shiro学习笔记
shiro简介
shiro是apache旗下的一个开源权限框架,用于实现用户身份、权限授权、加密、会话管理等功能,是一个通用的安全认证框架。其优点在于,降低开发中的学习成本,简单易用。
shiro的核心架构
Subject: subject即主体,外部应用于subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主题,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。
SecrityManager: securitymanager即安全管理器,对全部的subject进行管理,是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManaget可以完成subject的认证,授权等。实质上SecurityManager是通过Authorizer进行授权,通过SessionManager进行会话管理等。
SecurityManager是一个接口, 继承了Authenticator, Authorizer, SessionManager这三个接口。
Authenticator: Authenticator即认证器,对用户身份进行认证,Authenticator是一 个接口, shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。
Authorizer: Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
Realm: Realm即领域,相当于datasource数据源,securityManager进行安全 认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
SessionManager: SessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容 器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
SessionDAO: SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。
CacheManager: CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
Cryptography: Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。
shiro配置
1.创建maven项目,在pom.xml中导入依赖
<!-- 第一步:引入shiro依赖 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
2.创建shiro配置文件
在之后整合springboot后可在数据库中读取,这里仅作为模拟数据源
在 resources 文件夹下创建shiro.ini文件
[users]
zhangsan=1234
lisi=4321
wangwu=12345
相当于创建三个用户zhangsan、lisi、wangwu,密码分别为1234、4321、12345.
3.创建main方法进行测试
package org.shiro;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
public class Main {
public static void main(String[] args) {
//1.创建SecurityManager安全管理器对象
DefaultSecurityManager securityManager = new DefaultSecurityManager();
//2.为安全管理器设置Realm,读取配置文件,获得用户数据
securityManager.setRealm(new IniRealm("classpath:shiro.ini"));
//3.SecurityUtils为全局工具类设置安全管理器
SecurityUtils.setSecurityManager(securityManager);
//4.通过SecurityUtils获得Subject
Subject subject = SecurityUtils.getSubject();
//5.创建token令牌,用户名和密码
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","1234");//模拟用户登录,在之后的学习中会使用用户输入数据
//6.登录
try {
System.out.println("认证状态:" + subject.isAuthenticated());
subject.login(token);
System.out.println("认证状态:" + subject.isAuthenticated());
} catch (UnknownAccountException e) {//UnknownAccountException异常为用户名错误异常
e.printStackTrace();
System.out.println("认证失败:用户名错误");
} catch (IncorrectCredentialsException e) { //IncorrectCredentialsException异常为密码错误异常
e.printStackTrace();
System.out.println("认证失败:密码错误");
}
}
}