MENU

一个小白的Shiro学习之路

• January 15, 2020 • Read: 345 • 学习生涯

Shiro学习(一)

概念

1、什么是shiro

​ Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。

2、架构基础

Shiro架构


详细介绍

1Subject

Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权

2SecurityManager

SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。

SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。

3Authenticator

Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。

4Authorizer

Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

5realm

Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。

6sessionManager

sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。

7SessionDAO

SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。

8CacheManager

CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。

9Cryptography

Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。


shiro与Mavn结合(控制台程序)

认证环节

1、pom.xml中添加依赖
    <!-- 版本号 -->
    <properties>
        <shiro.version>1.4.1</shiro.version>
        <logging.version>1.2</logging.version>
    </properties>

    <dependencies>
        <!-- 依赖shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        
        <dependency>
            <groupId>org.slf4j</groupId>    
            <artifactId>slf4j-simple</artifactId>
            <version>1.7.21</version>
            <scope>test</scope>
        </dependency>
        
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>${logging.version}</version>
        </dependency>
    </dependencies>
2、配置shiro.ini文件
#配置用户
[users]
zhangsan=123456
lisi=123456
3、控制台使用shiro
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * shiro的认证使用shiro.ini文件
 * 
 * @author 吃货智
 *
 */
public class TestAuthenticationApp {
    // 日志输出工具
    private static final transient Logger log = LoggerFactory.getLogger(TestAuthenticationApp.class);

    public static void main(String[] args) {

        String username = "zhangsan";
        String password = "123456";

        log.info("My First Apache Shiro Application");
        // 1,创建安全管理器的工厂对象 org.apache.shiro.mgt.SecurityManager;  不能使用java.lang.SecurityManager
            Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 2,使用工厂创建安全管理器
        SecurityManager securityManager = factory.getInstance();
        // 3,把当前的安全管理器绑定当到线的线程
        SecurityUtils.setSecurityManager(securityManager);
        // 4,使用SecurityUtils.getSubject得到主体对象
        Subject subject = SecurityUtils.getSubject();
        // 5,封装用户名和密码
        AuthenticationToken token = new UsernamePasswordToken(username, password);
        // 6,得到认证
        try {
            subject.login(token);
            System.out.println("认证通过");
        } catch (AuthenticationException e) {
            System.out.println("用户名或密码不正确");
        } 
        /*} catch (IncorrectCredentialsException e) {
            System.out.println("密码不正确");
        } catch (UnknownAccountException e) {
            System.out.println("用户名不存在");
        }*/
    }

}

授权环节

1、配置角色
#配置用户
[users]
zhangsan=123456,role1
lisi=123456,role2
wangwu=123456,role3
zhaoliu=123456,role2,role3
sunqi=123456,role4


#声明角色
[roles]
role1=user:query,user:add,user:update,user:delete,user:export
role2=user:query,user:add
role3=user:query,user:export
role4=*:*
2、测试
import java.util.Arrays;
import java.util.List;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * shiro的认证使用shiro.ini文件
 * 
 * @author LJH
 *
 */
@SuppressWarnings("deprecation")
public class TestAuthorizationApp {
    // 日志输出工具
    private static final transient Logger log = LoggerFactory.getLogger(TestAuthorizationApp.class);

    public static void main(String[] args) {

        String username = "sunqi";
        String password = "123456";

        log.info("My First Apache Shiro Application");
        // 1,创建安全管理器的工厂对象 org.apache.shiro.mgt.SecurityManager;  不能使用java.lang.SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 2,使用工厂创建安全管理器
        SecurityManager securityManager = factory.getInstance();
        // 3,把当前的安全管理器绑定当到线的线程
        SecurityUtils.setSecurityManager(securityManager);
        // 4,使用SecurityUtils.getSubject得到主体对象
        Subject subject = SecurityUtils.getSubject();
        // 5,封装用户名和密码
        AuthenticationToken token = new UsernamePasswordToken(username, password);
        // 6,得到认证
        try {
            subject.login(token);
            System.out.println("认证通过");
        } catch (AuthenticationException e) {
            System.out.println("用户名或密码不正确");
        } 
        //开始授权环节
        //subject.logout();//退出的方法
        //判断用户是否认证通过
        boolean authenticated = subject.isAuthenticated();
        System.out.println("是否认证通过:"+authenticated);
        //角色判断
        boolean hasRole1 = subject.hasRole("role1");
        System.out.println("是否有role1的角色:"+hasRole1);
        //分别判断集合里面的角色 返回数组
        List<String> roleIdentifiers=Arrays.asList("role1","role2","role3");
        boolean[] hasRoles = subject.hasRoles(roleIdentifiers);
        for (boolean b : hasRoles) {
            System.out.println(b);
        }
        //判断当前用户是否有roleIdentifiers集合里面的所有角色
        boolean hasAllRoles = subject.hasAllRoles(roleIdentifiers);
        System.out.println(hasAllRoles);
        
        //权限判断
        
        boolean permitted = subject.isPermitted("user:query");
        System.out.println("判断当前用户是否有user:query的权限  "+permitted);
        
        boolean[] permitted2 = subject.isPermitted("user:query","user:add","user:export");
        for (boolean b : permitted2) {
            System.out.println(b);
        }
        
        boolean permittedAll = subject.isPermittedAll("user:query","user:add","user:export");
        System.out.println(permittedAll);
        

    }

}
Last Modified: March 13, 2020