Shiro是apache旗下一个开源框架它将软件系统的安全认证相关的功能抽取出来实现用户身份认证权限授权、加密、会话管理等功能组成了一个通用的安全认证框架。

Shiro

是一个强大而灵活的开源安全框架能够非常清晰的处理认证、授权、管理会话以及密码加

一、权限、认证、授权

权限一般指根据系统设置的安全策略或者安全规则用户可以访问而且只能访问自己被授权

的资源不多不少。

权限管理几乎出现在任何系统里面只要有用户和密码的系统。

认证身份认证就是判断一个用户是否为合法用户的处理过程。

最常用的简单身份认证方式是系统通过核对用户输入的用户名和密码看其是否与系统中存储的该用户的用户名和密码一致来判断用户身份是否正确。

例如密码登录手机短信验证、三方授权等。

认证流程

授权即访问控制控制谁能访问哪些资源。

主体进行身份认证后系统会为其分配对应的权限当访问资源时会校验其是否有访问此资源的权限。

在Shiro中采取的是先鉴权在授权只有在需要鉴权的时候Shiro才会去调用相关方法去完成一次次授权操作

简单来说鉴权就是用户通过认证后访问资源时判断判断是否具有访问资源的能力的过程。

Shiro架构图

Subject主体外部应用与subject进行交互subject将用户作为当前操作的主体这个主体可以是一个通过浏览器请求的用户也可能是一个运行的程序。

Subject在shiro中是一个接口接口中定义了很多认证授相关的方法外部程序通过subject进行认证授而subject是通过SecurityManager安全管理器进行认证授权SecurityManager

SecurityManager权限管理器它是shiro的核心负责对所有的subject进行安全管理。

通过

SecurityManager可以完成subject的认证、授权等SecurityManager是通过Au***nticator进行认证通过Authorizer进行授权通过SessionManager进行会话管理等。

SecurityManager是一个接口继承了Au***nticator,

Authorizer,

SessionManager这三个接口Au***nticator

Au***nticator即认证器对用户登录时进行身份认证Authorizer

Authorizer授权器用户通过认证器认证通过在访问功能时需要通过授权器判断用户是否有此功能的操作权限Realm数据库读取认证功能授权功能实现

Realm领域相当于datasource数据源securityManager进行安全认证需要通过Realm获取用户权限数据SessionManager

SessionManager会话管理shiro框架定义了一套会话管理它不依赖web容器的session所以shiro可以使用在非web应用上也可以将分布式应用的会话集中在一点管理此特性可使它实现单点登录SessionDAO

SessionDAO即会话dao是对session会话操作的一套接口CacheManager

CacheManager缓存管理将用户权限数据存储在缓存这样可以提高性能Cryptography

Cryptography密码管理shiro提供了一套加密/解密的组件方便开发。

比如提供常用的散列、加/解密等功能

三、Shiro快速入门

Shiro提供了base64和16进制字符串编码/解码的API支持方便一些编码解码操作。

Shiro内部的一些数据的【存储/表示】都使用了base64和16进制字符串.

散列算法:

散列算法一般用于生成数据的摘要信息是一种不可逆的算法一般适合存储密码之类的数据。

shiro支持的散列算法Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、Sha384Hash、Sha512Hash。

/***

SimpleHash(SHA256,input,salt,Counts).toString();}/***

Description

generateSalt(){SecureRandomNumberGenerator

new

SecureRandomNumberGenerator();return

randomNumberGenerator.nextBytes().toHex();}/***

Description

passwordPlain){MapString,String

map

show(passwordPlain,salt);map.put(salt,salt);map.put(明文password,passwordPlain);map.put(密文密码,password);return

map;}

2.1在resource目录下创建shiro.ini文件并配置Realm的信息用于告诉SecurityManager权限管理器Realm的信息

[main]

MyClasscom.apesource.shiro.MyRealm

securityManager.realms$MyClass2.2自定义MyRealm类继承AuthorizingRealm

实现类

{//指定密码的算法方式sha256HashedCredentialsMatcher

new

HashedCredentialsMatcher(DigestUtil.SHA256);//指定加密次数hashedCredentialsMatcher.setHashIterations(DigestUtil.Counts);//使用父层方法使匹配生效setCredentialsMatcher(hashedCredentialsMatcher);}//授权Overrideprotected

AuthorizationInfo

doGetAuthorizationInfo(PrincipalCollection

principalCollection)

{System.out.println(进入doGetAuthorizationInfo鉴权方法);//1.获取安全数据

usernameString

principalCollection.getPrimaryPrincipal();//2.通过安全数据查询库。

。

。

。

//通过认证传递的安全数据去数据库查询角色以及权限实现授权ListString

perms

ArrayList();perms.add(user:save);perms.add(user:update);perms.add(user:delete);perms.add(user:find);ListString

roles

ArrayList();roles.add(role1);roles.add(role2);//3.构造返回SimpleAuthorizationInfo

info

SimpleAuthorizationInfo();//4.设置权限集合info.addStringPermissions(perms);//设置身份集合info.addRoles(roles);return

Au***nticationInfo

doGetAu***nticationInfo(Au***nticationToken

au***nticationToken)

(UsernamePasswordToken)au***nticationToken;//获取用户输入的密码String

username

token.getUsername();//模拟数据库查询用户信息信息ServiceImpl

service

service.findPasswordByLoginName(username);if(mapnull){throw

new

UnknownAccountException(账户不存在);}System.out.println(map);String

salt

map.get(salt);System.out.println(salt);String

password

SimpleAu***nticationInfo(username,password,

ByteSource.Util.bytes(salt),MyRealm);}

public

{//模拟库中查询对象//1.获取dao对象//2.调用dao方法按照用户名称查询用户信息,匿名密码if(loginName.equals(yangshulin)){MapString,

String

DigestUtil.entryptPassword(123456);return

map;}return

login(){//导入INI配置创建工厂FactorySecurityManager

factory

IniSecurityManagerFactory(classpath:shiro.ini);//工厂构建安全管理器SecurityManager

securityManager

factory.getInstance();//使用工具生效安全管理器SecurityUtils.setSecurityManager(securityManager);//使用工具获得subject主体Subject

subject

SecurityUtils.getSubject();//构建账号密码UsernamePasswordToken

token

UsernamePasswordToken(yangshulin,1223456);subject.login(token);//打印登录信息System.out.println(登录结果:subject.isAu***nticated());//鉴权System.out.println(subject.hasRole(role1));System.out.println(subject.hasRole(role2));System.out.println(subject.isPermitted(user:save));System.out.println(subject.isPermitted(user:update));System.out.println(subject.isPermitted(user:find));}