (LockedAccountException lae) {//多次密码不对，用户就会被锁定
        log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                "Please contact your administrator to unlock it.");
    }
    // ... catch more exceptions here (maybe custom ones specific to your application?
    catch (AuthenticationException ae) {//认证异常
        //unexpected condition?  error?
    }
}

（5）以下图片是shiro.ini中角色部分内容
admin：有所有的权限
schwartz：拥有 lightsaber : * 的权限，这里*是通配符，schwartz有以lightsaber :开头的所有权限
goodguy：只有 winnebago:drive:eagle5这个具体的权限 shiro.ini中的部分内容

//粗粒度的，非实例级别的权限测试，对某一类权限的判断
//test a typed permission (not instance-level)
if (currentUser.isPermitted("lightsaber:wield")) {
    log.info("You may use a lightsaber ring.  Use it wisely.");
} else {
    log.info("Sorry, lightsaber rings are for schwartz masters only.");
}

//细粒度，对某一个具体权限的判断
//a (very powerful) Instance Level permission:
if (currentUser.isPermitted("winnebago:drive:eagle5")) {
    log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
            "Here are the keys - have fun!");
} else {
    log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}

3、在SpringBoot整合Shiro

1、在IDEA创建一个SpringBoot工程

创建SpringBoot项目
勾选上Spring Web以及Thymeleaf（之后会和Thymeleaf整合）

2、导入Shiro的依赖

<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.5.3</version>
</dependency>

3、编写简单的页面和Controller

@Controller
public class ShiroController {

    @RequestMapping({"/", "/index"})
    public String index(Model model){
        model.addAttribute("msg", "Hello Shiro~");
        return "index";
    }

    @RequestMapping("/user/add")
    public String add(){
        return "user/add";
    }

    @RequestMapping("/user/update")
    public String update(){
        return "user/update";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }

    @RequestMapping("/login")
    public String login(String username, String password, Model model){
        return "index";
    }

    @RequestMapping("/unauthorized")
    @ResponseBody
    public String unauthorized(){
        return "您没有权限！";
    }
}

页面目录
在这里插入图片描述

4、编写ShiroConfig和UserRealm

在这里插入图片描述

@Configuration
public class ShiroConfig {

	//本质是一个过滤器
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Autowired DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager);
        //暂时没有过滤任何请求
        return bean;
    }

    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Autowired UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //创建realm对象  :用户认证的东西放在UserRealm里
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }
}

public class UserRealm extends AuthorizingRealm {
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了=====授权方法");
        return null;//返回null表示不进行授权
    }

    //认证：登录的时候认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了=====认证方法");
        return null;//返回空表示不进行认证
    }
}

5、实现登录拦截

在ShiroConfig中的getShiroFilterFactoryBean中加入过滤

@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(
				@Autowired DefaultWebSecurityManager securityManager){
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    bean.setSecurityManager(securityManager);

    //添加 shiro的内置过滤器
    /*
        anon:  无需认证就可以访问
        authc: 必须认证了才能访问
        user:  必须 记住我才能访问
        perms: 有用对某个资源的权限才能访问
        role:  拥有对某个角色权限才能访问
    */
    Map<String, String> filterMap = new LinkedHashMap<>();
    
    //无需认证就可以访问/user/add
    filterMap.put("/user/add", "anon");
    //必须认证了才能访问user/update
    filterMap.put("/user/update", "authc");
    //filterMap.put("/user/*", "authc");支持通配符
    
    bean.setFilterChainDefinitionMap(filterMap);

    //和SpringSecurity的setLoginUrl一样
    //当需要验证信息（但是你没有认证）的时候，跳转到登录界面
    bean.setLoginUrl("/toLogin");
   
    return bean;
}

现在可以访问/user/add并跳转到add.html，但是访问/user/update时，会跳到登录界面，需要登录认证后才能访问

6、实现用户认证

在登录时将用户名和密码交给令牌token，并进行认证

@RequestMapping("/login")
public String login(String username, String password, Model model){
    Subject subject = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    try{
        subject.login(token);//进行认证
        return "index";
    } catch (UnknownAccountException e){
        model.addAttribute("msg", "用户名或密码错误");
        return "login";
    } catch (IncorrectCredentialsException e){
        model.addAttribute("msg", "用户名或密码错误");
        return "login";
    }
}

具体认证的代码，在UserRealm类的doGetAuthenticationInfo编写

//认证：登录的时候认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    System.out.println("执行了=====认证方法");

    //登录时传进来token中的username和password都可以在token中获取
    UsernamePasswordToken userToken =
            (UsernamePasswordToken) token;
    //在真实开发中用户名和密码应该利用从token中获取的用户名和密码在在数据库中用户
	String name = "Rengar";
	String pwd = "123";

    if(!userToken.getUsername().equals(name)){
        return null; //return null;的意思是认证失败
    }

    //密码认证
    return new SimpleAuthenticationInfo("", pwd , "");
}

现在登录是输入正确的他还没和密码就可以在完成认证，并且访问/user/update了

7、实现请求授权

1、权限过滤

在ShiroConfig中的getShiroFilterFactoryBean中加入权限过滤

@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Autowired DefaultWebSecurityManager securityManager){
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    bean.setSecurityManager(securityManager);

    //添加 shiro的内置过滤器
    /*
        anon:  无序认证就可以访问
        authc: 必须认证了才能访问
        user:  必须 记住我才能访问
        perms: 有用对某个资源的权限才能访问
        role:  拥有对某个角色权限才能访问
    */

    Map<String, String> filterMap = new LinkedHashMap<>();
    
    filterMap.put("/user/add", "authc");
    filterMap.put("/user/update", "authc");
    //filterMap.put("/user/*", "authc");支持通配符

    //检查权限, 拥有user:add权限才可以访问/user/add
    filterMap.put("/user/add", "perms[user:add]");

    bean.setFilterChainDefinitionMap(filterMap);

    //和SpringSecurity的setLoginUrl一样
    //当需要验证信息（但是你没有认证）的时候，跳转到登录界面
    bean.setLoginUrl("/toLogin");
    //权限不够时会跳转到的页面
    bean.setUnauthorizedUrl("/unauthorized");
    return bean;
}

登录认证后仍然无法访问/user/add，因为授权的代码还没有实现
此时当用户访问/user/add，会重定向到/unauthorized

2、授权

具体授权的代码，在UserRealm类的doGetAuthorizationInfo编写

//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    System.out.println("执行了=====授权方法");

    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

    //获取subject
    Subject subject = SecurityUtils.getSubject();
    
    //给所有的用户添加user:add的权限
    //真实开发中应该从数据库获取信息，判断给谁添加权限
    info.addStringPermission("user:add");
    
    return info;
}

此时用户可以访问/user/add

8、整合Thymeleaf

导入Thymeleaf整合Shiro的依赖

<!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro -->
<dependency>
	<groupId>com.github.theborakompanioni</groupId>
	<artifactId>thymeleaf-extras-shiro</artifactId>
	<version>2.0.0</version>
</dependency>

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>首页</h1>
<p th:text="${msg}"></p>

<!--有user:add权限的用户能看到这个新增的a标签-->
<div shiro:hasPermission="user:add">
    <a th:href="@{/user/add}">新增</a>
</div>  <a th:href="@{/user/update}">更新</a>
</body>
</html>