Shiro教程之二Shiro.ini认证和授权

转载

mb5fdb1021b5992 2020-08-27 11:12:00

文章标签 shiro apache spring 用户名自定义 文章分类 代码人生

1，Shiro.ini文件的说明

1. ini (InitializationFile) 初始文件.Window系统文件扩展名.

2. Shiro 使用时可以连接数据库,也可以不连接数据库.

2.1 如果不连接数据库,可以在shiro.ini中配置静态数据

2，Shrio.ini文件的组成部分

1，[main] :定义全局变量

[main]
securityManager.属性=值          　　<property name=”属性名” value=””
myobj=com.bjsxt.Obj      　　　　　　<bean id=”myobj” class=”com.bjsxt.Obj”
securityManager.对象属性=$myobj　　　<property name=”属性名” ref=” myobj”

2，[users] :定义用户名和密码

[users]
# 定义用户名为zhangsan 密码为zs
zhangsan=zs
# 定义用户名lisi密码为lisi同时具有role1和role2两个角色
lisi=lisi,role1,role2

3，[roles]: 定义角色

[roles]
role1=user:query,权限名2 
role2=权限3,权限4

4，[urls] : 定义哪些内置urls生效.在web应用时使用.

[urls]
#url地址=内置filter或自定义filter
# 访问时出现/login的url必须去认证.支持authc对应的Filter
/login=authc
# 任意的url都不需要进行认证等功能.
/** = anon
# 所有的内容都必须保证用户已经登录.
/**=user
# url abc 访问时必须保证用户具有role1和role2角色.
/abc=roles[“role1,role2”]
/login.html*=anon
/loginOut*=logout
/**= authc  所有URL必须认证通过之后才能放行  一般放到最后

3，【掌握】Shiro.ini实现认证和授权

1，基本概念

1，身份验证
        即在应用中谁能证明他就是他本人。一般提供如他们的身份ID 一些标识信息来
表明他就是他本人，如提供身份证，用户名/密码来证明。
        在 shiro 中，用户需要提供principals （身份）和credentials（证明）给shiro，从而应用能
验证用户身份：
2，principals 【/'prɪnsəpl】
        身份，即主体的标识属性，可以是任何东西，如用户名、邮箱等，唯一即可。
一个主体可以有多个principals，但只有一个Primary principals，一般是用户名/密码/手机号。
3，credentials 【/krə'dɛnʃlz/】
        证明/凭证，即只有主体知道的安全值，如密码/数字证书等。
        最常见的principals和credentials组合就是用户名/密码了。接下来先进行一个基本的身份认证。

2，认证流程

Shiro教程之二Shiro.ini认证和授权_用户名

其它就是使用Shrio的认证来取代我们传统的登陆方式

3，入门程序实现认证

　　1. 创建项目(引入jar包或maven依赖)

　　2. 创建shiro.ini(类路径或最后可以编译到类路径的目录)

#配置用户
[users]
zhangsan=123456
lisi=123456
wangwu=123456

　　3. 写代码测试 (认证)

package com.cc8w.test;



import com.cc8w.shiro.ShiroRealm;
import org.apache.log4j.Logger;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.UnauthenticatedException;
import org.apache.shiro.authz.UnauthorizedException;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.apache.shiro.mgt.SecurityManager;
import org.junit.Test;
import org.junit.runner.RunWith;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.test.context.ContextConfiguration;
import org.springframework.test.context.junit4.SpringJUnit4ClassRunner;

import java.util.Arrays;

/**
 *
 */
@RunWith(SpringJUnit4ClassRunner.class)
@ContextConfiguration(locations = {"classpath:applicationContext.xml"})
public class TestShiro {
    private static Logger logger = Logger.getLogger(TestShiro.class);

    @Autowired
    private ShiroRealm shiroRealm;

    public static void main(String[] args) {
        TestShiro ts = new TestShiro();
        ts.testAuth();


    }

    //一,登录测试(基于ini文件,注释掉shiro的main区域,因为此区域配置了非ini文件[自定义Realm]的设置)
    @Test
    public void testlogin(){
        //1.创建一个安全管理器的工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //2.在工厂中获取安全管理器
        SecurityManager securityManager = factory.getInstance();
        //3.将securityManager绑定到运行环境
        SecurityUtils.setSecurityManager(securityManager);
        //4.获取Subject对象(将要登录的用户)
        Subject subject = SecurityUtils.getSubject();
        //5.获取要登录用户的token,客户端传递过来的用户名和密码
        String username = "zhangsan",password="123456";
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);

        try{
            subject.login(token);
            logger.info("登录了");

        }catch (IncorrectCredentialsException  e ){
            logger.info("密码不正确");
            logger.info(e);
        }catch (UnknownAccountException e) {
            System.out.println("没有这个帐号");
        }catch (AuthenticationException e) {
            e.printStackTrace();
        }

        //如果登录成功了,可以获取subject中各种状态了
        Boolean isAuth = subject.isAuthenticated();
        logger.info(isAuth);
        try {
            subject.checkRole("roles");
        }catch (UnauthenticatedException e){
            logger.info("没有这个角色");
            e.printStackTrace();
        }

    }




}

相关方法总结

1，注意Subject的或取方式

2，注意使用异常方式确定登陆是否成功

==========================

4，【掌握】shiro.ini实现授权

1，授权概述

授权，也叫访问控制，即在应用中控制谁能访问哪些资源（如访问页面/编辑数据/页面操作

等）。在授权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限（Permission）、

角色（Role）。

2，关键对象介绍

1，主体
主体，即访问应用的用户，在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。
2，资源
在应用中用户可以访问的任何东西，比如访问JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
3，权限
安全策略中的原子授权单位，通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源，
如：访问用户列表页面查看/新增/修改/删除用户数据（即很多时候都是CRUD（增查改删）式权限控制）打印文档等等。。。
4，角色
角色代表了操作集合，可以理解为权限的集合，一般情况下我们会赋予用户角色而不是权限，即这样用户可以拥有一组权限，赋予权限时比较方便。
典型的如：项目经理、技术总监、CTO、开发工程师等都是角色，不同的角色拥有一组不同的权限。

3，授权流程

Shiro教程之二Shiro.ini认证和授权_apache_02

4，相关方法说明

1 subject.hasRole(“”); 判断是否有角色

2 subject.hashRoles(List);分别判断用户是否具有List中每个内容

3 subject.hasAllRoles(Collection);返回boolean,要求参数中所有角色用户都需要具有.

4 subject.isPermitted(“”);判断是否具有权限.

5，修改shiro.ini

#配置用户
[users]
zhangsan=123456,role1
lisi=123456,role2,role4
wangwu=123456,role3
zhaoliu=123456,role4

#配置角色和权限
[roles]
role1=user:query,user:add,user:update,user:delete,user:export
role2=user:query
role3=user:query,user:add
role4=user:query,user:export

6，权限标识符号规则

权限标识符号规则：资源:操作:实例(中间使用半角:分隔)
user:create:01 表示对用户资源的01实例进行create操作。
user:create：表示对用户资源进行create操作，相当于user:create:*，对所有用户资源实例进行create操作。
user:*:01 表示对用户资源实例01进行所有操作。

7，测试代码 (因为测试授权时必须登录,所以下认证登录)

package com.cc8w.test;

import com.cc8w.shiro.ShiroRealm;
import org.apache.log4j.Logger;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.UnauthenticatedException;
import org.apache.shiro.authz.UnauthorizedException;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.apache.shiro.mgt.SecurityManager;
import org.junit.Test;
import org.junit.runner.RunWith;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.test.context.ContextConfiguration;
import org.springframework.test.context.junit4.SpringJUnit4ClassRunner;

import java.util.Arrays;

/**
 *
 */
@RunWith(SpringJUnit4ClassRunner.class)
@ContextConfiguration(locations = {"classpath:applicationContext.xml"})
public class TestShiro {
    private static Logger logger = Logger.getLogger(TestShiro.class);

    @Autowired
    private ShiroRealm shiroRealm;

    public static void main(String[] args) {
        TestShiro ts = new TestShiro();
        ts.testAuth();


    }

    //一,登录测试(基于ini文件,注释掉shiro的main区域,因为此区域配置了非ini文件[自定义Realm]的设置)
    @Test
    public void testlogin(){
        //1.创建一个安全管理器的工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //2.在工厂中获取安全管理器
        SecurityManager securityManager = factory.getInstance();
        //3.将securityManager绑定到运行环境
        SecurityUtils.setSecurityManager(securityManager);
        //4.获取Subject对象(将要登录的用户)
        Subject subject = SecurityUtils.getSubject();
        //5.获取要登录用户的token,客户端传递过来的用户名和密码
        String username = "zhangsan",password="123456";
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);

        try{
            subject.login(token);
            logger.info("登录了");

        }catch (IncorrectCredentialsException  e ){
            logger.info("密码不正确");
            logger.info(e);
        }catch (UnknownAccountException e) {
            System.out.println("没有这个帐号");
        }catch (AuthenticationException e) {
            e.printStackTrace();
        }

        //如果登录成功了,可以获取subject中各种状态了
        Boolean isAuth = subject.isAuthenticated();
        logger.info(isAuth);
        try {
            subject.checkRole("roles");
        }catch (UnauthenticatedException e){
            logger.info("没有这个角色");
            e.printStackTrace();
        }

    }
    //二.授权验证(基于ini文件,注释掉shiro的main区域,因为此区域配置了非ini文件[自定义Realm]的设置)
    @Test
    public void testAuth(){
        String username = "zhangsan",password="123456";
        //1.创建securityManager工厂SecurityManager JDK也有这个类,在java.lang包,注意不要使用jdk里面的类
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //2,从工厂中获取SecurityManager
        SecurityManager securityManager = factory.getInstance();
        //3,把当前的SecurityManager绑定到当前线程中
        SecurityUtils.setSecurityManager(securityManager);
        //4,取出当前的Subject
        Subject subject = SecurityUtils.getSubject();

        //5.创建token用于认证 客户端传递过来的用户名和密码
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        //6.登录认证
        try{
            subject.login(token);
            System.out.println("登录成功");
        }catch (IncorrectCredentialsException  e){
            System.out.println("密码不正确");
        }catch (UnknownAccountException e){
            System.out.println("无此账号");
        }catch (AuthenticationException e) {
            e.printStackTrace();
        }
        System.out.println("认证状态:"+subject.isAuthenticated());

        //7.授权 基于角色授权 基于资源的授权

        //7.1 基于角色授权
        boolean isRole1 = subject.hasRole("role1");
        System.out.println("这是授权单个: "+isRole1);

        boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1","role2","role3"));
        System.out.println("这是多个授权:" + hasAllRoles);

        // 使用check方法进行授权，如果授权不通过会抛出异常
        // subject.checkRole("role13");


        // 7.2 基于资源的授权
        // isPermitted传入权限标识符
        boolean isPermitted = subject.isPermitted("user:query");
        System.out.println("单个权限判断user:query->"+isPermitted);
        boolean isPermittedAll = subject.isPermittedAll("user:query","user:add","user:del");
        System.out.println("多个权限判断"+isPermitted);

        // 使用check方法进行授权，如果授权不通过会抛出异常
        try{
            subject.checkPermission("items:create:1");
        }catch (UnauthorizedException e){
            // e.printStackTrace();
            System.out.println("没有这个权限");
        }

    }


}