Shiro介绍_Shiro简介
Shiro是apache旗下的一个开源安全框架,它可以帮助我们完成身 份认证,授权、加密、会话管理等功能。它有如下特点:
1、易于理解的API 简单的身份认证,支持多种数据源
2、简单的授权和鉴权
3、简单的加密API
4、支持缓存,以提升应用程序的性能
5、内置会话管理,适用于Web以及非Web的环境
6、不跟任何的框架或者容器捆绑,可以独立运行
认证
认证即系统判断用户的身份是否合法,合法可继续访问,不合法则 拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码 登录、手机短信登录、脸部识别认证、指纹认证等方式。 认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。
授权
授权即认证通过后,根据用户的权限来控制用户访问资源的过程, 拥有资源的访问权限则正常访问,没有权限则拒绝访问。 比如在一 些视频网站中,普通用户登录后只有观看免费视频的权限,而VIP用户登录后,网站会给该用户提供观看VIP视频的权限。 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐 私数据进行划分,控制不同的用户能够访问不同的资源。 举个例子:认证是公司大门识别你作为员工能进入公司,而授权则是由于你作为公司会计可以进入财务室,查看账目,处理财务数据。
Shiro介绍_Shiro核心功能
Authentication:身份认证/登录。
Authorization:权限验证,即判断用户是否能在系统中做某件 事情。
Session Management:会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。
Cryptography:加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。
Web Support:Web 支持,可以非常容易的集成到Web环境。
Caching:缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。
Concurrency:Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。
Testing:提供测试支持。
Run As:允许一个用户假装为另一个用户的身份进行访问。
Remember Me:记住我,即一次登录后,下次再来就不用登 录了。
Shiro介绍_Shiro核心组件
1、Subject
主体。 Subject 在Shiro中是一个接口,接口中定义了认证授权的相关 方法。程序通过调用 Subject 的方法进行认证授权,而 Subject 使用 SecurityManager 进行认证授权。
2、SecurityManager
权限管理器,它是Shiro的核心。通过 SecurityManager 可以完成具体的 认证、授权等操作, SecurityManager 是通过 Authenticator 进行认证,通过 Authorizer 进行授权,通过 SessionManager 进行会话管理。 SecurityManager 是 一个接口,继承了 Authenticator , Authorizer , SessionManager 三个接口。
2、Authenticator
认证器。对用户登录时进行身份认证
3、Authorizer
授权器。用户认证通过后,在访问功能时需要通过授权器判断用户 是否有此功能的操作权限。
4、SessionManager
会话管理。shiro框架定义了一套会话管理,它不依赖web容器的 session,所以shiro可以使用在非web应用上。
5、Realm
领域。他是连接数据源+认证功能+授权功能的具体实现。 SecurityManager 通过 Realm 获取用户的身份和权限信息,并对用户进行认证和授权。
6、SessionDAO
会话dao,是对会话进行操作的一套接口。它可以将session数据存 储到数据库或缓存服务器中。
7、CacheManager
缓存管理,将用户权限数据存储在缓存中,这样可以减少权限查询 次数,提高性能。
8、Cryptography
密码管理,Shiro提供了一套加密/解密的组件,方便开发。
Shiro入门_项目搭建
1、准备名为myshiro的mysql数据库
2、创建SpringBoot项目,加入相关依赖
<dependencies> <!-- SpringMVC --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- Thymeleaf --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <!-- Mysql驱动 --> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <scope>runtime</scope> </dependency> <!-- MyBatisPlus --> <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>3.5.0</version> </dependency> <!-- shiro和spring整合包 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.9.0</version> </dependency> <!-- lombok --> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <optional>true</optional> </dependency> <!-- Junit --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> <!-- Spring-jdbc --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jdbc</artifactId> </dependency> </dependencies>
3、编写配置文件 application.yml
server: port: 80 #日志格式 logging: pattern: console: '%d{HH:mm:ss.SSS} %clr(%-5level) --- [%-15thread] %cyan(%-50logger{50}):%msg%n' # 数据源 spring: datasource: driver-class-name: com.mysql.cj.jdbc.Driver url: jdbc:mysql:///myshiro?serverTimezone=UTC username: root password01: root
4、将前端资源复制到项目中
5、编写页面跳转控制器
@Controller public class PageController { @RequestMapping("/{page}") public String showPage(@PathVariable String page) { return page; } // 忽略favicon.ico的获取 @GetMapping("favicon.ico") @ResponseBody public void noFavicon() {} }
6、启动项目,访问登录页http://localhost/login
Shiro入门_配置文件认证
Shrio支持多种数据源,我们首先将用户名密码写入配置文件,让 Shiro读取配置文件进行认证。
1、在 resources 目录下编写配置文件 shiro.ini
#声明用户账号 [users] baizhan=123
2、编写登录控制器方法
@Controller public class LoginController { @RequestMapping("/user/login") public String login(String username,String password){ // 1.获取SecurityManager工厂,读取配置文件 IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini"); // 2.获取SecurityManager对象 SecurityManager securityManager = factory.getInstance(); // 3.将SecurityManager对象设置到运行环境中 SecurityUtils.setSecurityManager(securityManager); // 4.获取Subject对象 Subject subject = SecurityUtils.getSubject(); // 5.将前端传来的用户名密码封装为Shiro提供的身份对象 UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { // 6.shiro认证 subject.login(token); // 7.认证通过跳转到主页面 return "main"; }catch (AuthenticationException e) { // 8.认证不通过跳转到失败页面 return "fail"; } } }
3、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro入门_数据库认证
之前我们使用配置文件做数据源,在真实开发中,我们往往会使用 数据库作为数据源进行认证操作。 Realm 负责连接数据源并进行具体 认证,它有一个子类 JdbcRealm ,该类可以自动连接数据库认证。
1、创建数据表
CREATE TABLE `users` ( `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL ) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic; INSERT INTO `users` VALUES ('bizhn', 'bizhn');
2、编写登录控制器方法
@RequestMapping("/user/login2") public String login2(String username,String password){ // 1.获取SecurityManager对象 DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 2.为SecurityManager对象设置Realm JdbcRealm jdbcRealm = new JdbcRealm(); jdbcRealm.setDataSource(dataSource); securityManager.setRealm(jdbcRealm); // 3.将SecurityManager对象设置到运行环境中 SecurityUtils.setSecurityManager(securityManager); // 4.获取Subject对象 Subject subject = SecurityUtils.getSubject(); // 5.将前端传来的用户名密码封装为Shiro提供的身份对象 UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { // 6.shiro认证 subject.login(token); // 7.认证通过跳转到主页面 return "main"; }catch (AuthenticationException e){ // 8.认证不通过跳转到失败页面 return "fail"; } }
3、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_将Shiro对象交给容器管理
之前的案例中,所有关于Shiro的对象都是自己创建的。我们在 SpringBoot中使用Shiro,就可以将Shiro的对象交给容器管理,简 化业务代码。
1、创建Shiro配置类
@Configuration public class ShiroConfig { // SecurityManager对象 @Bean public DefaultWebSecurityManager getDefaultWebSecurityManager(JdbcRealm jdbcRealm){ DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager(); defaultSecurityManager.setRealm(jdbcRealm); return defaultSecurityManager; } // JdbcRealm @Bean public JdbcRealm getJdbcRealm(DataSource dataSource) { JdbcRealm jdbcRealm = new JdbcRealm(); jdbcRealm.setDataSource(dataSource); return jdbcRealm; } }
2、创建 UserService.java
@Service public class UsersService { @Autowired private DefaultWebSecurityManager securityManager; public void userLogin(String username,String password) throws AuthenticationException { // 1.将SecurityManager对象设置到运行环境中 SecurityUtils.setSecurityManager(securityManager); // 2.获取Subject对象 Subject subject = SecurityUtils.getSubject(); // 3.将前端传来的用户名密码封装为Shiro提供的身份对象 UsernamePasswordToken token = new UsernamePasswordToken(username, password); // 4.Shiro认证 subject.login(token); } }
3、编写登录控制器方法
@RequestMapping("/user/login2") public String login2(String username,String password){ try { usersService.userLogin(username,password); return "main"; }catch (AuthenticationException e){ return "fail"; } }
4、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_自定义Realm
使用 JdbcRealm 认证时,数据库表名、字段名、认证逻辑都不能改变, 我们可以自定义Realm进行更灵活的认证。
1、准备数据表
CREATE TABLE `users` ( `uid` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, PRIMARY KEY (`uid`) USING BTREE ) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic; INSERT INTO `users` VALUES (1, 'bizan','123');
2、编写实体类
@Data public class Users { private Integer uid; private String username; private String password; }
3、编写mapper接口
public interface UsersMapper extends BaseMapper<Users> { }
4、在启动类加载mapper接口
@SpringBootApplication @MapperScan("com.itbaizhan.myshiro1.mapper") public class Myshiro1Application { public static void main(String[] args) { SpringApplication.run(Myshiro1Application.class, args); } }
5、编写自定义Realm类
public class MyRealm extends AuthorizingRealm { @Autowired private UserInfoMapper userInfoMapper; // 自定义认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 1.获取用户输入的用户名 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = token.getUsername(); // 2.根据用户名查询用户 QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username",username); Users users = usersMapper.selectOne(wrapper); // 3.将查询到的用户封装为认证信息 if (users == null) { throw new UnknownAccountException("账户不存在"); } /** * 参数1:用户 * 参数2:密码 * 参数3:Realm名 */ return new SimpleAuthenticationInfo(users,users.getPassword(),"myRealm"); } // 自定义授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } }
6、将自定义Realm放入SecurityManager对象中
@Configuration public class ShiroConfig { // 自定义Realm @Bean public MyRealm myRealm(){ return new MyRealm(); } // SecurityManager对象 @Bean public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){ DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager(); // 自定义Realm放入SecurityManager中 defaultSecurityManager.setRealm(myRealm); return defaultSecurityManager; } }
7、无需修改Service和Controller
8、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_多Realm认证
在实际开发中,我们的认证逻辑可能不止一种,例如:
1、系统支持用户名密码认证,也支持扫描二维码认证;
2、在系统中有管理员和普通用户两张表,管理员和普通用户的认证逻辑是不一样的;
3、用户数据量庞大,分别存在不同的数据库中,认证时需要连接多个数据源。
以上情况都需要配置多个Realm进行认证,我们以第二种情况举 例,讲解Shiro中多Realm认证的写法:
1、在数据库创建admin表
CREATE TABLE `admin` ( `id` int(11) NOT NULL, `name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, PRIMARY KEY (`id`) USING BTREE ) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic; INSERT INTO `admin` VALUES (1, 'bizan','123'); INSERT INTO `admin` VALUES (2, 'xtzb','456');
2、创建Admin实体类和AdminMapper接口
@Data public class Admin { private Integer id; private String name; private String password; } public interface AdminMapper extends BaseMapper<Admin> {}
3、MyRealm 认证User用户, MyRealm2 认证Admin用户
public class MyRealm2 extends AuthorizingRealm { @Autowired private AdminMapper adminMapper; // 自定义认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 1.获取输入的管理员名 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = token.getUsername(); // 2.根据管理员名查询管理员 QueryWrapper<Admin> wrapper = new QueryWrapper<Admin>().eq("name",username); Admin admin =adminMapper.selectOne(wrapper); // 3.将查询到的管理员封装为认证信息 if (admin == null) { throw new UnknownAccountException("账户不存在"); } /** * 参数1:管理员 * 参数2:密码 * 参数3:Realm名 */ return new SimpleAuthenticationInfo(admin, admin.getPassword(), "myRealm2"); } // 自定义授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } }
4、在SecurityManager中配置Realm
// Realm @Bean public MyRealm getMyRealm() { return new MyRealm(); } @Bean public MyRealm2 getMyRealm2() { return new MyRealm2(); } // SecurityManager对象 @Bean public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm realm, MyRealm2 realm2){ DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager(); // Realm放入SecurityManager中 List<Realm> realms = new ArrayList(); realms.add(realm); realms.add(realm2); defaultSecurityManager.setRealms(realms); return defaultSecurityManager; }
5、使用 bizan:123 和 xtzb:456 测试认证效果
