前几篇文章讲解了关于信息安全的另一框架Spring security ,今天趁热打铁基础的了解以下shiro这一框架。
什么是shiro?
Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
关于shiro框架的几个关键组件
1、Subject
即“当前操作用户”。但是,在 Shiro 中,Subject 这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。Subject 代表了当前用户的安全操作,SecurityManager 则管理所有用户的安全操作。2、SecurityManager
它是Shiro 框架的核心,典型的 Facade 模式,Shiro 通过 SecurityManager 来管理内部组件实例,并通过它来提供安全管理的各种服务。3、Realm
Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 中查找用户及其权限信息。从这个意义上讲,Realm 实质上是一个安全相关的 DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给 Shiro。当配置 Shiro 时,你必须至少指定一个 Realm,用于认证和(或)授权。配置多个 Realm 是可以的,但是至少需要一个。Shiro 内置了可以连接大量安全数据源(又名目录)的 Realm,如 LDAP、关系数据库(JDBC)、类似 INI 的文本配置资源以及属性文件等。如果缺省的 Realm 不能满足需求,你还可以插入代表自定义数据源的自己的 Realm 实现。
一张图总结关于shiro框架的实现流程
流程:
1:用户登录,UsernamePasswordToken 这个类会将用户登录信息封装起来,生成Token(令牌)
2:subject会把生成的令牌交给securityManager(安全管理器)
3:安全管理器会把Token交给认证器
4:认证器会将Token分解开来,分成账号和密码,并通过Relam这个桥梁向数据库进行求证
5:数据库会将用户信息封装成info对象,与认证器获取的账户和密码进行认证
6:认证通过,则允许此用户继续下一个操作,认证失败,则返回到登录界面重新进行登录。
案例:通过shiro框架实现用户的认证
一:环境搭建
创建一个新的spring boot项目,并导入下面依赖
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.7.9</version>
<relativePath/>
</parent>
<groupId>com.springboot_shiro</groupId>
<artifactId>demo</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>demo</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>14</java.version>
</properties>
<!-- web环境依赖-->
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
</dependency>
<!-- thymeleaf依赖实现数据的传递-->
<dependency>
<groupId>org.thymeleaf</groupId>
<artifactId>thymeleaf-spring5</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-java8time</artifactId>
</dependency>
<!-- 导入shiro与spring的集成-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.10.0</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
二:简单的创建静态资源文件
内容简单,重要的学习方法
三:创建controller类:实现网页的访问
package com.springboot_shiro.controller;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller
public class controller1 {
//索引网页的设置
@RequestMapping("/")
public String Toindex(Model model){
return "index";
}
//add网页
@RequestMapping("/add")
public String add(){
return "add";
}
//update网页
@RequestMapping("/update")
public String update(){
return "update";
}
//登录界面
@RequestMapping("/tologin")
public String login(){
return "login";
}
//登录界面form表格进行提交,提交到这
@RequestMapping("/get")
public String getword(String username,String password,Model model){
//组件一:subject
Subject subject = SecurityUtils.getSubject();
//将用用户名和密码进行加密
UsernamePasswordToken Token = new UsernamePasswordToken(username, password);
//通过subject将Token交给securitymanager进行验证
try {
subject.login(Token); //验证通过,跳转到index网页
return "index";
}
catch (UnknownAccountException e){ //出现用户名错误
model.addAttribute("msg","用户名输入错误"); //通过model类进参数的传递
return "login";
}
catch (IncorrectCredentialsException e){ //出现密码错误
model.addAttribute("msg","密码输入错误");
return "login";
}
}
}
四:自定义实现认证流程
package com.springboot_shiro.Myconfig;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
public class config1 {
//定义认证流程过程中需要的程序
// shiroFilterFactoryBean组件可以实现指定网页的拦截,并为文件的访问设置权限
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager FactoryBean){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(FactoryBean);
//拦截请求
Map<String,String> map = new LinkedHashMap<>();
//权限设置:当访问/add这个网页要先进行登录
map.put("/add","authc");
//访问/update则不需要进行任何操作,直接可以进行访问
map.put("/update","anon");
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
shiroFilterFactoryBean.setLoginUrl("/tologin");
return shiroFilterFactoryBean;
}
//对内部的组件进行管理
@Bean
public DefaultWebSecurityManager securityManager(@Qualifier("realm") Realm realm){
DefaultWebSecurityManager SecurityManager = new DefaultWebSecurityManager();
SecurityManager.setRealm(realm());
return SecurityManager;
}
//用户验证的桥梁,实现用户的认证信息的确认
@Bean
public Realm realm(){
return new Realm();
}
}
五:配置Realm:自定义用户的认证和授权
package com.springboot_shiro.Myconfig;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class Realm extends AuthorizingRealm {
//授权内容则是在这个接口进行配置
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行了授权");
return null;
}
//验证则是在这个接口进行配置
//获取subject传递来的参数加密的令牌Token,进行认证
//AuthenticationInfo是一个接口:return它的的实现类
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken Token) throws AuthenticationException {
System.out.println("执行了验证");
String name = "demo1";
String password = "123";
UsernamePasswordToken token =(UsernamePasswordToken) Token; //转换
if(!token.getUsername().equals(name)){ //用户名的判断
System.out.println("kankan");
return null;
}
//密码的验证,在spring boot架构中给一个类SimpleAuthenticationInfo可以自动化进行认证
return new SimpleAuthenticationInfo("",password,"");
}
}
如果if语句出现问题,则会报UnknownAccountException错误,那么就会执行控制类的这个语句
在Realm定义了一个用户
账户:demo1
密码:123
当用户名输入错误时:
密码输入错误时
运行项目
在上述的定义中,定义访问add网页时需要进行认证,update则不需任何的操作就可以进行操作
拦截权限的关键名词:
项目完整实现流程:
一:索引网页
二:访问update:没有进行认证服务的配置,可以随意访问
三:访问add网页:因为进行了认证服务的设置:网页进行跳转到登录界面
进行登录完成后:访问成功
