一、简介
Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。
以下是你可以用 Apache Shiro所做的事情:
- 验证用户
- 对用户执行访问控制,如:
判断用户是否拥有角色admin。
判断用户是否拥有访问的权限 - 在任何环境下使用 Session API。例如CS程序。
- 可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。
- 单点登录(SSO)功能。
- “Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。
Shiro的4大部分——身份验证,授权,会话管理和加密
- Authentication:身份验证,简称“登录”。
- Authorization:授权,给用户分配角色或者权限资源
- Session Management:用户session管理器,可以让CS程序也使用session来控制权限
- Cryptography:把JDK中复杂的密码加密方式进行封装。
Shiro的认证流程如下:
- Subject
Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。 - SecurityManager
SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。然而,一旦 SecurityManager协调完毕,SecurityManager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作。 - Realms
Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如LDAP数据源的JndiLdapRealm,JDBC数据源的JdbcRealm,ini文件数据源的IniRealm,properties文件数据源的PropertiesRealm,等等。我们也可以插入自己的 Realm实现来代表自定义的数据源。 像其他组件一样,Realms也是由SecurityManager控制。
二、Spring集成Shiro
1、基本代码
首先在使用Shiro的时候我们要考虑在什么样的环境下使用:
- 登录的验证
- 对指定角色的验证
- 对URL的验证
基本上我们也就这三个需求,所以同时我们也需要三个方法:
- findUserByUserName(String username)根据username查询用户,之后Shiro会根据查询出来的User的密码来和提交上来的密码进行比对。
- findRoles(String username)根据username查询该用户的所有角色,用于角色验证。
- findPermissions(String username)根据username查询他所拥有的权限信息,用于权限判断。
下面是Mybatis的mapper代码。
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.crossoverJie.dao.T_userDao" >
<resultMap id="BaseResultMap" type="com.crossoverJie.pojo.T_user" >
<result property="id" column="id"/>
<result property="userName" column="userName"/>
<result property="password" column="password"/>
<result property="roleId" column="roleId"/>
</resultMap>
<sql id="Base_Column_List" >
id, username, password,roleId
</sql>
<select id="findUserByUsername" parameterType="String"