Apache
Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
三个核心组件:Subject, SecurityManager 和 Realms.
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。
下面我们来看一下springboot中如何使用shiro。
1.首先在pox.xml中引入依赖jar。
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
2.新建登陆页面,字段名为username和password,action为/login
3.工具类如图所示
之后新建Shiroconfig类
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration //声明当前类是一个配置文件类 对应普通框架中的spring.xml文件
public class ShiroConfig {
// 认证和授权的缓存处理器 用来管理认证授权之间的bean(对象)关系
@Bean(name = "lifecycleBeanPostProcessor")//Bean 相当于配置文件中的bean标签
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
return new LifecycleBeanPostProcessor();
}
/**
* shiro 的过滤器链
* shiro的核心总入口
*
* */
@Bean
public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
System.out.println("ShiroConfiguration.shirFilter()");
// shiro过滤器工厂
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
// 必须设置 SecurityManager 如果不设置就无法完成认证和授权
shiroFilterFactoryBean.setSecurityManager(securityManager);
// 过滤器链
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
// 配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
// logout shiro定义好的过滤器名字 /logout访问路径
// 浏览器访问的地址栏路径中以/logout结尾的路径 走logout过滤器
// logout会清除session 退出登录
filterChainDefinitionMap.put("/logout", "logout");
// 所有的css文件走 anon过滤器 此过滤器代表放过拦截 不需要权限也能访问
filterChainDefinitionMap.put("/css/**", "anon");
// 放过登录页面拦截
filterChainDefinitionMap.put("/toLogin", "anon");
filterChainDefinitionMap.put("/img/**", "anon");
filterChainDefinitionMap.put("/js/**", "anon");
/// **代表所有路径 除以上路径外都拦截 authc代表权限拦截过滤器
filterChainDefinitionMap.put("/**", "authc");
// perms权限过滤器 必须拥有某项权限才能访问对应路径
// filterChainDefinitionMap.put("/add", "perms[user:query]");
// 登录请求路径 登录页面提交form表单时 表单的action写此路径
shiroFilterFactoryBean.setLoginUrl("/login");
// 登录成功跳转到登录成功页面
shiroFilterFactoryBean.setSuccessUrl("/index");
// 未授权界面;
// shiroFilterFactoryBean.setUnauthorizedUrl("/warning");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
// 最终返回过滤器链
return shiroFilterFactoryBean;
}
@Bean // 在xml文件中配置一个bean标签 相当于<bean class="
// org.apache.shiro.mgt.SecurityManager"
// name="securityManager"></bean>
public SecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
// 设置realm. 域(数据源 用来连接数据库完成认证和授权)
// 把自己创建的Realm 注入到securityManager中
securityManager.setRealm(myShiroRealm());
// 注入缓存管理器;
//securityManager.setCacheManager(ehCacheManager());//
// 这个如果执行多次,也是同样的一个对象;
// securityManager.setRememberMeManager(rememberMeManager());
return securityManager;
}
@Bean
public MyRealm myShiroRealm(){
return new MyRealm();
}
}
4.新建MyRealm类
import com.jk.model.User;
import com.jk.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
public class MyRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
/**
* shiro 的认证方法
* */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//token 令牌 验证用户身份 token.getPrincipal返回浏览器中用户名输入框输入的内容
String principal = (String)token.getPrincipal();
User user = userService.findUserByUsername(principal);
if(user == null){
//如果用户名不为张三 则 抛出用户名不存在异常
throw new UnknownAccountException();
}
System.out.println("token = [" + principal + "]");
SecurityUtils.getSubject().getPrincipal();
//认证方法
//第一个参数就相当于session.setAttrbit
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
return simpleAuthenticationInfo;
}
/**
* shiro 的授权方法
* */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
return null;
}
}
5.新建controller,service,mapper层同ssm,使用的方法工具类中有详细的备注。
6.进入登录页面登录会看到后台控制台打印的信息。