Shiro学习笔记
Shiro简介
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro架构
Subject: 主体,代表当前用户,这个用户不一定是具体的人,与当前应用交互的任何东西都可以是Subject,如网络爬虫,机器人等;即一个抽象概念;所有的Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以吧Subject认为是一个门面;SecurityManager才是实际的执行者;
SecurityManager:安全管理器;所有与安全有关的操作都会与SecurityManager交互;且他管理者所有的Subject;他是Shiro的核心,他负责与其他组件进行交互;可以理解为DispatcherServlet
Realm:域,Shiro从Realm获取安全数据(如用户、角色、权限),也就是说SecurityManager要验证用户的身份,那么他需要 从Realm获取相应的用户进行比较确认用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;
Shiro简单API使用
1.获取安全管理器 new IniSecurityManagerFactory();
2.获取对象 factory.getInstance();
3.使用Shiro的工具类设置安全管理器 SecurityUtils.setSecurityManager(instance);
4.获得Subject当前用户对象 SecurityUtils.getSubject();
// 创建user对象admin要是配置文件或者数据库的用户才有意义
UsernamePasswordToken token = new UsernamePasswordToken("rrr", "111");
token.setRememberMe(true);
try {
subject.login(token);
// 登录用户 并且去验证用户密码是否正确 如果错误则会出现异常
} catch (UnknownAccountException e) { // 用户名错误 或账号不匹配
e.printStackTrace();
} catch (IncorrectCredentialsException e) {
e.printStackTrace();
} catch (AuthenticationException e) {
e.printStackTrace();
}
subject.isPermitted("");
//判断是否具有某些权限
subject.hasRole("");
//判断用户是否是某个角色
subject.logout();//注销
login方法可能出现的异常
UnknownAccountException | 用户名错误 或账号不匹配 |
---|---|
IncorrectCredentialsException | 密码错误 |
LockedAccountException | 用户已经锁死(已经被登陆) |
AuthenticationException | 上面异常类的父类 |