Shiro-全面详解（学习总结---从入门到深化）

目录

Shiro介绍_Shiro简介

 Shiro介绍_Shiro核心功能

Shiro介绍_Shiro核心组件 

Shiro入门_项目搭建 

Shiro入门_配置文件认证 

Shiro入门_数据库认证 

Shiro认证_将Shiro对象交给容器管理 

Shiro认证_自定义Realm 

Shiro认证_多Realm认证 

 Shiro认证_多Realm认证策略

Shiro认证_异常处理

 Shiro认证_散列算法

Shiro认证_过滤器 

Shiro认证_获取认证数据

Shiro认证_Shiro会话

Shiro认证_会话管理器

Shiro认证_退出登录 

Shiro认证_Remember Me 

 Shiro授权_权限表设计

Shiro授权_数据库查询权限

 Shiro授权_在Realm进行授权

Shiro授权_过滤器配置鉴权

Shiro授权_注解配置鉴权 

 Shiro授权_Thymeleaf中进行鉴权

 Shiro授权_缓存

---

Shiro介绍_Shiro简介

 Shiro是apache旗下的一个开源安全框架，它可以帮助我们完成身 份认证，授权、加密、会话管理等功能。它有如下特点：

1、易于理解的API 简单的身份认证，支持多种数据源

2、简单的授权和鉴权

3、简单的加密API

4、支持缓存，以提升应用程序的性能

5、内置会话管理，适用于Web以及非Web的环境

6、不跟任何的框架或者容器捆绑，可以独立运行

认证 

认证即系统判断用户的身份是否合法，合法可继续访问，不合法则 拒绝访问。常见的用户身份认证方式有：用户名密码登录、二维码 登录、手机短信登录、脸部识别认证、指纹认证等方式。 认证是为了保护系统的隐私数据与资源，用户的身份合法才能访问该系统的资源。

授权

授权即认证通过后，根据用户的权限来控制用户访问资源的过程， 拥有资源的访问权限则正常访问，没有权限则拒绝访问。 比如在一 些视频网站中，普通用户登录后只有观看免费视频的权限，而VIP用户登录后，网站会给该用户提供观看VIP视频的权限。 认证是为了保证用户身份的合法性，授权则是为了更细粒度的对隐 私数据进行划分，控制不同的用户能够访问不同的资源。 举个例子：认证是公司大门识别你作为员工能进入公司，而授权则是由于你作为公司会计可以进入财务室，查看账目，处理财务数据。

 Shiro介绍_Shiro核心功能

Authentication：身份认证/登录。

Authorization：权限验证，即判断用户是否能在系统中做某件 事情。

Session Management：会话管理，用户登录后就是一次会 话，在没有退出之前，它的所有信息都在会话中，会话可以是 JavaSE环境的，也可以是Web环境的。

Cryptography：加密，保护数据的安全性。即密码加密存储到 数据库，而不是明文存储。 Web Support：Web 支持，可以非常容易的集成到Web环境。 

Caching：缓存。在用户登录后，用户信息、拥有的权限不必每 次去查，这样可以提高效率。

Concurrency：Shiro支持多线程应用的并发验证，即如在一个 线程中开启另一个线程，能把权限自动传播过去。

Testing：提供测试支持。

Run As：允许一个用户假装为另一个用户的身份进行访问。

Remember Me：记住我，即一次登录后，下次再来就不用登 录了。

Shiro介绍_Shiro核心组件 

 1、Subject

主体。 Subject 在Shiro中是一个接口，接口中定义了认证授权的相关 方法。程序通过调用 Subject 的方法进行认证授权，而 Subject 使用 SecurityManager 进行认证授权。

2、SecurityManager

权限管理器，它是Shiro的核心。通过 SecurityManager 可以完成具体的 认证、授权等操作， SecurityManager 是通过 Authenticator 进行认证，通过 Authorizer 进行授权，通过 SessionManager 进行会话管理。 SecurityManager 是 一个接口，继承了 Authenticator , Authorizer , SessionManager 三个接口。

2、Authenticator

认证器。对用户登录时进行身份认证

3、Authorizer

授权器。用户认证通过后，在访问功能时需要通过授权器判断用户 是否有此功能的操作权限。

4、SessionManager

会话管理。shiro框架定义了一套会话管理，它不依赖web容器的 session，所以shiro可以使用在非web应用上。

5、Realm

领域。他是连接数据源+认证功能+授权功能的具体实现。 SecurityManager 通过 Realm 获取用户的身份和权限信息，并对用户进行认证和授权。

6、SessionDAO

会话dao，是对会话进行操作的一套接口。它可以将session数据存 储到数据库或缓存服务器中。

7、CacheManager

缓存管理，将用户权限数据存储在缓存中，这样可以减少权限查询 次数，提高性能。

8、Cryptography

密码管理，Shiro提供了一套加密/解密的组件，方便开发。

Shiro入门_项目搭建 

1、准备名为myshiro的mysql数据库

2、创建SpringBoot项目，加入相关依赖

    
    
        org.springframework.boot
        spring-boot-starter-web
    
    
    
        org.springframework.boot
        spring-boot-starter-thymeleaf
    
    
    
        mysql
        mysql-connector-java
        runtime
    
    
    
        com.baomidou
        mybatis-plus-boot-starter
        3.5.0
    
    
    
       org.apache.shiro
       shiro-spring
       1.9.0
    
    
    
        org.projectlombok
        lombok
        true
    
    
    
        org.springframework.boot
        spring-boot-starter-test
        test
    
    
    
        org.springframework.boot
        spring-boot-starter-jdbc
    

3、编写配置文件 application.yml

server:
  port: 80
#日志格式
logging:
  pattern:
    console: '%d{HH:mm:ss.SSS} %clr(%-5level) --- [%-15thread]
%cyan(%-50logger{50}):%msg%n'
# 数据源
spring:
 datasource:
   driver-class-name: com.mysql.cj.jdbc.Driver
   url: jdbc:mysql:///myshiro?serverTimezone=UTC
   username: root
   password01: root

4、将前端资源复制到项目中

5、编写页面跳转控制器

@Controller
public class PageController {
    @RequestMapping("/{page}")
    public String showPage(@PathVariable String page) {
        return page;
   }
    // 忽略favicon.ico的获取
    @GetMapping("favicon.ico")
    @ResponseBody
    public void noFavicon() {}
}

6、启动项目，访问登录页http://localhost/login

Shiro入门_配置文件认证 

Shrio支持多种数据源，我们首先将用户名密码写入配置文件，让 Shiro读取配置文件进行认证。 

 1、在 resources 目录下编写配置文件 shiro.ini

#声明用户账号
[users]
baizhan=123

2、编写登录控制器方法

@Controller
public class LoginController {
    @RequestMapping("/user/login")
    public String login(String username,String password){
        // 1.获取SecurityManager工厂，读取配置文件
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 2.获取SecurityManager对象
        SecurityManager securityManager = factory.getInstance();
        // 3.将SecurityManager对象设置到运行环境中
      SecurityUtils.setSecurityManager(securityManager);
        // 4.获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        // 5.将前端传来的用户名密码封装为Shiro提供的身份对象
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
        // 6.shiro认证
            subject.login(token);
            // 7.认证通过跳转到主页面
            return "main";
       }catch (AuthenticationException e)
       {
            // 8.认证不通过跳转到失败页面
            return "fail";
       }
   }
}

3、启动项目，访问登录页http://localhost/login，测试登录功能。

Shiro入门_数据库认证 

 之前我们使用配置文件做数据源，在真实开发中，我们往往会使用 数据库作为数据源进行认证操作。 Realm 负责连接数据源并进行具体 认证，它有一个子类 JdbcRealm ，该类可以自动连接数据库认证。

 1、创建数据表

CREATE TABLE `users`  (
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL,
  `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users` VALUES ('bizhn', 'bizhn');

2、编写登录控制器方法

@RequestMapping("/user/login2")
public String login2(String username,String password){
    // 1.获取SecurityManager对象
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 2.为SecurityManager对象设置Realm
    JdbcRealm jdbcRealm = new JdbcRealm();
    jdbcRealm.setDataSource(dataSource);
    securityManager.setRealm(jdbcRealm);
    // 3.将SecurityManager对象设置到运行环境中
    SecurityUtils.setSecurityManager(securityManager);
    // 4.获取Subject对象
    Subject subject = SecurityUtils.getSubject();
    // 5.将前端传来的用户名密码封装为Shiro提供的身份对象
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    try {
        // 6.shiro认证
        subject.login(token);
        // 7.认证通过跳转到主页面
        return "main";
   }catch (AuthenticationException e){
        // 8.认证不通过跳转到失败页面
        return "fail";
   }
}

3、启动项目，访问登录页http://localhost/login，测试登录功能。

Shiro认证_将Shiro对象交给容器管理 

 之前的案例中，所有关于Shiro的对象都是自己创建的。我们在 SpringBoot中使用Shiro，就可以将Shiro的对象交给容器管理，简 化业务代码。

1、创建Shiro配置类

@Configuration
public class ShiroConfig {
    // SecurityManager对象
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(JdbcRealm jdbcRealm){
        DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();
        defaultSecurityManager.setRealm(jdbcRealm);
        return defaultSecurityManager;
   }
    // JdbcRealm
    @Bean
    public JdbcRealm getJdbcRealm(DataSource dataSource) {
        JdbcRealm jdbcRealm = new JdbcRealm();
        jdbcRealm.setDataSource(dataSource);
        return jdbcRealm;
   }
}

2、创建 UserService.java

@Service
public class UsersService {
@Autowired
    private DefaultWebSecurityManager securityManager;
    public void userLogin(String username,String password) throws AuthenticationException {
        // 1.将SecurityManager对象设置到运行环境中
      SecurityUtils.setSecurityManager(securityManager);
        // 2.获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        // 3.将前端传来的用户名密码封装为Shiro提供的身份对象
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 4.Shiro认证
        subject.login(token);
   }
}

3、编写登录控制器方法

@RequestMapping("/user/login2")
public String login2(String
username,String password){
    try {
       usersService.userLogin(username,password);
        return "main";
   }catch (AuthenticationException e){
        return "fail";
   }
}

4、启动项目，访问登录页http://localhost/login，测试登录功能。

Shiro认证_自定义Realm 

 使用 JdbcRealm 认证时，数据库表名、字段名、认证逻辑都不能改变， 我们可以自定义Realm进行更灵活的认证。

1、准备数据表

CREATE TABLE `users`  (
  `uid` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET
utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`uid`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users` VALUES (1, 'bizan','123');

2、编写实体类

@Data
public class Users {
    private Integer uid;
    private String username;
    private String password;
}

3、编写mapper接口

public interface UsersMapper extends BaseMapper { }

4、在启动类加载mapper接口

@SpringBootApplication
@MapperScan("com.itbaizhan.myshiro1.mapper")
public class Myshiro1Application {
    public static void main(String[] args)
   {
      SpringApplication.run(Myshiro1Application.class, args);
   }
}

5、编写自定义Realm类

public class MyRealm extends
AuthorizingRealm {
    @Autowired
    private UserInfoMapper userInfoMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取用户输入的用户名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据用户名查询用户
        QueryWrapper wrapper = new QueryWrapper().eq("username",username);
        Users users = usersMapper.selectOne(wrapper);
        // 3.将查询到的用户封装为认证信息
        if (users == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1：用户
         * 参数2：密码
         * 参数3：Realm名
         */
        return new SimpleAuthenticationInfo(users,users.getPassword(),"myRealm");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}

6、将自定义Realm放入SecurityManager对象中

@Configuration
public class ShiroConfig {
    // 自定义Realm
    @Bean
    public MyRealm myRealm(){
        return new MyRealm();
   }
    
    // SecurityManager对象
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
        DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();
        // 自定义Realm放入SecurityManager中
       defaultSecurityManager.setRealm(myRealm);
       return defaultSecurityManager;
   }
}

7、无需修改Service和Controller

8、启动项目，访问登录页http://localhost/login，测试登录功能。

Shiro认证_多Realm认证 

 在实际开发中，我们的认证逻辑可能不止一种，例如：

1、系统支持用户名密码认证，也支持扫描二维码认证；

2、在系统中有管理员和普通用户两张表，管理员和普通用户的认证逻辑是不一样的；

3、用户数据量庞大，分别存在不同的数据库中，认证时需要连接多个数据源。

以上情况都需要配置多个Realm进行认证，我们以第二种情况举 例，讲解Shiro中多Realm认证的写法：

1、在数据库创建admin表

CREATE TABLE `admin`  (
  `id` int(11) NOT NULL,
  `name` varchar(255) CHARACTER SET utf8
COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET
utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `admin` VALUES (1, 'bizan','123');
INSERT INTO `admin` VALUES (2, 'xtzb','456');

2、创建Admin实体类和AdminMapper接口

@Data
public class Admin {
    private Integer id;
    private String name;
    private String password;
}
public interface AdminMapper extends BaseMapper {}

3、MyRealm 认证User用户， MyRealm2 认证Admin用户

public class MyRealm2 extends AuthorizingRealm {
@Autowired
    private AdminMapper adminMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取输入的管理员名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据管理员名查询管理员
        QueryWrapper wrapper = new QueryWrapper().eq("name",username);
        Admin admin =adminMapper.selectOne(wrapper);
        // 3.将查询到的管理员封装为认证信息
        if (admin == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1：管理员
         * 参数2：密码
         * 参数3：Realm名
         */
        return new SimpleAuthenticationInfo(admin,
                admin.getPassword(),
                "myRealm2");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}

4、在SecurityManager中配置Realm

// Realm
@Bean
public MyRealm getMyRealm() {
    return new MyRealm();
}
@Bean
public MyRealm2 getMyRealm2() {
    return new MyRealm2();
}
// SecurityManager对象
@Bean
public DefaultWebSecurityManager
getDefaultWebSecurityManager(MyRealm realm, MyRealm2 realm2){
    DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
    // Realm放入SecurityManager中
    List realms = new ArrayList();
    realms.add(realm);
    realms.add(realm2);
    defaultSecurityManager.setRealms(realms);
    return defaultSecurityManager;
}

5、使用 bizan：123 和 xtzb：456 测试认证效果

 Shiro认证_多Realm认证策略

 如果有多个Realm，怎样才能认证成功，这就是认证策略。认证策 略主要使用的是 AuthenticationStrategy 接口，这个接口有三个实现类：

// Realm管理者
@Bean
public ModularRealmAuthenticator modularRealmAuthenticator(){
    ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator();
    //设置认证策略
    modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
    return modularRealmAuthenticator;
}
// SecurityManager对象
@Bean
public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm realm,MyRealm2 realm2){
    DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
    // 设置Realm管理者（需要在设置Realm之前）
    defaultSecurityManager.setAuthenticator(modularRealmAuthenticator());
    List realms = new ArrayList();
    realms.add(realm);
    realms.add(realm2);
    defaultSecurityManager.setRealms(realms);
    return defaultSecurityManager;
}

在 ModularRealmAuthenticator 中的 doMultiRealmAuthentication 方法中添加断点可以 查看认证通过信息。

Shiro认证_异常处理

 当Shiro认证失败后，会抛出 AuthorizationException 异常。该异常的子类分 别代表不同的认证失败原因，我们可以通过捕捉它们确定认证失败原因。

1、DisabledAccountException：账户失效

2、ConcurrentAccessException：竞争次数过多

3、ExcessiveAttemptsException：尝试次数过多

4、UnknownAccountException：用户名不正确

5、IncorrectCredentialsException：凭证（密码）不正确

6、ExpiredCredentialsException：凭证过期

我们一般在Controller中处理认证异常：

@RequestMapping("/user/login2")
public String login(String username, String password) {
    try {
        usersService.userLogin(username, password);
        return "main";
   } catch (DisabledAccountException e) {
        System.out.println("账户失效");
        return "fail";
   } catch (ConcurrentAccessException e) {
        System.out.println("竞争次数过多");
        return "fail";
   } catch (ExcessiveAttemptsException e) {
        System.out.println("尝试次数过多");
        return "fail";
   } catch (UnknownAccountException e) {
        System.out.println("用户名不正确");
        return "fail";
   } catch (IncorrectCredentialsException e) {
        System.out.println("密码不正确");
        return "fail";
   } catch (ExpiredCredentialsException e)
{
        System.out.println("凭证过期");
        return "fail";
   }
}

注： 如果将异常信息提示给用户，尽量把异常信息表示的婉转一 些。比如不管用户名还是密码错误，都提示用户名或密码错误，这样有助于提升代码的安全性。

 Shiro认证_散列算法

散列算法一般用于生成数据的摘要信息，是一种不可逆的算法，适 合于对密码进行加密。比如密码 admin ，产生的散列值是 21232f297a57a5a743894a0e4a801fc3 ，但在md5解密网站很容易的通过散列值 得到密码 admin 。所以在加密时我们可以加一些只有系统知道的干扰 数据，这些干扰数据称之为“盐”，并且可以进行多次加密，这样生 成的散列值相对来说更难破解。

 Shiro支持的散列算法：

Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、 Sha384Hash、Sha512Hash

@SpringBootTest
public class Md5Test {
    @Test
    public void testMd5() {
        //使用MD5加密
        Md5Hash result1 = new Md5Hash("123");
        System.out.println("md5加密后的结果：" + result1);
        //加盐后加密,加密5次
        Md5Hash result2 = new Md5Hash("123","sxt",5);
        System.out.println("md5加盐加密后的结果：" + result2);
   }
}

接下来我们在项目中对密码进行加密：

1、修改数据库和实体类，添加盐字段，并修改数据库用户密码为加盐加密后的数据。

@Data
public class Users{
    private Integer uid;
    private String username;
    private String password;
    private String salt;
}

 

2、修改自定义Realm

@Component
public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserInfoMapper userInfoMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取用户输入的用户名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据用户名查询用户
        QueryWrapper wrapper = new QueryWrapper().eq("username",username);
        Users users = usersMapper.selectOne(wrapper);
        // 3.将查询到的用户封装为认证信息
        if (users == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1：用户
         * 参数2：密码
         * 参数3：盐
         * 参数4：Realm名
         */
        return new SimpleAuthenticationInfo(users,
                users.getPassword(),
                ByteSource.Util.bytes(users.getSalt()),
                "myRealm");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}

3、在注册自定义Realm时添加加密算法

// 配置加密算法
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher(){
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
  //加密算法
  hashedCredentialsMatcher.setHashAlgorithmName("md5");
    //加密的次数
  hashedCredentialsMatcher.setHashIterations(5);
    return hashedCredentialsMatcher;
}
// Realm
@Bean
public MyRealm getMyRealm(HashedCredentialsMatcher hashedCredentialsMatcher) {
    MyRealm myRealm = new MyRealm();
   // 设置加密算法
   myRealm.setCredentialsMatcher(hashedCredentialsMatcher);
    return myRealm;
}

4、启动项目，访问登录页http://localhost/login，测试登录功能。

Shiro认证_过滤器 

 在以上案例中，虽然有认证功能，但即使没有登录也可以访问系统 资源。如果要配置认证后才能访问资源，就需要使用过滤器拦截请 求。Shiro内置了很多过滤器：

 过滤器工厂配置过滤器链：

// 配置过滤器
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
    filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/css/**","anon");
    // 其余资源都需要用户认证
    filterMap.put("/**","authc");
   // 4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    return filterFactory;
}

Shiro认证_获取认证数据

 用户认证通过后，有时我们需要获取用户信息，比如在网站顶部显 示：欢迎您，XXX。获取用户信息的写法如下：

@RequestMapping("/user/getUsername")
@ResponseBody
public String getUsername(){
    Subject subject = SecurityUtils.getSubject();
    // 获取认证数据
    Users users = (Users)subject.getPrincipal();
    return users.getUsername();
}

Shiro认证_Shiro会话

 Shiro提供了完整的企业级会话管理功能，不依赖于Web容器，不管 JavaSE还是JavaEE环境都可以使用。

// 使用Shiro提供的会话对象
@RequestMapping("/user/session")
@ResponseBody
public void session(){
    // 1.获取Subject
    Subject subject = SecurityUtils.getSubject();
    // 2.获取会话
    Session session = subject.getSession();
    // 会话id
    System.out.println("会话id:"+session.getId());
    // 会话的主机地址
    System.out.println("会话的主机地址:"+session.getHost());
    // 设置会话过期时间
    session.setTimeout(1000*10);
    // 获取会话过期时间
    System.out.println("会话过期时间:"+session.getTimeout());
    // 会话开始时间
    System.out.println("会话开始时间:"+session.getStartTimestamp());
    // 会话最后访问时间
    System.out.println("会话最后访问时间:"+session.getLastAccessTime());
    // 会话设置数据
    session.setAttribute("name","百战不败");
}
@RequestMapping("/user/getSession")
@ResponseBody
public void getSession(){
    Subject subject = SecurityUtils.getSubject();
    Session session = subject.getSession();
    System.out.println(session.getAttribute("name"));
}

Shiro认证_会话管理器

Shiro中提供了会话管理器，可以对会话对象进行配置和监听，用法如下：

1、创建会话监听器

@Component
public class MySessionListener implements SessionListener {
    //会话创建时触发
    @Override
    public void onStart(Session session) {
        System.out.println("会话创建：" + session.getId());
   }
    //会话过期时触发
    @Override
    public void onExpiration(Session session) {
        System.out.println("会话过期：" + session.getId());
   }
    //退出/会话过期时触发
    @Override
    public void onStop(Session session) {
       System.out.println("会话停止：" + session.getId());
   }
}

2、在会话管理器中配置会话监听器

// 会话管理器
@Bean
public SessionManager
sessionManager(MySessionListener sessionListener) {
    // 创建会话管理器
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    // 创建会话监听器集合
    List listeners = new ArrayList();
    listeners.add(sessionListener);
    // 将监听器集合设置到会话管理器中
    sessionManager.setSessionListeners(listeners);
    // 全局会话超时时间（单位毫秒），默认30分钟,设置为5秒
    sessionManager.setGlobalSessionTimeout(5*1000);
    // 是否开启删除无效的session对象，默认为true
    sessionManager.setDeleteInvalidSessions(true);
    // 是否开启定时调度器进行检测过期session，默认为true
    sessionManager.setSessionValidationSchedulerEnabled(true);
    return sessionManager;
}

3、在SecurityManager中配置会话管理器

@Bean
public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2
myRealm2,SessionManager sessionManager){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 自定义Realm放入SecurityManager中
    // securityManager.setRealm(myRealm);
    // 设置Realm管理者(需要设置在Realm之前)
    securityManager.setAuthenticator(modularRealmAuthenticator());
    List realms = new ArrayList();
    realms.add(myRealm);
    //realms.add(myRealm2);
    securityManager.setRealms(realms);
    securityManager.setSessionManager(sessionManager);
    return securityManager;
}

Shiro认证_退出登录 

在系统中一般都有退出登录的操作。退出登录后Shiro会销毁会话和 认证数据。在Shrio中，退出登录的写法如下：

1、编写退出登录控制器

@RequestMapping("/user/logout")
public String logout(){
    Subject subject = SecurityUtils.getSubject();
    // 退出登录
    subject.logout();
    // 退出后跳转到登录页
    return "redirect:/login";
}

2、在主页面添加退出登录按钮

    
    


  
主页面
  
退出登录

Shiro认证_Remember Me 

Remember Me为“记住我”功能，即登录成功后，下次访问系统时无 需重新登录。当使用“记住我”功能登录后，Shiro会在浏览器Cookie 中保存序列化后的认证数据。之后浏览器访问项目时会携带该 Cookie数据，这样不登录也可以完成认证。

当然，为了安全起见，并不是所有资源都可以通过“记住我”访问。 比如在电商系统中，查询商品等操作可以不登录，但是支付时往往 需要重新登录，Shiro支持配置什么资源可以通过“记住我”访问。

 实现“记住我”功能的写法如下：

1、序列化所有实体类

@Data
public class Users implements Serializable
{
    private Integer uid;
    private String username;
    private String password;
    private String salt;
}

2、配置Cookie生成器和记住我管理器

// Cookie生成器
@Bean
public SimpleCookie simpleCookie() {
    SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
    // Cookie有效时间，单位：秒
    simpleCookie.setMaxAge(20);
    return simpleCookie;
}
// 记住我管理器
@Bean
public CookieRememberMeManager cookieRememberMeManager(SimpleCookie simpleCookie) {
    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
    // Cookie生成器
    cookieRememberMeManager.setCookie(simpleCookie);
    // Cookie加密的密钥
    cookieRememberMeManager.setCipherKey(Base64.decode("6ZmI6I2j3Y+R1aSn5BOlAA=="));
    return cookieRememberMeManager;
}
@Bean
public DefaultWebSecurityManager securityManager(MyRealm myRealm,
                                          
      MyRealm2 myRealm2,SessionManager sessionManager,
                                          
     CookieRememberMeManager rememberMeManager){
     DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 自定义Realm放入SecurityManager中
    // securityManager.setRealm(myRealm);
    // 设置Realm管理者(需要设置在Realm之前)
    securityManager.setAuthenticator(modularRealmAuthenticator());
    List realms = new ArrayList();
    realms.add(myRealm);
    //realms.add(myRealm2);
    securityManager.setRealms(realms);
    securityManager.setSessionManager(sessionManager);
    securityManager.setRememberMeManager(rememberMeManager);
    return securityManager;
}

3、修改登录表单

    
    
    记住我

    登录

4、修改登录控制器

@RequestMapping("/user/login")
public String login(String username,String password,String rememberMe) {
    try {
        usersService.userLogin(username,password,rememberMe);
        return "main";
   } catch (DisabledAccountException e) {
        System.out.println("账户失效");
        return "fail";
   } catch (ConcurrentAccessException e){
        System.out.println("竞争次数过多");
        return "fail";
   } catch (ExcessiveAttemptsException e){
        System.out.println("尝试次数过多");
        return "fail";
   } catch (UnknownAccountException e) {
        System.out.println("用户名不正确");
        return "fail";
   } catch (IncorrectCredentialsException e) {
        System.out.println("密码不正确");
        return "fail";
   } catch (ExpiredCredentialsException e) {
        System.out.println("凭证过期");
        return "fail";
   }
}

5、修改登录Service

@Service
public class UsersService {
    @Autowired
    private DefaultWebSecurityManager securityManager;
    public void userLogin(String username,String password,String rememberMe) throws AuthenticationException
{
      SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token=new UsernamePasswordToken(username,password);
        if (rememberMe != null){
       // 如果用户选择记住我，则生成记住我Cookie
            token.setRememberMe(true);
       }
        subject.login(token);
   }
}

6、配置过滤器，配置可以通过“记住我”访问的资源。

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
    filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/static/**","anon");
    // 其余资源都需要认证，authc过滤器表示需要认证才能进行访问; 
    //user过滤器表示配置记住我或认证都可以访问
    //filterMap.put("/**","authc");
    filterMap.put("/user/pay","authc");
    filterMap.put("/**", "user");
    // 4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    return filterFactory;
}

7、编写支付控制器

// 支付
@RequestMapping("/user/pay")
@ResponseBody
public String pay(){
    return "支付功能";
}

 Shiro授权_权限表设计

授权即认证通过后，系统给用户赋予一定的权限，用户只能根据权 限访问系统中的某些资源。所以在数据库中，用户需要和权限关 联。除了用户表和权限表，还需要创建角色表，他们之间的关系如下：

 用户角色，角色权限都是多对多关系，即一个用户拥有多个角色， 一个角色拥有多个权限。如：张三拥有总经理和股东的角色，而总 经理拥有查询工资、查询报表的权限；股东拥有查寻股权的权限， 这样张三就拥有了查询工资、查询报表、查询股权的权限。

接下来我们创建除users外的其余表：

CREATE TABLE `role`  (
  `rid` int(11) NOT NULL AUTO_INCREMENT,
  `roleName` varchar(255) CHARACTER SET utf8
COLLATE utf8_general_ci NULL DEFAULT NULL,
  `roleDesc` varchar(255) CHARACTER SET utf8
COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`rid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 4
CHARACTER SET = utf8 COLLATE =
utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `role` VALUES (1,'总经理','管理整个公司');
INSERT INTO `role` VALUES (2,'股东','参与公司决策');
INSERT INTO `role` VALUES (3,'财务','管理公司资产');
CREATE TABLE `permission`  (
  `pid` int(11) NOT NULL AUTO_INCREMENT,
`permissionName` varchar(255) CHARACTER
SET utf8 COLLATE utf8_general_ci NULL
DEFAULT NULL,
  `url` varchar(255) CHARACTER SET utf8
COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`pid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 4
CHARACTER SET = utf8 COLLATE =
utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `permission` VALUES (1,'查询报表', '/reportform/find');
INSERT INTO `permission` VALUES (2,'查询工资', '/salary/find');
INSERT INTO `permission` VALUES (3,'查询税务', '/tax/find');
CREATE TABLE `users_role`  (
  `uid` int(255) NOT NULL,
  `rid` int(11) NOT NULL,
  PRIMARY KEY (`uid`, `rid`) USING BTREE,
  INDEX `rid`(`rid`) USING BTREE,
  CONSTRAINT `users_role_ibfk_1` FOREIGN KEY
(`uid`) REFERENCES `users` (`uid`) ON DELETE
RESTRICT ON UPDATE RESTRICT,
  CONSTRAINT `users_role_ibfk_2` FOREIGN KEY
(`rid`) REFERENCES `role` (`rid`) ON DELETE
RESTRICT ON UPDATE RESTRICT
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users_role` VALUES (1, 2);
INSERT INTO `users_role` VALUES (1, 3);
CREATE TABLE `role_permission`  (
  `rid` int(11) NOT NULL,
  `pid` int(11) NOT NULL,
  PRIMARY KEY (`rid`, `pid`) USING BTREE,
  INDEX `pid`(`pid`) USING BTREE,
  CONSTRAINT `role_permission_ibfk_1`
FOREIGN KEY (`rid`) REFERENCES `role`
(`rid`) ON DELETE RESTRICT ON UPDATE
RESTRICT,
  CONSTRAINT `role_permission_ibfk_2`
FOREIGN KEY (`pid`) REFERENCES `permission`
(`pid`) ON DELETE RESTRICT ON UPDATE
RESTRICT ) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `role_permission` VALUES (1, 1);
INSERT INTO `role_permission` VALUES (2, 1);
INSERT INTO `role_permission` VALUES (1, 2);
INSERT INTO `role_permission` VALUES (3, 2);
INSERT INTO `role_permission` VALUES (1, 3);
INSERT INTO `role_permission` VALUES (2, 3);

Shiro授权_数据库查询权限

在认证后进行授权需要根据用户id查询到用户的权限，写法如下：

1、编写用户、角色、权限实体类

@Data
public class Users implements Serializable
{
    private Integer uid;
    private String username;
    private String password;
    private String salt;
}
// 角色
@Data
public class Role implements Serializable{
    private Integer rid;
    private String roleName;
    private String roleDesc;
}
// 权限
@Data
public class Permission implements Serializable{
    private Integer pid;
    private String permissionName;
    private String url;
}

2、修改UsersMapper接口

// 根据用户id查询权限
List findPermissionById(Integer id);

3、在resources目录中编写UsersMapper的映射文件

    
       SELECT DISTINCT permission.pid,permission.permissionName,permission.url FROM
           users
               LEFT JOIN users_role on users.uid = users_role.uid
               LEFT JOIN role on users_role.rid = role.rid
               LEFT JOIN role_permission on role.rid = role_permission.rid
               LEFT JOIN permission on role_permission.pid = permission.pid
       where users.uid = #{uid}
    

4、测试方法

@SpringBootTest
public class UserMapperTest {
    @Autowired
    private UsersMapper usersMapper;
    @Test
    public void testFindPermissionById(){
        List permissions = usersMapper.findPermissionById(1);
        permissions.forEach(System.out::println);
   }
}

 Shiro授权_在Realm进行授权

 在自定义Realm中可以自定义授权方法：

// 自定义授权方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    //1.拿到用户认证信息
    Users users = (Users) principalCollection.getPrimaryPrincipal();
    //2.从数据库中查询权限
    List permissions = usersMapper.findPermissionById(users.getUid());
    //3.遍历权限对象，将所有权限名交给Shiro管理
    SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
    for (Permission permission : permissions) {
         authorizationInfo.addStringPermission(permission.getUrl());
   }
    return authorizationInfo;
}

Shiro授权_过滤器配置鉴权

 Shiro可以根据用户拥有的权限，控制具体资源的访问，这一过程称 为鉴权。在Shiro中，可以通过过滤器进行鉴权配置：

// 配置过滤器
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
   filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/css/**","anon");
    // 鉴权过滤器，要写在/**之前，否则认证都无法通过
    filterMap.put("/reportform/find","perms[/reportform/find]");
    filterMap.put("/salary/find","perms[/salary/find]");
    filterMap.put("/staff/find","perms[/staff/find]");
    // 其余资源都需要认证，authc过滤器表示需要认证才能进行访问; 
    //user过滤器表示配置记住我或认证都可以访问
    //filterMap.put("/**","authc");
    filterMap.put("/user/pay","authc");
    filterMap.put("/**", "user");
    
    // 4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    return filterFactory;
}
// 编写测试控制器
@RestController
public class MyController {
    @GetMapping("/reportform/find")
    public String findReportform(){
        return "查询报表";
   }
    @GetMapping("/salary/find")
    public String findSalary(){
        return "查询工资";
   }
    @GetMapping("/staff/find")
    public String findStaff(){
        return "查询员工";
   }
}

此时如果权限不足会抛出401异常，我们可以自定义权限不足的跳转页面：

1、编写权限不足页面

    
    


    
您的权限不足，请联系管理员！

2、配置权限不足的跳转页面

// 配置过滤器
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
    filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/noPermission.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/css/**","anon");
    // 鉴权过滤器
    filterMap.put("/reportform/find","perms[/reportform/find]");
    filterMap.put("/salary/find","perms[/salary/find]");
    filterMap.put("/staff/find","perms[/staff/find]");
    // 其余资源都需要认证，authc过滤器表示需要认证才能进行访问; 
    //user过滤器表示配置记住我或认证都可以访问
    //filterMap.put("/**","authc");
    filterMap.put("/user/pay","authc");
    filterMap.put("/**", "user");
    //4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    // 6.权限不足访问的页面
    filterFactory.setUnauthorizedUrl("/noPermission.html");
    return filterFactory;
}

Shiro授权_注解配置鉴权 

 除了过滤器，Shiro也提供了一些鉴权的注解。我们可以使用注解配置鉴权。

@RequiresGuest：不认证即可访问的资源。

@RequiresUser：通过登录方式或“记住我”方式认证后可以访问资源。 @RequiresAuthentication：通过登录方式认证后可以访问资 源。

@RequiresRoles：认证用户拥有特定角色才能访问的资源

@RequiresPermissions：认证用户拥有特定权限才能访问的资源

1、在配置类开启Shiro注解 

// 开启shiro注解的支持
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
    advisor.setSecurityManager(securityManager);
    return advisor;
}
// 开启aop注解支持
@Bean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
    defaultAAP.setProxyTargetClass(true);
    return defaultAAP;
}

2、在控制器方法上添加鉴权注解

@GetMapping("/test/index")
@RequiresGuest
public String testIndex() {
    return "访问首页";
}
@GetMapping("/test/user")
@RequiresUser
public String testUser() {
    return "用户中心";
}
@GetMapping("/test/pay")
@RequiresAuthentication
public String testPay() {
    return "支付中心";
}
@GetMapping("/tax/find")
@RequiresPermissions("/tax/find")
public String taxFind() {
    return "查询税务";
}
@GetMapping("/address/find")
@RequiresPermissions("/address/find")
public String addressFind() {
    return "查询地址";
}

 Shiro授权_Thymeleaf中进行鉴权

 Shrio可以在一些视图技术中进行控制显示效果。例如Thymeleaf 中，只有认证用户拥有某些权限才会展示一些菜单。

1、在pom中引入Shiro和Thymeleaf的整合依赖

    com.github.theborakompanioni
    thymeleaf-extrasshiro
    2.0.0

2、在配置文件中注册ShiroDialect

@Bean
public ShiroDialect shiroDialect(){
    return new ShiroDialect();
}

3、在Thymeleaf中使用Shiro标签，控制前端的显示内容

    
    


主页面

    

      查询报表
   

     查询工资
   

     查询员工

    
退出登录

 Shiro授权_缓存

 在Shiro中，每次拦截请求进行鉴权，都会去数据库查询该用户的权 限信息。因为用户的权限信息在短时间内是不可变的，每次查询出 来的数据其实都是重复数据，此时就会非常浪费资源。所以一般我 们会将权限数据放在缓存中进行管理，这样我们就不用每次请求都 查询数据库，提升了系统性能。

缓存

缓存即存在于内存中的一块数据。数据库的数据是存储在硬盘上 的，而内存的读写效率要远远的高于数据库。但硬盘中保存的数据 是持久化数据，断电后依然存在；而内存中保存的是临时数据，随 时可能清空。所以我们为了提升系统性能，减少程序和数据库的交 互，会将经常查询但不常改变的，改变后对结果影响不大的数据放 入缓存中。

Shiro支持多种缓存产品，在课程中我们使用ehcache缓存用户的权限数据。

ehcache

ehcache是用来管理缓存的一个工具，其缓存的数据可以放在内存 中，也可以放在硬盘上。ehcache的核心是CacheManager，一切 的ehcache的应用都是从CacheManager开始的。

1、引入shiro和ehcache整合包

    org.apache.shiro
    shiro-ehcache
    1.9.0

2、创建配置文件shiro-ehcache.xml

3、在配置文件创建CacheManager

// 创建CacheManager
@Bean
public EhCacheManager ehCacheManager() {
    EhCacheManager ehCacheManager = new EhCacheManager();
    ehCacheManager.setCacheManagerConfigFile( "classpath:shiro-ehcache.xml");
    return ehCacheManager;
}

4、在SecurityManager中配置CacheManager

@Bean
public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2 myRealm2,
       SessionManager sessionManager, CookieRememberMeManager rememberMeManager,
       EhCacheManager ehCacheManager){
      DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 自定义Realm放入SecurityManager中
    // securityManager.setRealm(myRealm);
    // 设置Realm管理者(需要设置在Realm之前)
    securityManager.setAuthenticator(modularRealmAuthenticator());
    List realms = new ArrayList();
    realms.add(myRealm);
    //realms.add(myRealm2);
    securityManager.setRealms(realms);
    securityManager.setSessionManager(sessionManager);
    securityManager.setRememberMeManager(rememberMeManager);
    securityManager.setCacheManager(ehCacheManager);
    return securityManager;
}

5、启动项目，测试权限缓存。