0
点赞
收藏
分享

微信扫一扫

shiro入门

_刘彦辉 2022-04-14 阅读 75
springjava

一、什么是shiro?

Shiro是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。

二、shiro的核心架构 

Subject
Subject即主体,外部应用与subject进行交互,subject记录了当前的操作用户,将用户的概念理解为当前操作的主体。外部程序通过subject进行认证授权,而subject是通过SecurityManager安全管理器进行认证授权

SecurityManager
SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等

SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口

Authenticator
Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器

Authorizer
Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限

Realm
Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息

不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码

SessionManager
sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录

SessionDAO
SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库

CacheManager
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能

Cryptography
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。
 

 

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject 都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
   

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager 交互;且它管理着所有Subject;可以看出它是Shiro 的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;
 

 Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
 

三、shiro认证

1、身份认证

引入shiro的pom依赖

<!--shiro-->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>${shiro.version}</version>
    </dependency>
 
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-web</artifactId>
      <version>${shiro.version}</version>
    </dependency>
 
    <!-- **********************  日志配置  ********************** -->
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>slf4j-api</artifactId>
      <version>${slf4j.version}</version>
    </dependency>
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>jcl-over-slf4j</artifactId>
      <version>${slf4j.version}</version>
      <scope>runtime</scope>
      <exclusions>
        <exclusion>
          <artifactId>slf4j-api</artifactId>
          <groupId>org.slf4j</groupId>
        </exclusion>
      </exclusions>
    </dependency>
    <!--2) 用于与slf4j保持桥接-->
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-slf4j-impl</artifactId>
      <version>${log4j2.version}</version>
      <exclusions>
        <exclusion>
          <artifactId>slf4j-api</artifactId>
          <groupId>org.slf4j</groupId>
        </exclusion>
      </exclusions>
    </dependency>
    <!--3) 核心log4j2jar包-->
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-api</artifactId>
      <version>${log4j2.version}</version>
    </dependency>
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-core</artifactId>
      <version>${log4j2.version}</version>
    </dependency>
    <!--4) web工程需要包含log4j-web,非web工程不需要-->
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-web</artifactId>
      <version>${log4j2.version}</version>
      <scope>runtime</scope>
    </dependency>
    <!--5) 需要使用log4j2的AsyncLogger需要包含disruptor-->
    <dependency>
      <groupId>com.lmax</groupId>
      <artifactId>disruptor</artifactId>
      <version>${log4j2.disruptor.version}</version>
    </dependency>

创建shiro配置文件shiro-users.ini

[users]
zs=123
ls=123
admin=123

测试代码

    public static void main(String[] args)throws Exception {
        //1、创建SecurityManagerFactory,用于读取加载安全的数据源
        IniSecurityManagerFactory factory
                = new IniSecurityManagerFactory("classpath:shiro-permission.ini");
        
        //2、创建安全管理器SecurityManager
        SecurityManager securityManager = factory.getInstance();
        
        //3、将SecurityManager交由SecurityUtils来管理
        SecurityUtils.setSecurityManager(securityManager);
        
        //4、创建Subject主体
        Subject subject = SecurityUtils.getSubject();
       
        //5、创建账号密码登录方式的令牌Token
        UsernamePasswordToken token = new UsernamePasswordToken("admin","123");
        
        //6、用户认证(shiro的核心功能之一)
        subject.login(token);
        System.out.println("用户认证成功!");
 
        //7、安全推出
        subject.logout();
    }

 后台输出效果

1)认证成功

 2)账号错误 org.apache.shiro.aauthc.UsernamePasswordToken

 

3)密码错误 org.apache.shiro.aauthc.UsernamePasswordToken

 2、角色认证

创建shiro配置文件shiro-role.ini

[users]
zs=123,role1
ls=123,role2
admin=123,role1,role2

测试代码

public static void main(String[] args)throws Exception {
        //1、创建SecurityManagerFactory,用于读取加载安全的数据源
        IniSecurityManagerFactory factory
                = new IniSecurityManagerFactory("classpath:shiro-role.ini");
        //2、创建安全管理器SecurityManager
        SecurityManager securityManager = factory.getInstance();
        //3、将SecurityManager交由SecurityUtils来管理
        SecurityUtils.setSecurityManager(securityManager);
        //4、创建Subject主体
        Subject subject = SecurityUtils.getSubject();
        //5、创建账号密码登录方式的令牌Token
        /**
         *org.apache.shiro.authc.UnknownAccountException 账号错误异常
         *org.apache.shiro.authc.IncorrectCredentialsException 密码错误异常
         * org.apache.shiro.authz.UnauthorizedException 授权错误异常
         */
        UsernamePasswordToken token = new UsernamePasswordToken("admin","123");
        //6、用户认证(shiro的核心功能之一)
        subject.login(token);
        System.out.println("用户认证成功!");
 
 
        //8、角色认证
        第一种方式:
        if (subject.hasRole("role12")) {
            System.out.println("角色验证成功!");
        } else {
            System.out.println("角色验证失败!");
        }
        
        第二种方式:
        subject.checkRole("role2");
        System.out.println("角色验证成功!");
 
 
        //7、安全推出
        subject.logout();
    }

后台输出效果

 3、权限验证

创建shiro配置文件shiro-permission.ini

[users]
zs=123,role1
ls=123,role2
admin=123,role1,role2,role4
 
[roles]
role1=system:user:add
role2=system:user:add,system:user:select
role3=system:user:add,system:user:select,system:user:update,system:user:delete
role4=system:*:*

测试代码

public static void main(String[] args)throws Exception {
        //1、创建SecurityManagerFactory,用于读取加载安全的数据源
        IniSecurityManagerFactory factory
                = new IniSecurityManagerFactory("classpath:shiro-permission.ini");
        //2、创建安全管理器SecurityManager
        SecurityManager securityManager = factory.getInstance();
        //3、将SecurityManager交由SecurityUtils来管理
        SecurityUtils.setSecurityManager(securityManager);
        //4、创建Subject主体
        Subject subject = SecurityUtils.getSubject();
        //5、创建账号密码登录方式的令牌Token
        /**
         *org.apache.shiro.authc.UnknownAccountException 账号错误异常
         *org.apache.shiro.authc.IncorrectCredentialsException 密码错误异常
         * org.apache.shiro.authz.UnauthorizedException 授权错误异常
         */
        UsernamePasswordToken token = new UsernamePasswordToken("admin","123");
        //6、用户认证(shiro的核心功能之一)
        subject.login(token);
        System.out.println("用户认证成功!");
 
 
        //8、角色认证
       
 
        subject.checkRole("role2");
        System.out.println("角色验证成功!");
 
 
        //9、权限验证
        第一种方式:
        if (subject.isPermitted("system:user:add")) {
            System.out.println("权限验证成功!");
        } else {
            System.out.println("权限验证失败!");
        }
 
        第二种方式:
        subject.checkPermission("system:w:wd");
        System.out.println("权限验证成功!");
 
        //7、安全推出
        subject.logout();
    }

后台效果

 认证的几种状态

UnknownAccountException:用户名错误

IncorrectCredentialsException:密码错误

DisabledAccountException:账号被禁用

LockedAccountException:账号被锁定

ExcessiveAttemptsException:登录失败次数过多

ExpiredCredentialsException:凭证过期


 
四、shiro集成web(shiro-web.ini)

配置shiro-web.ini文件

[main]
#定义身份认证失败后的请求url映射,loginUrl是身份认证过滤器中的一个属性
authc.loginUrl=/login.do
#定义角色认证失败后的请求url映射,unauthorizedUrl是角色认证过滤器中的一个属性
roles.unauthorizedUrl=/unauthorized.jsp
#定义权限认证失败后请求url映射,unauthorizedUrl是角色认证过滤器中的一个属性
perms.unauthorizedUrl=/unauthorized.jsp
 
[users]
zs=123,role1
ls=123,role2
ww=123,role3
zdm=123,admin
 
 
[roles]
role1=user:create
role2=user:create,user:update
role3=user:create,user:update,user:delete,user:view,user:load
admin=user:*

配置web.xml
 

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
         id="WebApp_ID" version="3.0">
  <display-name>Archetype Created Web Application</display-name>
 
  <!--实现web项目于shiro集成配置 并完成shiro的初始化工作(加载读取shiro-web.ini)-->
  <context-param>
    <param-name>shiroConfigLocations</param-name>
    <param-value>classpath:shiro-web.ini</param-value>
  </context-param>
  <listener>
    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
  </listener>
 
  <!--配置shiro核心过滤器,用于过滤请求-->
  <filter>
    <filter-name>ShiroFilter</filter-name>
    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>ShiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  
  
  <!--配置欢迎页-->
  <welcome-file-list>
    <welcome-file>login.jsp</welcome-file>
  </welcome-file-list>
</web-app>

Servlert

@WebServlet("/login.do")
public class LoginSevlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        this.doPost(req, resp);
    }
 
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        //获取前端传入的账号密码
        String username = req.getParameter("username");
        String password = req.getParameter("password");
 
        //根据账号密码创建登录令牌
        UsernamePasswordToken user = new UsernamePasswordToken(username, password);
 
        //获取主题Subject
        Subject subject = SecurityUtils.getSubject();
 
        try {
            //进行用户身份验证
            subject.login(user);
            //将账号信息保存到session中
            req.getSession().setAttribute("username",username);
            //重定向到主页面
            resp.sendRedirect(req.getContextPath()+"/main.jsp");
        } catch (Exception e) {
            req.setAttribute("message","账号或密码错误");
            req.getRequestDispatcher("/login.jsp").forward(req,resp);
            e.printStackTrace();
        }
 
    }
}
@WebServlet("/logout.do")
public class LogoutServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        this.doPost(req, resp);
    }
 
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        //获取主题Subject
        Subject subject = SecurityUtils.getSubject();
        //安全退出
        subject.logout();
        //重定向到登录页面
        resp.sendRedirect(req.getContextPath()+"/login.jsp");
    }
}

页面测试

在显示页面添加一个标签

 

 登录zs用户是看到的功能

如果点击zs为授权功能,则会提示

 

 登录admin账号时

 希望可以给你带来帮助,有建议可以私信作者哦~

目录

一、什么是shiro?

二、shiro的核心架构 

三、shiro认证

四、shiro集成web(shiro-web.ini)


举报

相关推荐

0 条评论