shiro踩坑指南—基础概念与实战
说明
其他资料:
基础概念
Authenticate/Authentication(认证)
认证是指检查用户身份合法性,通过校验用户输入的密码是否正确,判断用户是否为本人。
有几个概念需要理解:
-
Principals (主体标识)
任何可以唯一地确定一个用户的属性都可以充当principal,例如:邮箱、手机号、用户ID等,这些都是与用户一一对应的,可以唯一地确定一个用户。 -
credentials (主体凭证)
credentials是能确认用户身份的东西,可以是证书(Certificate),也可以是密码(password)。 -
token(令牌)
这里的token和api里的token有一点儿差别,这里token是principal和credential的结合体或者说容器。这里先讲一部分,剩下的放到"Subject"讲解。
Authorize/Authorization(授权)
shiro中的“授权”,更贴切说法是“鉴权”,即判定用户是否拥有某些权限,至于拥有该权限在业务上有何意义,则是由业务本身来决定。
关于“授权”,shiro引入了两种概念:
-
Role (角色)
角色用来区分用户的类别。角色与用户间是多对多的关系,一个用户可以拥有多个角色,如Bob可以同时是admin(管理员)和user(普通用户)。 -
Permission (权限)
权限是对角色的具体的描述,用于说明角色在业务上的特殊性。如admin(管理员)可以拥有user:delete(删除用户)、user:modify(修改用户信息)等的权限。同样的,角色与权限是多对多的数量关系。
shiro权限可以分级,使用":"分割,如delete、user:delete、user:info:delete。可以使用"*"作通配符,例如可以给admin赋予操作用户的所有权限,可以配置为"user:*",这样在授权时,isPermitted("user:123")、isPermitted("user:123:abc")都是返回true;如果配置为"*😗:delete",想要返回true,则需要类似这样的权限: isPermitted("123🔤delete")、isPermitted("hello:321:delete")。
Subject(主体)
Subject对象用于应用程序与shiro的相关组件进行交互,可以把它看作应用程序中“用户”的代理,也可以将其视为shiro中的“用户”。譬如在一个应用中,User对象作为业务上以及程序中的“用户”,在实现shiro的认证和授权时,并不直接使用User对象与shiro组件进行交互,而是把User对象的信息(用户名和密码)交给Subject,Subject调用自己的方法,向shiro组件发起身份认证或授权。
如下是Subject接口提供的方法,包括登录(login)、退出(logout)、认证(isAuthenticated)、授权(checkPermission)等:
SecurityManager
顾名思义,SecurityManager是用来manage(管理)的,管理shiro认证授权的流程,管理shiro组件、管理shiro的一些数据、管理Session等等。
如下是SecurityManager接口的继承关系:
Realm(域)
与Subject和SecurityManager一样,Realm是shiro中的三大核心组件之一。Realm相当于DAO,用于获取与用户安全相关的数据(用户密码、角色、权限等)。当Subject发起认证和授权时,实际上是调用其对应的SecurityManager的认证和授权的方法,而SecurityManager则又是调用Authenticator和Authorizer的方法,这两个类,最后是通过Realm来获取主体的认证和授权信息。
shiro的认证和授权过程如下所示:
使用shiro的基本流程
shiro的使用其实是比较简单的,只要熟记这几个步骤,然后在代码中实现即可。
1. 创建Realm
Realm是一个接口,其实现类有SimpleAccountRealm, IniRealm, JdbcRealm等,实际应用中一般需要自定义实现Realm,自定义的Realm通常继承自抽象类AuthorizingRealm,这是一个比较完善的Realm,提供了认证和授权的方法。
2. 创建SecurityManager并配置环境
配置SecurityManager环境实际上是配置Realm、CacheManager、SessionManager等组件,最基本的要配置Realm,因为安全数据是通过Realm来获取。用SecurityManager的setRealm(xxRealm)方法即可给SecurityManager设置Realm。可以为SecurityManager设置多个Realm。
3. 创建Subject
可以使用SecurityUtils创建Subject。SecurityUtils是一个抽象工具类,其提供了静态方法getSubject(),用来创建一个与线程绑定的Subject。创建出来的Subject用ThreadContext类来存储,该类也是一个抽象类,它包含一个Map<Object, Object>类型的ThreadLocal静态变量,该变量存储该线程对应的SecurityManager对象和Subject对象。在SecurityUtils调用getSubject方法时,实际上是调用SecurityManager的CreateSubject()方法,既然如此,为什么还要通过SecurityUtils创建Subject?因为SecurityUtils不仅仅创建了Subject还将其与当前线程绑定,而且,使用SecurityManager的CreateSubject()方法还要构建一个SubjectContext类型的参数。
4. Subject提交认证和授权
Subject的login(Token token)方法可以提交“登录”(或者说认证),token就是待验证的用户信息(用户名和密码等)。登录(认证)成功后,使用Subject的ckeckRole()、checkPermission等方法判断主体是否拥有某些角色、权限,以达到授权的目的。再次提醒,Subject不实现实际上的认证和授权过程,而是交给SecurityManager处理。
shiro认证授权示例
Realm用的是SimpleAccountRealm,SimpleAccountRealm直接把用户认证数据存到实例中, SecurityManager使用DefaultSecurityManager, 使用SecurityUtils创建Subject, Token用UsernamePasswordToken。 用Junit进行测试。 maven依赖如下:
<!--单元测试--> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.13-beta-3</version> </dependency> <!--shiro核心包--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency>
shiro认证示例
AuthenticationTest.java:
package com.lifeofcoding.shiro; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.mgt.DefaultSecurityManager; import org.apache.shiro.realm.SimpleAccountRealm; import org.apache.shiro.subject.Subject; import org.junit.Test; public class AuthenticationTest { @Test public void testAuthentication(){ //1.创建Realm并添加数据 SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm(); simpleAccountRealm.addAccount("java","123"); //2.创建SecurityManager并配置环境 DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager(); defaultSecurityManager.setRealm(simpleAccountRealm); //3.创建subject SecurityUtils.setSecurityManager(defaultSecurityManager); Subject subject = SecurityUtils.getSubject(); //4.Subject通过Token提交认证 UsernamePasswordToken token = new UsernamePasswordToken("java","123"); subject.login(token); //验证认证情况 System.out.println("isAuthenticated: "+ subject.isAuthenticated()); //退出登录subject.logout(); } }
shiro授权示例
SimpleAccountRealm添加用户角色和权限的方法比较简单,可以自己琢磨。此处的Realm改用IniRealm,iniRealm需要编写ini文件存储用户的信息,ini文件放在resource文件夹下。代码如下:
AuthorizationTest.java
package com.lifeofcoding.shiro; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.mgt.DefaultSecurityManager; import org.apache.shiro.realm.text.IniRealm; import org.apache.shiro.subject.Subject; import org.junit.Test; import java.util.ArrayList; public class AuthorizationTest { @Test public void testAuthorization() { //1.创建Realm并添加数据 IniRealm iniRealm = new IniRealm("classpath:UserData.ini"); //2.创建SecurityManager并配置环境 DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager(); defaultSecurityManager.setRealm(iniRealm); //3.创建Subject SecurityUtils.setSecurityManager(defaultSecurityManager); Subject subject = SecurityUtils.getSubject(); //4.主体提交认证 UsernamePasswordToken token = new UsernamePasswordToken("java", "123"); subject.login(token); /*以下为授权的几种方法*/ //①.直接判断是否有某权限,isPermitted方法返回boolean,不抛异常 System.out.println("user:login isPermitted: " + subject.isPermitted("user:login")); //②.通过角色进行授权,方法有返回值,不抛异常 subject.hasRole("user");//判断主体是否有某角色 subject.hasRoles(new ArrayList<String>() {//返回boolean数组,数组顺序与参数Roles顺序一致,接受List<String>参数 { add("admin"); add("user"); } }); subject.hasAllRoles(new ArrayList<String>() {//返回一个boolean,Subject包含所有Roles时才返回true,接受Collection<String>参数 { add("admin"); add("user"); } }); //③.通过角色授权,与上面大体相同,不过这里的方法无返回值,授权失败会抛出异常,需做好异常处理 subject.checkRole("user"); subject.checkRoles("user", "admin");//变参 //④.通过权限授权,无返回值,授权失败抛出异常 subject.checkPermission("user:login"); //ini文件配置了test角色拥有"prefix:*"权限,也就是所有以"prefix"开头的权限 subject.checkPermission("prefix:123:456:......"); //ini文件配置了test角色拥有"*:*:suffix"权限,意味着其拥有所有以"suffix"结尾的,一共有三级的权限 subject.checkPermission("1:2:suffix"); subject.checkPermission("abc:123:suffix"); subject.checkPermissions("user:login", "admin:login");//变参 //subject.checkPermission(Permission permission); 需要Permission接口的实现类对象作参数 //subject.checkPermissions(Collection<Permission> permissions); } }
user.ini:
[users] java = 123,user,admin,test [roles] user = user:login,user:modify admin = user:delete,user:modify,admin:login test = prefix:*,*:*:suffix
ini文件的Demo
下面介绍其他的Realm
JdbcRealm
JdbcRealm包含默认的数据库查询语句,直接使用即可,但要注意创建的表结构要跟查询语句相对应。当然也可以自己去自定义查询语句和数据库。
mavern依赖:
<!--数据库相关--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.15</version> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>1.1.6</version> </dependency>
默认查询语句
默认的查询语句
数据库sql语句
JdbcRealmTest.java:
package com.lifeofcoding.shiro; import com.alibaba.druid.pool.DruidDataSource; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.mgt.DefaultSecurityManager; import org.apache.shiro.realm.jdbc.JdbcRealm; import org.apache.shiro.subject.Subject; import org.junit.Test; public class JdbcRealmTest { DruidDataSource druidDataSource = new DruidDataSource(); { druidDataSource.setUrl("jdbc:mysql://localhost:3306/shiro"); druidDataSource.setUsername("root"); druidDataSource.setPassword("0113"); } @Test public void testJdbcRealm(){ //1.创建Realm并添加数据 JdbcRealm jdbcRealm = new JdbcRealm(); jdbcRealm.setDataSource(druidDataSource);//配置数据源 jdbcRealm.setPermissionsLookupEnabled(true);//设置允许查询权限,否则checkPermission抛异常,默认值为false //2.创建SecurityManager并配置环境 DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager(); defaultSecurityManager.setRealm(jdbcRealm); //3.创建subject SecurityUtils.setSecurityManager(defaultSecurityManager); Subject subject = SecurityUtils.getSubject(); //4.Subject通过Token提交认证 UsernamePasswordToken token = new UsernamePasswordToken("java","123"); subject.login(token);//退出登录subject.logout(); //验证认证与授权情况 System.out.println("isAuthenticated: "+ subject.isAuthenticated()); subject.hasRole("admin"); subject.checkPermission("user:delete"); } }
自定义查询语句
自定义的查询语句
自定义的'test_user_roles'表结构
自定义的'test_roles_permissions'表结构
数据库sql语句
MyJdbcRealmTest.java:
import com.alibaba.druid.pool.DruidDataSource; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.mgt.DefaultSecurityManager; import org.apache.shiro.realm.jdbc.JdbcRealm; import org.apache.shiro.subject.Subject; import org.junit.Test; public class MyJdbcRealmTest { //从数据库获取对应用户密码实现认证 protected static final String AUTHENTICATION_QUERY = "select password from test_users where user_name = ?"; //从数据库中获取对应用户的所有角色 protected static final String USER_ROLES_QUERY = "select role from test_user_roles where user_name = ?"; //从数据库中获取角色对应的所有权限 protected static final String PERMISSIONS_QUERY = "select permission from test_roles_permissions where role = ?"; DruidDataSource druidDataSource = new DruidDataSource(); { druidDataSource.setUrl("jdbc:mysql://localhost:3306/shiro"); druidDataSource.setUsername("root"); druidDataSource.setPassword("0113"); } @Test public void testMyJdbcRealm(){ //1.创建Realm并设置数据库查询语句 JdbcRealm jdbcRealm = new JdbcRealm(); jdbcRealm.setDataSource(druidDataSource);//配置数据源 jdbcRealm.setPermissionsLookupEnabled(true);//设置允许查询权限,否则checkPermission抛异常,默认值为false jdbcRealm.setAuthenticationQuery(AUTHENTICATION_QUERY);//设置用户认证信息查询语句 jdbcRealm.setUserRolesQuery(USER_ROLES_QUERY);//设置用户角色信息查询语句 jdbcRealm.setPermissionsQuery(PERMISSIONS_QUERY);//设置角色权限信息查询语句 //2.创建SecurityManager并配置环境 DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager(); defaultSecurityManager.setRealm(jdbcRealm); //3.创建subject SecurityUtils.setSecurityManager(defaultSecurityManager); Subject subject = SecurityUtils.getSubject(); //4.Subject通过Token提交认证 UsernamePasswordToken token = new UsernamePasswordToken("java","123"); subject.login(token);//退出登录subject.logout(); //验证认证与授权情况 System.out.println("isAuthenticated: "+ subject.isAuthenticated()); subject.hasRole("admin"); subject.checkPermission("user:delete"); } }
自定义Realm
自定义Realm,可以继承抽象类AuthorizingRealm,实现其两个方法——doGetAuthenticationInfo和doGetAuthorizationInfo,分别用来返回AuthenticationInfo(认证信息)和AuthorizationInfo(授权信息)。
@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { //1.获取主体中的用户名 String userName = (String) authenticationToken.getPrincipal(); //2.通过用户名获取密码,getPasswordByName自定义实现 String password = getPasswordByUserName(userName); if(null == password){ return null; } //构建AuthenticationInfo返回 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(userName,password,"MyRealm"); return authenticationInfo; } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { //1.获取用户名。principal为Object类型,是用户唯一标识,可以是用户名,用户邮箱,数据库主键等,能唯一确定一个用户的信息。 String userName = (String) principalCollection.getPrimaryPrincipal(); //2.获取角色信息,getRoleByUserName自定义 Set<String> roles = getRolesByUserName(userName); //3.获取权限信息,getPermissionsByRole方法同样自定义,也可以通过用户名查找权限信息 Set<String> permissions = getPermissionsByUserName(userName); //4.构建认证信息并返回。 SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(); simpleAuthorizationInfo.setStringPermissions(permissions); simpleAuthorizationInfo.setRoles(roles); return simpleAuthorizationInfo; }
完整的,包含添加用户功能的自定义Realm
MyRealm.java:
import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.util.CollectionUtils; import java.util.HashSet; import java.util.Map; import java.util.Set; import java.util.concurrent.ConcurrentHashMap; import java.util.concurrent.locks.ReadWriteLock; import java.util.concurrent.locks.ReentrantReadWriteLock; public class MyRealm extends AuthorizingRealm { /**存储用户名和密码*/ protected final Map<String,String> userMap; /**存储用户及其对应的角色*/ protected final Map<String, Set<String>> roleMap; /**存储所有角色以及角色对应的权限*/ protected final Map<String,Set<String>> permissionMap; { //设置Realm名 super.setName("MyRealm") ; } public MyRealm(){ userMap = new ConcurrentHashMap<>(16); roleMap = new ConcurrentHashMap<>(16); permissionMap = new ConcurrentHashMap<>(16); } /** * 身份认证必须实现的方法 * @param authenticationToken token * @return org.apache.shiro.authc.AuthenticationInfo */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { //1.获取主体中的用户名 String userName = (String) authenticationToken.getPrincipal(); //2.通过用户名获取密码,getPasswordByName自定义实现 String password = getPasswordByUserName(userName); if(null == password){ return null; } //构建AuthenticationInfo返回 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(userName,password,"MyRealm"); return authenticationInfo; } /** * 用于授权 * @return org.apache.shiro.authz.AuthorizationInfo */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { //1.获取用户名。principal为Object类型,是用户唯一标识,可以是用户名,用户邮箱,数据库主键等,能唯一确定一个用户的信息。 String userName = (String) principalCollection.getPrimaryPrincipal(); //2.获取角色信息,getRoleByUserName自定义 Set<String> roles = getRolesByUserName(userName); //3.获取权限信息,getPermissionsByRole方法同样自定义,也可以通过用户名查找权限信息 Set<String> permissions = getPermissionsByUserName(userName); //4.构建认证信息并返回。 SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(); simpleAuthorizationInfo.setStringPermissions(permissions); simpleAuthorizationInfo.setRoles(roles); return simpleAuthorizationInfo; } /** * 自定义部分,通过用户名获取权限信息 * @return java.util.Set<java.lang.String> */ private Set<String> getPermissionsByUserName(String userName) { //1.先通过用户名获取角色信息 Set<String> roles = getRolesByUserName(userName); //2.通过角色信息获取对应的权限 Set<String> permissions = new HashSet<String>(); //3.添加每个角色对应的所有权限 roles.forEach(role -> { if(null != permissionMap.get(role)) { permissions.addAll(permissionMap.get(role)); } }); return permissions; } /** * 自定义部分,通过用户名获取密码,可改为数据库操作 * @param userName 用户名 * @return java.lang.String */ private String getPasswordByUserName(String userName){ return userMap.get(userName); } /** * 自定义部分,通过用户名获取角色信息,可改为数据库操作 * @param userName 用户名 * @return java.util.Set<java.lang.String> */ private Set<String> getRolesByUserName(String userName){ return roleMap.get(userName); } /** * 往realm添加账号信息,变参不传值会接收到长度为0的数组。 */ public void addAccount(String userName,String password) throws UserExistException{ addAccount(userName,password,(String[]) null); } /** * 往realm添加账号信息 * @param userName 用户名 * @param password 密码 * @param roles 角色(变参) */ public void addAccount(String userName,String password,String... roles) throws UserExistException{ if( null != userMap.get(userName) ){ throw new UserExistException("user \""+ userName +" \" exists"); } userMap.put(userName, password); roleMap.put(userName, CollectionUtils.asSet(roles)); } /** * 从realm删除账号信息 * @param userName 用户名 */ public void delAccount(String userName){ userMap.remove(userName); roleMap.remove(userName); } /** * 添加角色权限,变参不传值会接收到长度为0的数组。 * @param roleName 角色名 */ public void addPermission(String roleName,String...permissions){ permissionMap.put(roleName,CollectionUtils.asSet(permissions)); } /**用户已存在异常*/ public class UserExistException extends Exception{ public UserExistException(String message){super(message);} } }
测试代码
MyRealmTest.java:
import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.mgt.DefaultSecurityManager; import org.apache.shiro.subject.Subject; import org.junit.Test; public class MyRealmTest { @Test public void testMyRealm(){ //1.创建Realm并添加数据 MyRealm myRealm = new MyRealm(); try { myRealm.addAccount("java", "123", "admin"); }catch (Exception e){ e.printStackTrace(); } myRealm.addPermission("admin","user:delete"); //2.创建SecurityManager并配置环境 DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager(); defaultSecurityManager.setRealm(myRealm); //3.创建subject SecurityUtils.setSecurityManager(defaultSecurityManager); Subject subject = SecurityUtils.getSubject(); //4.Subject通过Token提交认证 UsernamePasswordToken token = new UsernamePasswordToken("java","123"); subject.login(token);//退出登录subject.logout(); //验证认证与授权情况 System.out.println("isAuthenticated: "+ subject.isAuthenticated()); subject.hasRole("admin"); subject.checkPermission("user:delete"); } }
加密
使用加密,只需要在Realm返回的AuthenticationInfo添加用户密码对应的盐值:
@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { //1.获取主体中的用户名 String userName = (String) authenticationToken.getPrincipal(); //2.通过用户名获取密码,getPasswordByName自定义实现 String password = getPasswordByUserName(userName); if(null == password){ return null; } //3.构建authenticationInfo认证信息 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(userName,password,"MyRealm"); //设置盐值 String salt = getSaltByUserName(userName); authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(salt)); return authenticationInfo; }
并且在测试代码中给Realm设置加密:
//设置加密 HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(); matcher.setHashAlgorithmName("MD5");//设置加密算法 matcher.setHashIterations(3);//设置加密次数 myEncryptedRealm.setCredentialsMatcher(matcher);
必要地,在存密码时,要存储加盐加密后的密码:
public void addAccount(String userName,String password,String... roles) throws UserExistException { if(null != userMap.get(userName)){ throw new UserExistException("user \""+ userName +"\" exist"); } //如果配置的加密次数大于0,则进行加密 if(iterations > 0){ //使用随机数作为密码,可改为UUID或其它 String salt = String.valueOf(Math.random()*10); saltMap.put(userName,salt); password = doHash(password, salt); } userMap.put(userName, password); roleMap.put(userName, CollectionUtils.asSet(roles)); }
MyEncryptedRealm.java
MyEncryptedRealmTest.java
文件传送门
分类:
shiro
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本
· C#/.NET/.NET Core优秀项目和框架2025年2月简报
· 什么是nginx的强缓存和协商缓存
· 一文读懂知识蒸馏
· Manus爆火,是硬核还是营销?