概念: Apache Shiro 是一个强大且易用的 Java 安全框架
能做什么:Shiro可以帮我们完成 :认证、授权、加密、会话管理、与 Web 集成、缓存等。
主要认识::
Subject(用户):当前的操作用户 获取当前用户Subject currentUser = SecurityUtils.getSubject()
SecurityManager(安全管理器):Shiro的核心,负责与其他组件进行交互,实现 subject 委托的各种功能
Realms(数据源) :Realm会查找相关数据源,充当与安全管理间的桥梁,经过Realm找到数据源进行认证,授权等操作
Authenticator(认证器): 用于认证,从 Realm 数据源取得数据之后进行执行认证流程处理。
Authorizer(授权器):用户访问控制授权,决定用户是否拥有执行指定操作的权限。
SessionManager (会话管理器):支持会话管理
CacheManager (缓存管理器):用于缓存认证授权信息
Cryptography(加密组件):提供了加密解密的工具包
数据库5张表:用户表 角色表 权限表 用户与角色的中间表 角色与权限的中间表
创建spring boot项目 导入所需要的依赖 相应的配置文件 shiro thymeleaf mybatis mysql等
页面准备:登录 主页面 等一些界面
@Configuration
public class ShiroConfiger {
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
//关联默认的web安全管理
shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
return shiroFilterFactoryBean;
}
@Bean(name = "defaultWebSecurityManager")
public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
DefaultWebSecurityManager defaultWebSecurityManager=new DefaultWebSecurityManager();
//关联realm
defaultWebSecurityManager.setRealm(userRealm);
return defaultWebSecurityManager;
}
//绑定
@Bean(name = "userRealm")
public UserRealm userRealm(){
return new UserRealm();
}
}
自定义realm(认证授权)
public class UserRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
return null;
}
}
过滤规则:anon 指定url可以匿名访问 authc 需登录 authcBasic 指定url需要http认证 logout 退出登录url user需要已登录或者记住我才能访问 roles 拥有某个角色才能进入 perms 拥有某个权限才能进入等
@Configuration
public class ShiroConfiger {
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
//关联默认的web安全管理
shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
//过滤
//过滤规则 anon 指定url可以匿名访问 authc 需登录 authcBasic 指定url需要http认证 logout 退出登录url user需要已登录或者记住我才能访问
//roles 拥有某个角色才能进入 perms 拥有某个权限才能进入
Map<String,String> map=new HashMap<>();
map.put("/user/add","perms[/user/add]");
map.put("/user/update","perms[/user/update]");
map.put("/user/index","anon");
map.put("/user/other","authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
//设置登录请求
shiroFilterFactoryBean.setLoginUrl("/user/login");
//设置无权限登录地址
shiroFilterFactoryBean.setUnauthorizedUrl("/user/un");
return shiroFilterFactoryBean;
}
@Bean(name = "defaultWebSecurityManager")
public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
DefaultWebSecurityManager defaultWebSecurityManager=new DefaultWebSecurityManager();
//关联realm
defaultWebSecurityManager.setRealm(userRealm);
return defaultWebSecurityManager;
}
//绑定
@Bean(name = "userRealm")
public UserRealm userRealm(){
return new UserRealm();
}
书写相应的controller进行验证
mapper层: public SysUser selectUser(@Param(“userName”) String userName); 查询数据库实现 通过用户名 查询到相应的对象
controller层:
@RequestMapping("/login2")
public String toLogin2(@RequestParam("username") String username, @RequestParam("password") String password, Model model, ServletRequest request){
//获取当前用户 subject==》》表示当前用户
Subject subject = SecurityUtils.getSubject();
//封装用户的信息 成一个UsernamePasswordToken令牌
UsernamePasswordToken token=new UsernamePasswordToken(username,password);
//一个try 两个catch try 无异常执行登录 两catch 找不到账号 密码错误
try {
subject.login(token);
/*HttpServletRequest httpServletRequest= WebUtils.toHttp(request);
HttpSession session=httpServletRequest.getSession();*/
return "index";//未抛出异常 登录成功
}catch (UnknownAccountException unknownAccountException){
//账号未找到异常
model.addAttribute("msg","账号未找到");
return "login";
}catch (IncorrectCredentialsException incorrectCredentialsException){
//密码错误异常
model.addAttribute("msg","密码错误");
return "login";
}
}
自定义realm:
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//执行认证
//当前的令牌 和 controller里面的令牌未同一个令牌
UsernamePasswordToken usernamePasswordToken= (UsernamePasswordToken) authenticationToken;
//查询数据库
SysUser sysUser = userService.selectUser(usernamePasswordToken.getUsername());
if (sysUser==null){
//用户名查询为空 账号错误 返回为空 controller登录逻辑 抛出空异常
return null;
}
//密码认证shiro来做
return new SimpleAuthenticationInfo(sysUser,sysUser.getUserPassword(),"");
}
mapper层: public List selectUrl(@Param(“userName”) String userName); 5表联查 查询出账号所对应能访问的url地址
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//获取当前用户
Subject subject = SecurityUtils.getSubject();
//获取认证时传递的资源 第一个参数
SysUser principal = (SysUser) subject.getPrincipal();
SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
//授权
//获取当前用户的url地址集合
List<String> list = userService.selectUrl(principal.getUserName());
for (int i=0;i<list.size();i++){
info.addStringPermission(list.get(i));
}
return info;
}
controller层:调用当前用户的logout方法 Subject subject = SecurityUtils.getSubject(); subject.logout();
shiro配置类:
@Bean
public ShiroDialect shiroDialect(){
return new ShiroDialect();
}
页面整合:
<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
登录 注销显示:
controller:
将登录信息保存到session
Session session=subject.getSession();
session.setAttribute("loginUser",token);
注销调用当前对象的logout方法
页面:
<div th:if="${session.loginUser!=null}">
<a href="/user/logout">登出</a>
</div>
<div th:if="${session.loginUser==null}">
<a href="/user/login">登录</a>
</div>
不显示无权限的地址
页面:
<div shiro:hasPermission="/user/add">
<a href="/user/add">add</a>
</div>
<div shiro:hasPermission="/user/update">
<a href="/user/update">update</a>
</div>
<a href="/user/other">other</a>
Md5Hash hash = new Md5Hash(“1”,“admin”,3);
参数:需要加密的字符 加盐(一般为用户名) 迭代次数