Shiro认证与授权、JdbcRealm的使用方法
1.什么是Shiro?
Shiro是Apache的一个开源的安全框架。
2.Shiro可以做什么
提供安全认证(普通用户或管理员)、授权(该用户是否可以进行相关操作)、企业会话管理(Session)、安全加密(如MD5)
我使用的开发工具是idea,创建一个maven项目。
导入相关dependency
org.apache.shiro
shiro-core
1.2.5
junit
junit
4.12
mysql
mysql-connector-java
5.1.39
com.alibaba
druid
1.1.12
一、认证与授权操作:
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.SimpleAccountRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Before;
import org.junit.Test;
public class testAuthentication {
//创建一个用户Realm实例
SimpleAccountRealm simpleAccountRealm=new SimpleAccountRealm();
@Before
public void addUser(){
//添加一条信息 用户用于校验的信息集合 一般存在于数据库
//依次为用户名,密码,用户角色
simpleAccountRealm.addAccount("admin","123456","user");
}
@Test
public void authenticationtest(){
/*构建SercurityManager环境*/
DefaultSecurityManager defaultSecurityManager=new DefaultSecurityManager();
defaultSecurityManager.setRealm(simpleAccountRealm);
/*主体提交认证*/
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject= SecurityUtils.getSubject();
//用户用于检验的对象类实体
UsernamePasswordToken token=new UsernamePasswordToken("admin","123456");
subject.login(token);
//验证是否校验成功返回true或false
System.out.println(subject.isAuthenticated());
//验证是否为该种角色 若不为该角色抛出异常
subject.checkRoles("user");
}
}测试结果:输出true
0.创建SimpleAccountRealm对象并向其中插入校验信息。
1.构造SecurityManager环境并设置Realm实例(Realm是用户实体)
2.创建主体Subject,将SecurityManager环境配置到SecurityUtils中,使主体可以与Realm交互
3.创建一个用户认证的对象UserNamePasswordToken(用户输入的用户名和密码)
4.Subject执行login操作
5.输出subject.isAuthenticated()结果
6.检查角色的真实性
操作目的:
1.认证:证明用户输入的用户名和密码与数据库中的用户名密码匹配与否。
2.授权:证明该用户是某种角色
二、JdbcRealm的使用
import com.alibaba.druid.pool.DruidDataSource;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
public class JdbcRealmTest {
//创建一个数据源
DruidDataSource druidDataSource=new DruidDataSource();
{
//配置数据源信息
druidDataSource.setUrl("jdbc:mysql://localhost:3306/shiro_test");
druidDataSource.setUsername("root");
druidDataSource.setPassword("123456");
}
@Test
public void authenticationtest(){
//创建一个JdbcRealm
JdbcRealm jdbcRealm=new JdbcRealm();
/*设置数据源*/
jdbcRealm.setDataSource(druidDataSource);
//设置为true时允许查询权限数据
jdbcRealm.setPermissionsLookupEnabled(true);
//设置认证查询
String sql="select password from users where username = ?";
jdbcRealm.setAuthenticationQuery(sql);
/*设置角色查询*/
String role_sql="select role_name from user_roles where username=?";
jdbcRealm.setUserRolesQuery(role_sql);
/*设置权限查询*/
String premission_sql="select permission from roles_premission where role_name = ?";
jdbcRealm.setPermissionsQuery(premission_sql);
/*构建SercurityManager环境*/
DefaultSecurityManager defaultSecurityManager=new DefaultSecurityManager();
defaultSecurityManager.setRealm(jdbcRealm);
/*主体提交认证*/
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject= SecurityUtils.getSubject();
/*创建一个待验证的实体*/
UsernamePasswordToken token=new UsernamePasswordToken("xiaoming","123456");
subject.login(token);
/*检查用户认证是否通过*/
System.out.println(subject.isAuthenticated());
/*检验是否为该角色*/
subject.checkRole("admin");
/*检验是否拥有该权限*/
subject.checkPermission("user:select");
}
}前期准备:
1.建立三张表,分别是用户表user(id,username,password),角色表user_roles(id,username,role_name),权限表role_permission(id,role_name,permission)。
操作过程:
0.配置数据源DruidDataSource
1.创建JdbcRealm对象并设置数据源
2.设置认证和授权sql语句
3.构造SecurityManager环境并设置Realm实例(JdbcRealm)
4.创建主体Subject,将SecurityManager环境配置到SecurityUtils中,使主体可以与Realm交互
5.创建一个用户认证的对象UserNamePasswordToken(用户输入的用户名和密码)
6.Subject执行login操作
7.输出subject.isAuthenticated()结果
8.检查角色的真实性