shiro Principals 和sessionid关系 shiro中的session

转载

编程小匠人传奇 2024-04-26 08:31:36

文章标签 java shiro demo apache java Web 文章分类 架构后端开发

一、shiro简介

Apache Shiro是Java的一个安全框架。Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境。Shiro可以帮助我们完成：认证、授权、加密、会话管理、与Web集成、缓存等

shiro Principals 和sessionid关系 shiro中的session_apache

Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；

Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的；

Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

Web Support：Web支持，可以非常容易的集成到Web环境；

Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；

Concurrency：shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；

Testing：提供测试支持；

Run As：允许一个用户假装为另一个用户(如果他们允许)的身份进行访问；

Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

二、shiro是如何工作的？

shiro Principals 和sessionid关系 shiro中的session_java_02

Subject：主体，代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如网络爬虫，机器人等；即一个抽象概念；所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；可以把Subject认为是一个门面；SecurityManager才是实际的执行者；

SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager交互；且它管理着所有Subject；可以看出它是Shiro的核心，它负责与后边介绍的其他组件进行交互，如果学习过SpringMVC，你可以把它看成DispatcherServlet前端控制器；

Realm：域，Shiro从从Realm获取安全数据(如用户、角色、权限)，就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；可以把Realm看成DataSource，即安全数据源。

二、创建maven的web工程，引入shiro依赖

4.0.0
com.shyroke.www
firstShiro
war
0.0.1-SNAPSHOT
firstShiro Maven Webapp
http://maven.apache.org
1.3.2
javax.servlet
servlet-api
2.5
provided
org.slf4j
slf4j-api
1.7.21
org.slf4j
jcl-over-slf4j
1.7.21
runtime
ch.qos.logback
logback-classic
1.1.7
runtime
org.apache.shiro
shiro-core
${shiro.version}
org.apache.shiro
shiro-web
${shiro.version}
firstShiro

三、web.xml中配置shiro监听器

/index.jsp
org.apache.shiro.web.env.EnvironmentLoaderListener
ShiroFilter
org.apache.shiro.web.servlet.ShiroFilter
ShiroFilter
/*
REQUEST
FORWARD
INCLUDE
ERROR
LoginServlet
LoginServlet
servlet.LoginServlet
LoginServlet
/login

四、创建shiro配置文件shiro.ini

shiro默认配置文件名为shiro.ini且位于WEB-INFO目录下

[main]
authc.loginUrl = /login
[users]
admin=123
user1=456
[urls]
/admin/** =    authc
/index.jsp = authc
/=authc
/login.jsp = anon
[users]下注册的是用户名和密码用等号隔开。
/admin/** =    authc和 /index.jsp = authc 表示在admin目录下的资源和index.jsp被访问时都需要验证(用户名和密码)
/=authc 和 /login.jsp = anon　 表示访问url为“/”的路径和/login.jsp不需要验证即可访问，/=authc 一定要加，因为“/”路径

默认访问index.jsp，这样/login.jsp = anon 没有效果了。

五、创建登录页面

Insert title here

${emsg}

username:
password:

六、编写LoginServlet

packageservlet;importjava.io.IOException;importjavax.servlet.ServletException;importjavax.servlet.http.HttpServlet;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;importorg.apache.shiro.SecurityUtils;importorg.apache.shiro.authc.AuthenticationException;importorg.apache.shiro.authc.IncorrectCredentialsException;importorg.apache.shiro.authc.UnknownAccountException;importorg.apache.shiro.authc.UsernamePasswordToken;importorg.apache.shiro.subject.Subject;/*** Servlet implementation class LoginServlet*/
public class LoginServlet extendsHttpServlet {private static final long serialVersionUID = 1L;/***@seeHttpServlet#doGet(HttpServletRequest request, HttpServletResponse
* response)*/
protected voiddoGet(HttpServletRequest request, HttpServletResponse response)throwsServletException, IOException {
request.getRequestDispatcher("/commons/login.jsp").forward(request, response);
}/***@seeHttpServlet#doPost(HttpServletRequest request, HttpServletResponse
* response)*/
protected voiddoPost(HttpServletRequest request, HttpServletResponse response)throwsServletException, IOException {
String userName= request.getParameter("username");
String passWord= request.getParameter("password");
Subject subject=SecurityUtils.getSubject();
UsernamePasswordToken token= newUsernamePasswordToken(userName, passWord);
String emsg= null;try{
subject.login(token);
}catch(UnknownAccountException e) {
emsg= "用户名错误";
}catch(IncorrectCredentialsException e) {
emsg= "密码错误";
}catch(AuthenticationException e) {
emsg= "其他异常=" +e.getMessage();
}if (emsg != null) {//说明有异常
request.setAttribute("emsg", emsg);
request.getRequestDispatcher("/commons/login.jsp").forward(request, response);
}else{
request.getRequestDispatcher("/index.jsp").forward(request, response);
}}
}

七、目录结构

shiro Principals 和sessionid关系 shiro中的session_Web_03

八、结果

shiro Principals 和sessionid关系 shiro中的session_Web_04

shiro Principals 和sessionid关系 shiro中的session_java shiro demo_05

shiro Principals 和sessionid关系 shiro中的session_Web_06

二、角色管理

配置和java代码跟上例一，shiro.ini修改为

[main]
authc.loginUrl= /login
[users]
admin=123,admin
user1=456,user
zs=159[roles]
admin=admin:*,users:*user=users:*[urls]/admin/**= authc,roles[admin]
/users/list.jsp=authc,perms[users:list]
/users/**=authc
/index.jsp = authc
/login.jsp = anon
/=authc
/logout=logout
admin=admin:*,users:* ： admin角色有admin和users中所有权限
/admin/**= authc,roles[admin] ：左边等号表示admin目录下所有资源，右边等号指需要登陆验证且拥有admin角色
/users/list.jsp=authc,perms[users:list] ：右边等号指需要登陆验证且拥有users：list权限

目录结构

shiro Principals 和sessionid关系 shiro中的session_apache_07