什么是Shiro
Shiro是一个功能强大且易于使用的Java安全框架。Shiro可以完成:认证、授权、加密、会话管理、与Web集成、缓存等、
shiro基本功能
Authentication:认证登录功能
Authorization:授权功能,认证用户是否有某个权限的功能
SessionManagement:会话管理功能,用户没有退出之前所有信息都会存储在会话当中
Cryptography:加密功能,敏感数据比如密码加密存储到数据库中,保证数据安全
Web Support :web支持,shiro很容易集成到web环境中
Caching:缓存功能,用户登录后,用户登录信息、权限与角色可以存到缓存中,提高了效率,不用频繁查询数据库
Concurrency:支持多线程并发验证,shiro可以将权限信息自动带到一个线程中开启的另一个线程
Testing:提供测试相关功能
Run As:提供用户在被允许的情况下使用另一个用户的角色权限访问
RememberMe:记住功能,用户登录一次后,下次登录就不需要再使用登录的步骤了
shiro框架
subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。传递对象到securityManager中校验。
securityManager:安全管理器,认证和授权都是通过securityManager进行的,securityManager是一个集合,真正做事的不是securityManager而是它里面的东西。
authenticator:认证器,认证最终通过authenticator进行
authorizer:授权器,授权最终通过authorizer进行
sessionManager:会话管理器,web一般是用web容器(中间件tomcat)对session进行管理,shiro可以对web与cs的session进行管理
realm:域,领域,相当于数据源,通过realm存取认证、授权相关数据。realm可以是一个或者多个
cacheManager:缓存管理器,主要对session和授权数据进行缓存。
cryptography:密码管理,保证数据安全性,比如md5。
环境搭建
添加依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.8.0</version>
</dependency>
shiro可以从数据库中取出相关权限信息,也可以从shiro.ini文件用获取
[user]
admin=admin
high=1234
简单测试
public class ShiroTest {
public static void main(String[] args) {
//初始化获取SecurityManager
IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager factoryInstance = factory.getInstance();
SecurityUtils.setSecurityManager(factoryInstance);
//获取Subject对象
Subject subject = SecurityUtils.getSubject();
//生成Token对象,用户名密码,测试从shiro.ini中取值
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("admin", "admin");
//登录 try...catch...快捷键:ctrl+alt+t
//也可以捕获 用户不存在异常:UnknownAccountException 密码错误异常:IncorrectCredentialsException
try {
subject.login(usernamePasswordToken);
System.out.printf("登录成功");
} catch (AuthenticationException e){
System.out.println("登录失败");
e.printStackTrace();
}
}
}