一.Shiro简介
1.1 基础概念
Apache Shiro是一个强大且易用的Java安全(权限)框架
Shiro可以非常容易的开发出足够好的应用,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中。
Shiro可以执行身份验证、授权、密码、会话管理,web集成,缓存等。
Shiro下载地址:https://shiro.apache.org/
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yGlg6geB-1593664385601)(file:///C:\Users\刘先生\AppData\Local\Temp\ksohtml14300\wps1.jpg)]
1.2 Shiro有哪些功能?
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UoXHwGuS-1593664385605)(C:\Users\刘先生\Desktop\Shiro.assets\image-20200616142043650.png)]
Authentication:身份验证,登录,验证用户是不是拥有相应的身份Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户是否进行什么操作,如:验证某个用户是否拥有某个角色,或者细粒度的验证某个资源是否具有某个权限Session Management : 会话管理,即用户登录后就是第一次会话,在没有退出之前,它的所以信息都会在会话中,会话可以是普通的JavaSE环境,也可以是Web环境Cryptography : 加密,保护数据的安全性,如密码加密存储到数据库中,而不是明文存储Web Support:Web支持,可以非常容易的集成Web环境Caching :缓存,比如用户登录后,其用户信息,拥有的角色,权限不必每次去查,这样可以提高效率Concurrency : Shiro支持多线程应用并发验证,即,如在一个线程中开启另一个线程,能把权限自动的传播过去Testing :提高测试支持Run AS :允许一个用户假装为另一个用户(如果他们允许)的身份进行访问Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来就不用在登录了
1.3 Shiro架构(外部)
从外部来看Shiro,即从应用程序角度来观察如何使用Shiro来完成工作:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Q5iEpEHq-1593664385607)(C:\Users\刘先生\Desktop\Shiro.assets\image-20200616144009618.png)]
Subject:应用代码直接交互的对象是Sbuject,也就是是Shiro的对外API核心就是Subject,Subject代表了当前的用户,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等,与Subject的所有交互都会委托给SecurityManager;Subject其实是一个门面,SecurityManageer才是实际的执行者
SecurityManageer:安全管理器,即所有与安全有关的操作都会与SecurityManageer交互,并且它管理着所有的Subject,可以看出它是Shiro的核心,它负责与Shiro的其他组件进行交互,它相当于SpingMVC的DispatcherServlet的角色
Realm:Shiro从Realm获取安全数据(如用户,角色,权限),就是说SecurityManageer要验证用户身份,那么它需要从Realm获取相应的用户进行比较,来确定用户的身份是否合法;也需要从Realm得到用户相应的角色,权限,进行验证用户的操作是否能够进行,可以把Realm看成DataSource
1.4 Shiro架构(内部)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-t1p4Md1J-1593664385612)(C:\Users\刘先生\Desktop\Shiro.assets\image-20200616151513493.png)]
Subject:任何可以与应用交互的"用户"SecurityManageer:相当于SpingMVC中的DispatcherServlet;是Shiro的心脏,所有具体的交互都通过Security Manageer进行控制,它管理者所有的Subject,且负责进行认证,授权,会话,及缓存的管理Authenticator:负责Subject认证,是一个扩展点,可以自定义实现,可以使用认证策略(AuthenticationStrategy),即什么情况下算用户认证通过了Authorizer:授权器,即访问控制器,用来决定主体是否有权限进行相应的操作,即控制着用户能访问应用中的哪些功能Realm:可以有一个或者多个的ealm,可以认为安全实体数据源,即用于获取安全实体的,可以用JDBC实现,也可以是内存实现等等,由用户提供,所有一般在应用中都需要实现自己的realmSessionManager:缓存控制器,来管理如角色,权限等缓存的,因为这些数据基本上很少改变,放到缓存中后可以提高访问的性能Cryptography:密码模块,Shiro提高了一些常见的加密组件用于密码加密,解密等。
二. Shiro练习HelloWord
1.导入依赖
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.1</version>
</dependency>
<!-- configure logging -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>jcl-over-slf4j</artifactId>
<version>1.7.21</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.21</version>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
</dependencies>
2.配置文件
2.1先配置log4j.properties
#
log4j.rootLogger=INFO, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
# General Apache libraries
log4j.logger.org.apache=WARN
# Spring
log4j.logger.org.springframework=WARN
# Default Shiro logging
log4j.logger.org.apache.shiro=INFO
# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN
2.2 配置shiro.ini文件
# -----------------------------------------------------------------------------
# Users and their assigned roles
#
# Each line conforms to the format defined in the
# org.apache.shiro.realm.text.TextConfigurationRealm#setUserDefinitions JavaDoc
# -----------------------------------------------------------------------------
[users]
# user 'root' with password 'secret' and the 'admin' role
root = secret, admin
# user 'guest' with the password 'guest' and the 'guest' role
guest = guest, guest
# user 'presidentskroob' with password '12345' ("That's the same combination on
# my luggage!!!" ;)), and role 'president'
presidentskroob = 12345, president
# user 'darkhelmet' with password 'ludicrousspeed' and roles 'darklord' and 'schwartz'
darkhelmet = ludicrousspeed, darklord, schwartz
# user 'lonestarr' with password 'vespa' and roles 'goodguy' and 'schwartz'
lonestarr = vespa, goodguy, schwartz
# -----------------------------------------------------------------------------
# Roles with assigned permissions
#
# Each line conforms to the format defined in the
# org.apache.shiro.realm.text.TextConfigurationRealm#setRoleDefinitions JavaDoc
# -----------------------------------------------------------------------------
[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# The 'schwartz' role can do anything (*) with any lightsaber:
schwartz = lightsaber:*
# The 'goodguy' role is allowed to 'drive' (action) the winnebago (type) with
# license plate 'eagle5' (instance specific id)
goodguy = winnebago:drive:eagle5
3 . HelloWord与Shiro常用方法
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
/**
* Simple Quickstart application showing how to use Shiro's API.
*
* @since 0.9 RC2
*/
public class Quickstart {
//Quickstart类的启动log4j
private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);
public static void main(String[] args) {
//创建Shiro SecurityManager的最简单方法
//领域、用户、角色和权限使用简单的INI配置。
//我们将通过使用一个可以接收.ini文件和
//返回SecurityManager实例:
//在类路径的根使用shiro.ini文件
// (file:和url:分别从文件和url加载前缀):
//通过工程模式去创建这个实例,去访问到这个配置文件,新建一个对象
//这三行代码都是固定代码,不是很重要
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
//现在已经建立了一个简单的Shiro环境,让我们看看你能做些什么:
//获取当前执行的user的内容。
Subject currentUser = SecurityUtils.getSubject();
//用会话做一些事情(不需要web或EJB容器!!)
Session session = currentUser.getSession();
session.setAttribute("someKey", "aValue");
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
log.info("Retrieved the correct value! [" + value + "]");
}
//让我们登录当前用户,这样我们可以检查角色和权限:
if (!currentUser.isAuthenticated()) {
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
token.setRememberMe(true);
try {
//进行登录操作
currentUser.login(token);
//判断用户名是否一致
} catch (UnknownAccountException uae) {
log.info("The-re is no user with username of " + token.getPrincipal());
//判断密码是否一致
} catch (IncorrectCredentialsException ice) {
log.info("Password for account " + token.getPrincipal() + " was incorrect!");
//判断你登录账号是否被锁定,就是连续几次输入密码错误,账号被锁定的情况
} catch (LockedAccountException lae) {
log.info("The account for username " + token.getPrincipal() + " is locked. " +
"Please contact your administrator to unlock it.");
}
// ... catch more exceptions here (maybe custom ones specific to your application?
catch (AuthenticationException ae) {
//unexpected condition? error?
}
}
//拿到当前用户的认证
log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");
//获取当前用户有哪些权限:
if (currentUser.hasRole("schwartz")) {
log.info("May the Schwartz be with you!");
} else {
log.info("Hello, mere mortal.");
}
//测试类型化权限(不是实例级)
if (currentUser.isPermitted("lightsaber:wield")) {
log.info("You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
//a(非常强大)实例级权限:
if (currentUser.isPermitted("winnebago:drive:eagle5")) {
log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'. " +
"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
//全部完成-登出!
currentUser.logout();
System.exit(0);
}
}
3.1 如何获取Subject?
也就是拿到用户信息
Subject currentUser = SecurityUtils.getSubject();
3.2 通过Subject拿到Session
Session session = currentUser.getSession();
3.3 登录
currentUser.login(token);
3.4 判断当前用户是否被认证
currentUser.isAuthenticated()
3.5 获得当前用户的认证
currentUser.getPrincipal()
3.6 获得当前用户拥有哪些角色
currentUser.hasRole("schwartz")
3.7获得当前用户的权限
currentUser.isPermitted("lightsaber:wield")
3.8 退出登录
currentUser.logout();
三.Springboot集成
1.搭建Shiro环境
1.1 导入shiro依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.1</version>
</dependency>
1.2 编写shiro的两个核心配置
1.2.1 ShiroConfig.java
package com.example.spingbootshiro.Config;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
public class ShiroConfig {
//Shiro工厂对象
//ShiroFilterFactoryBean
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDofaultWebSecurityManager")DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//设置安全管理器
shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
return shiroFilterFactoryBean;
}
//安全对象
//DefaultWebSecurityManager
@Bean
public DefaultWebSecurityManager getDofaultWebSecurityManager(@Qualifier("UserRealm") UserRealm userRealm){
DefaultWebSecurityManager SecurityManager = new DefaultWebSecurityManager();
//关联realm
SecurityManager.setRealm(userRealm);
return SecurityManager;
}
//创建 realm 对象,需要自定义
@Bean
public UserRealm UserRealm(){
return new UserRealm();
}
}
1.2.2 UserRealm.java
package com.example.spingbootshiro.Config;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class UserRealm extends AuthorizingRealm {
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("执行了授权>=doGetAuthorizationInfo");
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("执行了认证>=doGetAuthenticationInfo");
return null;
}
}
2.Shrio实现登录拦截
2.1创建index.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf,org">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>首页</h1>
<p th:text = "${msg}"></p>
<a th:href = "@{/user/add}">add</a>
<a th:href = "@{/user/update}">update</a>
</body>
</html>
2.2创建add和update页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>add/update</h1>
</body>
</html>
crotroller层加入@RequestMapping注解
@RequestMapping({"/","/index"})
public String toIndex(Model model){
model.addAttribute("msg","hello shiro");
return "index";
}
@RequestMapping("/user/add")
public String add(){
return "user/add";
}
@RequestMapping("/user/update")
public String update(){
return "user/update";
}
2.3先简单了解shiro的内置过滤器
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ulmKYDoh-1593664385614)(C:\Users\刘先生\Desktop\文档\个人研究\Shiro.assets\image-20200623145652854.png)]
//添加shiro的内置过滤器
/*
anon: 无需认证就可访问
authc:必须认证才能访问
user:必须拥有记住我功能才能访问
perms: 拥有对某个资源的权限才能访问
role:拥有某个角色权限才能访问
*/
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/user/add","authc");//
filterMap.put("/user/update","authc");
// 设置登录请求,确保
bean.setLoginUrl("/toLogin");
bean.setFilterChainDefinitionMap(filterMap);
这块shiro的内置过滤器是authc,是需要认证才能访问,无认证就会显示页面找不到
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Cfw04osW-1593664385615)(C:\Users\刘先生\Desktop\文档\个人研究\Shiro.assets\image-20200623104128576.png)]
这块shiro的内置过滤器改为anon,页面就会显示对应页面信息,因为anon是无需认证就可以访问
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eVDDuswL-1593664385616)(C:\Users\刘先生\Desktop\文档\个人研究\Shiro.assets\image-20200623104142189.png)]
2.4 shiro实现用户登录认证
2.4.1在cortroller里面写一个登录方法
//访问页面功能要先登录
@RequestMapping("/toLogin")
public String tologin(){ return "login"; }
//登录方法
@RequestMapping("/login")
public String login(String username,String password,Model model){
//获取当前用户
Subject subject = SecurityUtils.getSubject();
//封装用户登录数据
UsernamePasswordToken token =new UsernamePasswordToken(username,password);
try{
subject.login(token);
return "index";
}catch (UnknownAccountException e){
//用户名不存在,相当于局部刷新,用户名错误提示用户名不存在,密码错误,提示密码错误
model.addAttribute("msg","用户名错误");
return "login";
}catch (IncorrectCredentialsException e){//密码错误
model.addAttribute("msg","密码错误");
return "login";
}
}
在页面上没有登录点击add.html页面,它就会让你先进行登录
2.4.2 前端页面可以写一个简单的提示
先将th的路径引进来,在元素前面加上th,thymeleaf会进行解析,属性前后台的一个连接
<html lang="en" xmlns:th="http://www.thymeleaf,org">
在输入框上面或者下面添加下面语句,在页面中对用户进行提示
<p th:text="${msg}" style="color:red;"></p>
2.4.3 在UserRealm里面加入认证
System.out.println("执行了认证>=doGetAuthenticationInfo");
//用户名,密码,通过令牌拿到用户的登录信息
String name = "root";
String password = "123456";
UsernamePasswordToken token1 = (UsernamePasswordToken) token;
if (!(token1.getUsername().equals(name))){
return null; //抛出异常
}
//密码认证,shiro帮忙认证
//principal 获取当前用户的认证
//password 传递一个密码的对象
//realName 认证名
return new SimpleAuthenticationInfo("",password,"");
}
2.4.3.1 用户名输入错误会显示
··[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xPPuXn8b-1593664385617)(C:\Users\刘先生\Desktop\文档\个人研究\Shiro.assets\9$MZC`021]2J%@%G7W81F9.png)]
2.4.3.2 密码输入错误页面会显示
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-I5U3qDOg-1593664385617)(C:\Users\刘先生\Desktop\文档\个人研究\Shiro.assets\image-20200623110708125.png)]
3 shiro整合Mybatis
3.1 导入依赖
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.1.21</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.12</version>
</dependency>
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.1.2</version>
</dependency>
3.2 添加一个application.yml配置文件
server:
port: 8080
spring:
datasource:
url: jdbc:mysql://127.0.0.1:3306/testdb?autoReconnect=true&useUnicode=true&characterEncoding=utf8&useSSL=false&serverTimezone=CTT
username: root
password: 990421
driver-class-name: com.mysql.jdbc.Driver
mvc:
view:
prefix: /WEB-INF/views
suffix: .html
mybatis-plus:
mapper-locations: classpath:mapper/*Mapper.xml
type-aliases-package: com.example.spingbootshiro.pojo
3.3 修改application.properties配置文件
mybatis.type-aliases-package=com.example.spingbootshiro.pojo
mybatis.mapper-locations=classpath:mapper/*.xml
3.4创建一个user实体类
package com.lijincan.pojo;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
private int id;
private String name;
private String pwd;
private String prams;
}
3.5创建一个mapper包,在mapper下创建接口
@Mapper
@Repository
public interface UserMapper {
public User queryUserByName(String name);
}
3.6 在resources创建一个mapper包,在该包下创建一个UserMapper.xml配置文件(可以用easy code来创建)
<!--查询单个-->
<select id="queryUserByName" parameterType="String" resultType="User">
SELECT * FROM user where name = #{name}
</select>
3.7修改UserRealm类认证方法
System.out.println("执行了认证>=doGetAuthenticationInfo");
//用户名,密码
UsernamePasswordToken token1 = (UsernamePasswordToken) token;
//连接真实数据库
User user = userService.queryUserByName(token1.getUsername());
//判断用户名,数据中取
if (user==null){
return null;
}
//密码认证,shiro帮忙认证
return new SimpleAuthenticationInfo(user,user.getPwd(),"");
}
最后Shiro支持通配符,在ShiroConfig.java类里面进行修改
filterMap.put("/user/*","authc");
4 shiro授权实现
4.1在在ShiroConfig.java类里面进行修改,加上授权认证
//权限认证,正常情况下,没有授权会跳到未授权页面
filterMap.put("/user/add","perms[user:add]");
filterMap.put("/user/update","perms[user:update]");
//跳转到未授权页面
shiroFilterFactoryBean.setUnauthorizedUrl("/noauth");
4.2cortroller页面
@RequestMapping("/noauth")
@ResponseBody
public String unauthorized(){
return "未授权,不能访问此页面";
}
4.3 修改UserRealm类授权方法
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("执行了授权>=doGetAuthorizationInfo");
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
//拿到当前的用户
Subject subject = SecurityUtils.getSubject();
User principal = (User) subject.getPrincipal();
//设置当前用户的权限
simpleAuthorizationInfo.addStringPermission(principal.getPrams());
return simpleAuthorizationInfo;
}
页面效果
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VeVhSp2A-1593664385618)(C:\Users\刘先生\Desktop\文档\个人研究\Shiro.assets\image-20200623142955945.png)]
5 shiro 整合Thymeleaf
5.1导入依赖
<dependency>
<groupId>com.github.theborakompanioni</groupId>
<artifactId>thymeleaf-extras-shiro</artifactId>
<version>2.0.0</version>
</dependency>
5.2 在ShiroConfig类中整合Thymeleaf
//整合thymeleaf
@Bean
public ShiroDialect getShiroDialect(){
return new ShiroDialect();
}
5.3 修改前端index.html页面
<html lang="en" xmlns:th="http://www.thymeleaf,org"
xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro">
//add页面权限
<div shiro:hasPermission="user:add">
<a th:href = "@{/user/add}">add</a>
</div>
//update页面权限
<div shiro:hasPermission="user:update">
<a th:href = "@{/user/update}">update</a>
</div>
用户访问页面,页面上会根据用户权限显示对应的页面
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tE324wrb-1593664385619)(C:\Users\刘先生\Desktop\文档\个人研究\Shiro.assets\image-20200623144911131.png)]
如上图 ,用户111这样add权限,页面只会显示add页面跳转链接
5.4 获取将用户登录信息存入session
Subject subject1 = SecurityUtils.getSubject();
Session session = subject1.getSession();
session.setAttribute("loginUser",user);
5.5前端页面根据session存储的数据来判断登录和登出
<div th:if = "${session.loginUser==null}">
<a th:href="@{/toLogin}">登录</a>
</div>
<div th:if = "${session.loginUser!=null}">
<a th:href="@{/outindex}">退出登录</a>
</div>
5.6 实现退出登录
5.6.1在ShiroConfig类里添加方法
shiroFilterFactoryBean.setSuccessUrl("/outindex");
5.6.2在controller里添加登出方法
@RequestMapping("/outindex")
public String out(){
Subject subject = SecurityUtils.getSubject();
subject.logout();
return "index";
}
