前言
上节我们对Shiro做了详细的介绍,并且简单的分析了Shiro的运行流程,正如我之前所提到的,Shrio只为我们提供了"积木",具体怎么玩,把"积木"搭建成汽车呢,还是城堡呢,得靠我们自己发挥啦,本节我们先简单的创建一个Maven普通项目体验一下Shiro使用默认方式(配置shiro.ini文件)实现安全策略吧~
下载Shiro和maven的依赖
还是给大家提供一下Shiro的下载的地址 Shrio Apache官网
引入眼帘的就是这么个界面,不得不说,Apache真的是一个特别强大又有奉献精神的组织,聊聊题外话,大家看Apache的Logo是一根羽毛,羽毛其实象征的就是世界和平… 哈哈,所以Apache的初衷就是世界和平?
我也不知道,不过Apache的产品都是开源的,这一点毋庸置疑,也是一种"和平相处"的体现,毕竟不花钱嘛!
再来看看Shiro的Logo,是一个蓝色的盾牌,我第一眼感觉Shiro就是LOL(英雄联盟)里的宝石骑士塔里克,用它的天蓝色盾牌守护着他的队友,可谓是非常暖了!
其实你可以把写程序就当作是在玩游戏,官方给你提供了这么个角色(Shiro蓝宝石骑士),你了解了Shiro的用方法(上下左右B-A-B-A)之后,怎么操作就看你自己了,因此这东西还是要看段位的,我自认为自己还是青铜…
毕竟IT"大牛"实在是太多啦,想通过写博文的方式提升自己的段位…
闲聊到这里,我们正式进入本节的学习,上面给大家提供了下载的网址,我们先点进去看看
欸?奇怪了,没有看到下载的地址,但是中间一栏的代码我们是不是特别熟悉…
没错,我们可以通过配置pom.xml,使用Maven导入依赖的jar包
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.marco</groupId>
<artifactId>shiro_authentication_ini</artifactId>
<version>0.0.1-SNAPSHOT</version>
<properties>
<shiro.version>1.4.1</shiro.version>
<logging.version>1.2</logging.version>
</properties>
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>${logging.version}</version>
</dependency>
</dependencies>
</project>
配置shiro.ini文件
ini全称为initailization file,意为初始化文件,那么shiro.ini文件固然就是初始化shiro安全策略的配置文件,我们之前在讲Shiro的时候提到了Realm(领域),它是和数据库对接的"桥梁",那么这意味着使用Shiro必须要和数据库进行对接吗?其实不然,shiro.ini文件就是Shiro提供的获取数据的一种途径。
下面是关于shiro.ini文件的说明:
[main] :定义全局变量
|-- 内置securityManager对象.
|-- 操作内置对象时,在[main]里面写东西
[main]
securityManager.属性=值 等同于 <property name="id" value="">
user=com.bjsxt.User 等同于 <bean id="user" class="com.marco.User">
securityManager.对象属性=$user 等同于<bean id="" ref="user">
[users] :定义用户名和密码 [写死的]
[users]
# 定义用户名为marco 密码为123456
marco=123456
# 定义用户名sunnie密码为sunnie同时具有role1和role2两个角色
sunnie=sunnie,role1,role2
[roles]: 定义角色
[roles]
role1=权限名1,权限名2
role2=权限3,权限4
[urls] : 定义哪些内置urls生效.在web应用时使用.
[urls]
#url地址=内置filter或自定义filter
# 访问时出现/login的url必须去认证.支持authc对应的Filter
/login=authc
# 任意的url都不需要进行认证等功能.
/** = anon
# 所有的内容都必须保证用户已经登录.
/**=user
# url abc 访问时必须保证用户具有role1和role2角色.
/abc=roles["role1,role2"]
按照上面的规则,大家可以自定义用户、角色和权限的配置,以下配置文件仅作参考
#配置登录的账号密码
[users]
marco=123456,role1,role2,role3
sunnie=654321,role2,role3
jack=123456,role3
[roles]
role1=user:query,user:add,user:delete,user:update,user:export
role2=user:query,user:add
role3=user:update,user:export
role4=user:*
身份认证
身份认证即在应用中谁能证明他就是他本人。一般我们会提供诸如身份ID,邮箱,电话号码等一些标识信息来
区别用户的身份并作为证明。在Shiro 中,用户需要提供principals (身份)和credentials(证明)给Shiro,从而使得应用能够验证用户身份,而身份认证又涉及到两个概念。
Principals
身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。
一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/手机号。
Credentials
证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
最常见的principals和credentials组合就是用户名/密码了。接下来我们先进行一个基本的身份认证。
模拟用户登录
package com.marco.test;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
public class ShiroAuthenticationDemo {
@SuppressWarnings("deprecation")
public static void main(String[] args) {
//模拟获取登录的账号密码
String username = "marco";
String password = "123456";
//将账号密码封装到token(令牌)中
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//创建安全管理工厂
IniSecurityManagerFactory securityManagerFactory = new IniSecurityManagerFactory("classpath:shiro.ini");
//获取SecurityManager安全管理对象
SecurityManager securityManager = securityManagerFactory.createInstance();
//把安全管理器绑定到当前运行环境
SecurityUtils.setSecurityManager(securityManager);
//从当前环境里面得到Subject主体对象
Subject subject = SecurityUtils.getSubject();
//调用主体的登陆方法
try {
subject.login(token);
} catch (IncorrectCredentialsException e) {
System.err.println("密码不正确");
}catch (UnknownAccountException e) {
System.err.println("用户名不存在");
}
//判断当前主题是否已经认证
boolean authenticated = subject.isAuthenticated();
System.out.println("当前用户【" + username + "】是否被认证" + authenticated);//结果为true
//退出登录
subject.logout();
System.out.println("当前用户【" + username + "】是否被认证" + authenticated);//结果为false
boolean hasRole = subject.hasRole("role3");
System.out.println("当前用户【" + username + "】是否拥有角色role3:" + hasRole);
List<String> roleList = new ArrayList<>();
roleList.add("role1");
roleList.add("role2");
boolean hasAllRoles = subject.hasAllRoles(roleList);
System.out.println("当前用户【" + username + "】是否拥有角色以上role1和role2的所有角色:" + hasAllRoles);
boolean[] hasRoles = subject.hasRoles(roleList);
System.out.println("当前用户【" + username + "】是否拥有角色以上role1和role2的角色:" + Arrays.toString(hasRoles));
boolean permitted = subject.isPermitted("user:query");
System.out.println("当前用户【" + username + "】是否拥有user:query的权限:" + permitted);
boolean[] isPermitted = subject.isPermitted("user:query","user:delete");
System.out.println("当前用户【" + username + "】是否拥有角色以上user:query和user:delete的权限:" + Arrays.toString(isPermitted));
boolean permittedAll = subject.isPermittedAll("user:query","user:delete");
System.out.println("当前用户【" + username + "】是否拥有角色以上user:query和user:delete的所有的权限:" + permittedAll);
}
}
这里我使用账号sunnie,密码654321来进行登录,目前该用户拥有的角色为role2,role3
,拥有的权限是user:update,user:export,user:query,user:add
。我们来看看运行结果吧~
大家看了上面的运行结果,可以思考一个问题,到底是先认证呢?还是先授权呢?
我们带着这个问题,继续开始我们下一节的"旅行"吧~