Shiro-全面详解(学习总结---从入门到深化)
创始人
2024-03-07 20:44:27

Shiro介绍_Shiro简介

 Shiro是apache旗下的一个开源安全框架,它可以帮助我们完成身 份认证,授权、加密、会话管理等功能。它有如下特点:

1、易于理解的API 简单的身份认证,支持多种数据源

2、简单的授权和鉴权

3、简单的加密API

4、支持缓存,以提升应用程序的性能

5、内置会话管理,适用于Web以及非Web的环境

6、不跟任何的框架或者容器捆绑,可以独立运行

认证 

认证即系统判断用户的身份是否合法,合法可继续访问,不合法则 拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码 登录、手机短信登录、脸部识别认证、指纹认证等方式。 认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。

授权

授权即认证通过后,根据用户的权限来控制用户访问资源的过程, 拥有资源的访问权限则正常访问,没有权限则拒绝访问。 比如在一 些视频网站中,普通用户登录后只有观看免费视频的权限,而VIP用户登录后,网站会给该用户提供观看VIP视频的权限。 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐 私数据进行划分,控制不同的用户能够访问不同的资源。 举个例子:认证是公司大门识别你作为员工能进入公司,而授权则是由于你作为公司会计可以进入财务室,查看账目,处理财务数据。

 Shiro介绍_Shiro核心功能

Authentication:身份认证/登录。

Authorization:权限验证,即判断用户是否能在系统中做某件 事情。

Session Management:会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。

Cryptography:加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。 Web Support:Web 支持,可以非常容易的集成到Web环境。 

Caching:缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。

Concurrency:Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。

Testing:提供测试支持。

Run As:允许一个用户假装为另一个用户的身份进行访问。

Remember Me:记住我,即一次登录后,下次再来就不用登 录了。

Shiro介绍_Shiro核心组件 

 1、Subject

主体。 Subject 在Shiro中是一个接口,接口中定义了认证授权的相关 方法。程序通过调用 Subject 的方法进行认证授权,而 Subject 使用 SecurityManager 进行认证授权。

2、SecurityManager

权限管理器,它是Shiro的核心。通过 SecurityManager 可以完成具体的 认证、授权等操作, SecurityManager 是通过 Authenticator 进行认证,通过 Authorizer 进行授权,通过 SessionManager 进行会话管理。 SecurityManager 是 一个接口,继承了 Authenticator , Authorizer , SessionManager 三个接口。

2、Authenticator

认证器。对用户登录时进行身份认证

3、Authorizer

授权器。用户认证通过后,在访问功能时需要通过授权器判断用户 是否有此功能的操作权限。

4、SessionManager

会话管理。shiro框架定义了一套会话管理,它不依赖web容器的 session,所以shiro可以使用在非web应用上。

5、Realm

领域。他是连接数据源+认证功能+授权功能的具体实现。 SecurityManager 通过 Realm 获取用户的身份和权限信息,并对用户进行认证和授权。

6、SessionDAO

会话dao,是对会话进行操作的一套接口。它可以将session数据存 储到数据库或缓存服务器中。

7、CacheManager

缓存管理,将用户权限数据存储在缓存中,这样可以减少权限查询 次数,提高性能。

8、Cryptography

密码管理,Shiro提供了一套加密/解密的组件,方便开发。

Shiro入门_项目搭建 

1、准备名为myshiro的mysql数据库

2、创建SpringBoot项目,加入相关依赖

org.springframework.bootspring-boot-starter-weborg.springframework.bootspring-boot-starter-thymeleafmysqlmysql-connector-javaruntimecom.baomidoumybatis-plus-boot-starter3.5.0org.apache.shiroshiro-spring1.9.0org.projectlomboklomboktrueorg.springframework.bootspring-boot-starter-testtestorg.springframework.bootspring-boot-starter-jdbc

3、编写配置文件 application.yml

server:port: 80
#日志格式
logging:pattern:console: '%d{HH:mm:ss.SSS} %clr(%-5level) --- [%-15thread]
%cyan(%-50logger{50}):%msg%n'
# 数据源
spring:datasource:driver-class-name: com.mysql.cj.jdbc.Driverurl: jdbc:mysql:///myshiro?serverTimezone=UTCusername: rootpassword01: root

4、将前端资源复制到项目中

5、编写页面跳转控制器

@Controller
public class PageController {@RequestMapping("/{page}")public String showPage(@PathVariable String page) {return page;}// 忽略favicon.ico的获取@GetMapping("favicon.ico")@ResponseBodypublic void noFavicon() {}
}

6、启动项目,访问登录页http://localhost/login

Shiro入门_配置文件认证 

Shrio支持多种数据源,我们首先将用户名密码写入配置文件,让 Shiro读取配置文件进行认证。 

 1、在 resources 目录下编写配置文件 shiro.ini

#声明用户账号
[users]
baizhan=123

2、编写登录控制器方法

@Controller
public class LoginController {@RequestMapping("/user/login")public String login(String username,String password){// 1.获取SecurityManager工厂,读取配置文件IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");// 2.获取SecurityManager对象SecurityManager securityManager = factory.getInstance();// 3.将SecurityManager对象设置到运行环境中SecurityUtils.setSecurityManager(securityManager);// 4.获取Subject对象Subject subject = SecurityUtils.getSubject();// 5.将前端传来的用户名密码封装为Shiro提供的身份对象UsernamePasswordToken token = new UsernamePasswordToken(username, password);try {// 6.shiro认证subject.login(token);// 7.认证通过跳转到主页面return "main";}catch (AuthenticationException e){// 8.认证不通过跳转到失败页面return "fail";}}
}

3、启动项目,访问登录页http://localhost/login,测试登录功能。

Shiro入门_数据库认证 

 之前我们使用配置文件做数据源,在真实开发中,我们往往会使用 数据库作为数据源进行认证操作。 Realm 负责连接数据源并进行具体 认证,它有一个子类 JdbcRealm ,该类可以自动连接数据库认证。

 1、创建数据表

CREATE TABLE `users`  (`username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL,`password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users` VALUES ('bizhn', 'bizhn');

2、编写登录控制器方法

@RequestMapping("/user/login2")
public String login2(String username,String password){// 1.获取SecurityManager对象DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();// 2.为SecurityManager对象设置RealmJdbcRealm jdbcRealm = new JdbcRealm();jdbcRealm.setDataSource(dataSource);securityManager.setRealm(jdbcRealm);// 3.将SecurityManager对象设置到运行环境中SecurityUtils.setSecurityManager(securityManager);// 4.获取Subject对象Subject subject = SecurityUtils.getSubject();// 5.将前端传来的用户名密码封装为Shiro提供的身份对象UsernamePasswordToken token = new UsernamePasswordToken(username, password);try {// 6.shiro认证subject.login(token);// 7.认证通过跳转到主页面return "main";}catch (AuthenticationException e){// 8.认证不通过跳转到失败页面return "fail";}
}

3、启动项目,访问登录页http://localhost/login,测试登录功能。

Shiro认证_将Shiro对象交给容器管理 

 之前的案例中,所有关于Shiro的对象都是自己创建的。我们在 SpringBoot中使用Shiro,就可以将Shiro的对象交给容器管理,简 化业务代码。

1、创建Shiro配置类

@Configuration
public class ShiroConfig {// SecurityManager对象@Beanpublic DefaultWebSecurityManager getDefaultWebSecurityManager(JdbcRealm jdbcRealm){DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();defaultSecurityManager.setRealm(jdbcRealm);return defaultSecurityManager;}// JdbcRealm@Beanpublic JdbcRealm getJdbcRealm(DataSource dataSource) {JdbcRealm jdbcRealm = new JdbcRealm();jdbcRealm.setDataSource(dataSource);return jdbcRealm;}
}

2、创建 UserService.java

@Service
public class UsersService {
@Autowiredprivate DefaultWebSecurityManager securityManager;public void userLogin(String username,String password) throws AuthenticationException {// 1.将SecurityManager对象设置到运行环境中SecurityUtils.setSecurityManager(securityManager);// 2.获取Subject对象Subject subject = SecurityUtils.getSubject();// 3.将前端传来的用户名密码封装为Shiro提供的身份对象UsernamePasswordToken token = new UsernamePasswordToken(username, password);// 4.Shiro认证subject.login(token);}
}

3、编写登录控制器方法

@RequestMapping("/user/login2")
public String login2(String
username,String password){try {usersService.userLogin(username,password);return "main";}catch (AuthenticationException e){return "fail";}
}

4、启动项目,访问登录页http://localhost/login,测试登录功能。

Shiro认证_自定义Realm 

 使用 JdbcRealm 认证时,数据库表名、字段名、认证逻辑都不能改变, 我们可以自定义Realm进行更灵活的认证。

1、准备数据表

CREATE TABLE `users`  (`uid` int(11) NOT NULL AUTO_INCREMENT,`username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,`password` varchar(255) CHARACTER SET
utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,PRIMARY KEY (`uid`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users` VALUES (1, 'bizan','123');

2、编写实体类

@Data
public class Users {private Integer uid;private String username;private String password;
}

3、编写mapper接口

public interface UsersMapper extends BaseMapper { }

4、在启动类加载mapper接口

@SpringBootApplication
@MapperScan("com.itbaizhan.myshiro1.mapper")
public class Myshiro1Application {public static void main(String[] args){SpringApplication.run(Myshiro1Application.class, args);}
}

5、编写自定义Realm类

public class MyRealm extends
AuthorizingRealm {@Autowiredprivate UserInfoMapper userInfoMapper;// 自定义认证方法@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {// 1.获取用户输入的用户名UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;String username = token.getUsername();// 2.根据用户名查询用户QueryWrapper wrapper = new QueryWrapper().eq("username",username);Users users = usersMapper.selectOne(wrapper);// 3.将查询到的用户封装为认证信息if (users == null) {throw new UnknownAccountException("账户不存在");}/*** 参数1:用户* 参数2:密码* 参数3:Realm名*/return new SimpleAuthenticationInfo(users,users.getPassword(),"myRealm");}// 自定义授权方法@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {return null;}
}

6、将自定义Realm放入SecurityManager对象中

@Configuration
public class ShiroConfig {// 自定义Realm@Beanpublic MyRealm myRealm(){return new MyRealm();}// SecurityManager对象@Beanpublic DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();// 自定义Realm放入SecurityManager中defaultSecurityManager.setRealm(myRealm);return defaultSecurityManager;}
}

7、无需修改Service和Controller

8、启动项目,访问登录页http://localhost/login,测试登录功能。

相关内容

热门资讯

猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...
埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...
埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...