2021-11-22最适合入门的Shiro框架教程(一)(权限管理,核心组件,认证流程,基于JavaSE应用)

一、引入案例《汽车销售管理系统》

2021-11-22最适合入门的Shiro框架教程(一)(权限管理,核心组件,认证流程,基于JavaSE应用)_第1张图片

 

基于主页的权限管理(不同用户)

适用于权限管理比较单一,用户少,每类用户权限固定

基于用户和权限的权限管理

可以实现权限的动态分配,但是不够灵活,不适合多个重复角色,

用户表--》用户权限表--》系统权限表(基础三张表  )

2021-11-22最适合入门的Shiro框架教程(一)(权限管理,核心组件,认证流程,基于JavaSE应用)_第2张图片

二、RBAC权限设计(五张表

        基于角色的访问控制(Role-Based Access  Control)

角色表

角色ID  角色名称 
r001  销售人员
r002  仓管人员

用户角色表

用户ID  角色ID
1 r001 
2 r002 

用户权限表,可以通过权限直接授予,不想通过角色授予!!

2021-11-22最适合入门的Shiro框架教程(一)(权限管理,核心组件,认证流程,基于JavaSE应用)_第3张图片

 三、Shiro安全框架简介

3.1认证授权流程

认证:对用户的身份进行检查

授权:对用户的权限进行检查

3.2安全框架

帮助我们完成用户身份认证及权限检查功能框架

常用框架:

  • Shiro:Apache Shiro  强大的java安全框架,可以完成认证,授权,密码及会话管理,主要针对单体项目的权限管理
  • Spring Security:基于Spring的一个安全框架,依赖Spring
  • OAuth2:第三方授权登录
  • 自定义安全认证中心

 四、Shiro的工作原理

4.1Shiro的核心功能

 2021-11-22最适合入门的Shiro框架教程(一)(权限管理,核心组件,认证流程,基于JavaSE应用)_第4张图片

 4.2Shiro的核心组件

Architecture

2021-11-22最适合入门的Shiro框架教程(一)(权限管理,核心组件,认证流程,基于JavaSE应用)_第5张图片

  •  Subject        当前待认证和授权的用户对象

  • Security Manager 通过Security Manager来进行内部实例的管理,并通过它来提供安全管理的各种服务。

  • Realms  相当于Shiro进行认证和授权的数据源,充当了Shiro与安全数据之间的桥梁或者连接器,也就是说,当对用户进行认证和授权验证时,Shiro会用应用配置的realm中查找用户以及权限信息。

 五、基于JavaSE应用-shiro的基本使用

5.1创建Maven项目

5.2导入Shiro依赖库


    org.apache.shiro
    shiro-core
    1.4.1

5.3创建Shiro配置文件

        创建shiro.inl文件,完成用户、角色以及权限的配置

[user]
zhangsan=123456,seller
lisi=666666,ckmgr
admin=222222,admin

[roles]
admin=*
seller=order-add,order-del,order-list
ckmgr=ck-add,ck-del,ck-list

 5.4shiro基本使用

package com.qfedu.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

import java.util.Scanner;

public class TestShiro {
    public static void main(String[] args) {
        Scanner scanner=new Scanner(System.in);
        System.out.println("请输入账号");
        String username = scanner.nextLine();
        System.out.println("请输入密码");
        String password= scanner.nextLine();
        //创建安全管理器
        DefaultSecurityManager securityManager=new DefaultSecurityManager();
        //构造realm
        IniRealm iniRealm=new IniRealm("classpath:shiro.ini");
        //将realm设置给安全管理器
        securityManager.setRealm(iniRealm);
        //将安全管理器设置给SecurityUtils工作
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        //认证流程
        //a.将认证账号和密码封装到token对象中
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //b.通过subject对象调用login方法进行认证申请
        boolean b=false;
        try {
            subject.login(token);
            b=true;
        }catch (IncorrectCredentialsException e){
            b=false;
        }
        System.out.println(b?"登录成功":"登录失败");

        //授权流程!!!
        //判断是否有角色
        System.out.println(subject.hasRole("seller"));
        //判断是否有权限
        System.out.println(subject.isPermitted("order-del"));

    }
}

六、shiro认证授权流程

账号和密码封装到Token中。

subject会调用login方法,需要token!!

SecurityManager——Authenticator(认证器)——iniRealm<<===shiro.ini安全信息

  1. 通过subject.login(token)进行登录,就会将token包含的用户信息(账号和密码)传递给安全管理器
  2. 安全管理器调用Authenticator认证器进行身份认证
  3. Authenticator把token传递给对应的Realm
  4. Realm根据得到的token,调用doGetAuthenticationInfo方法进行认证(如果认证失败通过抛出异常提示认证器) 
  5. 第五到第七步将校验结果一层一层返回!

2021-11-22最适合入门的Shiro框架教程(一)(权限管理,核心组件,认证流程,基于JavaSE应用)_第6张图片

不正确的凭证  IncorrectCredentialsException

你可能感兴趣的:(自娱自乐,shiro,java,intellij,idea)