我是靠谱客的博主 迷路老师,最近开发中收集的这篇文章主要介绍Shiro 权限校验分析,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

Shiro 概述

Shiro 是一款 Apache 提供的权限校验框架, Shiro 同时也是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码学和会话管理。使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,特别是今天对权限校验和管理特别严格,大家有必要对shiro 有一个基本的认识和学习。

Shiro 的三大核心组件

1、Subject :当前用户的操作

2、SecurityManager:用于管理所有的 Subject 3、Realms:用于进行权限信息的验证

如下图:各组件之间的调用关系:

 

Subject:翻译为主角,当前参与应用安全部分的主角。可以是用户,可以试第三方服务,可以是 cron 任务,或者任何东西。主要指一个正在与当前软件交互的东西。所有 Subject 都需要 SecurityManager,当你与 Subject 进行交互,这些交互行为实际上被转换为与 SecurityManager 的交互

SecurityManager:安全管理员,Shiro 架构的核心,它就像 Shiro 内部所有原件的保护伞。然而一旦配置了 SecurityManager,SecurityManager 就用到的比较少,开发者大部分时间都花在 Subject 上面请记得,当你与 Subject 进行

交互的时候,实际上是 SecurityManager 在背后帮你举起 Subject 来做一些安全操作。

Realms:Realms 作为 Shiro 和你的应用的连接桥,当需要与安全数据交互的时候,像用户账户,或者访问控制,Shiro 就从一个或多个 Realms 中查找。Shiro 提供了一些可以直接使用的 Realms,如果默认的 Realms 不能满足你的需求,你也可以定制自己的 Realms.

Shiro 的十大功能特点:

功能特点

Shiro 包含 10 个内容,如下图:

  1. Authentication:身份认证/登录,验证用户是不是拥有相应的身份。
  2. Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限; 即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。
  3. Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的。
  4. Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储。
  5. Web Support:Web 支持,可以非常容易的集成到 web 环境。
  6. Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查, 这样可以提高效率。
  7. Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去。
  8. Testing:提供测试支持。
  9. Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问。
  10. Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

Shiro 的运行原理

Subject:主体,可以看到主体可以是任何与应用交互的“用户”。

SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心,所有具体的交互都通过

SecurityManager 进行控制。它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro 默认的不好,我们可以自定义实现。其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。

Authrizer:授权器,或者访问控制器。它用来决定主体是否有权限进行相应的操作,即控制着用户能访问应用中的哪些功能。

Realm:可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的。它可以是 JDBC 实现,也可以是 LDAP 实现,或者内存实现等。

SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session 需要有人去管理它的生命周期,这个组件就是 SessionManager。而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境。

SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD。我们可以自定义 SessionDAO 的实现,控制 session 存储的位置。如通过 JDBC 写到数据库或通过jedis 写入 redis 中。另外 SessionDAO 中可以使用 Cache 进行缓存,以提高性能。

CacheManager:缓存管理器。它来管理如用户、角色、权限等的缓存的。因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能。

Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密的。

Shiro 的基本入门

今天我们演示 Shiro 的入门,没有整合任何框架,只是单纯的演示 Shiro 运行原理,所以无需创建经典的五张表

使用 Idea 创建一个 Maven 项目

在 pom.xml 中添加如下依赖:

<!—配置 shiro 依赖-->

<dependencies>

<dependency>

<groupId>org.apache.shiro</groupId>

<artifactId>shiro-core</artifactId>

<version>1.2.3</version>

</dependency>

<dependency>

<groupId>org.slf4j</groupId>

<artifactId>slf4j-simple</artifactId>

<version>1.6.1</version>

</dependency>

</dependencies>

任意创建一个包,在里面创建一个测试的 Demo 类:

package me.aihe;import org.slf4j.Logger; import org.slf4j.LoggerFactory;

public class Demo{

private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class); public static void main(String[] args) {

http://log.info("My First Apache Shiro Application"); System.exit(0);

}

}创建一个 shiro.ini 配置文件

Shiro 提供了一个通用的方案通过 INI 进行配置 ,当然也可以通过 XML,YMAL,JSON 等进行配置。在 resource 目录下面,创建一个 shiro.ini 的文件。内容如下:

# -------------------------------------------------------------------------

# Users and their (optional) assigned roles

# username = password, role1, role2, ..., roleN

# -------------------------------------------------------------------------

[users]

root = secret, admin guest = guest, guest

presidentskroob = 12345, president

darkhelmet = ludicrousspeed, darklord, schwartz aihe = aihe, goodguy, client

# -------------------------------------------------------------------------

# Roles with assigned permissions

# roleName = perm1, perm2, ..., permN

# -------------------------------------------------------------------------

[roles] admin = *

client = look:*

goodguy = winnebago:drive:eagle5

引用 Shiro.ini 配置进行测试

现在改变我们的 Demo 类文件,内容如下

import org.apache.shiro.authc.*;

import org.apache.shiro.config.IniSecurityManagerFactory;

import org.apache.shiro.mgt.SecurityManager;

import org.apache.shiro.session.Session;

import org.apache.shiro.subject.Subject;

import org.apache.shiro.util.Factory;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

public class Demo {

private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class);

public static void main(String[] args) { http://log.info("My First Apache Shiro Application");

//1. 这里的 SecurityManager 是 org.apache.shiro.mgt.SecurityManager,而不是

//java.lang.SecurityManager 加载配置文件

Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

//2.解析配置文件,并且返回一些 SecurityManger 实例

SecurityManager securityManager = factory.getInstance();

//3.设置 SecurityManager 到静态内存区,单例模式

SecurityUtils.setSecurityManager(securityManager);

// 安全操作

Subject currentUser = SecurityUtils.getSubject();

// 在应用的当前会话中设置属性

Session session = currentUser.getSession(); session.setAttribute("key","value");

//当前我们的用户是匿名的用户,我们尝试进行登录,

if(!currentUser.isAuthenticated()){

UsernamePasswordToken token = new UsernamePasswordToken("aihe", "aihe");

token.setRememberMe(true);

//尝试进行登录用户,如果登录失败了,我们进行一些处理

try{ currentUser.login(token);

//当我们获登录用户之后

http://log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

// 查看用户是否有指定的角色

if ( currentUser.hasRole( "client" ) ) {

http://log.info("Look is in your role" ); } else { http://log.info( ". " );

}

// 查看用户是否有某个权限

if ( currentUser.isPermitted( "look:desk" ) ) {

http://log.info("You can look. Use it wisely.");

} else {

http://log.info("Sorry, you can't look.");

}

if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {

http://log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " + "Here are

the keys - have fun!");

} else {

http://log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");

}

//登出currentUser.logout();

} catch ( UnknownAccountException uae ) {

//账户不存在的操作

} catch ( IncorrectCredentialsException ice ) {

//密码不正确

} catch ( LockedAccountException lae ) {

//用户被锁定了

} catch ( AuthenticationException ae ) {

//无法判断的情形

}

}

System.exit(0); }

}

通过 shiro 演示,我们学到了什么

这个相对来说是一个简单的程序,但也证明了一些 shiro 的基本用法,我们可以通过shiro 进行认证,权限控制等。

本文对 Shiro 进行了一个基本介绍,Shiro 具体在开发中的实际应用,以及更多在开发中的应用,我们并没有具体说太多,比如和其它框架的整合等等,如果想对 Shiro 有更多的了解,请前往官网查阅。

最后

以上就是迷路老师为你收集整理的Shiro 权限校验分析的全部内容,希望文章能够帮你解决Shiro 权限校验分析所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(53)

评论列表共有 0 条评论

立即
投稿
返回
顶部