一、Shiro概述
Shiro框架就是一个应用于Java方向的安全框架爱,主要应用在web端的系统中
可以快速帮助我们完成认证、授权、加密、会话管理、与 Web 集成、缓存等
二、常用功能
(1)Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
(2)Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即 判断用 户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证 某个用户 对某个资源是否具有某个权限;
(3)Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的 所有 信息都在会话中;会话可以是普通 JavaSE 环境,也可以是 Web 环境的;
(4)Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存 储;
(5)Web Support:Web 支持,可以非常容易的集成到 Web 环境;
(6)Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这 样可 以提高效率;
(7)Concurrency:Shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线 程,能把权限自动传播过去;
(8)Testing:提供测试支持;
(9)Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
(10)Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用 登 录了
三、核心组件
(1)Subject
应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外 API 核心 就是 Subject。Subject 代表了当前“用户”, 这个用户不一定 是一个具体的人,与当 前应用交互的任何东西都是Subject,如网络爬虫, 机器人等;与 Subject 的所有交互 都会委托给SecurityManager; Subject 其实是一个门面,SecurityManager 才是实际的 执行者;
其实就是指代登录的那个对象,保存了登录时的账号、密码等信息,需要的时候就从该对象中去取
使用以下方式获得Subject对象:
Subject subject = SecurityUtils.getSubject();
Token中可最多存入账号,密码,rememberMe,host
调用.login方法进行校验,出错会报异常
//封装请求数据到 token 对象中
AuthenticationToken token = new UsernamePasswordToken(name, pwd,rememberMe,host);
//调用 login 方法进行登录认证
subject.login(token);(2)Realm
Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户 进行比较以确 定用户身份是否合法;也需要从 Realm 得到用户相应的角色/ 权限进行验证用户是否能进 行操作;可以把 Realm 看成 DataSource
subject对象调用的login方法的实际实现是在Realm中的自定义登陆方法
每个自定义的Realm都要先继承AuthorizingRealm,重写其中的自定义登录方法,自定义授权方法
realm类中就应该实现和数据库之间的交互
//自定义授权方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
List<String> roles=userService.getRolesByUSername(principalCollection.getPrimaryPrincipal().toString());
List<String> permissions=userService.getPermissionsByUSername(principalCollection.getPrimaryPrincipal().toString());
//用户所拥有的角色
info.addRoles(roles);
System.out.println("当前用户所拥有的角色"+roles);
//用户所拥有的权限
info.addStringPermissions(permissions);
System.out.println("当前用户所拥有的权限"+permissions);
return info;
}
//自定义登录方法
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//1、获取用户信息、得到用户名
String name = authenticationToken.getPrincipal().toString();
//2、调用数据库
User user = userService.getUserInfoByName(name);
//进行业务判断
if (user != null) {
//用户名 密码 加盐参数 用户名称
AuthenticationInfo info=new SimpleAuthenticationInfo(
authenticationToken.getPrincipal(),
user.getPwd(),
ByteSource.Util.bytes("salt"),
authenticationToken.getPrincipal().toString()
);
return info;
}
return null;
}(3)SecurityManager
安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且其管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与 Shiro 的其他 组件进行交互,它相当于 SpringMVC 中 DispatcherServlet 的角色
这是整个shiro的核心写在shiroconfig类中,很多组件的实现都和这个有关
里面可以setRememberMeManager、setCacheManager、setRealm等各个组件
SessionsSecurityManager
这个抽象类注入了会话管理器,只是单纯的继承,没有实现,支持使SecurityManager封装一个sessionManager实例,把对session的操作都委托给该实例。
AuthorizingSecurityManager
这个抽象类只是单纯的继承,没有实现任何接口,完成授权部分功能
AuthenticatingSecurityManager
这个抽象类实现了认证的部分功能,支持使SecurityManager封装一个Authenticator实例,把对验证的操作都委托给该实例
RealmSecurityManager
这个抽象类实现了Realm(数据源)开关的功能
CacheSecurityManager
这个抽象类注入了缓存相关的东西
DefaultSecurityManager
这个抽象类是非web环境的安全管理器,只是单纯的继承,没有实现
DefaultWebSecurityManager
这个抽象类默认的继承web层次的安全管理器,除了继承之外,还实现了一个接口,这个接口的功能就是判断当前是否是web环境
大致认证流程
1、系统调用 subject 的 login 方法将用户请求数据封装到(AuthenticationToken)token对象中提交给 SecurityManager 2、SecurityManager 将认证操作委托给认证器对象 Authenticator 3、Authenticator 将用户输入的身份信息传递给 Realm(此处是自动调用继承了relam的类) 4、Realm 访问数据库获取用户信息然后对信息进行封装并返回 5、Authenticator 对 realm 返回的信息进行身份认证
调用subject.login(token),传入封装好的token
实现类中实际上是调用了securityManager.login(this, token)
感谢大佬解析的登录源码基本流程
快速搭建见脚手架
854
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
