Shiro的学习 (2)

• Subject 任何可以与应用交互的“用户”； • SecurityManager 相当于SpringMVC 中的 DispatcherServlet；是 Shiro 的心脏； 所有具体的交互都通过 SecurityManager 进行控制；它管理着所有 Subject、且负责进行认证、授权、会话及 缓存的管理。 • Authenticator 负责 Subject 身份认证，是一个扩展点，可以自定义实现；可以使用认证 策略（Authentication Strategy），即什么情况下算用户认证通过了； • Authorizer 授权器、即访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能； • Realm 可以有 1 个或多个 Realm，可以认为是安全实体数据源，即用于获取安全实体 的；可以是JDBC 实现，也可以是内存实现等等；由用户提供；所以一般在应用中都需要 实现自己的 Realm； • SessionManager 管理 Session 生命周期的组件；而 Shiro 并不仅仅可以用在 Web环境，也可以用在如普通的 JavaSE 环境 • CacheManager 缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少改变， 放到缓存中后可以提高访问的性能 • Cryptography 密码模块，Shiro 提供了一些常见的加密组件用于如密码加密/解密。 三、HelloWorld 3.1 pom 文件 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>1.7.12</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-log4j12</artifactId> <version>1.7.12</version> </dependency> <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.16</version> </dependency> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.2</version> </dependency>

ops : require JDK 1.6+ and Maven 3.0.3+

3.2 配置

创建一个shiro.ini文件

#定义用户信息 #格式：用户名=密码,角色1,角色2,.... [users] zhangsan=123,admin lisi=456,manager,seller wangwu=789,clerk # ----------------------------------------------------------------------------- # 角色及其权限信息 # 预定权限：user:query # user:detail:query # user:update # user:delete # user:insert # order:update # .... [roles] # admin 拥有所有权限,用*表示 admin=* # clerk 只有查询权限 clerk=user:query,user:detail:query # manager 有 user 的所有权限 manager=user:* 3.3 代码

通过在ini中设置的 身份信息、角色、权限，做安全管理

1.身份认证: subject.login(token)

2.是否认证身份判断：subject.isAuthenticated()

3.角色校验：subject.hasRole(String:role); subject.hasRoles(List:roles)

4.权限校验：subject.isPermitted(String:perm); subject.isPermittedAll(List:perms)

// 定义main函数测试效果 // 创建 "SecurityFactory",加载ini配置,并通过它创建SecurityManager Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); SecurityManager securityManager = factory.getInstance(); // 将SecurityManager托管到SecurityUtils工具类中(ops:之后可以不必关心SecurityManager) SecurityUtils.setSecurityManager(securityManager); // 获得Subject，通过subject可以执行shiro的相关功能操作(身份认证或权限校验等) Subject currentUser = SecurityUtils.getSubject(); // 身份认证( 类似登录逻辑 ) if (!currentUser.isAuthenticated()) {//判断是否已经登录 //如果未登录，则封装一个token，其中包含 用户名和密码 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123"); try { //将token传入login方法，进行身份认证 (判断用户名和密码是否正确) currentUser.login(token);//如果失败则会抛出异常 } catch (UnknownAccountException uae) {//用户不存在 System.out.println("There is no user with username of " + token.getPrincipal()); } catch (IncorrectCredentialsException ice) {//密码错误 System.out.println("Password for account " + token.getPrincipal() + " was incorrect!"); } catch (LockedAccountException lae) {//账户冻结 System.out.println("The account for username " + token.getPrincipal() + " is locked. " +"Please contact your administrator to unlock it."); }catch (AuthenticationException ae) {//其他认证异常 } } // 认证成功则用户信息会存入 currentUser（Subject） System.out.println("User [" + currentUser.getPrincipal() + "] logged in successfully."); // 可以进一步进行角色校验 和 权限校验 if (currentUser.hasRole("admin")) { //校验角色 System.out.println("hello,boss"); } else { System.out.println("Hello, you"); } if (currentUser.isPermitted("user:update")) { //校验权限 System.out.println("you can update user"); } else { System.out.println("Sorry, you can not update."); } // 用户退出，会清除用户状态 currentUser.logout(); // System.exit(0); 3.4 权限规则