**
SpringBoot搭建环境
**
**
介绍
**:
Shiro是java的一个安全框架,Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。 三个核心组件:Subject, SecurityManager 和 Realms.
-
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。
-
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
-
SecurityManager:它是Shiro 框架的核心,典型的Facade
模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。 -
Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
**
Shiro主要的四个组件
**
- SecurityManager
典型的 Facade,Shiro 通过它对外提供安全管理的各种服务。 - Authenticator
对“Who are you ?”进行核实。通常涉及用户名和密码。 这个组件负责收集 principals 和 credentials,
并将它们提交给应用系统。如果提交的 credentials 跟应用系统中提供的 credentials 吻合,就能够继续访问,
否则需要重新提交 principals 和 credentials, 或者直接终止访问。 - Authorizer
身份份验证通过后,由这个组件对登录人员进行访问控制的筛查,比如“who can do what”, 或者“who
can do which actions”。 Shiro 采用“基于 Realm”的方法,即用户(又称 Subject)、 用户组、角 色和
permission 的聚合体。 - Session Manager
这个组件保证了异构客户端的访问,配置简单。它是基于 POJO/J2SE 的,不跟任何的客户 端或者协议绑定。
Shiro运行原理
-
Application Code:应用程序代码,就是我们自己的编码,如果在程序中需要进 行权限控制,需要调用 Subject 的
API。 -
Subject:主体,代表的了当前用户。所有的 Subject 都绑定到 SecurityManager, 与 Subject
的所有交互都会委托给 SecurityManager,可以将 Subject 当成一个 门面,而真正执行者是
SecurityManager 。 -
SecurityManage:安全管理器,所有与安全有关的操作都会与 SecurityManager 交互,并且它管理所有的
Subject 。 -
Realm:域 shiro 是从 Realm 来获取安全数据(用户,角色,权限)。就是说 SecurityManager
要验证用户身份, 那么它需要从 Realm 获取相应的用户进行比较以确定用户 身份是否合法;也需要从Realm
得到用户相应的角色/权限进行验证用户是否 能进行操作; 可以把 Realm 看成 DataSource,即安全数据源 。
Shiro的四种权限控制方式
url 级别权限控制
方法注解权限控制
代码级别权限控制
页面标签权限控制
##Shiro中过滤器
###认证相关
Anon:允许匿名
Authc:必须登录后才能访问
Logout:登出
###权限相关
Roles:角色授权过滤器,给某个Url设置特定的角色才能访问
Perms:权限过滤器,给某个url设置特定权限才能访问
##Shiro中标签
• p shiro:guest=””: 验证当前用户是否为”访客“,即未认证的(包含未记住的)用户
• shiro:user=””: 认证通过或者已经记住的用户
• shiro:authenticated=””: 已经认证通过的用户,不包括记住的用户,这是与user标签的本质区别
• shiro:principal: 用户名
• shiro:notAuthenticated: 未通过认证的用户,与authenticated相对应,与guest标签的区别是,该标签包含已经记住的用户
• shiro:hasRole=”admin“: 验证当前用户是否属于该角色
• shiro:lacksRole: 与hasRole逻辑相反,当用户不属于该角色时验证通过
• shiro:hasAllRoles=”admin, user, vip”: 验证当前用户是否属于标签中列出的所有角色
• shiro:hasAnyRoles=”admin, vip, developer”: 验证当前用户是否拥有标签中所列的任意一个用户
• shiro:hasPermission=”user:add”: 验证当前用户是否拥有制定权限
• shiro:lacksPermission=”user:del”: 与hasPermission逻辑相反。当前用户没有该权限时验证通过
• shiro:hasAllPermissions=”user:add, user:del”: 验证当前用户是否拥有标签中所列的所有权限
• shiro:hasAnyPermissions=”user:view, user:del”: 判断当前用户是否拥有标签中所列的任意一个权限
##Shiro中注解
• @RequiresAuthentication:表示当前subject已经通过login进行身份验证,即subject.isAuthenticated()返回true
• @RequiresUser:表示当前subject已经身份验证或者通过记住我登录
• @RequiresGuest:表示当前subject没有身份验证或者通过记住我登录,即游客身份
• @RequiresRole(value={“admin”,”user”},logical=logical.and):表示当前subject需要角色admin和user
• @RequestPermissions(value={“user:a”,”user:b”},logical=logical.or):表示当前subject需要权限user:a或者user:b
##Shiro与SpringBoot整合
###html/jsp部分
jsp:<%@ taglib prefix=”shiro” uri=http://shiro.apache.org/tags %>
html:<html lang=”zh_CN” xmlns=”http://www.w3.org/1999/xhtml”
xmlns:th=”http://www.thymeleaf.org”
xmlns:shiro=”http