一、什么是Shiro
shiro是Apache下的一个强大且易用的Java安全框架,负责执行身份认证、授权、密码和会话管理。
二.Shiro的核心组件
三个核心组件:Subject、SecurityManager 、Realms1.Subject是什么?Subject就是"当前操作的用户",但是在Shiro中,并不指定Subject就是指的是人,也指的的操作的资源。2.SecurityManager是什么?大家可以把SecurityManager理解为是一个管理Subject的一个容器.负责对Subject进行认证,授权,密码加密···总结就是提供安全管理的各种服务3.Realms是什么?Realms就是负责对用户进行认证,和授权检查后交由SecurityManager,可以把他理解为是一个中间件,负责shiro和应用安全数据之间的桥梁,或连接器,也就是说,当对用户执行认证,和授权时,shiro会从Realm中查找用户和权限信息。
三.示例
了解了Shiro是什么,能干嘛用,我们做一个简单的SpringBoot案例,来了解一下.
首先使用shiro必须导入shiro-spring依赖:这里我们采用maven的形式:
<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.4.1</version></dependency>
导入依赖后,必须配置三大组件:
首先是配置Realm:
//继承了AuthorizingRealm 后会重写两个方法,一个是授权一个是认证,这方法返回的接口的名字非常的像,这里给大家说一个区分的技巧:AuthoriXationInfo,这里X如果是z那么就是授权,如果是c就是认证public class UserRealm extends AuthorizingRealm {@Autowiredprivate UserService userService;// 授权@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {System.out.println("执行了=>授权[doGetAuthorizationInfo]");SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();//拿到当前用户Subject currentSubject = SecurityUtils.getSubject();System.out.println("urrentSubject.getPrincipal()=>"+currentSubject.getPrincipal());User currentUser= (User) SecurityUtils.getSubject().getPrincipal();//授予权限info.addStringPermission(currentUser.getPerms());return info;}// 认证@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {System.out.println("执行了=>认证[doGetAuthenticationInfo]");//用户名,密码~ 数据库中取UsernamePasswordToken userToken= (UsernamePasswordToken) token;String name=token.getPrincipal().toString();System.out.println("用户名=>["+name+"]");QueryWrapper<User> queryWrapper=new QueryWrapper<>();if (!StringUtils.isEmpty(name)) {queryWrapper.eq("name",name);}User user = userService.getOne(queryWrapper);if (null==user){return null;//用户不存在}System.out.println("密码=>["+user.getPassword()+"]");System.out.println("getName=>["+getName()+"]");//将user放入sessionSubject subject = SecurityUtils.getSubject();Session session = subject.getSession();session.setAttribute("loginUser",user);//密码认证,shiro来做return new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());}}
然后对Shiro进行配置
@Configurationpublic class ShiroConfig {//ShiroFliterFactoryBean:第三步@Beanpublic ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();//设置安全管理器bean.setSecurityManager(defaultWebSecurityManager);//添加shiro的内置过滤器/*anon: 无需认证就可以访问authc: 必须认证了才能访问user: 必须拥有 记住我 功能才能用perms: 拥有对某个资源的权限才能访问role: 拥有某个角色权限才能访问*///配置拦截Map<String, String> filterMap = new HashMap<>();//访问首页以及登录不进行拦截filterMap.put("/", "anon");filterMap.put("/index", "anon");filterMap.put("/login", "anon");//进行对用户的操作进行拦截,并要求有权限filterMap.put("/user/add", "perms[user:add]");filterMap.put("/user/update", "perms[user:update]");bean.setFilterChainDefinitionMap(filterMap);//设置登录的请求bean.setLoginUrl("/toLogin");//登录成功后发送的请求bean.setSuccessUrl("/index");//未授权bean.setUnauthorizedUrl("/noAuthorization");return bean;}//DefaultWebSecurityManager:第二步@Bean(name = "securityManager")public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();//关联UserRealmsecurityManager.setRealm(userRealm);return securityManager;}//创建 Realm 对象 , 需要自定义类:第一步@Bean(name = "userRealm")public UserRealm userRealm() {return new UserRealm();}}
主要就是这几个配置,配完之后就和我们平时写业务一样,简单的定义一个User类我这里采用的是Mybatis-Plus:
@Data@AllArgsConstructor@NoArgsConstructor@TableName(value = "user")public class User {@TableId(value = "id",type = IdType.AUTO)private Integer id;@TableField(value = "name")private String name;@TableField(value = "password")private String password;@TableField(value = "perms")private String perms;}
Mapper:
@Repository@Mapperpublic interface UserMapper extends BaseMapper<User> {}
Service:
public interface UserService extends IService<User> {}
ServiceImpl:
@Servicepublic class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService {@Autowiredprivate UserMapper userMapper;}
Controller:
@Controllerpublic class MyController {@RequestMapping({"/","/index"})public String toIndex(Model model){return "index";}@RequestMapping("/toLogin")public String toLogin(){return "login";}@RequestMapping("/login")public String login(String name, String password, Model model, HttpServletRequest request){//获取当前的用户Subject subject = SecurityUtils.getSubject();//封装用户的登录数据UsernamePasswordToken token=new UsernamePasswordToken(name,password);try {subject.login(token);//执行登录方法,如果没有异常就说明成功return "redirect:/index";} catch (UnknownAccountException e) {//用户名不存在model.addAttribute("msg","用户名不存在");}catch (IncorrectCredentialsException e) {//密码错误model.addAttribute("msg","密码错误");}return "login";}@RequestMapping("/noAuthorization")@ResponseBodypublic String noAuthorization(){return "未经授权,不能访问!";}}
到这里就已经写完了,是不是很简单?只需要几个简单的配置就可以完成一套,用户的认证和授权.可见功能的强大!
最后页面代码:
Login页面:
<!DOCTYPE html><html lang="en" xmlns:th="http://www.thymeleaf.org"><head><meta charset="UTF-8"><title>Title</title></head><body><h1>登录</h1><p th:text="${msg}" style="color: red"></p><form th:action="@{/login}"><p>用户名:<input type="text" th:name="name"></p><p>密码:<input type="text" th:name="password"></p><p><input type="submit" value="登录"></p></form></body></html>
Index页面:
<!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><title>Title</title></head><body><h1>登录成功!</h1></body></html>
到这里,一个简单的Shiro案例就已经完成,大家快去试试吧!
文章转载自产教Code,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
