文章目录
Shiro 简介
什么是 Shiro?
- Apache Shiro 是一个 Java 的安全(权限)框架
- Shiro 可以非常容易的开发出足够好的应用,不仅可以用在 Java SE 环境,也可以用在 Java EE 环境
- Shiro 可以完成,认证,授权,加密,会话管理,Web 集成,缓存等
- 下载地址 http://shiro.apache.org/
Shiro 的基本功能
-
Authentication:身份认证/登录,验证用户是不是拥有相应的身份
-
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限
-
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的
-
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储
-
Web Support:Web 支持,可以非常容易的集成到Web 环境
-
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率
-
Concurrency:Shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去
-
Testing:提供测试支持
-
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问
-
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了
Shiro 的架构
Shiro 的架构图如下:
-
Subject:主体,外部应用与subject进行交互,subject 记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject 在 shiro 中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过 subject 进行认证授,而 subject 是通过 SecurityManager 安全管理器进行认证授权
-
SecurityManager:安全管理器,对全部的 subject 进行安全管理,它是 shiro 的核心,负责对所有的 subject 进行安全管理。通过 SecurityManager 可以完成 subject 的认证、授权等,实质上 SecurityManager 是通过 Authenticator 进行认证,通过 Authorizer 进行授权,通过 SessionManager 进行会话管理等
SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口
-
Authenticator:认证器,对用户身份进行认证,Authenticator 是一个接口,shiro 提供ModularRealmAuthenticator 实现类,通过 ModularRealmAuthenticator 基本上可以满足大多数需求,也可以自定义认证器
-
Authorizer:授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限
-
realm:领域,相当于 datasource 数据源,securityManager 进行安全认证需要通过 Realm 获取用户权限数据,比如:如果用户身份数据在数据库那么 realm 就需要从数据库获取用户身份信息
注意:不要把 realm 理解成只是从数据源取数据,在 realm 中还有认证授权校验的相关的代码。
-
SessionManager:会话管理,shiro 框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录
-
SessionDAO:会话dao,是对 session 会话操作的一套接口,比如要将 session 存储到数据库,可以通过 jdbc 将会话存储到数据库
-
CacheManager:CacheManager 即缓存管理,将用户权限数据存储在缓存,这样可以提高性能
-
Cryptography:Cryptography 即密码管理,shiro 提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加密解密等功能
Shiro 的认证流程
身份验证:在应用中谁能证明他就是他本人。一般提供如他们的身份ID 一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。在 Shiro中,用户需要提供principals (身份)和 credentials(证明)给 Shiro,从而应用能验证用户身份(其实就是用户名和密码)
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名/密码/手机号。
credentials:证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等。最常见的 principals 和 credentials 组合就是用户名/密码了。
SpringBoot 整合 Shiro
添加 Maven 依赖
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- thymeleaf -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<!-- Shiro 整合依赖 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.1</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.1</version>
</dependency>
<!-- 日志依赖 -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>jcl-over-slf4j</artifactId>
<scope>1.7.21</scope>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<scope>1.7.21</scope>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.2</version>
</dependency>
</dependencies>
HTML 页面
先来编写几个非常简单的 HTML 页面,等下会用到
index.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>首页</h1>
<p th:text="${msg}"></p>
<hr>
<a th:href="@{/user/add}">add</a> | <a th:href="@{/user/update}">update</a>
</body>
</html>
login.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>登录</h1>
<hr>
<p th:text="${msg}" style="color: red"></p>
<form th:action="@{/login}">
<p>用户名:<input type="text" name="username"></p>
<p>密码:<input type="password" name="password"></p>
<p><input type="submit"></p>
</form>
</body>
</html>
add.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>add</h1>
</body>
</html>
update.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>update</h1>
</body>
</html>
自定义 UserRealm(用户认证)
package com.example.shirodemo.config;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
/**
* @author Woo_home
* @create 2020/8/21 13:19
*/
// 自定义的 UserRealm
public class UserRealm extends AuthorizingRealm {
/**
* 授权
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行了=》授权 doGetAuthorizationInfo");
return null;
}
/**
* 认证
* @param authenticationToken
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("执行了=》认证 doGetAuthenticationInfo");
// 自定义用户名和密码,只有登录时用户名和密码一样才能登录成功
String username = "root";
String password = "123456";
UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;
if (!userToken.getUsername().equals(username)) {
return null;// 抛出异常 UnknownAccountException
}
// 密码认证,用 shiro 做~
return new SimpleAuthenticationInfo("", password, "");
}
}
Shiro 配置类(登录拦截)
package com.example.shirodemo.config;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
/**
* @author Woo_home
* @create 2020/8/21 13:17
*/
@Configuration
public class ShiroConfig {
/**
* 基于 Spring 的 Web 应用程序中用于定义主 Shiro 过滤器
* @param defaultSecurityManager 默认的安全管理器
* @return
*/
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultSecurityManager defaultSecurityManager) {
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
// 设置安全管理器
bean.setSecurityManager(defaultSecurityManager);
/**
* 添加 shiro 的内置过滤器
* anon:无需认证就可以访问
* user:必须拥有记住我功能才能用
* perms:拥有对某个资源的权限才能访问
* role:拥有某个角色权限才能访问
*/
Map<String, String> filterMap = new LinkedHashMap<>();
// filterMap.put("/user/add", "authc");
// filterMap.put("/user/update", "authc");
// 拦截
filterMap.put("/user/*", "authc");
bean.setFilterChainDefinitionMap(filterMap);
// 设置登录的请求,只有登录之后才能访问 add 和 update 页面
bean.setLoginUrl("/toLogin");
return bean;
}
/**
* 默认的安全管理器
* @param userRealm 自定义的 UserRealm
* @return
*/
@Bean(name = "securityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
// 关联 UserRealm
securityManager.setRealm(userRealm);
return securityManager;
}
// 创建 realm 对象,需要自定义类
@Bean
public UserRealm userRealm() {
return new UserRealm();
}
}
上述代码中
filterMap.put("/user/add", "authc");
filterMap.put("/user/update", "authc");
等同于下面这行代码
filterMap.put("/user/*", "authc");
Controller
package com.example.shirodemo.controller;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
/**
* @author Woo_home
* @create 2020/8/21 13:11
*/
@Controller
public class MyController {
// 首页
@RequestMapping({"/", "/index"})
public String toIndex(Model model) {
model.addAttribute("msg", "Hello,Shiro");
return "index";
}
// add 页面
@RequestMapping("/user/add")
public String add() {
return "user/add";
}
// update 页面
@RequestMapping("/user/update")
public String update() {
return "user/update";
}
// 登录页面
@RequestMapping("/toLogin")
public String toLogin() {
return "login";
}
// 真正实现登录逻辑
@RequestMapping("/login")
public String login(String username, String password, Model model) {
// 获取当前的用户
Subject subject = SecurityUtils.getSubject();
// 封装用户的登录数据
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try {
// 执行登录方法,如果没有异常就说明登录成功
subject.login(token);
return "index";
} catch (UnknownAccountException e) { // 用户不存在
model.addAttribute("msg", "用户名错误");
return "login";
} catch (IncorrectCredentialsException e) { // 密码错误
model.addAttribute("msg", "密码错误");
return "login";
}
}
}
测试
这样整个代码就写得差不多了,我们来启动测试一下,访问 http://localhost:8080/
然后点击访问 add 和 update 都会跳转到 login 页面
当输入的用户名和密码不正确时会提示用户名错误
当输入的密码错误时,会提示密码错误
当输入正确的用户名和密码的时候才会成功跳转到首页
这时候再点击 add 和 update 都可以成功访问了
控制台也会输出执行了认证 doGetAuthenticationInfo
完整代码已上传码云, 代码下载地址