阅读 206

Shiro安全框架入门

这是我参与8月更文挑战的第4天,活动详情查看:8月更文挑战

一、Shiro的介绍

Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下:

(1)身份认证/登录,验证用户是不是拥有相应的身份;

(2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

(3)会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

(4)加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

(5)Web支持,可以非常容易的集成到Web环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

(6)shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

(7)提供测试支持;

(8)允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

(9)记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

Shiro整体架构

二、shiro认证、授权、自定义Realm

1、shiro认证 Shiro认证过程

下面通过代码测试

在pom.xml中加入依赖

    <dependency>
  		<groupId>junit</groupId>
  		<artifactId>junit</artifactId>
  		<version>4.12</version>
  	</dependency>
  	<dependency>
  		<groupId>org.apache.shiro</groupId>
  		<artifactId>shiro-core</artifactId>
  		<version>1.2.3</version>
  	</dependency>
复制代码

按照上图的认证过程,我们可以编写出一个测试类

public class ShiroTest {
	
	// 创建realm
	SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();
	
	/**
	 * 添加一个账户
	 */
	@Before
	public void addUser() {
		simpleAccountRealm.addAccount("CodeTiger", "6666", "admin");
	}

	@Test
	/**
	 * 测试shiro认证过程
	 */
	public void testAuthentication() {
		// 创建SecurityManager认证
		DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
		
		defaultSecurityManager.setRealm(simpleAccountRealm);
		
		// 主体提交认证请求
		SecurityUtils.setSecurityManager(defaultSecurityManager);
		Subject subject = SecurityUtils.getSubject();
		
		UsernamePasswordToken token = new UsernamePasswordToken("CodeTiger", "6666");
		subject.login(token);
		
		System.out.println("是否通过认证:" + subject.isAuthenticated());
		
		subject.logout();
		
		System.out.println("是否通过认证:" + subject.isAuthenticated());
	}
	
}
复制代码

运行测试方法,输出

true
false
复制代码

2、shiro授权 shiro授权过程

在上面的类中添加一个方法进行测试

    @Test
	/**
	 * 测试shiro的授权过程
	 */
	public void testAuthorizer() {
		// 创建securityManager
		DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
		defaultSecurityManager.setRealm(simpleAccountRealm);
		SecurityUtils.setSecurityManager(defaultSecurityManager);
		Subject subject = SecurityUtils.getSubject();
		
		UsernamePasswordToken token = new UsernamePasswordToken("CodeTiger", "6666");
		subject.login(token);
		
		subject.checkRole("admin");
		
		subject.checkRoles("admin","user");
		
	}
复制代码

3、Realm

Shiro有许多内置的Realm,我们就讲讲IniRealm和JdbcRealm。

(1)、IniRealm

IniRealm主要是通过在文件中配置角色信息进行认证和授权的。

新建一个测试类

/**
 * 测试内置的IniRealm
 * @author liu
 */
public class IniRealmTest {
	
	// 指定文件的路径,文件中定义角色信息
	IniRealm iniRealm = new IniRealm("classpath:user.ini");
	
	@Test
	public void testIniRealm() {
		DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
		defaultSecurityManager.setRealm(iniRealm);
		
		SecurityUtils.setSecurityManager(defaultSecurityManager);
		Subject subject = SecurityUtils.getSubject();
		
		UsernamePasswordToken token = new UsernamePasswordToken("CodeTiger", "6666");
		subject.login(token);
		
		System.out.println(subject.isAuthenticated());
		
		// 检查是否是管理员
		subject.checkRole("admin");
		
		// 检查是否有删除用户的权限
		subject.checkPermission("user:delete");
	}
}
复制代码

可以看到是通过读取文件的形式创建了IniRealm实例,接着我们去类路径下创建user.ini

[users]
CodeTiger=6666,admin
[roles]
admin=user:delete,user:update
复制代码

运行测试用例即可通过。

(2)、JdbcRealm

使用JdbcRealm要访问数据库,所以首先要加入mysql的依赖

    <dependency>
  		<groupId>mysql</groupId>
  		<artifactId>mysql-connector-java</artifactId>
  		<version>5.1.41</version>
  	</dependency>
  	<dependency>
  		<groupId>com.alibaba</groupId>
  		<artifactId>druid</artifactId>
  		<version>1.1.6</version>
  	</dependency>
复制代码

之后编写测试类JdbcRealmTest

/**
 * 测试内置的JdbcRealm
 * @author liu
 */
public class JdbcRealmTest {
	
	DruidDataSource dataSource = new DruidDataSource();
	
	// 设置数据库连接
	{
		dataSource.setUrl("jdbc:mysql://127.0.0.1:3306/shiro");
		dataSource.setUsername("root");
		dataSource.setPassword("1311664842");
	}
	
	/**
	 * 测试JdbcRealm
	 */
	@Test
	public void testJdbcRealm() {
		JdbcRealm jdbcRealm = new JdbcRealm();
		// 设置数据源
		jdbcRealm.setDataSource(dataSource);
		// 打开权限检查
		jdbcRealm.setPermissionsLookupEnabled(true);
		
        // 使用自定义的授权查询语句
		// String sql1 = "select password from test_user where username = ?";
		// jdbcRealm.setAuthenticationQuery(sql1);
		
		// 使用自定义的角色查询语句
		// String sql2 = "select role_name from test_user_roles where username = ?";
		// jdbcRealm.setUserRolesQuery(sql2);
		
		// 使用自定义的权限查询语句
		// String sql3 = "select permission from test_roles_permissions where role_name = ?";
		// jdbcRealm.setPermissionsQuery(sql3);

		DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
		
		defaultSecurityManager.setRealm(jdbcRealm);
		
		SecurityUtils.setSecurityManager(defaultSecurityManager);
		
		Subject subject = SecurityUtils.getSubject();
				
		UsernamePasswordToken token = new UsernamePasswordToken("CodeTiger", "123456");
		
		subject.login(token);
		// 检查是否授权
		System.out.println(subject.isAuthenticated());
		// 检查角色
		subject.checkRole("admin");
		// 检查权限
		subject.checkPermission("user:delete");
	}
}
复制代码

这里可能不禁要问,我们数据库都没表啊,怎么进行验证呢,没事,先看看JdbcRealm的源码。开头有这么四个常量

    /**
     * The default query used to retrieve account data for the user.
     */
    protected static final String DEFAULT_AUTHENTICATION_QUERY = "select password from users where username = ?";
    
    /**
     * The default query used to retrieve account data for the user when {@link #saltStyle} is COLUMN.
     */
    protected static final String DEFAULT_SALTED_AUTHENTICATION_QUERY = "select password, password_salt from users where username = ?";

    /**
     * The default query used to retrieve the roles that apply to a user.
     */
    protected static final String DEFAULT_USER_ROLES_QUERY = "select role_name from user_roles where username = ?";

    /**
     * The default query used to retrieve permissions that apply to a particular role.
     */
    protected static final String DEFAULT_PERMISSIONS_QUERY = "select permission from roles_permissions where role_name = ?";
复制代码

所以我们只要在数据库中创建好相应的表和字段,命名一致就行了。

当然也可以使用自定义的查询语句,就像上面注释了的一样。

(3)、自定义Realm

自定义Realm需要继承AuthorizingRealm类,并实现授权和认证的方法

/**
 * 自定义Realm,继承自AuthorizingRealm
 * @author liu
 */
public class CustomerRealm extends AuthorizingRealm {
	
	Map<String, String> map = new HashMap<>();
	
	{
		map.put("CodeTiger", "123456");
		// 设置Realm的名称
		super.setName("customerRealm");
	}

	/**
	 * 授权方法
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		// 从主体传过来的授权信息中获取用户名
		String username = (String)principals.getPrimaryPrincipal();
		// 从数据库或缓存中获取角色信息
		Set<String> roles = getRolesByUsername(username);
		// 从数据库或缓存中获取权限信息
		Set<String> permissions = getPermissionsByUsername(username);
		
		SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		
		simpleAuthorizationInfo.setRoles(roles);
		simpleAuthorizationInfo.setStringPermissions(permissions);
		return simpleAuthorizationInfo;
	}
	
	/**
	 * 模拟从数据库通过用户名查询角色
	 * @param username
	 * @return
	 */
	public Set<String> getRolesByUsername(String username) {
		Set<String> set = new HashSet<>();
		set.add("admin");
		set.add("user");
		return set;
	}
	
	/**
	 * 模拟从数据库通过用户名查询权限
	 * @param username
	 * @return
	 */
	public Set<String> getPermissionsByUsername(String username) {
		Set<String> set = new HashSet<>();
		set.add("user:delete");
		set.add("user:update");
		return set;
	}

	/**
	 * 认证方法
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// 从主体传过来的认证信息中获取用户名
		String username = (String)token.getPrincipal();
		
		// 2.通过用户名从数据库或缓存中查询密码
		String password = getPasswordByUsername(username);
		if(password == null) {
			return null;
		}
		
		SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo("CodeTiger", password, "customerRealm");
		
		return authenticationInfo;
	}
	
	/**
	 * 模拟从数据库中通过用户名查询密码
	 * @param username
	 * @return
	 */
	public String getPasswordByUsername(String username) {
		return map.get(username);
	}

}
复制代码

为了简便,就没有从数据库或缓存中读取数据了。

接着写一个测试类进行测试

public class CustomerRealmTest {

	@Test
	public void testCustomerRealm() {
		DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
		
		CustomerRealm customerRealm = new CustomerRealm();
		
		defaultSecurityManager.setRealm(customerRealm);
		
		SecurityUtils.setSecurityManager(defaultSecurityManager);
		Subject subject = SecurityUtils.getSubject();
		
		UsernamePasswordToken token = new UsernamePasswordToken("CodeTiger", "123456");
		
		subject.login(token);
		
		System.out.println(subject.isAuthenticated());
		
		subject.checkRole("admin");
		subject.checkRoles("admin","user");
		
		subject.checkPermission("user:delete");
		subject.checkPermissions("user:delete", "user:update");

	}
}
复制代码
文章分类
后端
文章标签