shiro 学习

导读:本篇文章讲解 shiro 学习,希望对大家有帮助,欢迎收藏,转发!站点地址:www.bmabk.com

shiro 学习

@(shiro)[授权,认证,realm]

shiro 分为很多模块,主要学习授权、认证模块。另外的加密等模块也十分的好用,后期可以学习下。shiro官网地址:http://shiro.apache.org/


认证

大体就是实现登陆的功能模块,一般是由自定义的realm来实现用户身份验证逻辑。


shiro认证Demo

准备:shiro.ini、shiro实现类(log4j)

shiro.ini :充当数据库作用
shiro实现类:充当登录模块

shiro.ini

[users] ;指定下面的主体
lemontree=123456
jack=123

shiro实现类

/**
 * Created by lemontree on 2017/5/18.
 */
public class HelloWorld {
    public static void main(String[] args) {
        // 读取配置文件,初始化SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 获取SecurityManager实例
        SecurityManager securityManager = factory.getInstance();
        // 把SecurityManager实例绑定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 获取当前用户
        Subject currentUser = SecurityUtils.getSubject();
        // 创建token令牌,用户名/密码
        UsernamePasswordToken token = new UsernamePasswordToken("lemontree","1234562");
        try {
            // 身份认证
            currentUser.login(token);
            System.out.println("身份认证成功");
        }catch (AuthenticationException e){
            e.printStackTrace();
            System.out.println("身份认证失败");
        }
        // 退出
        currentUser.logout();

    }
}

当身份验证失败则抛异常

org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - lemontree, rememberMe=false] did not match the expected credentials.
    at org.apache.shiro.realm.AuthenticatingRealm.assertCredentialsMatch(AuthenticatingRealm.java:600)
    at org.apache.shiro.realm.AuthenticatingRealm.getAuthenticationInfo(AuthenticatingRealm.java:578)
    at org.apache.shiro.authc.pam.ModularRealmAuthenticator.doSingleRealmAuthentication(ModularRealmAuthenticator.java:180)
    at org.apache.shiro.authc.pam.ModularRealmAuthenticator.doAuthenticate(ModularRealmAuthenticator.java:267)
    at org.apache.shiro.authc.AbstractAuthenticator.authenticate(AbstractAuthenticator.java:198)
    at org.apache.shiro.mgt.AuthenticatingSecurityManager.authenticate(AuthenticatingSecurityManager.java:106)
    at org.apache.shiro.mgt.DefaultSecurityManager.login(DefaultSecurityManager.java:270)
    at org.apache.shiro.subject.support.DelegatingSubject.login(DelegatingSubject.java:256)
    at com.lemontree.shiro.HelloWorld.main(HelloWorld.java:28)
Disconnected from the target VM, address: '127.0.0.1:60226', transport: 'socket'
身份认证失败

Demo认证过程:
Subject.login(token) 进行登录 -> securityManager.login -> (中间跳过部分流程)SimpleAccountRealm-> 从realm中取出信息(realm何时塞入?)对比 ,成功GG,出错抛异常。

realm何时塞入:其实在创建工厂(创建create securityManager)时就将信息塞入到iniRealm中去了。

看下源码:

    @SuppressWarnings({"unchecked"})
    private SecurityManager createSecurityManager(Ini ini, Ini.Section mainSection) {

        Map<String, ?> defaults = createDefaults(ini, mainSection);
        Map<String, ?> objects = buildInstances(mainSection, defaults);

        SecurityManager securityManager = getSecurityManagerBean();

        boolean autoApplyRealms = isAutoApplyRealms(securityManager);

        if (autoApplyRealms) {
            //realms and realm factory might have been created - pull them out first so we can
            //initialize the securityManager:
            Collection<Realm> realms = getRealms(objects);
            //set them on the SecurityManager
            if (!CollectionUtils.isEmpty(realms)) {
                applyRealmsToSecurityManager(realms, securityManager);
            }
        }

        return securityManager;
    }

认证重要的两个动作:
– 一个是读取配置文件,初始化SecurityManager工厂的时候
– 二是获取SecurityManager实例的时候
1. 初始化SecurityManager工厂的时,shiro主要是读取数据源(可能是.ini、url或其他文件File),并将信息存入名为sections的LinkedHashMap

shiro的组成与一些专业术语

来看看shiro官网有哪些东西
组成部分简介(以下内容复制张开涛老师的博客内容):
– Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
– Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
– Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
– Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
– Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
– Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
– Testing:提供测试支持;
– Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
– Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UusuwGze-1661277371735)(http://zhangrhyy-10006108.image.myqcloud.com/8a1fdcdd-32a5-40cd-ac5a-d4c4a938131b)]
@shiro从授权到认证在到加密、session管理一整套服务,很nice。

介绍下shiro的一些专业术语(以下复制张开涛老师的博客内容):
– principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。(从subject中获取
– credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
– Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。如我们之前的ini配置方式将使用org.apache.shiro.realm.text.IniRealm。(其实第一个demo中的例子也是,将ini文件中的数据放入到iniRealm中进行读取
– Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;
– SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。
– Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;

shiro整合spring

spring整合shiro无非需要三个点:
1. web.xml配置
2. spring配置(securityManager注入由spring来实现)
3. 实现自己的realm
官网有整合教程,链接如下:
shiro整合spring:http://shiro.apache.org/spring.html
shiro整合web:http://shiro.apache.org/web.html

与整合的Spring进行的认证主要逻辑是在自己实现的realm中进行的,自己的realm中实现doGetAuthenticationInfo方法(说实在的我老实搞混认证和授权的英文名),值得注意的是SimpleAuthenticationInfo中的password要与token的password要一致否则就是密码错误!,这是为什么那,在login一步一步下去中会发现,登录的过程就是在realm放回的SimpleAuthenticationInfo与token信息验证的过程!

/**
 * Created by lemontree on 2017/6/26.
 * 配置shiro域 realm的作用即是与数据库交互所用
 * 权限的实现就是在doGetAuthorizationInfo中将角色和对应权限塞入到对应的集合中
 * 让shiro来进行控制。
 */
public class SampleRealm extends AuthorizingRealm {

    public SampleRealm() {
        super();
    }

    /**
     * 认证
     *
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
            throws AuthenticationException {
        ShiroToken shiroToken = (ShiroToken) token;
        User user = userService.getUserByUserName(shiroToken.getUsername());
        if (null == user) {
            throw new AccountException("用户不存在!");
        }
        String psw = SHA256Util.getSHA256Str(shiroToken.getPswd());
        // 调用user的key对称加密进行对比
        if (!psw.equals(user.getPassword())) {
            throw new AccountException("用户密码错误!");
        }
        if (UserState.FROZEN_USER.getCode() == user.getUserState()) {
            throw new DisabledAccountException("改账号已被冻结!");
        } else {
            // 更新 登录信息
            user.setLastLoginTime(new Date());
            user.setLogincount(user.getLoginCount() + 1);
            userService.updateUser(user);
        }
        return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
    }
}

授权

实现用户的权限控制功能,用户->角色->权限


页面实现权限控制

授权的方式有三种:编程式、注解式、页面
在说页面授权之前先了解下权限是什么东西:开发过程中一般会有三种对象:用户、角色、权限,用户拥有一个或多个角色,每个角色有对应的权限(url权限)。
库表的设计大致如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-79zCywQq-1661277371736)(http://zhangrhyy-10006108.image.myqcloud.com/11bdad16-372f-4354-a704-67e068a97f1c)]

页面的控制代码(JSP)大致是:

      <%--普通用户权限--%>
          <shiro:hasAnyRoles name="001">
              <shiro:hasPermission name="/index.htm">
                  <div><h1>index.htm有权限!</h1></div>
              </shiro:hasPermission>
              <shiro:hasPermission name="/register.htm">
                  <div><h1>register.htm有权限!</h1></div>
              </shiro:hasPermission>
          </shiro:hasAnyRoles>

那么,权限是什么时候获取的?
其实也是在realm中获取的,权限和角色都是通过下面的塞入到Set集合中,集合的泛型是String,在取的时候根据名称去控制权限。

public class SampleRealm extends AuthorizingRealm {

    public SampleRealm() {
        super();
    }

    /**
     * 授权
     *
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        Integer userId = TokenManager.getUserId();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        // 根据用户id获取用户角色,放入AuthorizationInfo
        Set<String> roles = roleService.getRolesByUserId(userId);
        info.setRoles(roles);
        // 根据用户id获取用户权限,放入AuthorizationInfo
        Set<String> permissions = permissionService.getPermissionByUserId(userId);
        info.setStringPermissions(permissions);
        return info;
    }

}

shiro的过滤器后期学习在补。

总结

shiro的认证和授权都是通过realm取数据然后对比

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/114411.html

(0)
Java光头强的头像Java光头强

相关推荐

发表回复

登录后才能评论
极客之音——专业性很强的中文编程技术网站,欢迎收藏到浏览器,订阅我们!