shiro

shiro

介绍

Shiro是apache旗下一个开源框架，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证，权限授权、加密、会话管理等功能，组成了一个通用的安全认证框架。

框架图：

Shiro框架原理及应用分析 - 知乎 (zhihu.com)

 

Realm

Realm即领域，相当于datasource数据源，securityManager进行安全认证需要通过Realm获取用户权限数据，比如：如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

SecurityManager

• SecurityManager即安全管理器，对全部的subject进行安全管理，它是shiro的核心，负责对所有的subject进行安全管理。

• 通过SecurityManager可以完成subject的认证、授权等，实质上SecurityManager是通过Authenticator进行认证，通过Authorizer进行授权，通过SessionManager进行会话管理等。

• SecurityManager是一个接口，继承了Authenticator, Authorizer, SessionManager这三个接口。

shiroFilterFactoryBean

认证访问权限（我个人是这么理解的）

 

我看的是狂神的视频

【狂神说Java】SpringBoot整合Shiro框架哔哩哔哩bilibili

 

开始一个shiro

首先创建springboot项目，然后导入依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
​
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.8.0</version>
        </dependency>

然后创建一个UserRealm来继承AuthorizingRealm

然后重写方法

package com.kuang.config;
​
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
​
public class UserRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权");
        return null;
    }
​
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("认证");
​
        String name = "root";
        String password = "123";
​
        UsernamePasswordToken usertoken = (UsernamePasswordToken)token;
​
        if(!usertoken.getUsername().equals(name))
        {
            //直接抛出未知用户名，因为
            return null;
        }
​
​
        return new SimpleAuthenticationInfo("",password,"");
    }
}
​

创建Config.shiro

package com.kuang.config;
​
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
​
import java.util.LinkedHashMap;
import java.util.Map;
​
@Configuration
public class ShrioConfig {
​
    @Bean
    //shiroFilterFactoryBean
    public ShiroFilterFactoryBean shiroFilterFactoryBean()
    {
        ShiroFilterFactoryBean Bean = new ShiroFilterFactoryBean();
        Bean.setSecurityManager(defaultWebSecurityManager());
        /**
         * anno : 无需认证即可访问
         * authc : 必须认证了才能访问
         * role : 某个角色可以访问
         */
​
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
​
        //拦截成功啦
        filterChainDefinitionMap.put("/user/add","authc");
        filterChainDefinitionMap.put("/user/update","authc");
​
        //拦截以后要去的页面
        Bean.setLoginUrl("/tologin");
​
        Bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
​
​
        return Bean;
    }
​
@Bean
    //DefaultWebSecurityManager
    public DefaultWebSecurityManager defaultWebSecurityManager()
    {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm());
        return securityManager;
    }
​
    @Bean
    //创建 reaml 对象
    public UserRealm userRealm()
    {
        return new UserRealm();
    }
​
}
​

创建一个Controller测试

package com.kuang.controller;
​
​
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
​
@Controller
public class MyController {
​
    @RequestMapping({"/","/index"})
    public String index(Model model)
    {
        model.addAttribute("msg","helloShiro");
​
        return "index";
    }
​
    @RequestMapping("/user/add")
    public String add()
    {
        return "add";
    }
​
    @RequestMapping("/user/update")
    public String update()
    {
        return "update";
    }
​
    @RequestMapping("/tologin")
    public String tologin()
    {
        return "login";
    }
​
    @RequestMapping("/login")
    public String login(String username,String password,Model model)
    {
        //获取用户数据
        Subject subject = SecurityUtils.getSubject();
        //封装数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //执行登录方法
        try {
            subject.login(token);
            return "index";
        } catch (UnknownAccountException e) {
            //用户名不存在
            model.addAttribute("msg","用户名不存在");
            return "login";
        }
        catch (IncorrectCredentialsException e)
        {
            //密码错误
            model.addAttribute("msg","密码错误");
            return "login";
        }
​
​
​
    }
​
​
​
}
​

前端页面

 

我直接解释吧：（我发的都是完整的，过程我自己口述了）

1.index是最开始测试的页面，就是测试Controller运行情况

2.然后在index里面添加两个跳转链接，跳转到add，update中，测试跳转情况

3.然后在ShiroFilterFactoryBean中设置拦截，filterChainDefinitionMap来设置拦截对象，因为是map，键是页面，值是拦截条件

再进行测试，打开index发现两个链接都点开直接404，说明拦截成功

4.再添加拦截成功后需要跳转的页面

Bean.setLoginUrl("/tologin");

并且去在Controller层再写一个方法

5.最后在UserRealm中重写认证方法，因为你没有传给他值，shiro只知道认证，不知道怎样认证才是对的