目录
1.6 使用shiro完成认证--数据源(这里不连接数据库,写死了假数据)
一、权限的管理
1.1 什么是权限管理
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理==实现对用户访问系统的控制==,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
权限管理包括用户==身份认证==和==授权==两部分,简称==认证授权==。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。
1.2 什么是身份认证
==身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。
1.3 什么是授权
==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的
如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
使用比较多的第三方框架---shiro和springsecurity安全框架。shiro使用比较简单。而且它可以单独使用也可以和spring框架整合。
二、什么是shiro
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications. Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security,Shiro 要简单的多.
Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。
1.2 为什么学shiro--简单--安全
Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。
1.3 shiro的核心组件
-
Subject
Subject主体,外部应用与subject进行交互,subject将用户作为当前操作的主体,这个主体:可以是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权
-
SecurityManager
SecurityManager权限管理器,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口
-
Authenticator
Authenticator即认证器,对用户登录时进行身份认证
-
Authorizer
Authorizer授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
-
Realm(数据库读取+认证功能+授权功能实现)
Realm领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据 比如: 如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。 注意: 不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。
-
SessionManager
SessionManager会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
-
SessionDAO
SessionDAO即会话dao,是对session会话操作的一套接口 比如: 可以通过jdbc将会话存储到数据库 也可以把session存储到缓存服务器redis
-
CacheManager
CacheManager缓存管理,将用户权限数据存储在缓存,这样可以提高性能
-
Cryptography
Cryptography密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、md5等功能
1.4 使用shiro完成认证-ini
用户的信息存在--ini文件【实际开发存储数据库】。
(1)创建java的maven工程并引入shiro依赖
<dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.0</version> </dependency> </dependencies>
(2)创建一个ini文件
# [users]定义用户的信息--当对于表名叫users [users] # =左边表示用户名 =右边表示密码 zhangsan=123456 lisi=123456
(3)编写代码
package demo01;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
/**
* @Title: shiro
* @Package demo01
* @Author 常小明
* @Date 2023/7/5 11:27
* @program
*/
public class login {
public static void main(String[] args) {
// DefaultSecurityManager securityManager=new DefaultSecurityManager();
//获取securityManager对象
DefaultSecurityManager securityManager = new DefaultSecurityManager();
//w为securityManager合适的realm
IniRealm realm = new IniRealm("classpath:shiro.ini");
securityManager.setRealm(realm);
//将securityManager放到上下文中
SecurityUtils.setSecurityManager(securityManager);
//获取subject对象
Subject subject = SecurityUtils.getSubject();
//shiro把用户输入的账号和密码封装到UsernamePasswordToken类中
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123456");
try {
subject.login(token);
System.out.println("登录成功");
}catch (Exception e ){
e.printStackTrace();
System.out.println("登录失败");
}
}
}
流程图:
1.5 使用shiro完成授权功能--ini
一定是认证后才能对权限判断
(1)修改ini文件
# [users]定义用户的信息--当对于表名叫users
[users]
# =左边表示用户名 =右边表示密码和对应的角色
zhangsan=123456,admin
lisi=123456,role1,role2
#[roles]定义角色信息以及该角色具有的权限信息。
[roles]
#=左边:角色名 =右边: 该角色具有的权限
admin=user:query,user:insert,user:delete,user:update
role1=user:query,user:export
role2=user:delete,user:update
(2)修改代码
package demo01;
import com.sun.corba.se.impl.encoding.CDROutputObject;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
/**
* @Title: loginAndQuanxian
* @Package demo01
* @Author 常小明
* @Date 2023/7/5 15:05
* @program
*/
public class loginAndQuanxian {
public static void main(String[] args) {
DefaultSecurityManager securityManager = new DefaultSecurityManager();
IniRealm realm = new IniRealm("classpath:shiro.ini");
securityManager.setRealm(realm);
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123456");
try {
subject.login(token);
System.out.println("登陆成功");
}catch (Exception e){
e.printStackTrace();
System.out.println("登录失败");
}
}
}
流程图:
1.6 使用shiro完成认证--数据源(这里不连接数据库,写死了假数据)
上面我们通过读取ini文件,可以获取数据源。IniRealm完成的读取。而现在如果要读取数据源的数据完成认证,则需要自定义realm类。
(1)引入依赖
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.0</version> </dependency> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <version>1.18.28</version> </dependency>
(2)创建一个MyRealm类并继承AuthorizingRealm
package demo02;
import com.sun.scenario.effect.impl.sw.java.JSWBlend_SRC_OUTPeer;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import java.util.List;
/**
* @Title: MyRealm
* @Package demo02
* @Author 常小明
* @Date 2023/7/5 16:53
* @program
*/
public class MyRealm extends AuthorizingRealm {
private UserService userService =new UserService();
@Override
//权限
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("———————权限分配————————");
return null;
}
@Override
//认证
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("~~~~~~~登录认证~~~~~~~");
//获取当前登录的账号
String username =token.getPrincipal().toString();
//根据账号查询数据库中是否存在对应的记录。
User user=userService.findByUsername(username);
if(user!=null){
//Object principal 账号
// Object credentials 数据库中查询到的该用户密码
// String realmName:realm的名称---随便起---内置一个方法getName
SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(username,user.getPassword(),this.getName());
return info;
}
return null;
}
}
(3)UserService类
package demo02;
import java.util.ArrayList;
import java.util.List;
/**
* @Title: UserService
* @Package demo02
* @Author 常小明
* @Date 2023/7/5 17:00
* @program
*/
public class UserService {
public User findByUsername(String username) {
if ("admin".equals(username)) {
return new User(1, "admin", "123456", "管理员");
} else if ("lisi".equals(username)) {
return new User(2, "lisi", "123456", "李四");
} else if ("zhangsan".equals(username)) {
return new User(3, "zhangsan", "123456", "张三");
}
return null;
}
}
(4)修改测试类
1.7 使用shiro完成授权---数据源
(1)在myRealm中增加权限方法的编写。
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("———————权限分配————————");
String user =principals.getPrimaryPrincipal().toString();
List<String> permission = userService.findPermissionByUsername(user);
if(permission.size()!=0){
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(permission);
return info;
}
return null;
}
(2)编辑UserService代码---根据用户名查询对应的权限
public List<String> findPermissionByUsername(String username) {
List<String> list = new ArrayList<String>();
if ("admin".equals(username)) {
list.add("user:query");
list.add("user:delete");
list.add("user:update");
list.add("user:insert");
} else if ("lisi".equals(username)) {
list.add("user:query");
list.add("user:export");
} else if ("zhangsan".equals(username)) {
list.add("user:query");
list.add("user:delete");
list.add("user:update");
}
return list;
}
(3)修改一个测试类
System.out.println("~~~~~~~~~~~权限校验~~~~~~~~~~~~~~~~");
boolean permitted = subject.isPermitted("user:query");
System.out.println(token.getUsername()+"具有的的权限为"+permitted);
boolean[] permitted1 = subject.isPermitted("user:query", "user:update");
System.out.println(token.getUsername()+"具有的的权限为"+permitted1);
boolean permittedAll = subject.isPermittedAll("user:query", "user:update");
System.out.println(token.getUsername()+"具有的的全部权限为"+permittedAll);