文章目录

  • 一:什么是Shiro框架
  • 二:Shiro框架简介
    • 1、Shiro基础功能点介绍
    • 2、Shiro的工作原理
    • 3、Shiro的内部工作结构
    • 4、Shiro的身份认证流程
  • 三:Spring集成Shrio
    • 1、添加依赖支持
    • 2、首先添加ShrioFilter拦截器
    • 3、定义一个myspring-shiro.xml的权限配置文件
    • 4、将myspring-shiro.xml添加到applicationContext.xml
    • 5、编写MyShiroRealm
    • 6、编写登录模块代码
  • 四:总结

一:什么是Shiro框架

Shiro是一个轻量级的权限框架,它可以帮助我们完成:认证、授权、会话管理、与Web继承、缓存等功能。它有以下几个特点:

  • 易于使用 :易于使用是该项目的最终目标。
  • 全面 :Apache Shiro声称没有其他具有范围广度的安全框架,因此它可能是满足安全需求的“一站式服务”。
  • 灵活 :Apache Shiro可以在任何应用程序环境中工作。虽然它可以在Web,EJB和IoC环境中运行,但不需要它们。Shiro也不要求任何规范,甚至没有很多依赖性。
  • 具有Web功能 :Apache Shiro具有出色的Web应用程序支持,使您可以基于应用程序URL和Web协议(例如REST)创建灵活的安全策略,同时还提供一组JSP库来控制页面输出。
  • 可插拔 :Shiro干净的API和设计模式使它易于与许多其他框架和应用程序集成。您会看到Shiro与Spring,Grails,Wicket,Tapestry,Mule,Apache Camel,Vaadin等框架无缝集成。
  • 受支持 :Apache Shiro是Apache Software Foundation(Apache软件基金会)的一部分,事实证明该组织的运作符合其社区的最大利益。项目开发和用户群体友好的公民随时可以提供帮助。如果需要,像Katasoft这样的商业公司也可以提供专业的支持和服务。

Apache Shiro官网:https://www.infoq.com/articles/apache-shiro/

二:Shiro框架简介

1、Shiro基础功能点介绍


Shiro框架的四个基石:身份验证授权会话管理密码模块
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Management:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中,会话可以是普通的JavaSE环境,也可以是Web环境的;
Cryptography:密码模块,加密保护数据的安全性,如密码加密存储到数据库中,而非明文存储;

在不同的应用程序环境中,还具有其他功能来支持和加强这些问题,尤其是:
Web Support:Web支持,可以非常容易的集成到Web环境
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:Shiro支持多线程应用的并发验证,即使在一个先程中开启另一个线程,也可以把权限自动传播过去;
Testing:提供测试支持;
“RunAs”:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

需要注意,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。

2、Shiro的工作原理


从应用的视角我们可以看到应用层直接交互的对象就是Subject,Shiro对外API核心就是Subject,如下介绍每个API的含义:

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象的概念;所有的Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Sub认为是一个门面;SecManager才是实际的执行者;

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;并且它管理着所有的Subject,它是Shiro的核心,它负责与后面的其他组件进行交互,它类似SpringMVC里面的DispatcherServlet前端控制器;

Realm:域,Shiro从Realm获取安全数据(用户、角色、权限),SecurityManager需要验证用户身份,那么它需要从Ream获取相应的用户进行比较以确定用户身份是否合法;也需要从Ream得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即数据源;

一个简单的Shiro应用流程如下:
1、应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManager;
2、我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能够得到合法的用户及其权限进行判断。

3、Shiro的内部工作结构


Subject:主体,可以看到主体可以是任何可以与应用交互的 “用户”;

SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher;是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;

Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;

Realm:可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是 JDBC 实现,也可以是 LDAP 实现,或者内存实现等等;由用户提供;注意:Shiro 不知道你的用户 / 权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的 Realm;

SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session 呢需要有人去管理它的生命周期,这个组件就是 SessionManager;而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境、EJB 等环境;所以呢,Shiro 就抽象了一个自己的 Session 来管理主体与应用之间交互的数据;这样的话,比如我们在 Web 环境用,刚开始是一台 Web 服务器;接着又上了台 EJB 服务器;这时想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到 Memcached 服务器);

SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD,比如我们想把 Session 保存到数据库,那么可以实现自己的 SessionDAO,通过如 JDBC 写到数据库;比如想把 Session 放到 Memcached 中,可以实现自己的 Memcached SessionDAO;另外 SessionDAO 中可以使用 Cache 进行缓存,以提高性能;

CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能

Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密 / 解密的。

4、Shiro的身份认证流程


流程如下:

  1. 首先调用 Subject.login(token) 进行登录,其会自动委托给 Security Manager,调用之前必须通过 SecurityUtils.setSecurityManager() 设置;
  2. SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
  3. Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
  4. Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用AuthenticationStrategy 进行多 Realm 身份验证;
  5. Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回 / 抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问

三:Spring集成Shrio

1、添加依赖支持

本文使用的shiro版本为:1.2.2

        <shiro.version>1.2.2</shiro.version>

        <!--shiro start--><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>${shiro.version}</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-ehcache</artifactId><version>${shiro.version}</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-web</artifactId><version>${shiro.version}</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-quartz</artifactId><version>${shiro.version}</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>${shiro.version}</version></dependency><!--shiro end-->

2、首先添加ShrioFilter拦截器

    <filter><description>shiro 权限拦截</description><filter-name>shiroFilter</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class><init-param><param-name>targetFilterLifecycle</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>shiroFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>

3、定义一个myspring-shiro.xml的权限配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"xmlns:util="http://www.springframework.org/schema/util" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsdhttp://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd"><description> shiro 配置</description><!--1,配置SecurityManager--><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="MyShiroRealm"></property></bean><!--2.配置cacheManager--><bean class="org.apache.shiro.cache.MemoryConstrainedCacheManager"/><!--3.配置authenticator--><bean class="org.apache.shiro.authc.pam.ModularRealmAuthenticator"><property name="authenticationStrategy"><bean class="org.apache.shiro.authc.pam.FirstSuccessfulStrategy"></bean></property></bean><!--4.配置realm --><bean  id ="MyShiroRealm" class="com.leo.shiro.MyShiroRealm"><property name="credentialsMatcher"><bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"><property name="hashAlgorithmName" value="MD5"></property><property name="hashIterations" value="1024"></property></bean></property></bean><!--5.配置lifecycleBeanPostProcessor 可以自动的来调用配置在Spring IOC 容器中的生命周期方法--><bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean><!--6.启动IOC容器中使用shiro 的注解,但必须配置lifecycleBeanPostProcessor 之后,才能使用--><bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"></bean><bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"><property name="securityManager" ref="securityManager"></property></bean><!--配置shiroFilter--><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager"></property><property name="loginUrl" value="/login.jsp"></property><!--这里直接用Controller里面跳转到成功界面,所以没设置参数--><property name="successUrl" value="/index.jsp"></property><property name="unauthorizedUrl" value="/view"></property><!-- 配置哪些页面需要受保护. 以及访问这些页面需要的权限.1). anon(anonymous) 可以被匿名访问 2). authc(authentication)必须认证(即登录)后才可能访问的页面. 3). logout 登出.4)等等其他的,没用到 我就不写出来了 --><property name="filterChainDefinitions"><value>/login.jsp=anon/user/login=anon/hello=anon#表示其他所有的url都需要认证/** =authc</value></property></bean>
</beans>

4、将myspring-shiro.xml添加到applicationContext.xml

    <!-- 引入shiro配置信息 --><import resource="myspringmvc-shiro.xml"/>

5、编写MyShiroRealm

package com.leo.shiro;import com.leo.model.User;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;import java.util.*;/*** @ClassName: MyShiroRealm* @Description: shiro的授权鉴权* @Author: leo825* @Date: 2020-08-01 11:16* @Version: 1.0**/
public class MyShiroRealm extends AuthorizingRealm {private static Map<String,User> userMap = new HashMap<String, User>();static{//        userMap.put("jack", new User("jack","aaa123"));
//        userMap.put("tom", new User("tom","bbb321"));
//        userMap.put("jean", new User("jean","ccc213"));//使用Map模拟数据库获取User表信息userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1"));userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95"));userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e"));}/**** 授权* @param* @return*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {Object principal = principals.getPrimaryPrincipal();Set<String> roles = new HashSet<>();SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();if ("admin".equals(principal.toString())) {roles.add("admin");info.setRoles(roles);info.addStringPermissions(Arrays.asList("admin:*"));} else if ("user".equals(principal.toString())) {roles.add("user");info.setRoles(roles);info.addStringPermissions(Arrays.asList("user:*"));}return info;}/***** 认证* @param token* @return* @throws AuthenticationException*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//1.把AuthenticationToken转换为UsernamePasswordTokenUsernamePasswordToken userToken = (UsernamePasswordToken) token;//2.从UsernamePasswordToken中获取usernameString username = userToken.getUsername();//3.调用数据库的方法,从数据库中查询Username对应的用户记录System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");//Map模拟数据库取数据User u = userMap.get(username);//4.若用户不行存在,可以抛出UnknownAccountExceptionif(u==null){throw new UnknownAccountException("用户不存在");}//5.若用户被锁定,可以抛出LockedAccountException
//        if(u.isLocked()){//            throw new LockedAccountException("用户被锁定");
//        }//7.根据用户的情况,来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo//以下信息是从数据库中获取的//1)principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体对象Object principal = u.getUserName();//2)credentials:密码Object credentials = u.getPassword();//3)realmName:当前realm对象的name,调用父类的getName()方法即可String realmName = getName();//4)credentialsSalt盐值ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);return info;}//    //main方法生成加密后的密码
//    public static void main(String[] args) {//        User u = null;
//        Iterator<String> it = userMap.keySet().iterator();
//        while(it.hasNext()){//            u = userMap.get(it.next());
//            String hashAlgorithmName = "MD5";//加密方式
//            Object crdentials = u.getPassword();//密码原值
//            ByteSource salt = ByteSource.Util.bytes(u.getUserName());//以账号作为盐值
//            int hashIterations = 1024;//加密1024次
//            Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
//            System.out.println(u.getUserName()+":"+result);
//        }
//    }
}

6、编写登录模块代码

package com.leo.controller;import com.leo.model.User;
import com.leo.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @ClassName: LoginController* @Description: 登录认证控制器* @Author: leo825* @Date: 2020-08-01 11:58* @Version: 1.0**/@Controller
@RequestMapping("/user")
public class LoginController {@Autowiredprivate UserService userService;@RequestMapping("/login")public String dologin(User user, Model model){System.out.println("登录认证开始了...");String info = loginUser(user);if (!"SUCC".equals(info)) {model.addAttribute("failMsg", "用户不存在或密码错误!");//此处不能展示具体失败信息,会遭到安全攻击return "/jsp/fail";}else{model.addAttribute("successMsg", "登陆成功!");//返回到页面说夹带的参数model.addAttribute("name", user.getUserName());return "/jsp/success";//返回的页面}}@RequestMapping("/logout")public void logout(HttpServletRequest request,HttpServletResponse response) throws IOException{Subject subject = SecurityUtils.getSubject();if (subject != null) {try{subject.logout();}catch(Exception ex){}}response.sendRedirect("/login.jsp");}private String loginUser(User user) {if (isRelogin(user)) return "SUCC"; // 如果已经登陆,无需重新登录return shiroLogin(user); // 调用shiro的登陆验证}/*** 登录验证* @param user* @return*/private String shiroLogin(User user) {// 组装token:用户名称、密码UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword().toCharArray(), null);token.setRememberMe(true);// shiro登陆验证try {SecurityUtils.getSubject().login(token);} catch (UnknownAccountException ex) {return "用户不存在或者密码错误!";} catch (IncorrectCredentialsException ex) {return "用户不存在或者密码错误!";} catch (AuthenticationException ex) {ex.printStackTrace();return ex.getMessage(); // 自定义报错信息} catch (Exception ex) {ex.printStackTrace();return "内部错误,请重试!";}return "SUCC";}/*** 检测是否需要重新登录* @param user* @return*/private boolean isRelogin(User user) {Subject us = SecurityUtils.getSubject();if (us.isAuthenticated()) {return true; // 参数未改变,无需重新登录,默认为已经登录成功}return false; // 需要重新登陆}
}

登录页面和登录成功失败的页面就省略了

四:总结

根据此篇文章可以基本了解什么是Shiro,Shiro能做些什么,以及如何在SpringMVC中整合Shrio。
源码模块:chapter-7-springmvc-shiro1
地址:https://gitee.com/leo825/spring-framework-learning-example.git

Spring集成Shiro框架实战相关推荐

  1. spring集成shiro详解

    最近项目中要用到shiro作为权限管理,以前都是用自定义的或者spring security,所以就开始看了一些网上的文章,但是感觉都写得很零散.而且大多数都只是给了几行代码,我们得项目相对比较复杂, ...

  2. Spring集成MyBatis框架

    Spring集成MyBatis框架 Java在写数据库查询时,我接触过四种方式: 1.纯Java代码,引用对应的数据库驱动包,自己写连接与释放逻辑(可以用连接池) 这种模式实际上性能是非常不错的,但是 ...

  3. Shiro学习总结(10)——Spring集成Shiro

    1.引入Shiro的Maven依赖 [html] view plaincopy <!-- Spring 整合Shiro需要的依赖 --> <dependency> <gr ...

  4. Quartz学习总结(1)——Spring集成Quartz框架

    一.Quartz简介 Quartz是OpenSymphony开源组织在Job scheduling领域又一个开源项目,它可以与J2EE与J2SE应用程序相结合也可以单独使用.Quartz可以用来创建简 ...

  5. SpringBoot集成shiro框架

    一 介绍: 主要用到SpringBoot.hibernate.swagger.mybatis.shiro.maven等技术. 项目使用idea.mysql数据库开发,idea要安装lombok插件否则 ...

  6. spring集成quartz框架

    2019独角兽企业重金招聘Python工程师标准>>> 1.Spring对quartz支持 2.实例(按红色部分配置) 1)引入quartz包 <dependency>& ...

  7. Spring Boot 极简集成 Shiro

    点击关注公众号,Java干货及时送达 1. 前言 Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理. Shiro有三大核心组件: Subject: ...

  8. 39 Spring Boot Shiro权限管理【从零开始学Spring Boot】

    [视频 & 交流平台] à SpringBoot视频 http://study.163.com/course/introduction.htm?courseId=1004329008& ...

  9. Spring Boot Shiro视频 - 身份认证准备工作

    [视频 & 交流平台] à SpringBoot视频 http://study.163.com/course/introduction.htm?courseId=1004329008& ...

最新文章

  1. 【arduino】DIY音乐播放器,arduino音箱播放wav音乐
  2. MySQL内核:InnoDB存储引擎 卷1
  3. 完全备份、差异备份、增量备份的区别
  4. spring--(25)声明式事务
  5. 5、play中的json数据处理
  6. 浮点数向零舍入(信息学奥赛一本通-T1019)
  7. 基于java的九宫格求解程序。以荷兰数学家设计的世界最难九宫格为例。
  8. HDU2159 FATE(二维背包、带限制条件的背包问题)
  9. python寻路_【Python】 Numpy极简寻路
  10. orm2 中文文档 3.2 模型验证器
  11. LTR学习排序 Learning to Rank 小结
  12. td.moveRow方法
  13. 什么时候要用存储过程,存储过程的优点 .
  14. 固定资产中计算机软件类型,国税局固定资产的分类
  15. DockerKubernetes ❀ Kubernetes集群 - DashBoard服务(Web管理)安装部署
  16. nodejs个人学习笔记
  17. 试验一:网络扫描与网络侦查
  18. dp-cf-F-风王之瞳
  19. [idea] idea导包的三种方式(导入jar包/添加库/全局库)
  20. 软件工程_东师站_总结

热门文章

  1. 用dwz+springmvc出现这个问题Http status: 200 OK ajaxOptions: parsererror thrownError
  2. SAP采购订单税码增强检查
  3. FAGLF101 应收(付)重组配置和操作
  4. “贩卖”国潮新鲜感的花西子、完美日记们,能炒多久?
  5. 社交电商风潮起,中小卖家何处去
  6. 8 时间转指定时区的时间_Linux指定的时间运行自定义命令的两种方式
  7. MySQL高可靠_MySQL高可用与高可靠架构
  8. 右键菜单无响应_给电脑添加右键菜单重启资源管理器,让电脑不再死机!
  9. ppt复制切片器_这6个新手必学的PPT技能,让你效率提升10倍!套模板都比别人快...
  10. mix2s android p内测,历时一个月,MIX2S成小米首款Android P公测机型