一、Shiro简介
1.Shiro 框架是Java的一个安全认证框架。
2.Shiro可以容易开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。
3.Shiro可以完成认证、授权、加密、会话管理、与web集成、缓存等。
二、Shiro基本功能介绍
1.Authentication:身份认证/登录,验证用户是不是拥有相应的身份。
2.Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户是否能进行什么操作,如验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。
3.Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境,也可以是Web环境的。
4.Cryptography:加密,保护数据的安全性,如密码加密存储到数据库中,而不是明文存储。
5.Web Support:Web支持,可以非常容易的集成到Web环境。
6.Caching:缓存,比如用户登录成功后,其用户信息、拥有的角色/权限不需要每次去查,这样可以提高效率。
7.Concurrency:Shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去。
8.Testing:提供测试支持
9.Run As:允许一个用户假装为另一个用户的身份进行访问。
10.Remember Me:这是一个非常常见的功能,即一次登录后,下次再来的话就不需要进行登录了。
三、Shiro架构及其重要组件
1.Subject:本质上是当前访问对象的抽象描述,即应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject。Subject代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;与Subject的所有交互都会委托给SecurityManager;Subject其实就是一个门面,SecurityManager才是实际的执行者。
2.SecurityManager:安全管理器;即所有与安全相关的操作都会与SecurityManager交互;且其管理着所有的Subject,它是整个Shiro框架的核心,它负责与Shiro的其他组件进行交互,它相当于SpringMVC中的DispatcherServlet的角色。
3.Realm:Shiro从Realm获取安全数据(如用户、角色、权限),也就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应角色/权限进行验证用户是否能进行操作;可以把Realm看作DataSource,它定义了访问数据的方式,用来连接不同的数据源。
四、使用Shiro框架进行认证的过程
1.首先在pom文件中添加与shiro直接或者间接相关相应的依赖包。
2.编写一个jsp或者html文件,之后向浏览器发送一个url请求,Controller类中的方法接收这个请求,并使用shiro框架对该请求作出处理。
3.编写Config类,并使用注解@Configuration说明该类为配置类,并将该类实例化放入IOC容器中。
4.之后编写定义一个Realm类,并让其继承AuthorizingRealm接口,并生成一个doGetAuthenticationInfo方法和一个doGetAuthorizationInfo方法,这两个方法便是认证和授权的两大核心方法。
5.编写两个方法,用来获得Realm对象以及securityManager对象,并使用@Bean注解将这两个对象的实例放入到容器中。
6.编写过滤器方法ShiroFilterFactoryBean,里面编写常用的过滤器,如anon(无需认证可以访问),authc(必须认证才可以访问),perms(必须得到资源之后才可以进行验证)。其实拦截器的底层就是编写一个Map集合,将相应的key(对应的操作)和value(认证的类型)进行封装。之后将这个集合作为参数传给shiroFilterFactoryChainDefinitionMap方法中,之后还可以使用setLoginUrl方法设置验证不成功后返回的登录页面。
7.若需要认证的请求太多,我们不可能编写很多个具体的url拦截,可以使用/*表示拦截所有请求;但是也不可以对所有请求都进行拦截,比如不能对login请求进行拦截,可以使用anon对login请求进行放行。注意:放行等请求一定需要放在负责拦截所有请求的前面,不然会不起作用。
8.回到上面的第2步,在Controller类中继续编写,使用UsernamePasswordToken生成一个token对象,之后使用SecurityUtils中的getSubject方法获取一个subject对象,之后将token对象作为参数传入给subject.login(token)方法。之后便回到doGetAuthenticationInfo方法,之后利用与数据库的交互获得相应的账户名和密码,使用用户输入的账户名和密码与数据库中查询到的密码进行比较,若一致,则登录成功,不一致就登录失败。(注意:AuthenticationToken与UsernamePasswordToken是父子关系)
五、Shiro框架实现授权
1.首先得在数据库中有专门的一列用来标记授权,比如使用1表示添加权限,2表示修改权限等。
2.之后在MyConfig配置类中进行配置,如filterMap.put("/add",“perms[1]”)表示要想进行添加操作,该用户必须要有perms[1]这个授权,否则无法进行操作。注意这个配置类中仅仅是对操作进行限制,还未进行真正的授权,之后需要在doGetAuthorizationInfo方法中进行权限的授予。
3.在Controller中编写用来接收请求,并将未授权的信息返回到未授权页面,之后也需要在MyConfig中进行shiroFilterFactoryBean.setUnauthor(“/**”)实现授权未成功后跳转的页面。
4.在doGetAuthorizationInfo方法中编写核心的授权方法。首先创建一个SimpleAuthorizationInfo的info对象使用SecurityUtils.getSubject()方法获取一个subject对象,之后使用subject.getPrincipal()对象获得user对象,之后再通过user获得相应的权限值,最后通过info.addStringPermissions(perms)进行权限的授予。