shiro入门必看,一秒钟带你了解shiro

 

本次目标:

目录

本次目标:

一、shiro简介

1. 什么是shiro

2. 在应用程序角度来观察如何使用Shiro完成工作

3. shiro架构

三、Shiro入门案例

1. 导入相关依赖

pom.xml

log4j2.xml

2. 编写shiro.ini文件

shiro.ini

3. 使用shiro

测试类:

运行效果:​编辑

三、shiro与web容器的集成

1. 相似知识点: 

2. web.xml中进行shiro过滤器配置

web.xml

3. 添加配置文件 shiro-web.ini

shiro-web.ini

后台代码: 

LoginServlet :

LogoutServlet :

运行结果: 


  1. shiro简介
  2. shiro入门案例
  3. shiro与web容器的集成

一、shiro简介

1. 什么是shiro

  1. shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。

  2. spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。

  3.  shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,

    分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。

2. 在应用程序角度来观察如何使用Shiro完成工作

shiro入门必看,一秒钟带你了解shiro_第1张图片

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject 都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager 交互;且它管理着所有Subject;可以看出它是Shiro 的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

3. shiro架构

shiro入门必看,一秒钟带你了解shiro_第2张图片

3.1 subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。

3.2 securityManager:安全管理器,主体进行认证和授权都是通过securityManager进行。securityManager是一个集合,真正做事的不是securityManager而是它里面的东西。

3.3 authenticator:认证器,主体进行认证最终通过authenticator进行的。

3.4 authorizer:授权器,主体进行授权最终通过authorizer进行的。

3.5 sessionManager:web应用中一般是用web容器(中间件tomcat)对session进行管理,shiro也提供一套session管理的方式。

shiro不仅仅可以用于web管理也可以用于cs管理,所以他不用web容器的session管理。

3.6 SessionDao:  通过SessionDao管理session数据,针对个性化的session数据存储需要使用sessionDao(如果用tomcat管理session就不用SessionDao,如果要分布式的统一管理session就要用到SessionDao)。

3.7 cache Manager:缓存管理器,主要对session和授权数据进行缓存(权限管理框架主要就是对认证和授权进行管理,session是在服务器缓存中的),比如将授权数据通过cacheManager进行缓存管理,和ehcache整合对缓存数据进行管理(redis是缓存框架)。

3.8 realm:域,领域,相当于数据源,通过realm存取认证、授权相关数据(原来是通过数据库取的)。

注意:authenticator认证器和authorizer授权器调用realm中存储授权和认证的数据和逻辑。

3.9 cryptography:密码管理,比如md5加密,提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。比如 md5散列算法(md5只有加密没有解密)。

三、Shiro入门案例

1. 导入相关依赖

pom.xml




  4.0.0

  org.example
  shiro01
  1.0-SNAPSHOT
  war

  shiro01 Maven Webapp
  
  http://www.example.com

  
    UTF-8
    1.7
    1.7
    3.7.0

    
    4.12
    4.0.0
    2.9.1
    1.7.7
    3.2.0

    1.2.5
  

  
    
    
      org.apache.shiro
      shiro-core
      ${shiro.version}
    
    
    
      org.apache.shiro
      shiro-web
      ${shiro.version}
    
    
    
      junit
      junit
      ${junit.version}
      test
    
    
    
      javax.servlet
      javax.servlet-api
      ${servlet.version}
      provided
    
    
    
      org.slf4j
      slf4j-api
      ${slf4j.version}
    
    
      org.slf4j
      jcl-over-slf4j
      ${slf4j.version}
      runtime
      
        
          slf4j-api
          org.slf4j
        
      
    
    
    
      org.apache.logging.log4j
      log4j-slf4j-impl
      ${log4j2.version}
      
        
          slf4j-api
          org.slf4j
        
      
    
    
    
      org.apache.logging.log4j
      log4j-api
      ${log4j2.version}
    
    
      org.apache.logging.log4j
      log4j-core
      ${log4j2.version}
    
    
    
      org.apache.logging.log4j
      log4j-web
      ${log4j2.version}
      runtime
    
    
    
      com.lmax
      disruptor
      ${log4j2.disruptor.version}
    

  

  
    shiro01
    
      
      
        src/main/java
        
          **/*.xml
        
      
      
      
        src/main/resources
        
          *.properties
          *.xml
          *.ini
        
      
    

    
      
        
        
          org.apache.maven.plugins
          maven-compiler-plugin
          ${maven.compiler.plugin.version}
          
            ${maven.compiler.source}
            ${maven.compiler.target}
            ${project.build.sourceEncoding}
          
        

        
          maven-clean-plugin
          3.1.0
        
        
        
          maven-resources-plugin
          3.0.2
        
        
          maven-compiler-plugin
          3.8.0
        
        
          maven-surefire-plugin
          2.22.1
        
        
          maven-war-plugin
          3.2.2
        
        
          maven-install-plugin
          2.5.2
        
        
          maven-deploy-plugin
          2.8.2
        
      
    
  

log4j2.xml


 


    
        
        
        ${sys:user.home}/logs
        ${sys:user.home}/logs/error
        ${sys:user.home}/logs/warn
 
        
        
        
        
        
 
        
        %d{yyyy-MM-dd HH:mm:ss.SSS} [%t-%L] %-5level %logger{36} - %msg%n
        
    
 
    
        
        
            
            
            
            
            
        
 
        
        
        
            
        
        
        
            
            
            
            
                
                
                
                
                
                
            
        
 
        
            
            
            
                
                
            
            
            
        
 
        
            
            
            
                
                
                
            
        
 
    
 
    
    
        
        
        
        
        
        
        
        
 
 
        
        
            
            
            
            
        
    
 

2. 编写shiro.ini文件

shiro.ini

[users]
zs=123
ls=456
ww=789

3. 使用shiro

  1. 获取工厂对象
  2. 获取实例交给SecurityUtils
  3. 获取登录主体
  4. 生成token令牌
  5. 主体携带令牌进行登录

测试类:

package com.ps.demo;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;

/**
 * @author 彭于晏
 * @site www.pengyuyan.com
 * @company 玉渊工作室
 * @create 2022-08-25 0:44
 */
public class Demo1 {
    public static void main(String[] args) {
//      获取工厂对象
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//      获取实例
        SecurityManager instance = factory.getInstance();
//      将实例交给SecurityUtils
        SecurityUtils.setSecurityManager(instance);
//        拿到登录用户
        Subject subject = SecurityUtils.getSubject();
//      生成令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zs", "123");
        subject.login(token);
        System.out.println("登录成功");
        subject.logout();
        System.out.println("登出成功");
    }
}

运行效果:
shiro入门必看,一秒钟带你了解shiro_第3张图片

三、shiro与web容器的集成

1. 相似知识点: 

  • spring web集成  监听器ContextLoadListener
  • SpringMVC web 集成 servlet Dispatcher

2. web.xml中进行shiro过滤器配置

web.xml



  Archetype Created Web Application
  
    shiroConfigLocations
    classpath:shiro-web.ini
  
  
    org.apache.shiro.web.env.EnvironmentLoaderListener
  

  
    ShiroFilter
    org.apache.shiro.web.servlet.ShiroFilter
  
  
    ShiroFilter
    /*
  


3. 添加配置文件 shiro-web.ini

shiro-web.ini

[main]
#定义身份认证失败后的请求url映射,loginUrl是身份认证过滤器中的一个属性
authc.loginUrl=/login
#定义角色认证失败后的请求url映射,unauthorizedUrl是角色认证过滤器中的一个属性
roles.unauthorizedUrl=/unauthorized.jsp
#定义权限认证失败后请求url映射,unauthorizedUrl是角色认证过滤器中的一个属性
perms.unauthorizedUrl=/unauthorized.jsp

[users]
zs=123,role1
ls=123,role2
ww=123,role3
zdm=123,admin


[roles]
role1=user:create
role2=user:create,user:update
role3=user:create,user:update,user:delete,user:view,user:load
admin=user:*



#定义请求的地址需要做什么验证
[urls]
#请求login的时候不需要权限,游客身份即可(anon)
/login.do=anon

#请求/user/updatePwd.jsp的时候,需要身份认证(authc)
/user/updatePwd.jsp=authc

#请求/admin的时候,需要角色认证,必须是拥有admin角色的用户才行
/admin/*.jsp=roles[admin]

#请求/teacher的时候,需要权限认证,必须是拥有user:create权限的角色的用户才行
/user/teacher.jsp=perms["user:update"]

shiro入门必看,一秒钟带你了解shiro_第4张图片

后台代码: 

LoginServlet :

package com.ps.demo;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author 彭于晏
 * @site www.pengyuyan.com
 * @company 玉渊工作室
 * @create 2022-08-25 2:22
 */
@WebServlet("/login")
public class LoginServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        doPost(req, resp);
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String username = req.getParameter("username");
        String password = req.getParameter("password");
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
            req.getRequestDispatcher("/main.jsp").forward(req,resp);
        }catch (Exception e){
            req.setAttribute("message", "您的用户名密码输入有误!!!");
            req.getRequestDispatcher("/login.jsp").forward(req,resp);

        }
    }
}

LogoutServlet :

package com.ps.demo;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author 彭于晏
 * @site www.pengyuyan.com
 * @company 玉渊工作室
 * @create 2022-08-25 2:22
 */
@WebServlet("/logout")
public class LoginoutServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        doPost(req, resp);
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.logout();
            req.getRequestDispatcher("/login.jsp").forward(req,resp);
        }catch (Exception e){
            req.getRequestDispatcher("/login.jsp").forward(req,resp);

        }
    }
}

运行结果: 

debug运行:

shiro入门必看,一秒钟带你了解shiro_第5张图片

在网址后面输入

/user/updatePwd.jsp

shiro入门必看,一秒钟带你了解shiro_第6张图片

它会直接跳转到登录界面

输入设置好的账号密码:

        zs    123  

登入进来了:

shiro入门必看,一秒钟带你了解shiro_第7张图片

再在后面输入那个修改地址: /user/updatePwd.jsp

shiro入门必看,一秒钟带你了解shiro_第8张图片

我们尝试点击用户新增:

shiro入门必看,一秒钟带你了解shiro_第9张图片 由于在设置权限的时候张三并没有该功能,所以会给予提示

shiro入门必看,一秒钟带你了解shiro_第10张图片

shiro入门必看,一秒钟带你了解shiro_第11张图片

 我们退出后重新登录zdm账号

 shiro入门必看,一秒钟带你了解shiro_第12张图片

点击新增用户:

shiro入门必看,一秒钟带你了解shiro_第13张图片

跳转成功! 

今天的分享就到这里,对该篇博客若有不懂可私信博主进行学习!如若喜欢,那就关注三连吧!

你可能感兴趣的:(Shiro,java,后端,shiro)