概述
Shiro 概述
Shiro 是一款 Apache 提供的权限校验框架, Shiro 同时也是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码学和会话管理。使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,特别是今天对权限校验和管理特别严格,大家有必要对shiro 有一个基本的认识和学习。
Shiro 的三大核心组件
1、Subject :当前用户的操作
2、SecurityManager:用于管理所有的 Subject 3、Realms:用于进行权限信息的验证
如下图:各组件之间的调用关系:
Subject:翻译为主角,当前参与应用安全部分的主角。可以是用户,可以试第三方服务,可以是 cron 任务,或者任何东西。主要指一个正在与当前软件交互的东西。所有 Subject 都需要 SecurityManager,当你与 Subject 进行交互,这些交互行为实际上被转换为与 SecurityManager 的交互
SecurityManager:安全管理员,Shiro 架构的核心,它就像 Shiro 内部所有原件的保护伞。然而一旦配置了 SecurityManager,SecurityManager 就用到的比较少,开发者大部分时间都花在 Subject 上面请记得,当你与 Subject 进行
交互的时候,实际上是 SecurityManager 在背后帮你举起 Subject 来做一些安全操作。
Realms:Realms 作为 Shiro 和你的应用的连接桥,当需要与安全数据交互的时候,像用户账户,或者访问控制,Shiro 就从一个或多个 Realms 中查找。Shiro 提供了一些可以直接使用的 Realms,如果默认的 Realms 不能满足你的需求,你也可以定制自己的 Realms.
Shiro 的十大功能特点:
功能特点
Shiro 包含 10 个内容,如下图:
- Authentication:身份认证/登录,验证用户是不是拥有相应的身份。
- Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限; 即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。
- Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的。
- Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储。
- Web Support:Web 支持,可以非常容易的集成到 web 环境。
- Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查, 这样可以提高效率。
- Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去。
- Testing:提供测试支持。
- Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问。
- Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
Shiro 的运行原理
Subject:主体,可以看到主体可以是任何与应用交互的“用户”。
SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心,所有具体的交互都通过
SecurityManager 进行控制。它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro 默认的不好,我们可以自定义实现。其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。
Authrizer:授权器,或者访问控制器。它用来决定主体是否有权限进行相应的操作,即控制着用户能访问应用中的哪些功能。
Realm:可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的。它可以是 JDBC 实现,也可以是 LDAP 实现,或者内存实现等。
SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session 需要有人去管理它的生命周期,这个组件就是 SessionManager。而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境。
SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD。我们可以自定义 SessionDAO 的实现,控制 session 存储的位置。如通过 JDBC 写到数据库或通过jedis 写入 redis 中。另外 SessionDAO 中可以使用 Cache 进行缓存,以提高性能。
CacheManager:缓存管理器。它来管理如用户、角色、权限等的缓存的。因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能。
Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密的。
Shiro 的基本入门
今天我们演示 Shiro 的入门,没有整合任何框架,只是单纯的演示 Shiro 运行原理,所以无需创建经典的五张表
使用 Idea 创建一个 Maven 项目
在 pom.xml 中添加如下依赖:
<!—配置 shiro 依赖-->
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-simple</artifactId>
<version>1.6.1</version>
</dependency>
</dependencies>
任意创建一个包,在里面创建一个测试的 Demo 类:
package me.aihe;import org.slf4j.Logger; import org.slf4j.LoggerFactory;
public class Demo{
private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class); public static void main(String[] args) {
http://log.info("My First Apache Shiro Application"); System.exit(0);
}
}创建一个 shiro.ini 配置文件
Shiro 提供了一个通用的方案通过 INI 进行配置 ,当然也可以通过 XML,YMAL,JSON 等进行配置。在 resource 目录下面,创建一个 shiro.ini 的文件。内容如下:
# -------------------------------------------------------------------------
# Users and their (optional) assigned roles
# username = password, role1, role2, ..., roleN
# -------------------------------------------------------------------------
[users]
root = secret, admin guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darklord, schwartz aihe = aihe, goodguy, client
# -------------------------------------------------------------------------
# Roles with assigned permissions
# roleName = perm1, perm2, ..., permN
# -------------------------------------------------------------------------
[roles] admin = *
client = look:*
goodguy = winnebago:drive:eagle5
引用 Shiro.ini 配置进行测试
现在改变我们的 Demo 类文件,内容如下
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
public class Demo {
private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class);
public static void main(String[] args) { http://log.info("My First Apache Shiro Application");
//1. 这里的 SecurityManager 是 org.apache.shiro.mgt.SecurityManager,而不是
//java.lang.SecurityManager 加载配置文件
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//2.解析配置文件,并且返回一些 SecurityManger 实例
SecurityManager securityManager = factory.getInstance();
//3.设置 SecurityManager 到静态内存区,单例模式
SecurityUtils.setSecurityManager(securityManager);
// 安全操作
Subject currentUser = SecurityUtils.getSubject();
// 在应用的当前会话中设置属性
Session session = currentUser.getSession(); session.setAttribute("key","value");
//当前我们的用户是匿名的用户,我们尝试进行登录,
if(!currentUser.isAuthenticated()){
UsernamePasswordToken token = new UsernamePasswordToken("aihe", "aihe");
token.setRememberMe(true);
//尝试进行登录用户,如果登录失败了,我们进行一些处理
try{ currentUser.login(token);
//当我们获登录用户之后
http://log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");
// 查看用户是否有指定的角色
if ( currentUser.hasRole( "client" ) ) {
http://log.info("Look is in your role" ); } else { http://log.info( ". " );
}
// 查看用户是否有某个权限
if ( currentUser.isPermitted( "look:desk" ) ) {
http://log.info("You can look. Use it wisely.");
} else {
http://log.info("Sorry, you can't look.");
}
if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
http://log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " + "Here are
the keys - have fun!");
} else {
http://log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
//登出currentUser.logout();
} catch ( UnknownAccountException uae ) {
//账户不存在的操作
} catch ( IncorrectCredentialsException ice ) {
//密码不正确
} catch ( LockedAccountException lae ) {
//用户被锁定了
} catch ( AuthenticationException ae ) {
//无法判断的情形
}
}
System.exit(0); }
}
通过 shiro 演示,我们学到了什么
这个相对来说是一个简单的程序,但也证明了一些 shiro 的基本用法,我们可以通过shiro 进行认证,权限控制等。
本文对 Shiro 进行了一个基本介绍,Shiro 具体在开发中的实际应用,以及更多在开发中的应用,我们并没有具体说太多,比如和其它框架的整合等等,如果想对 Shiro 有更多的了解,请前往官网查阅。
最后
以上就是迷路老师为你收集整理的Shiro 权限校验分析的全部内容,希望文章能够帮你解决Shiro 权限校验分析所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复