Shiro学习笔记

1、什么是shiro?他解决的是什么问题？

shiro是一个JAVA的安全（权限）的框架。他通过权限解决了一些安全问题，提供了权限的开发应用选择。

2、与shiro类似的还有哪些？两者的异同是什么？

spring security和shiro的异同
相同点
1、认证功能
2、授权功能
3、加密功能
4、会话管理
5、缓存支持
6、rememberMe功能

不同点
1、Spring Security 基于Spring 开发，项目若使用 Spring 作为基础，配合 Spring Security 做权限更加方便，而 Shiro 需要和 Spring 进行整合开发；
2、Spring Security 功能比 Shiro 更加丰富些，例如安全维护方面；
3、Spring Security 社区资源相对比 Shiro 更加丰富；
Spring Security对Oauth、OpenID也有支持,Shiro则需要自己手动实现。
而且Spring Security的权限细粒度更高spring security 接口 RequestMatcher 用于匹配路径,对路径做 特殊的请求，类似于shiro的抽象类 PathMatchingFilter，但是 RequestMatcher 作用粒度更细
4、Shiro 的配置和使用比较简单，Spring Security 上手复杂些；
5、Shiro 依赖性低，不需要任何框架和容器，可以独立运行.Spring Security 依赖Spring容器；
6、shiro 不仅仅可以使用在web中，还支持非web项目它可以工作在任何应用环境中。在集群会话时Shiro最重要的一个好处或许就是它的会话是独立于容器的。apache shiro的话，简单，易用，功能也强大，spring官网就是用的shiro，可见shiro的强大。
spring security 和 shiro 对加密都提供了各种各样的支持 例如 BCryptPasswordEncoder 采用 SHA-256 + 随机盐 + 秘钥 对密码进行加密。shrio 的 SimpleHash 提供散列算法的支持，生成数据的摘要信息。
shiro 的 AuthorizingRealm 的 doGetAuthorizationInfo方法 与 doGetAuthenticationInfo 一个 是定义 获取 用户权限信息 的方法，一 个 是 定义用户身份认证及获取用户身份的方法，而 spring security 也有 资源 角色 授权器 FilterInvocationSecurityMetadataSource，定义资源url 与 角色权限的关系 ， 决策 管理器 AccessDecisionManager 定义权限满足的规则
注：
OAuth在”客户端”与”服务提供商”之间，设置了一个授权层（authorization layer）。”客户端”不能直接登录”服务提供商”，只能登录授权层，以此将用户与客户端区分开来。”客户端”登录授权层所用的令牌（token），与用户的密码不同。用户可以在登录的时候，指定授权层令牌的权限范围和有效期。

“客户端”登录授权层以后，”服务提供商”根据令牌的权限范围和有效期，向”客户端”开放用户储存的资料。

OpenID 系统的第一部分是身份验证，即如何通过 URI 来认证用户身份。目前的网站都是依靠用户名和密码来登录认证，这就意味着大家在每个网站都需要注册用户名和密码，即便你使用的是同样的密码。如果使用 OpenID ，你的网站地址（URI）就是你的用户名，而你的密码安全的存储在一个 OpenID 服务网站上（你可以自己建立一个 OpenID 服务网站，也可以选择一个可信任的 OpenID 服务网站来完成注册）。

与OpenID同属性的身份识别服务商还有ⅥeID,ClaimID,CardSpace,Rapleaf,Trufina ID Card等，其中ⅥeID通用账户的应用最为广泛。
springboot Security框架。
区别

3、shiro的外部架构

Subject
在我们的教程中已经提到，Subject实质上是一个当前执行用户的特定的安全“视图”。鉴于"User"一词通常意味着一个人，而一个Subject可以是一个人，但它还可以代表第三方服务，daemon account，cron job，或其他类似的任何东西——基本上是当前正与软件进行交互的任何东西。
所有Subject实例都被绑定到（且这是必须的）一个SecurityManager上。当你与一个Subject交互时，那些交互作用转化为与SecurityManager交互的特定subject的交互作用。
SecurityManager
SecurityManager是Shiro架构的心脏，并作为一种“保护伞”对象来协调内部的安全组件共同构成一个对象图。然而，一旦SecurityManager和它的内置对象图已经配置给一个应用程序，那么它单独留下来，且应用程序开发人员几乎使用他们所有的时间来处理Subject API。
稍后会更详细地讨论SecurityManager，但重要的是要认识到，当你正与一个Subject进行交互时，实质上是幕后的 SecurityManager处理所有繁重的Subject安全操作。这反映在上面的基本流程图。
Realms
Realms担当Shiro和你的应用程序的安全数据之间的“桥梁”或“连接器”。当它实际上与安全相关的数据如用来执行身份验证（登录）及授权（访问控制）的用户帐户交互时，Shiro 从一个或多个为应用程序配置的Realm中寻找许多这样的东西。

四、springboot整合shiro

1、相关依赖的导入

<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.5.1</version>
		</dependency>
		<!--日志门面，有此依赖可以搭配很多日志框架-->
		<!--<dependency>-->
			<!--<groupId>org.slf4j</groupId>-->
			<!--<artifactId>slf4j-log4j12</artifactId>-->
			<!--<version>1.7.21</version>-->
		<!--</dependency>-->
		<dependency>
			<!-- Required in the sample apps only for 3rd-party libraries that expect to call
                 the commons logging APIs -->
			<groupId>org.slf4j</groupId>
			<artifactId>jcl-over-slf4j</artifactId>
			<version>1.7.21</version>
		</dependency>
		<dependency>
			<groupId>log4j</groupId>
			<artifactId>log4j</artifactId>
			<version>1.2.17</version>
		</dependency>

2、ShiroConfig配置类的创建。
类中有三个方法，加入@bean实例。
1）第一步编写userRealm()方法，这个需要我们自己去写一个userealm类。

package com.demo.config;

import com.demo.pojo.User;
import com.demo.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserService userService;
    //重写授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("=>执行doGetAuthorizationInfo授权");
        //对页面授权
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
         //info.addStringPermission("user:add");
        //得到当前对象
        Subject subject= SecurityUtils.getSubject();
        User currentUser=(User) subject.getPrincipal();//从认证方法中拿到user对象
        info.addStringPermission(currentUser.perms);
        return info;
    }
//重写认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) 
                                   throws AuthenticationException {
        System.out.println("=>执行doGetAuthenticationInfo认证");
        UsernamePasswordToken token1=(UsernamePasswordToken)token;
        User user=userService.queryUserByUserName(token1.getUsername());
        if(user==null)
        {
            return null;
        }
        //user实例参数的放入是为了授权的拿出
        return new SimpleAuthenticationInfo(user,user.password,""); 
    }
}

2）设置默认安全管理员（这个类需要userrealm的实例对象）

3）生成shiro拦截器的实例工厂。

这个和UserRealm类有紧密练习，代码全部放置1）代码块中
4）设置拦截页面和授权页面

五、报错心得

Shiro
1、LoggerFactory is not a Logback LoggerContext but Logback is on the classpath.
原因分析：两个日志JAR包冲突
解决：在pom.xml中将sel4j12的maven注释或者删掉

2、Whitelabel Error Page（网页白页报错）
原因分析：
A类 不需要自定义页面
1）pringboot启动类未放置controller包外。
2）如果启动类没放错位置，查看自己的controller层是否用的@Controller注解，如果是，则改为@RestController，
B类 想自定义页面
1) springboot启动类未放置controller包外。
2）如果不是 1) 的原因则检查pom 指定视图,springboot指定thymeleaf的话 除了导入thymeleaf依赖，还需要导入如下依赖
报错提示 ： Hint: This may be the result of an unspecified view, due to default view name generation.

  <dependency>
         <groupId>org.springframework.boot</groupId>
         <artifactId>spring-boot-starter-thymeleaf</artifactId>
 </dependency>

六、总结
shiro是一个权限框架，为我们提供了安全保障以及权限功能的开发，框架的导入主要依靠maven依赖的导入，shiro代码主要放置在配置类中，通过@Bean的注解，将实例导入spring容器中。controller层通过subject将参数带至shiroConfig配置类，配置类调用UserRealm类，在userRealm类中有授权认证方法，调用service层的数据交互的方法。