Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security,Shiro 要简单的多.
Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架
shiro安全框架
Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。
1.shiro的核心组件
Subject
Subject主体,外部应用与subject进行交互,subject将用户作为当前操作的主体,这个主体:可以是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权
SecurityManager
SecurityManager权限管理器,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口
Authenticator
Authenticator即认证器,对用户登录时进行身份认证
Authorizer
Authorizer授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
Realm(数据库读取+认证功能+授权功能实现)
Realm领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据 比如: 如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。 注意: 不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。
SessionManager
SessionManager会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
SessionDAO
SessionDAO即会话dao,是对session会话操作的一套接口 比如: 可以通过jdbc将会话存储到数据库 也可以把session存储到缓存服务器redis
CacheManager
CacheManager缓存管理,将用户权限数据存储在缓存,这样可以提高性能
Cryptography
Cryptography密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、md5等功能
(2)使用shiro完成认证-ini
用户的信息存在--xxx.ini文件【实际开发存储数据库】。
(1)创建java的maven工程并引入shiro依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.7.0</version>
</dependency>
(2)创建一个ini文件
# 定义用户的信息--相当于表名叫做users,在ini文件中,也必须叫做users
[users]
# =号左边表示用户名,右边表示用户密码
aguang=123456
cjj=654321
(3)编写测试类代码
public class Test {
public static void main(String[] args) {
//创建一个securityManager对象
DefaultSecurityManager securityManager =new DefaultSecurityManager();
//设置securityManager使用的realm,也就是在哪里拿到数据
IniRealm realm =new IniRealm("classpath:shiro.ini");
securityManager.setRealm(realm);
//把securityManager放入上下文中,否则不生效
SecurityUtils.setSecurityManager(securityManager);
//获取subject对象,它可以进行认证,授权等操作
final Subject subject = SecurityUtils.getSubject();
//把需要登录的用户账号和密码封装usernamepasswordToken类中token相当于通行证,使用的时候需要录入账号和密码
final UsernamePasswordToken token = new UsernamePasswordToken("cjj","123456");
//调用subject的认证方法,登录认证方法,需要传入类似令牌的token
try{
//如果认证成功就走登录成功,否则抛出异常,抛出异常视为登陆失败
subject.login(token);
System.out.println("登录成功");
}catch (Exception e){
System.out.println("登陆失败");
}
}
}
(4)认证流程图
认证流程如下
使用shiro完成授权功能--ini
权限是在认证之后才能做判断
(1)修改ini文件
# 定义用户的信息--相当于表名叫做users,在ini文件中,也必须叫做users
[users]
# =号左边表示用户名,右边表示用户密码,todo 右边逗号后面代表的是拥有的权限
aguang=123456,admin
cjj=654321,role,role2
# [roles] 定义角色信息,以及该角色所具有的权限信息
[roles]
# =号左边是管理员名称 右边是具有的权限
admin=student:delete,student:find,student:update
role=user:find
role2=user:delete
(2)修改代码
public class Test {
public static void main(String[] args) {
//创建一个securityManager对象
DefaultSecurityManager securityManager =new DefaultSecurityManager();
//设置securityManager使用的realm,也就是在哪里拿到数据
IniRealm realm =new IniRealm("classpath:shiro.ini");
securityManager.setRealm(realm);
//把securityManager放入上下文中,否则不生效
SecurityUtils.setSecurityManager(securityManager);
//获取subject对象,它可以进行认证,授权等操作
final Subject subject = SecurityUtils.getSubject();
//把需要登录的用户账号和密码封装usernamepasswordToken类中token相当于通行证,使用的时候需要录入账号和密码
final UsernamePasswordToken token = new UsernamePasswordToken("cjj","654321");
//调用subject的认证方法,登录认证方法,需要传入类似令牌的token
try{
//如果认证成功就走登录成功,否则抛出异常,抛出异常视为登陆失败
subject.login(token);
System.out.println("登录成功");
}catch (Exception e){
System.out.println("登陆失败");
}
//subject.logout();//退出
System.out.println("=============权限校验使用的是isPermitted=================");
final boolean permitted = subject.isPermitted("user:query");
System.out.println("判断当前用户是否具有user:query的权限:"+permitted);
final boolean[] permitted1 = subject.isPermitted("user:find", "user:delete");
System.out.println("判断当前用户具有的权限:"+ Arrays.toString(permitted1));
final boolean permittedAll = subject.isPermittedAll("user:query","user:delete");
System.out.println("判断当前用户是否同时具备上面的权限"+permittedAll);
}
}
(3)授权流程图
使用shiro完成认证--数据源
上面我们通过读取ini文件,可以获取数据源。IniRealm完成的读取。而现在如果要读取数据源的数据完成认证,则需要自定义realm类。
(1)引入依赖
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.7.0</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.28</version>
</dependency>
</dependencies>
(2)创建一个MyRealm类并继承AuthorizingRealm
public class MyRealm extends AuthorizingRealm {
UserService userService = new UserService();
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("这是授权走的方法~~~~~~~~~~~~~~~~");
return null;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("这是认证走的方法+++++++++++++++++");
//获取身份验证的标识信息,比如账号密码验证,获取的就是账号
final String username = authenticationToken.getPrincipal().toString();
//根据账号查询数据库中是否存在对应的数据
final User byUsername = userService.findByUsername(username);
if(byUsername!=null){
//SimpleAuthenticationInfo中的参数有以下几个
//Object principal,账号,也可以为数据库查出来的对象,他的作用就是用来传递授权方法的参数
// Object credentials, 密码,从数据库中查询到的密码
// String realmName realm的名称,可以随便起,一般都使用内置的this.getName
SimpleAuthenticationInfo info =new SimpleAuthenticationInfo(username,byUsername.getPassword(),this.getName());
return info;
}
return null;
}
}
(3)UserService类
User实体类就不多做介绍
public class UserService {
public User findByUsername(String username){
if("cjj".equals(username)){
return new User(1,"cjj","123456","爱吹牛的阿杰");
}else if("aguang".equals(username)){
return new User(2,"aguang","654321","IT光");
}
return null;
}
}
(4)测试类
public class Test {
public static void main(String[] args) {
final DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
final MyRealm myRealm = new MyRealm();
defaultSecurityManager.setRealm(myRealm);
SecurityUtils.setSecurityManager(defaultSecurityManager);
final Subject subject = SecurityUtils.getSubject();
final UsernamePasswordToken token = new UsernamePasswordToken("cjj","123456");
try{
subject.login(token);
System.out.println("登录成功");
}catch (Exception e){
System.out.println("登录失败");
}
}
}
使用shiro完成授权--数据源
(1)在MyRealm中增加权限方法的编写
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("这是授权走的方法~~~~~~~~~~~~~~~~");
//拿到认证的用户名或者对象
final String string = principalCollection.getPrimaryPrincipal().toString();
//根据用户名查询该用户所具有的权限
final ArrayList<String> permissions = userService.findPermissions(string);
if(permissions.size()!=0){
final SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(permissions);
return info;
}
return null;
}
(2)编辑UserService代码---根据用户名查询对应的权限
/**
* 模拟数据库数据
*/
public class UserService {
//认证
public User findByUsername(String username){
if("cjj".equals(username)){
return new User(1,"cjj","123456","爱吹牛的阿杰");
}else if("aguang".equals(username)){
return new User(2,"aguang","654321","IT光");
}
return null;
}
public ArrayList<String> findPermissions(String username){
//权限
final ArrayList<String> objects = new ArrayList<>();
if("cjj".equals(username)){
objects.add("user:find");
objects.add("user:delete");
objects.add("user:update");
return objects;
}else if("aguang".equals(username)){
objects.add("user:findById");
objects.add("user:findAll");
return objects;
}
return objects;
}
}
(3)修改测试类
public class Test {
public static void main(String[] args) {
final DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
final MyRealm myRealm = new MyRealm();
defaultSecurityManager.setRealm(myRealm);
SecurityUtils.setSecurityManager(defaultSecurityManager);
final Subject subject = SecurityUtils.getSubject();
final UsernamePasswordToken token = new UsernamePasswordToken("cjj","123456");
try{
subject.login(token);
System.out.println("登录成功");
}catch (Exception e){
System.out.println("登录失败");
}
//权限校验,执行MyRealm中的授权方法
System.out.println(subject.isPermitted("user:123"));
}
}
密码加密器
在数据库中存储的密码是一个密文【加密过的密码】。
shiro帮我们提供很多种加密器。---如果没有指定加密器,那么使用默认的无加密器。
public class Test02 {
public static void main(String[] args) {
//MD5密码加密器 “cjj”是盐,盐的作用就是在原本的密码后拼接上盐,使得密码被破译更麻烦 3是加密次数
final Md5Hash md5Hash = new Md5Hash("123456","CJJ",3);
System.out.println(md5Hash);
//指定密码器加密器类型,第一个参数是使用哪个类型的加密器,第二个是密码,三个是盐,四个是加密次数
SimpleHash simpleHash=new SimpleHash("SHA","123456","aaa",1024);
SimpleHash simpleHash2=new SimpleHash("MD5","123456","aaa",1024);
System.out.println(simpleHash);
System.out.println(simpleHash2);
}
}
把密码加密器使用在shiro中
(1)修改userService中的代码
//认证
public User findByUsername(String username){
if("cjj".equals(username)){
return new User(1,"cjj","cbdbb75a7d2b1339fc6824b24eb1d4da","爱吹牛的阿杰","CJJ");
}else if("aguang".equals(username)){
return new User(2,"aguang","cbdbb75a7d2b1339fc6824b24eb1d4da","IT光","CJJ");
}
return null;
}
(2)修改测试代码
public class Test {
public static void main(String[] args) {
final DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
final MyRealm myRealm = new MyRealm();
HashedCredentialsMatcher matcher =new HashedCredentialsMatcher();//创建一个密码加密器对象 todo 这里的密码加密器必须和加密数据库密码的加密器一致
matcher.setHashAlgorithmName("MD5"); //使用的密码加密器
matcher.setHashIterations(3); //密码迭代次数
myRealm.setCredentialsMatcher(matcher);//将密码加密器传给自定义的Realm
defaultSecurityManager.setRealm(myRealm);
SecurityUtils.setSecurityManager(defaultSecurityManager);
final Subject subject = SecurityUtils.getSubject();
final UsernamePasswordToken token = new UsernamePasswordToken("cjj","123456");
try{
subject.login(token);
System.out.println("登录成功");
}catch (Exception e){
System.out.println("登录失败");
}
}
}
