shiro 简介
Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的 Java 安全框架,它为开发人员提供一个直
观而全面的认证,授权,加密及会话管理的解决方案。
实际上,Shiro 的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro 是
建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro 提供的默认实现,使其能完成与
其他安全框架同样的功能,这不也是我们一直努力想要得到的吗!
Apache Shiro 相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在
实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必
纠结,能更简单的解决项目问题就好了。
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。
Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且
Shiro 的 API 也是非常简单。
shiro 组成
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
记住一点,Shiro不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro即可。
spring整合Shiro
在web.xml中配置
<!--配置shiro的代理过滤器-->
<!-- Shiro Security filter filter-name这个名字的值将来还会在spring中用到-->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
提供配置文件
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:cache/ehcache-shiro.xml"></property>
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="authRealm"/><!-- 引用自定义的realm -->
<property name="cacheManager" ref="cacheManager"></property>
</bean>
<!-- 自定义Realm域的编写 -->
<bean id="authRealm" class="com.itheima.web.shiro.AuthRealm">
<!-- 注入自定义的密码比较器 -->
<property name="credentialsMatcher" ref="customerCredentialsMatcher" ></property>
</bean>
<!-- 自定义的密码比较器 -->
<bean id="customerCredentialsMatcher" class="com.itheima.web.shiro.CustomCredentialsMatcher"></bean>
<!-- filter-name这个名字的值来自于web.xml中filter的名字 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<!--登录页面 -->
<property name="loginUrl" value="/login.jsp"></property>
<!-- 登录失败后 -->
<property name="unauthorizedUrl" value="/unauthorized.jsp"></property>
<property name="filterChainDefinitions">
<!-- /**代表下面的多级目录也过滤 -->
<value>
<!-- /system/module/list.do = perms["模块管理"]-->
/index.jsp* = anon
/login.jsp* = anon
/login* = anon
/logout* = anon
/css/** = anon
/img/** = anon
/plugins/** = anon
/make/** = anon
/** = authc,user
/*.* = authc
</value>
</property>
</bean>
<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 生成代理,通过代理进行控制 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor">
<property name="proxyTargetClass" value="true"/>
</bean>
<!-- 安全管理器 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
<aop:aspectj-autoproxy proxy-target-class="true"/>
编写controller
//基于shiro的身份认证(登录)
//基于shiro的登录方式,如果用户不存在或者密码比较失败,会抛出异常
@RequestMapping("/login")
public String login(String email, String password) {
//1.获取subject
Subject subject = SecurityUtils.getSubject();
try {
//2.调用subject的login方法
UsernamePasswordToken upToken = new UsernamePasswordToken(email, password);//登录用户名和密码
subject.login(upToken);
//登录成功逻辑
//从shiro中获取用户对象
User loginUser = (User) subject.getPrincipal();//安全数据
session.setAttribute("loginUser", loginUser);
//查询当前用户所具有的所有权限
List<Module> menus = moduleService.findByUserId(loginUser.getId());
session.setAttribute("modules", menus);
//跳转主页
return "home/main";
} catch (Exception e) {
//登录失败逻辑
e.printStackTrace();
request.setAttribute("errorMsg", "用户名或密码错误");
return "forward:/login.jsp";
}
}
自定义realm: 继承AuthorizingRealm
public class AuthRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
//认证
/**
* 参数: AuthenticationToken(传递过来的username and password)
* 返回值:
* 如果用户不存在: 返回null(自动抛出异常)
* 用户存在: 返回安全数据(AuthenticationInfo)
* 自动的调用密码比较器
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//1.获取用户输入的email和密码
UsernamePasswordToken upToken = (UsernamePasswordToken)authenticationToken;
String email = upToken.getUsername();
String password = new String(upToken.getPassword());//将char数组转化为string字符串
//2.根据email查询用户
User user = userService.findByEmail(email);
//3.如果用户存在构造安全数据并return
if (user != null){
//安全数据 构造方法(用户对象,数据库密码,当前realm名称(当前类名))
return new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
}else {
//如果用户不存在返回null
return null;
}
}
}
自定义密码比较器
public class CustomerCredentialsMatcher extends SimpleCredentialsMatcher {
/**
* 执行密码比较
* 参数:
* usernamePasswordToken(用户输入的email和密码)
* authenticationInfo: 安全数据(用户对象,数据库密码,realm名)
* 返回值:
* boolean类型
* 返回true:标识登录成功
* 返回false:标识登录失败(抛出异常)
*/
@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
//1.获取用户输入的密码和数据库密码
UsernamePasswordToken upToken = (UsernamePasswordToken)token;
String email = upToken.getUsername();
String password = new String(upToken.getPassword());
String dbPassword = (String)info.getCredentials();//获取数据库密码
//2.对用户输入的密码加密
password = Encrypt.md5(password,email);
//3.比较两次密码
return password.equals(dbPassword);
}
}