什么是Shiro
Apache Shiro 是 Java 的一个安全(权限)框架。Shiro 的功能:身份认证、授权、加密、会话管理等功能。
Shiro的好处
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。功能强大且易用,可以快速轻松地保护任何应用程序 ( 从最小的移动应用程序到最大的Web和企业应用程序。)方便的与Web 集成和搭建缓存。
如何搭建一个Shiro
1. 在Spring Boot环境中,线导入坐标
这两个包的版本必须一致
2. 创建AuthorizingRealm的子类,重写doGetAuthorizationInfo,doGetAuthenticationInfo这两个方法。这也是Shiro最核心的类。doGetAuthorizationInfo方法会获取角色所有的角色和权限,doGetAuthenticationInfo则是负责用户的登录拦截功能。
我们还需要写一个自定义密码比较器,因为我们用了密码加密的功能, 自定义密码比较器会让shiro明白我们的自定义规则
3. 编写shiro的配置类然后注入
我们需要注入我们编写好的Realm类,以及shiro自带的安全管理器。之后配置过滤器工厂,让shiro帮我控制这些功能。
当这些配置完成后,Shiro会自动帮我们实现 身份认证、授权、加密、会话管理等功能。
Shiro的三个个功能
Shiro在的底层实现如图:
Security Manager会根据我们的配置向Authenticator和Authorizer发送请求,底层拦截器会帮我们去实现需求。以下重点解释Shiro如何实现三个重要功能。
角色验证
我们在doGetAuthenticationInfo中编写具体的代码,包括拿去数据,数据库查用户信息,做判断,如果没有用户则抛出异常,有用户返回一个结果同时将这个结果放到token中方便Shiro的使用。
权限管理
使用shiro注解鉴权具有某中权限才能访问,实现两种方式:
1.过滤器实现权限:如果权限信息不匹配setUnauthorizedUrl地址
2.注解实现权限:如果权限信息不匹配,抛出异常,我们可以编辑一个全局异常处理器。
@RequiresPermissions() -- 访问此方法必须具备的权限
@RequiresRoles() -- 访问此方法必须具备的角色
授权方法
操作的时候,判断用户是否具有响应的权限,一定先认证再授权
加密
Shiro中我们需要指定加密的方法比如MD5,然后可以用写好的工具类将密码加密,然后将解密后的密码和盐值放到数据库中,Shiro在认证中会自动的去对加密的密码做转换,不过MD5因为是固定加密,实际上配破解的概率很大。
Spring Security的执行流程
1.当用户登录时,前端将用户输入的用户名、密码信息传输到后台,后台用一个类对象将其封装起来,通常使用的是UsernamePasswordAuthenticationToken这个类。
2.程序负责验证这个类对象。验证方法是调用Service根据username从数据库中取用户信息到实体类的实例中,比较两者的密码,如果密码正确就成功登陆,同时把包含着用户的用户名、密码、所具有的权限等信息的类对象放到SecurityContextHolder(安全上下文容器,类似Session)中去。
3.用户访问一个资源的时候,首先判断是否是受限资源。如果是的话还要判断当前是否未登录,没有的话就跳到登录页面。
4.如果用户已经登录,访问一个受限资源的时候,程序要根据url去数据库中取出该资源所对应的所有可以访问的角色,然后拿着当前用户的所有角色一一对比,判断用户是否可以访问。
Shiro 与 Spring Security的比较
1. Spring Security是不能脱离Spring 框架的,它属于Spring生态中的一种,而Shiro是可以结合其它框架。
2.Shiro 的配置和使用比较简单,Spring Security 需要配置的内容较为复杂
3.Shrio适应各类框架包括非Web的程序比如客户端应用。
4.Spring Security是重量级的框架,Shiro是轻量级的框架。Spring Security因为更专业,受众人群更多。
1226
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
