shiro权限框架简单入门demo
shiro和spring security都是开源的权限框架,shiro相对于spring security来说更简单学习成本更低,并且提供的API也明了,下面是shiro官方的一个图:
- 其中把上面的东西抽象出来主要分为几个块(网上找的文档抠出来的):
1.Subject
Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权
2.SecurityManager
SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。
3.Authenticator
Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。
4.Authorizer
Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
5.realm
Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。
6.sessionManager
sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
7.SessionDAO
SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。
8.CacheManager
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
9.Cryptography
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。
- 下面来一个小demo:
结构如下:
User类:
用于封装用户的信息
private String username;
private String password;
private String salt;
private List<String> permis;自定义的Realm:
其中,认证和授权都是在realm中实现的,我们需要继承AuthorizingRealm抽象类并且实现里面的doGetAuthenticationInfo(认证方法)、doGetAuthorizationInfo(授权方法)即可,其中当我们认证的时候会调用subject的login方法,会发现最后执行的认证方法是这个:this.authenticator.authenticate(token)
而authenticator在源码中在构造方法初始化是:this.authenticator = new ModularRealmAuthenticator();
所以最后调用的是ModularRealmAuthenticator的authenticate这个方法,其中authenticate是属于父类的AbstractAuthenticator的一个方法,所以跳到AbstractAuthenticator的authenticate方法:
认证就会去执行doAuthenticate(token)方法,其中先会判断用户是否存在,如果不存在(为null)会抛出:org.apache.shiro.authc.UnknownAccountException异常
如果存在但是凭证不匹配会抛出:
org.apache.shiro.authc.IncorrectCredentialsException异常
授权也是一样,如果没被授权会抛出:
org.apache.shiro.authc.IncorrectCredentialsException异常
public class MyRealm extends AuthorizingRealm {
/**
* 用于认证
*
* @param authenticationToken
* @return
* @throws AuthenticationException
*/
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
// 取出登录用户名字
String username = (String) authenticationToken.getPrincipal();
// 根据名字查询数据库得到密码
User user = getPassword(username);
// 如果查询为空就返回空 抛出org.apache.shiro.authc.UnknownAccountException
if (null == user) {
return null;
}
// 查询到就组装信息返回 密码错误抛出:org.apache.shiro.authc.IncorrectCredentialsException
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), this.getClass().getName());
return info;
}
/**
* 用于授权
*
* @param principalCollection
* @return
*/
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
// 取出身份信息
User user = (User) principalCollection.getPrimaryPrincipal();
// 查询数据库获取该用户的权限信息
List permiss = getPermiss(user.getUsername());
// 组装授权信息 没有权限抛出:org.apache.shiro.authc.IncorrectCredentialsException
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(permiss);
return info;
}
/**
* 模拟数据库查询认证信息
*
* @param username
* @return
*/
private User getPassword(String username) {
User user = new User();
user.setUsername(username);
user.setPassword("749d3c663c547ddf1ec5f7a39a7cef19");
user.setSalt("salt1");
return user;
}
/**
* 模拟数据库查询授权信息
*
* @param username
* @return
*/
private List getPermiss(String username) {
List permis = new ArrayList();
permis.add("user:create");
permis.add("user:query");
return permis;
}
} 主方法Bootstrap:
主要做测试用
public class MyBootstrap {
public static void main(String[] args) {
// 用户输入的账号密码
String username = "lijie";
String password = "111111";
// 创建SecurityManager工厂
Factory factory = new IniSecurityManagerFactory("classpath:realm.ini");
// 创建SecurityManager
SecurityManager securityManager = factory.getInstance();
// 将SecurityManager设置到系统运行环境
SecurityUtils.setSecurityManager(securityManager);
// 创建subject
Subject subject = SecurityUtils.getSubject();
// 创建token
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
// 认证
try {
subject.login(token);
} catch (AuthenticationException e) {
e.printStackTrace();
}
System.out.println("认证是否成功--> " + subject.isAuthenticated());
boolean permitted = subject.isPermitted("user:create1");
System.out.println("是否被授权--> " + permitted);
}
} realm.ini 文件:
以后会用spring配置
[main]
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
credentialsMatcher.hashAlgorithmName=md5
credentialsMatcher.hashIterations=1
#相当于注入MyRealm
myRealm= cn.lijie.realm.MyRealm
myRealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$myRealm
执行结果:
