Shiro教程（一）：入门概述与基本使用

Shiro

第一章：入门概述

1.1 Shiro是什么

Apache.Shiro是一个功能强大且易于使用的Java安全（权限）框架。Shiro可以完成：认证、授权、加密、会话管理、与Web集成、缓存等。借助Shiro可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web和企业应用程序。

https://shiro.apache.org/

1.2 为什么使用Shiro

自2003年以来，框架格局发生了相当大的变化，因此今天仍然有很多系统在使用Shiro。这与Shiro的特性密不可分。

易于使用：使用Shiro构建系统安全框架非常简单。就算第一次接触也能快速掌握。

全面：Shiro包含系统完全框架需要的功能，满足安全需求的一站式服务。

灵活：Shiro可以在任何应用程序环境中工作。虽然它可以在Web、EJB和IoC环境中工作，但不需要依赖它们。Shiro也没有强制要求任何规范，甚至没有很多依赖项。

强力支持Web：Shiro具有出色的Web应用程序支持，可以基于应用程序URL和Web协议（例如REST）创建灵活的安全策略，同时还提供一组JSP库来控制页面输出。

兼容性强：Shiro的设计模式使其易于与其他框架和应用程序集成。Shiro与Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin等框架无缝集成。

社区支持：Shiro是Apache软件基金会的一个开源项目，有完备的社区支持，文档支持。如果需要，像Katasoft这样的商业公司也会提供专业的支持和服务。

1.3 Shiro与SpringSecurity的对比

1. SpringSecurity基于Spring开发，项目若使用Spring作为基础，配合SpringSecurity做权限更加方便，而Shiro需要和Spring进行整合开发；
2. SpringSecurity功能比Shiro更加丰富，例如安全维护方面；
3. SpringSecurity社区资源相对比Shiro更加丰富；
4. Shiro的配置和使用比较简单，SpringSecurity上手复杂些；
5. Shiro依赖性低，不需要任何框架和容器，可以独立运行。SpringSecurity依赖Spring容器；
6. Shiro不仅仅可以使用Web中，它可以工作在任何应用环境中。在集群会话时Shiro最重要的一个好处或许就是它的会话独立于容器的。

1.4 基本功能

• 认证登录
• 授权、权限验证
• 会话管理
• 加密功能
• ···

第二章：基本使用

2.1 环境准备

1、Shiro不依赖容器，直接创建maven工程即可。

创建maven工程

添加module

2、添加依赖

    <dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.9.0</version>
        </dependency>

        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>
    </dependencies>

2.2 INI文件

Shiro获取权限相关信息可以通过数据库获取，也可以通过ini配置文件获取。

1、创建ini文件

在src/main/resources/下创建shiro.ini文件

[users]
zhangsan=z3
lisi=l4

2.3 登录认证

1、登录认证概念

• 身份验证：一般需要提供如身份ID等一些标识信息来表明登陆者的身份，如提供email，用户名，密码等。
• 在shiro中，用户需要提供principals(身份)和credentials(证明)给shiro，从而应用能验证用户身份。
• principals：身份，即主体的标识属性，可以是任何属性，如用户名、密码、邮箱，唯一即可。一个主体可以有多个principals，但只有一个Primary principals。一般是用户名、邮箱、手机号。
• credentials：证明，即只有主体知道的安全值，如密码、数字证书等。
• 最常见的principals和credentials组合就是用户名和密码。

2、登录认证基本流程

1. 收集用户身份/凭证，即用户名/密码。
2. 调用Subject.login进行登录，如果失败将得到相应的AuthenticationException异常，根据异常提示用户错误信息；否则登录成功。
3. 创建自定义的Realm类，继承org.apache.shiro.realm.AuthenticatingRealm类，实现doGetAuthenticationInfo()方法。

3、登录认证实例

创建包com/wang/shirotest，然后包下新建ShiroRun测试类

package com.wang.shirotest;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;


public class ShiroRun {
    
    
    public static void main(String[] args) {
    
    
        // 1 初始化获取SecurityManager
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        // 2 获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        // 3 创建token对象，web应用用户名密码从页面传递
        AuthenticationToken token = new UsernamePasswordToken("zhangsan", "z3");
        // 4 完成登录
        try {
    
    
            subject.login(token);
            System.out.println("登录成功");
        } catch (UnknownAccountException e) {
    
    
            e.printStackTrace();
            System.out.println("用户不存在");
        } catch (IncorrectCredentialsException e) {
    
    
            e.printStackTrace();
            System.out.println("密码错误");
        } catch (AuthenticationException e) {
    
    
            e.printStackTrace();
        }
    }
}

①登录成功

②用户不存在

③密码错误

2.4 角色、授权

1、授权概念

• 授权：也叫访问控制，即在应用中控制谁访问哪些资源。在授权中需要了解几个关键对象：主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
• 主体(Subject)：访问应用的用户，在Shiro中使用Subject代表该用户，用户只有授权，才能访问相应的资源。
• 资源(Resource)：在应用中用户可以访问的URL，比如查看/编辑某些数据。用户只有授权后才能访问。
• 权限(Permission)：安全策略中的原子授权单位，通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源。
• Shiro支持粗粒度权限（如用户模块的所有权限）和细粒度权限（操作某个用户的权限，即实例级别的）
• 角色(Role)：权限的集合，一般情况下会赋予用户角色而不是权限，即这样用户可以拥有一组权限，赋予权限时比较方便。典型的如：项目经理、技术总监、开发工程师。

2、授权方式

• 编程式：通过写if/else授权代码完成

  • if(subject.hasRole('admin')){
            
            
        // 有权限
    } else {
            
            
        // 无权限
    }
    

• 注解式：通过执行的Java方法上放置相应的注解完成，没有权限时将抛出相应的异常。

  • @RequiresRoles("admin")
    public void hello(){
            
            
        // 有权限
    }
    

• JSP/GSP标签：在JSP/GSP页面通过相应的标签完成。

  • <shiro:hasRole name="admin">
    	<!--有权限-->
    </shiro:hasRole>
    

3、授权流程

1. 首先调用Subject.isPermitted*/hasRole*接口，其会委托给SecurityManager，而 SecurityManager接着会委托给 Authorizer；
2. Authorizer是真正的授权者，如果调用如isPermitted(“user:view”)，其首先会通 过PermissionResolver把字符串转换成相应的Permission实例；
3. 在进行授权之前，其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入 的角色/权限；
4. Authorizer会判断Realm的角色/权限是否和传入的匹配，如果有多个Realm，会委托给ModularRealmAuthorizer进行循环判断，如果匹配如isPermitted*/hasRole* 会返回 true，否则返回false表示授权失败

4、授权实例

（1）角色判断

修改.ini文件，给用户添加角色

[users]
zhangsan=z3, role1, role2
lisi=l4

添加代码，判断用户是否有此角色

try {
    
    
            subject.login(token);
            System.out.println("登录成功");
            // 5 判断角色
            boolean hasRole = subject.hasRole("role1");
            System.out.println("是否拥有此角色：" + hasRole);
        }

运行代码

（2）判断权限信息

给.ini文件添加角色权限信息

[roles]
role1=user:insert,user:select

try中添加以下代码

 // 6 判断权限
            boolean hasPermit = subject.isPermitted("user:insert");
            System.out.println("是否拥有此权限：" + hasPermit);

运行代码

也可以使用checkPermission()方法检查用户是否拥有某个权限

// 也可以用checkPermission方法，但没有返回值，没有权限直接抛异常
subject.checkPermission("user:insert111");

5、完整代码

package com.wang.shirotest;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;


public class ShiroRun {
    
    
    public static void main(String[] args) {
    
    
        // 1 初始化获取SecurityManager
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        // 2 获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        // 3 创建token对象，web应用用户名密码从页面传递
        AuthenticationToken token = new UsernamePasswordToken("zhangsan", "z3");
        // 4 完成登录
        try {
    
    
            subject.login(token);
            System.out.println("登录成功");
            // 5 判断角色
            boolean hasRole = subject.hasRole("role1");
            System.out.println("是否拥有此角色：" + hasRole);
            // 6 判断权限
            boolean hasPermit = subject.isPermitted("user:insert");
            System.out.println("是否拥有此权限：" + hasPermit);
            // 也可以用checkPermission方法，但没有返回值，没有权限直接抛异常
            subject.checkPermission("user:insert111");
        } catch (UnknownAccountException e) {
    
    
            e.printStackTrace();
            System.out.println("用户不存在");
        } catch (IncorrectCredentialsException e) {
    
    
            e.printStackTrace();
            System.out.println("密码错误");
        } catch (AuthenticationException e) {
    
    
            e.printStackTrace();
        }
    }
}

2.5 Shiro加密

实际系统开发中，一些敏感信息需要进行加密，比如用户的密码。Shiro内嵌很多常用的加密算法，比如MD5加密。Shiro可以很简单的使用信息加密。

1、使用Shiro进行密码加密

可以使用普通加密和带盐加密

package com.wang.shirotest;


import org.apache.shiro.crypto.hash.Md5Hash;

public class ShiroMD5 {
    
    
    public static void main(String[] args) {
    
    
        // 密码明文
        String password = "z3";
        // 使用MD5加密
        Md5Hash md5Hash = new Md5Hash(password);
        System.out.println("MD5加密后的密码=" + md5Hash);
        // 带盐的MD5加密，盐就是在密码明文后拼接新字符串，然后在进行加密
        Md5Hash md5Hash1 = new Md5Hash(password, "salt");
        System.out.println("带盐的MD5加密后的密码=" + md5Hash1);
    }
}

打印加密后的密码

2、多次加密

Md5Hash md5Hash2 = new Md5Hash(password, "salt", 3);
System.out.println("带盐的MD5的3次加密后的密码=" + md5Hash2);

加密后的密码更难被破解

带盐的MD5的3次加密后的密码=7174f64b13022acd3c56e2781e098a5f

使用父类进行加密

 // 使用父类进行加密
        SimpleHash simpleHash = new SimpleHash("MD5", password, "salt", 3);
        System.out.println("父类的带盐的MD5的3次加密后的密码=" + simpleHash.toHex());

打印结果可以看到，盐相同时两次加密3次之后的密码是相同的

2.6 Shiro自定义登录认证

Shiro默认的登录认证是不带加密的，如果想要实现加密认证需要自定义登录认证，自定义Realm。

1、认证实现

package com.wang.shirotest;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.util.ByteSource;


/**
 * @author Administrator
 */
public class MyRealm extends AuthenticatingRealm {
    
    

    // 自定义登录认证方法，Shiro的login方法底层会调用该类的认证方法进行认证
    // 需要配置自定义的Realm生效，在ini文件中可以配置
    // 该方法只是获取进行对比的信息，认证逻辑还是按照Shiro底层认证逻辑完成

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    
    

        // 1、获取身份信息
        String principal = authenticationToken.getPrincipal().toString();
        System.out.println("认证用户信息 = " + principal);
        // 2、获取凭证信息
        String password = new String((char[])authenticationToken.getCredentials());
        System.out.println("密码 = " + password);
        // 3、访问数据库获取用户信息
        if(principal.equals("zhangsan")){
    
    
            // 3.1、数据库中存的是加盐迭代3次之后的密码
            String passwordInfo = "7174f64b13022acd3c56e2781e098a5f";
            // 4、创建封装校验逻辑的对象，封装数据返回
            AuthenticationInfo info = new SimpleAuthenticationInfo(
                    authenticationToken.getPrincipal(),
                    passwordInfo,
                    ByteSource.Util.bytes("salt"),
                    authenticationToken.getPrincipal().toString()
            );
            return info;
        }

        return null;
    }
}

2、在Shiro.ini中添加配置信息

[main]
md5CredentialsMatcher=org.apache.shiro.authc.credential.Md5CredentialsMatcher
md5CredentialsMatcher.hashIterations=3

myrealm=com.wang.shirotest.MyRealm
myrealm.credentialsMatcher=$md5CredentialsMatcher
securityManager.realms=$myrealm