环境准备
Shiro不依赖容器,直接创建一个Maven工程即可,添加Shiro相关依赖。
INI文件
Shiro获取权限相关信息可以通过数据库获取,也可以通过ini配置文件获取,这里使用ini配置文件,在resources目录下创建shiro.ini文件,其中users要小写,key-value分别代表用户名-密码。
登录认证
登录认证概念
- 身份验证:一般需要提供如身份ID等一些标识信息来表明登录者的身份,如提供email,用户名/密码来证明
- 在Shiro中,用户需要提供principals(身份)和credentials(证明)给Shiro,从而应用能验证用户身份
- principals:身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/邮箱/手机号
- credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等
- 最常见的principals和credentials组合就是用户名/密码
登录认证基本流程
- 收集用户身份/凭证,即如用户名/密码
- 调用 Subject.login 进行登录,如果失败将得到相应的AuthenticationException异常,根据异常提示用户 错误信息;否则登录成功
- 创建自定义的 Realm 类,继承
org.apache.shiro.realm.AuthenticatingRealm
类,实现doGetAuthenticationInfo()
方法
登录认证实例
身份认证流程
- 首先调用Subject.login(token)进行登录,其会自动委托给SecurityManager
- SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证
- Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现
- Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调AuthenticationStrategy 进行多Realm身份验证
- Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问
在生产环境中,更多的还是通过数据库记录这些用户信息,所以这里再加一种通过数据库来验证用户名密码,所以这里加上这种方式。
创建数据表,表名必须叫user,添加两个字段:username和password,不能叫别的名字,否则会对不上,这就是规定,记住即可。后面还会有user_role表和role_permission表,同样也有一些规定写法。
然后,添加几条测试数据,回到代码开发环境,添加pom依赖。
新建jdbc.ini。
然后是Java代码,用于测试。
授权概念
- 授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限 (Permission)、角色(Role)
- 主体(Subject):访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源
- 资源(Resource):在应用中用户可以访问的URL,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问
- 权限(Permission):安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许
- Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限, 即实例级别的)
- 角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限
授权方式
- 编程式,通过代码里的if、else来判断有没有权限:
- 注解式,通过判断Java方法上的注解,判断有没有权限执行该方法,如果没有权限就会抛出异常:
- JSP/GSP标签式,在JSP/GSP页面通过标签完成:
授权流程
- 首先调用
Subject.isPermitted*/hasRole*
接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer - Authorizer是真正的授权者,如果调用如
isPermitted(“user:view”)
,其首先会通过PermissionResolver把字符串转换成相应的Permission实例 - 在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限
- Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如
isPermitted*/hasRole*
会返回true,否则返回false表示授权失败 - 在代码中找到
subject.login(authenticationToken)
,点进去,找到this.securityManager.login()
方法,也就是将认证流程交给securityManager来处理了,点进去,找到authenticate()
方法,点进去,找到AbstractAuthenticator
类的authenticate()
方法里的doAuthenticate()
,点进去,就看到了熟悉的Realm,这里会分单个Realm和多个Realm,我们点击doSingleRealmAuthentication()
方法,点击realm.getAuthenticationInfo()
方法,点击this.doGetAuthenticationInfo()
方法的实现,就来到了我们自定义Realm里的doGetAuthenticationInfo()
方法。
授权实例
在ini文件里,给用户添加角色。
在代码里通过subject.hasRole("role1")
来判断用户是否拥有角色。
在ini文件里,给角色添加权限。
在代码里通过subject.isPermitted("user:insert")
判断用户是否有权限,还可以通过subject.checkPermission("user:select")
来判断,如果有权限,正常执行,如果没有权限,会抛异常。
实际系统开发中,一些敏感信息需要进行加密,比如说用户的密码。Shiro内嵌很多常用的加密算法,比如MD5加密。Shiro可以很简单的使用信息加密。
看了看SimpleHash
的子类,有:Md2Hash
、Sha512Hash
、Sha384Hash
、Md5Hash
、Sha256Hash
、Sha1Hash
。
Shiro默认的登录认证是不带加密的,如果想要实现加密认证需要自定义登录认证,自定义Realm继承AuthenticatingRealm
并重写doGetAuthenticationInfo
方法。
目前,没有集成SpringBoot,所以,配置信息,还要在ini文件里写,我们自定义了Realm,就要告诉Shiro,使用自定义的Realm,这个配置是写在ini文件里的。
还是要回到刚才的Demo.java
。
编写自己的实现类MyRealm.java
编写ini配置文件
最后运行Demo.java
测试效果,发现程序已经走了我们自定义的验证类:MyRealm.java
。