Shrio
Shiro和Spring Security比较
(1)Shiro比Spring更容易使用,实现和最重要的理解
(2)Spring Security更加知名的唯一原因是因为品牌名称
(3)“Spring”以简单而闻名,但讽刺的是很多人发现安装Spring Security很难
(4)Spring Security却有更好的社区支持
(5)Apache Shiro在Spring Security处理密码学方面有一个额外的模块
(6)Spring-security 对spring 结合较好,如果项目用的springmvc ,使用起来很方便。但是如果项目中没有用到spring,那就不要考虑它了。
(7)Shiro 功能强大、且 简单、灵活。是Apache 下的项目比较可靠,且不跟任何的框架或者容器绑定,可以独立运行
Shiro基础介绍
1. Shiro三个核心组件
1.1 Subject
Subject:即“当前操作用发户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
1.2 SecurityManager
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
1.3 Realm
Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。
2. Shiro相关类介绍
(1)Authentication 认证 ---- 用户登录
(2)Authorization 授权 — 用户具有哪些权限
(3)Cryptography 安全数据加密
(4)Session Management 会话管理
(5)Web Integration web系统集成
(6)Interations 集成其它应用,spring、缓存框架
3. Shiro 特点
(1)易于理解的 Java Security API;
(2)简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等);
(3)对角色的简单的签权(访问控制),支持细粒度的签权;
(4)支持一级缓存,以提升应用程序的性能;
(5)内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;
(6)异构客户端会话访问;
(7)非常简单的加密 API;
(8)不跟任何的框架或者容器捆绑,可以独立运行
Spring Boot整合Shiro代码实战
1. 导入依赖
<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.7.0</version>
</dependency>
2. 配置文件
ShiroConfig
@Configuration
public class ShiroConfig {
//ShiroFilteFactoryBean
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultSecurityManager") DefaultWebSecurityManager defaultSecurityManager){
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
//设置安全管理器
bean.setSecurityManager(defaultSecurityManager);
//添加shiro的内置过滤器
/**
* anno :无需认证就可以访问
* authc:必须认证才能访问
* user: 必须拥有 记住我 功能才能用
* perms: 拥有对某个资源的权限才能访问
* role: 拥有某个角色权限才能访问
*/
LinkedHashMap<String, String> linkedHashMap = new LinkedHashMap<>();
//授权
linkedHashMap.put("/add","perms[user:add]");
//认证
//linkedHashMap.put("/add","authc");
linkedHashMap.put("/update","authc");
bean.setFilterChainDefinitionMap(linkedHashMap);
//未认证默认跳转登录页
bean.setLoginUrl("/");
//未授权跳转
bean.setUnauthorizedUrl("/noAuth");
return bean;
}
//DefaultWebSecurityManage
@Bean
public DefaultWebSecurityManager defaultSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
//关联
securityManager.setRealm(userRealm);
return securityManager;
}
//创建realm对象 创建类
@Bean
public UserRealm userRealm(){
return new UserRealm();
}
}
UserRealm
//自定义的realm
public class UserRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行了---->授权");
//进行授权
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//拿到当前登录对象 添加对象的权限列
Subject subject = SecurityUtils.getSubject();
User principal = (User) subject.getPrincipal();
info.addStringPermission("user:add");
return info;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken Token) throws AuthenticationException {
System.out.println("执行了---->认证");
//用户名 密码
UsernamePasswordToken userToken = (UsernamePasswordToken) Token;
User user = userService.UserList(userToken.getUsername());
if (user == null){
return null;
}
//MD5盐值加密
//Md5Hash md5Hash = new Md5Hash(user.getPwd(), user.getName(), 3);
return new SimpleAuthenticationInfo(user,user.getPwd(), ByteSource.Util.bytes(user.getName()),"");
}
}
3. Controller
@Controller
public class UserController {
@RequestMapping({"/","/index"})
public String index(){
return "login";
}
@RequestMapping("/add")
public String add(){
return "user/add";
}
@RequestMapping("/update")
public String update(){
return "user/update";
}
@RequestMapping("/toLogin")
public String toLogin(String account,String password,Model model){
//获取当前用户
Subject subject = SecurityUtils.getSubject();
//封装用户数据
UsernamePasswordToken token = new UsernamePasswordToken(account, password);
try {
subject.login(token);//执行登录的方法
return "index";
} catch (UnknownAccountException uae) { //用户名不存在
model.addAttribute("msg","用户名错误");
return "login";
} catch (IncorrectCredentialsException ice) { //密码不存在
model.addAttribute("msg","密码错误");
return "login";
} catch (LockedAccountException lae) {
model.addAttribute("msg","账号异常");
return "login";
} catch (AuthenticationException ae) {
model.addAttribute("msg","账号异常");
return "login";
}
}
@RequestMapping("/noAuth")
@ResponseBody
public String noAuth(){
return "未授权,禁止访问!";
}
}
849
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
