* 有问题可以参加Java技术交流群:839366464
* Shiro功能简介
* Shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密
* 官方网站:http://shiro.apache.org
下载:https://github.com/apache/shiro(里面有例子)
参考文档:http://shiro.apache.org/reference.html
* Shiro主要作用:
* 身份认证(登录)
* 授权(权限控制)
* Session管理
* 数据加密
* Shiro可以帮助我们完成:身份认证、授权、加密、会话管理、缓存管理、
记住我、与Web集成等
* Shiro框架介绍
* Subject
Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在Shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过Subject进行认证授,而Subject是通过SecurityManager安全管理器进行认证授权
* SecurityManager
SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。
* Authenticator
Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。
* Authorizer
* Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
* Realm
* Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
* 注意:不要把realm理解成只是从数据源取数据,在Realm中还有认证授权校验的相关的代码。
* SessionManager
SessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以Shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
* SessionDAO
SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。
* CacheManager
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
* Cryptography
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。
* 用户认证时序图
* 用户授权时序图
* Hello Shiro
* 构建简单maven java工程,quickstart的形式
* 添加依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
<!--log4j-->
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<!--slf4j到log4j-->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.25</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.2</version>
</dependency>
* 下载shiro的sample
* https://github.com/apache/shiro
@Test
public void test1(){
// 1 构建获得SecurityManager的工厂
Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:hshiro.ini");
// 2 获得SecurityManager
SecurityManager securityManager = factory.getInstance();
// 3 设置SecurityManager
SecurityUtils.setSecurityManager(securityManager);
// 4 获得Subject(也就是当前用户)
Subject currentUser = SecurityUtils.getSubject();
// 5 判断是认证过
if(!currentUser.isAuthenticated()){
// 假如没有认证过,认证一下
UsernamePasswordToken token=new UsernamePasswordToken("xiaohei","123123");
token.setRememberMe(true);
currentUser.login(token);
}
// 获得当前用户的标识
System.out.println(currentUser.getPrincipal());
// 判断当前有没有某个角色
if(currentUser.hasRole("user")){
System.out.println("你是user角色");
}else {
System.out.println("你不是user角色");
}
// 判断当前用户有没有某个操作权限
if(currentUser.isPermitted("dept:select")){
System.out.println("当前用户有查询的部门列表的查询");
}else{
System.out.println("当前用户没有有查询的部门列表的查询");
}
// 操作Session
Session session = currentUser.getSession();
session.setAttribute("loginStatus","true");
Object loginStatus = session.getAttribute("loginStatus");
System.out.println(loginStatus);
// 退出
currentUser.logout();
}