shiro subject.getprincipal()为null_(变强、变秃)Java从零开始之Shiro安全框架

Shiro安全框架

一、Shiro简介

二、Shiro架构图

三、Shiro涉及常见名词

四、Shiro配置文件详解

shiro.ini 文件放在 classpath 下 ,shiro 会自动查找。其中格式是 key/value 键值对配置。 INI 配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。 ini 文件中主要配置有四大类： main ， users ， roles ， urls 示例：

1 、 [main] main 主要配置 shiro 的一些对象，例如 securityManager ， Realm ， authenticator ， authcStrategy 等等, , 例如：

2 2 、 [users] [users] 允许你配置一组静态的用户，包含用户名，密码，角色，一个用户可以有多个角色，可以配置多个角色，例如:

3 、 [roles] [roles] 将角色和权限关联起来，格式为：角色名= = 权限字符串1 1 ，权限字符串 2…..

4 4 、 [urls] 这部分配置主要在 web 应用中，格式为： url= 拦截器[ [ 参数] ] ，拦截器[ [ 参数 ]…… ，例如：

五、认证实现

认证：验证用户是否合法在 shiro 中，用户需要提供 principals （身份）和 credentials （凭证）给 shiro

5 .1.principals 身份，即主体的标识属性，可以是任何东西，如用户名、邮箱等，唯一即可。例如：用户名/ / 邮箱/ / 手机号等。 5 5 .2.credentials 凭证，即只有主体知道的安全值，如密码/ / 数字证书等。最常见的 principals 和 credentials 组合就是用户名/ / 密码了。

5.3 实现步骤 5.3.1 导入jar包 5.3.2 从源码的示例项目quickstart中拷贝shiro.ini放到src下，并配置 5.3.3 编写代码

 package com.sxt.test;import org.apache.shiro.SecurityUtils;import org.apache.shiro.authc.UsernamePasswordToken;import org.apache.shiro.config.IniSecurityManagerFactory;import org.apache.shiro.mgt.SecurityManager;import org.apache.shiro.subject.Subject;import org.junit.Test;/*** 实现简单认证* @author Administrator**/public class AuthenticationTest {@Testpublic void testAuthentication(){//1.构建SecurityManager工厂IniSecurityManagerFactory smf = new IniSecurityManagerFactory("classpath:shiro.ini");//2.通过SecurityManager工厂获取SecurityManager实例SecurityManager sm = smf.getInstance();//3.将securityMananger设置到运行环境中SecurityUtils.setSecurityManager(sm);//4.获取subject实例Subject sub = SecurityUtils.getSubject();//5.创建用户名密码验证令牌TokenUsernamePasswordToken token = new UsernamePasswordToken("victor","123456");//6.进行身份验证sub.login(token);System.out.println(sub.isAuthenticated());}}

六、JDBCRealm

Shiro默认使用自带的IniRealm，IniRealm从ini配置文件中读取用户的信息。大部分情况下需要从系统的数据库中读取用户信息，所以需要使用 JDBCRealm或自定义Realm。需求：使用JDBCRealm提供数据源，从而实现认证实现步骤： 6.1建users表（表名、字段对应上） 6.2添加jar包（数据库驱动、数据库连接池、beanutils等） 6.3编写shiro.ini 6.4编写测试代码【代码示例】

配置文件shiro.ini

 [main]#配置RealmjdbcRealm = org.apache.shiro.realm.jdbc.JdbcRealm#配置数据源dataSource = com.mchange.v2.c3p0.ComboPooledDataSourcedataSource.driverClass = com.mysql.jdbc.DriverdataSource.jdbcUrl = jdbc:mysql://localhost:3306/projectdataSource.user = rootdataSource.password = 123456jdbcRealm.dataSource = $dataSource#将Realm注入给SecurityManagersecurityManager.realm = $jdbcRealm

七、如何自定义Realm

自定义Realm，可以注入给securityManager更加灵活的安全数据源（例如， JDBCRealm中表和字段都限定了）通过实现Realm接口，或根据需求继承他的相应子类即可。需求：使用自定义Realm提供数据源，从而实现认证实现步骤： 6.1添加jar包 6.2编写自定义Realm 6.3编写shiro.ini 6.4编写测试类【代码示例】

 [main]#配置RealmmyRealm = com.sxt.realm.MyRealm#将Realm注入给SecurityManagersecurityManager.realm = $myRealm

自定义realm类继承 AuthenticatingRealm

 package com.sxt.realm;import java.sql.Connection;import java.sql.DriverManager;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authc.SimpleAuthenticationInfo;import org.apache.shiro.realm.AuthenticatingRealm;import com.mysql.jdbc.Driver;public class MyRealm extends AuthenticatingRealm {@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//使用JDBC，从数据库获取数据String principal = null;String credentials = null;ResultSet rs = null;Statement state = null;Connection conn = null;try {//1.注册驱动Driver driver = new Driver();DriverManager.registerDriver(driver);//2.获取连接对象String url="jdbc:mysql:///project";String user="root";String password="123456";conn = DriverManager.getConnection(url,user,password);//3.创建操作对象state = conn.createStatement();//4.执行sql语句String sql = "select userName,password from mylogin ";rs = state.executeQuery(sql);//5.处理结果集while(rs.next()){principal = rs.getString("userName");credentials = rs.getString("password");}} catch (Exception e) {// TODO Auto-generated catch blocke.printStackTrace();} finally{try {if(rs!=null){rs.close();}if(conn!=null){conn.close();}if(state!=null){state.close();}} catch (Exception e2) {e2.printStackTrace();}}   SimpleAuthenticationInfo sai = new SimpleAuthenticationInfo(principal, credentials, "myRealm");return sai;}}

八、密码加密实现方案

对称非对称比较：

8.3 凭证匹配器

在Realm接口的实现类AuthenticatingRealm中有credentialsMatcher属性。意为凭证匹配器。常用来设置加密算法及迭代次数等。