目錄什么是ShiroShiro的三大核心概念Shiro功能介紹Springboot整合Shiro導(dǎo)入依賴javaConfigRealmControllerShiro整合thymeleaf導(dǎo)入依賴HTML頁面命名空間使用舉例總結(jié)什么是Shiro

Apache Shiro是一個(gè)功能強(qiáng)大且易于使用的Java安全框架，它執(zhí)行身份驗(yàn)證、授權(quán)、加密和會(huì)話管理。借助Shiro易于理解的API，您可以快速輕松地保護(hù)任何應(yīng)用程序—從最小的移動(dòng)應(yīng)用程序到最大的web和企業(yè)應(yīng)用程序。

Shiro的三大核心概念

Subject：

主體，代表了當(dāng)前“用戶”，這個(gè)用戶不一定是一個(gè)具體的人，與當(dāng)前應(yīng)用交互的任何東西都是Subject，如爬蟲、機(jī)器人等；即一個(gè)抽象概念；所有Subject都綁定到SecurityManager，與Subject的所有交互都會(huì)委托給SecurityManager；可以把Subject認(rèn)為是一個(gè)門面；SecurityManager才是實(shí)際的執(zhí)行者。

SecurityManager：

安全管理器；即所有與安全有關(guān)的操作都會(huì)與SecurityManager交互；且它管理著所有Subject；可以看出它是shiro的核心, SecurityManager相當(dāng)于spring mvc中的dispatcherServlet前端控制器。

Realm：

域，shiro從Realm獲取安全數(shù)據(jù)(如用戶、角色、權(quán)限)，就是說SecurityManager要驗(yàn)證用戶身份，那么它需要從Realm獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否合法；也需要從Realm得到用戶相應(yīng)的角色/權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作；可以把Realm看成DataSource，即安全數(shù)據(jù)源。

Shiro功能介紹

Authentication：

身份認(rèn)證/登錄，驗(yàn)證用戶是不是擁有相應(yīng)的身份；

Authorization：

授權(quán)，即權(quán)限驗(yàn)證，驗(yàn)證某個(gè)已認(rèn)證的用戶是否擁有某個(gè)權(quán)限；即判斷用 戶是否能進(jìn)行什么操作，如：驗(yàn)證某個(gè)用戶是否擁有某個(gè)角色。或者細(xì)粒度的驗(yàn)證某個(gè)用戶對某個(gè)資源是否具有某個(gè)權(quán)限

Session Manager：

會(huì)話管理，即用戶登錄后就是一次會(huì)話，在沒有退出之前，它的所有信息都在會(huì)話中；會(huì)話可以是普通 JavaSE 環(huán)境，也可以是 Web 環(huán)境的

Cryptography：

加密，保護(hù)數(shù)據(jù)的安全性，如密碼加密存儲(chǔ)到數(shù)據(jù)庫，而不是明文存儲(chǔ)； Web Support：Web 支持，可以非常容易的集成到Web 環(huán)境；

Caching：

緩存，比如用戶登錄后，其用戶信息、擁有的角色/權(quán)限不必每次去查，這樣可以提高效率；

Concurrency：

Shiro 支持多線程應(yīng)用的并發(fā)驗(yàn)證，即如在一個(gè)線程中開啟另一個(gè)線程，能把權(quán)限自動(dòng)傳播過去；

Testing：

提供測試支持；

Run As：

允許一個(gè)用戶假裝為另一個(gè)用戶（如果他們允許）的身份進(jìn)行訪問；

Remember Me：

記住我，這個(gè)是非常常見的功能，即一次登錄后，下次再來的話不用登錄了

Springboot整合Shiro導(dǎo)入依賴

<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring --><dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version></dependency>

配置javaConfig

三大核心對象ShiroFilterFactoryBean、DefaultWebSecurityManager、Realm

常用攔截器分類說明

javaConfig

@Configurationpublic class ShiroConfig { //ShiroFilterFactoryBean @Bean public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Autowired DefaultWebSecurityManager securityManager) {ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();filterFactoryBean.setSecurityManager(securityManager);Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();//攔截filterChainDefinitionMap.put('/user/add', 'authc');filterChainDefinitionMap.put('/user/update', 'authc');filterChainDefinitionMap.put('/user/*', 'authc');filterChainDefinitionMap.put('/logout', 'logout');//退出/*filterChainDefinitionMap.put('/*','authc');*///授權(quán)filterChainDefinitionMap.put('/user/add','perms[user:add]');filterChainDefinitionMap.put('/user/update','perms[user:update]');//設(shè)置登錄的請求filterFactoryBean.setLoginUrl('/toLogin');//設(shè)置未授權(quán)頁面filterFactoryBean.setUnauthorizedUrl('/unauth');filterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return filterFactoryBean; } //DefaultWebSecurityManager @Bean public DefaultWebSecurityManager getDefaultWebSecurityManager(@Autowired UserRealm userRealm) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(userRealm);return securityManager; } //Realm @Bean public UserRealm userRealm() {return new UserRealm(); }}Realm

創(chuàng)建UserRealm繼承AuthorizingRealm實(shí)現(xiàn)doGetAuthorizationInfo()、doGetAuthenticationInfo()方法

從數(shù)據(jù)庫中拿到用戶信息，這里需要整合MyBatis、Druid相關(guān)依賴，具體的springboot整合MyBatis的代碼這里就贅述了，如果自己聯(lián)系，可以不從數(shù)據(jù)庫中獲取數(shù)據(jù)，可以自己直接設(shè)定默認(rèn)的username和password

perm是該用戶的權(quán)限可以通過authorizationInfo.addStringPermissions();方法授權(quán)

public class UserRealm extends AuthorizingRealm { @Autowired UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();//authorizationInfo.addStringPermission('user:add');Subject currentUser = SecurityUtils.getSubject();/** * 通過session取值 *//*Session session = currentUser.getSession();String username = (String) session.getAttribute('username');System.out.println(username);User user = userService.getByUsername(username);authorizationInfo.addStringPermission(user.getPerm());System.out.println(user.getPerm());*//** * 通過principal取值 */String username = (String) currentUser.getPrincipal();System.out.println(username);User user = userService.getByUsername(username);System.out.println(user.getPerm());String[] perms = user.getPerm().split(',');ArrayList<String> permList = new ArrayList();for (String perm : perms) { permList.add(perm);}authorizationInfo.addStringPermissions(permList);System.out.println('執(zhí)行了======>授權(quán)');return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {System.out.println('執(zhí)行了======>認(rèn)證');UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;User user = userService.getByUsername(token.getUsername());if (user == null) { return null;}//密碼可以加密//密碼認(rèn)證，shiro加密return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(),''); }}Controller

@Controllerpublic class MyController { @RequestMapping('/toLogin') public String toLogin() {return 'login'; } @RequestMapping({'/','/index'}) public String toIndex(Model model) {model.addAttribute('msg','Hello,Shiro');return 'index'; } @RequestMapping('/user/add') public String addUser() {return 'user/add'; } @RequestMapping('/user/update') public String updateUser() {return 'user/update'; } @PostMapping('/login') public String login(String username, String password, Model model) {UsernamePasswordToken token = new UsernamePasswordToken(username, password);Subject currentUser = SecurityUtils.getSubject(); try {currentUser.login(token);Session session = currentUser.getSession();session.setAttribute('username', username);return 'index'; } catch (UnknownAccountException uae) {model.addAttribute('msg', token.getPrincipal() + '用戶名不匹配');return 'login'; } catch (IncorrectCredentialsException ice) {model.addAttribute('msg', token.getPrincipal() + '密碼錯(cuò)誤');return 'login'; } } @ResponseBody @RequestMapping('/unauth') public String unAuth() {return '未經(jīng)授權(quán)'; } @RequestMapping('/logout') public String logout() {return '/login'; }}

前端頁面這里就不獻(xiàn)丑了，大家自由發(fā)揮

Shiro整合thymeleaf導(dǎo)入依賴

<!--thymeleaf shiro整合包--><!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro --><dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro</artifactId> <version>2.0.0</version></dependency>HTML頁面命名空間

<html lang='en' xmlns:th='http://www.thymeleaf.org' xmlns:shiro='http://www.pollix.at/thymeleaf/shiro'>使用舉例

<div shiro:notAuthenticated=''> <!--沒有認(rèn)證不顯示--> <p><button><a th:href='http://www.intensediesel.com/bcjs/@{/toLogin}'>登錄</a></button></p></div><div shiro:authenticated=''><!--認(rèn)證了顯示--> <p><button><a th:href='http://www.intensediesel.com/bcjs/@{/logout}'>退出</a></button></p></div><hr/><div shiro:hasPermission='user:update'><!--有user:update 權(quán)限顯示--> <a th:href='http://www.intensediesel.com/bcjs/@{/user/add}'>add</a></div><div shiro:hasPermission='user:add'><!--有user:add權(quán)限顯示--> <a th:href='http://www.intensediesel.com/bcjs/@{/user/update}'>update</a></div>總結(jié)

本篇文章就到這里了，希望能對你有所幫助，也希望您能夠多多關(guān)注好吧啦網(wǎng)的更多內(nèi)容！