shiro三连斩之第一斩
通过JavaSE,创建不同的 realm ,由简单到复杂一步步的深入的理解shiro完成认证与授权内在联系
推荐从下向上一步步的测试,每一个方法都有详细的注释,说明 从哪里来-->到哪里去,理清其中的前因后果
简单点的一下用户, 角色与权限之间的关系
一个用户可以拥有某种角色或者身份,身份或者角色代表一种或多种权限
一个用户可以拥有一种或多种权限,
我理解为 角色或身份 做为用户的一个属性 来封装权限。用户最好不要直接拥有权限,而是作为某种角色拥有角色封装的权限
package test; import com.alibaba.druid.pool.DruidDataSource; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.*; import org.apache.shiro.authc.credential.HashedCredentialsMatcher; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.mgt.DefaultSecurityManager; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.realm.SimpleAccountRealm; import org.apache.shiro.realm.jdbc.JdbcRealm; import org.apache.shiro.realm.text.IniRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.ByteSource; import org.junit.Before; import org.junit.Test; import java.util.HashSet; import java.util.Set; public class TestShiro { /** * 自定义一个域与业务层交互获取数据,真实数据的来源于业务层方法的调用,在域内定义 认证或者授权的方法 */ class CustomRealm extends AuthorizingRealm{ /** * @param principals 与认证方法中返回的info或者本域有关 * @return */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { //从指定的域中获取subject提交过来的token,在认证方法中 参数1与本域进行关联,在这里取出,强转原参数1的类型 //与这个本域关联的主题可能不止一个,.fromRealm()返回的集合,进行迭代后,获取。 User user=(User)principals.fromRealm(this.getClass().getName()).iterator().next(); String roleName = roleService.findRoleNameByUserName(user.getUsername); Set<String> perms = new HashSet<>();//用于存储 权限 perms.add("权限1");//权限也是从数据库中查询出来的,这里直接手写 perms.add("权限2");//权限是一种规范,目的用于判断的时候进行区别 perms.add("权限3");//规范:user:list user:delete 词能达意,对用户的查看权限,对用户的删除权限。 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();//把角色和权限封装为内部属性的pojo类 info.addRole(roleName); info.setStringPermissions(perms); return info; } /** * @param token controller层,根据当前用户 生成的 token 用来在这里与真实数据进行认证 * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { String login_userName = (String) token.getPrincipal();//返回controller层 subject.login()参数token中的username属性 char[] password = (char[]) token.getCredentials();//这个token就是前面传的token ,在token内部用 string存uusername char[]存password String login_pwd = new String(password);//把 char数组类型转为字符串。 //通过前台传送的token的username,调用自定义的业务成接口在数据库中查找,以username为用户名的用户信息 User db_user=userService.fingUserByName(login_userName); //把数据库中查出来的信息,放入到info中以后,shiro会把数据库中的信息,与登录时生成的AuthenticationToken中的token进行比较,并把参数1与域进行关联。这个参数1可以在授权方法中获取 //参数1:数据库中查询的真实数据,也属于域中的数据(一般为认证时需要用的数据) 参数2:密码,用于验证登录时token中的凭据 参数3:域的名称 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(db_user, db_user.getPassword(), this.getClass().getName()); info.setCredentialsSalt(ByteSource.Util.bytes("盐值"));//每个用户的盐值都不一样,一般为数据库中查出来的, info根据额外的数据对 token中的密码进行处理后再进行匹配 return info; } } //自定义一个域,自定义认证的方式,授权的方式, private CustomRealm customRealm = new CustomRealm(); /*该方法中,注册的自定义域中的方法需要与业务层进行配合,在数据库中进行查找,这里测试时失败的重点,从下往上,对不同的域一个个分析,理解shiro认证,授权的原理 核心*/ @Test public void testCustomRealm() { DefaultSecurityManager securityManager = new DefaultSecurityManager(); securityManager.setRealm(customRealm); SecurityUtils.setSecurityManager(securityManager); Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken("喜欢与改变", "admin"); HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();//密码比较器,在CustomRealm重写的认证方法中的SimpleAuthenticationInfo这个对象 // 会对token中的密码根据密码比较器运算后数据库中的密码比较。数据库中的密码,也是这个比较器处理过的 matcher.setHashAlgorithmName("md5");//密码进行散列的方式 matcher.setHashIterations(2);//散列次数,还有一个盐值,在CustomRealm中指定 try { subject.login(token); System.out.println("成功"); } catch (UnknownAccountException e) { System.out.println("用户名错误"); } catch (AuthenticationException e) { System.out.println("认证失败"); } } //把数据库作为数据域,需要给Realm一个连接的数据库的数据源 private JdbcRealm jdbcRealm = new JdbcRealm(); private DruidDataSource dataSource = new DruidDataSource();//连接数据库的数据源 @Before public void druid() {//配置数据源数据并注入数据源 dataSource.setUrl("jdbc:mysqljdbc://localhost/3306/数据库"); dataSource.setUsername("root"); dataSource.setUsername(""); dataSource.setDriverClassName("com.mysql.jdbc.Driver"); jdbcRealm.setDataSource(dataSource); } /** * 认证 数据库中的数据作为域。真实的开发中,一般把真实的用户数据放在数据库,通过当前用户的 username 到数据库中查询 对应的 password * 把登录的密码与查询的密码进行比较(是否存在密码散列,对登录密码进一步操作后再比较)。登录成功,把用户信息,放在shiro的Session。 */ @Test public void testJdbcRealm() { String sql = "select password from t_user where username= ?"; jdbcRealm.setAuthenticationQuery(sql);//jdbc有默认的查询表格与对应的字段,可以手动设置,符合数据库结构的SQL语句 DefaultSecurityManager securityManager = new DefaultSecurityManager(); securityManager.setRealm(jdbcRealm); SecurityUtils.setSecurityManager(securityManager); Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken("喜欢与改变","admin"); try { subject.login(token);//shiro根据token与指定的SQL语句。和查出来的数据进行操作 System.out.println("认证成功"); } catch (UnknownAccountException e) { System.out.println("用户名错误"); } catch (AuthenticationException e) { System.out.println("认证失败"); } } //把ini配置文件作为一个域,ini配置文件相当于数据库存储真实数据,IniRealm根据ini文件的中的信息,对当前用户进行认证与授权 private IniRealm iniRealm = new IniRealm("classpath:authenticator.ini"); /** * 认证。把ini配置文件作为域 */ @Test public void testIniRealm() { DefaultSecurityManager securityManager = new DefaultSecurityManager(); securityManager.setRealm(iniRealm); SecurityUtils.setSecurityManager(securityManager); Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken("喜欢与改变", "admin"); try { subject.login(token);//认证在IniRealm中(认证方法的中的接受参数的对象中)进行 System.out.println("认证成功"); System.out.println("是否有角色xxx"+subject.hasRole("superadmin")); System.out.println("是否有角色yyy"+subject.hasRole("normal")); subject.checkPermission("巨无霸"); System.out.println("当前用户拥有 巨无霸 权限"); } catch (UnknownAccountException e) { System.out.println("用户名错误"); } catch (AuthenticationException e) { System.out.println("认证错误"); } } //在controller层的写法一般是固定的,创建一个shiro核心控制器,给控制器注入域对象,并把控制器放到工具类中便于使用,从工具类中的获取一个subject对象 //根据前台传来的岩心信息,生成一个token(令牌),放到subject.login()中,subject会保存这个令牌,进入核心控制器,核心控制器根据自己管理的(例,注入进来的域)对象,执行login()相关的操作 //认证成功,可以继续执行下一步操作,我们一般对subject进行操作,查看这个用户的角色,拥有的权限等。这些信息,login()是核心控制器,已经完成了认证与授权 //一个简单域(shiro自带的),用户传来数据 ,跟域中获取的数进行验证。(域相当于数据源) private SimpleAccountRealm realm = new SimpleAccountRealm(); /** * 给域添加用户数据 */ @Before public void before() { realm.addAccount("喜欢与改变","admin"); } /** * Authenticator 认证器 * 认证 简单的域 */ @Test public void textAuthenticator() { //1、创建shiro环境:shiro是核心控制器 DefaultSecurityManager securityManager = new DefaultSecurityManager(); //2、给核心控制器 注入域对象---->在认证过程中,存储安全数据(真实的用户信息,就是从这里获取数据和登录的进行验证) securityManager.setRealm(realm); SecurityUtils.setSecurityManager(securityManager);//把核心管理器放到工具类中 //3、主体认证,会将认证委托给SecurityManager Subject subject = SecurityUtils.getSubject(); //根据当前用户的信息生成一个token(令牌对象),用于让shiro进行验证 UsernamePasswordToken token = new UsernamePasswordToken("喜欢与改变", "dmin"); //执行认证 try { subject.login(token);//shiro拿着token在realm中进行认证(realm可以自定义,再注册进来使用),认证失败抛出异常,根据抛出的异常可知道错误的范围 } catch (UnknownAccountException e) {//用户名不匹配时抛出异常(还有别的异常类型,用是再查) System.out.println("当前信息不存在"); } catch (AuthenticationException e) {//认证失败时抛出异常 //e.printStackTrace(); System.out.println("认证失败"); } } }
ini配置文件说明
[users]
zs=123,admin
lisi=123,normal
[roles]
admin=user:insert,user:delete,user:list
normal=user:list
//下面是注释。
users 账户=密码,角色(多个角色用逗号隔开)
roles 角色=角色拥有的权限(多个权限用逗号隔开)
角色拥有的权限,user:insert是一种规范,词能达意,用户的添加权限