目錄

1.	Shro的概念
2.	Shiro的簡(jiǎn)單身份認(rèn)證實(shí)現(xiàn)
3.	Shiro與spring對(duì)身份認(rèn)證的實(shí)現(xiàn)

　　前言：

　　Shiro 可以非常容易的開(kāi)發(fā)出足夠好的應(yīng)用，其不僅可以用在 JavaSE 環(huán)境，也可以用在 JavaEE 環(huán)境。Shiro 可以幫助我們完成：認(rèn)證、授權(quán)、加密、會(huì)話管理、與 Web 集成、緩存等。其強(qiáng)大之處有目共睹，但是想要進(jìn)入Shiro的世界我們必須先要入門(mén)，這便是一篇入門(mén)級(jí)別的Shiro教程博客。

?

　　一、Shiro的概念

　　話說(shuō)“如果一個(gè)人只會(huì)寫(xiě)代碼，那么他一輩子都是碼農(nóng)”，所以當(dāng)我們學(xué)習(xí)一項(xiàng)新技能時(shí)，先不談代碼，把它的概念搞清楚了，再搞代碼。記住一句話，代碼只是思想的附屬品。

　　雖然我們這里只講解身份認(rèn)證，但是我們還是將其概念和功能都介紹一下：

　　

　　1、基本功能

　　

　　這些就是Shiro的所有基本功能了，下面來(lái)概括一下它的各項(xiàng)功能——

　　Authentication：身份認(rèn)證 / 登錄，驗(yàn)證用戶是不是擁有相應(yīng)的身份；

?

　　Authorization：授權(quán)，即權(quán)限驗(yàn)證，驗(yàn)證某個(gè)已認(rèn)證的用戶是否擁有某個(gè)權(quán)限；即判斷用戶是否能做事情，常見(jiàn)的如：驗(yàn)證某個(gè)用戶是否擁有某個(gè)角色?；蛘呒?xì)粒度的驗(yàn)證某個(gè)用戶對(duì)某個(gè)資源是否具有某個(gè)權(quán)限；

?

　　Session Manager：會(huì)話管理，即用戶登錄后就是一次會(huì)話，在沒(méi)有退出之前，它的所有信息都在會(huì)話中；會(huì)話可以是普通 JavaSE 環(huán)境的，也可以是如 Web 環(huán)境的；

?

　　Cryptography：加密，保護(hù)數(shù)據(jù)的安全性，如密碼加密存儲(chǔ)到數(shù)據(jù)庫(kù)，而不是明文存儲(chǔ)；

?

　　Web Support：Web 支持，可以非常容易的集成到 Web 環(huán)境；

?

　　Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色 / 權(quán)限不必每次去查，這樣可以提高效率；

?

　　Concurrency：shiro 支持多線程應(yīng)用的并發(fā)驗(yàn)證，即如在一個(gè)線程中開(kāi)啟另一個(gè)線程，能把權(quán)限自動(dòng)傳播過(guò)去；

?

　　Testing：提供測(cè)試支持；

?

　　Run As：允許一個(gè)用戶假裝為另一個(gè)用戶（如果他們?cè)试S）的身份進(jìn)行訪問(wèn)；

?

　　Remember Me：記住我，這個(gè)是非常常見(jiàn)的功能，即一次登錄后，下次再來(lái)的話不用登錄了。

　　

　　2、Shiro的架構(gòu)解釋

　　來(lái)一張經(jīng)典的Shiro架構(gòu)圖：

　　

　　這張圖是官方給出的Shiro架構(gòu)圖，可謂是權(quán)威，透徹理解了這張圖就算對(duì)Shiro已經(jīng)了如指掌了，可惜我還沒(méi)懂——

?

　　Subject：主體，可以看到主體可以是任何可以與應(yīng)用交互的 “用戶”；

?

　　SecurityManager：相當(dāng)于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher；是 Shiro 的心臟；所有具體的交互都通過(guò) SecurityManager 進(jìn)行控制；它管理著所有 Subject、且負(fù)責(zé)進(jìn)行認(rèn)證和授權(quán)、及會(huì)話、緩存的管理。

?

　　Authenticator：認(rèn)證器，負(fù)責(zé)主體認(rèn)證的，這是一個(gè)擴(kuò)展點(diǎn)，如果用戶覺(jué)得 Shiro 默認(rèn)的不好，可以自定義實(shí)現(xiàn)；其需要認(rèn)證策略（Authentication Strategy），即什么情況下算用戶認(rèn)證通過(guò)了；

?

　　Authrizer：授權(quán)器，或者訪問(wèn)控制器，用來(lái)決定主體是否有權(quán)限進(jìn)行相應(yīng)的操作；即控制著用戶能訪問(wèn)應(yīng)用中的哪些功能；

?

　　Realm：可以有 1 個(gè)或多個(gè) Realm，可以認(rèn)為是安全實(shí)體數(shù)據(jù)源，即用于獲取安全實(shí)體的；可以是 JDBC 實(shí)現(xiàn)，也可以是 LDAP 實(shí)現(xiàn)，或者內(nèi)存實(shí)現(xiàn)等等；由用戶提供；注意：Shiro 不知道你的用戶 / 權(quán)限存儲(chǔ)在哪及以何種格式存儲(chǔ)；所以我們一般在應(yīng)用中都需要實(shí)現(xiàn)自己的 Realm；

?

　　SessionManager：如果寫(xiě)過(guò) Servlet 就應(yīng)該知道 Session 的概念，Session 呢需要有人去管理它的生命周期，這個(gè)組件就是 SessionManager；而 Shiro 并不僅僅可以用在 Web 環(huán)境，也可以用在如普通的 JavaSE 環(huán)境、EJB 等環(huán)境；所有呢，Shiro 就抽象了一個(gè)自己的 Session 來(lái)管理主體與應(yīng)用之間交互的數(shù)據(jù)；這樣的話，比如我們?cè)?Web 環(huán)境用，剛開(kāi)始是一臺(tái) Web 服務(wù)器；接著又上了臺(tái)EJB 服務(wù)器；這時(shí)想把兩臺(tái)服務(wù)器的會(huì)話數(shù)據(jù)放到一個(gè)地方，這個(gè)時(shí)候就可以實(shí)現(xiàn)自己的分布式會(huì)話（如把數(shù)據(jù)放到Memcached 服務(wù)器）；

?

　　SessionDAO：DAO 大家都用過(guò)，數(shù)據(jù)訪問(wèn)對(duì)象，用于會(huì)話的 CRUD，比如我們想把 Session 保存到數(shù)據(jù)庫(kù)，那么可以實(shí)現(xiàn)自己的 SessionDAO，通過(guò)如 JDBC 寫(xiě)到數(shù)據(jù)庫(kù)；比如想把 Session 放到 Memcached 中，可以實(shí)現(xiàn)自己的 Memcached SessionDAO；另外 SessionDAO 中可以使用 Cache 進(jìn)行緩存，以提高性能；

?

　　CacheManager：緩存控制器，來(lái)管理如用戶、角色、權(quán)限等的緩存的；因?yàn)檫@些數(shù)據(jù)基本上很少去改變，放到緩存中后可以提高訪問(wèn)的性能

?

　　Cryptography：密碼模塊，Shiro 提高了一些常見(jiàn)的加密組件用于如密碼加密 / 解密的。

?

　　3、Shiro的工作流程　　

　　

　　在這個(gè)流程里面，我們可以看到API 核心就是 Subject，其中各個(gè)部分的解釋與作用——

　　Subject：主體，代表了當(dāng)前 “用戶”，這個(gè)用戶不一定是一個(gè)具體的人，與當(dāng)前應(yīng)用交互的任何東西都是 Subject，如網(wǎng)絡(luò)爬蟲(chóng)，機(jī)器人等；即一個(gè)抽象概念；所有 Subject 都綁定到SecurityManager，與 Subject 的所有交互都會(huì)委托給 SecurityManager；可以把 Subject 認(rèn)為是一個(gè)門(mén)面；SecurityManager 才是實(shí)際的執(zhí)行者；

?

　　SecurityManager：安全管理器；即所有與安全有關(guān)的操作都會(huì)與 SecurityManager 交互；且它管理著所有 Subject；可以看出它是 Shiro 的核心，它負(fù)責(zé)與后邊介紹的其他組件進(jìn)行交互，如果學(xué)習(xí)過(guò) SpringMVC，你可以把它看成 DispatcherServlet 前端控制器；

?

　　Realm：域，Shiro 從 Realm 獲取安全數(shù)據(jù)（如用戶、角色、權(quán)限），就是說(shuō) SecurityManager 要驗(yàn)證用戶身份，那么它需要從 Realm 獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否合法；也需要從 Realm 得到用戶相應(yīng)的角色 / 權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作；可以把 Realm 看成 DataSource，即安全數(shù)據(jù)源。

?

　　如果我們寫(xiě)一個(gè)最簡(jiǎn)單的Shiro應(yīng)用，那么大概流程應(yīng)該是——

應(yīng)用代碼通過(guò) Subject 來(lái)進(jìn)行認(rèn)證和授權(quán)，而 Subject 又委托給 SecurityManager；

我們需要給 Shiro 的 SecurityManager 注入 Realm，從而讓 SecurityManager 能得到合法的用戶及其權(quán)限進(jìn)行判斷。

?

　　二、Shiro的簡(jiǎn)單身份認(rèn)證實(shí)現(xiàn)

　　我們要做最簡(jiǎn)單的Shiro身份認(rèn)證流程，以便于認(rèn)識(shí)Shiro——

　　加入依賴：

　　

<properties><shiro.version>1.4.0</shiro.version> </properties> <dependencyManagement> <!-- 對(duì)shiro的依賴 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</version> </dependency> </dependencies>

?

　　大概流程為：

　　在Realm中設(shè)置數(shù)據(jù)源。

　　通過(guò)工廠加載配置，通過(guò)工廠獲取安全管理器，通過(guò)工廠獲取Subject對(duì)象。

　　獲取驗(yàn)證對(duì)象，進(jìn)行驗(yàn)證。

　　　?、僭O(shè)置Realm域，Shiro要從Realm域中獲取安全、正確的數(shù)據(jù)。該類必須繼承org.apache.shiro.realm.AuthorizingRealm；

　　并重寫(xiě)doGetAuthorizationInfo與doGetAuthenticationInfo方法。doGetAuthorizationInfo是對(duì)角色權(quán)限的認(rèn)證，這里暫且不詳述；doGetAuthenticationInfo對(duì)用戶的認(rèn)證，這里正是我們要詳細(xì)講述的地方。代碼如下，這里暫且模擬數(shù)據(jù)，因?yàn)槲覀円鲎詈?jiǎn)單的流程：

1 package org.ssm.service; 2 3 4 import org.apache.shiro.authc.AuthenticationException; 5 import org.apache.shiro.authc.AuthenticationInfo; 6 import org.apache.shiro.authc.AuthenticationToken; 7 import org.apache.shiro.authc.SimpleAuthenticationInfo; 8 import org.apache.shiro.authz.AuthorizationInfo; 9 import org.apache.shiro.realm.AuthorizingRealm; 10 import org.apache.shiro.subject.PrincipalCollection; 11 12 /** 13 * 對(duì)shiro進(jìn)行測(cè)試的類 14 * @author zuoyu 15 * 16 */ 17 public class CustomRealm extends AuthorizingRealm { 18 19 @Override 20 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { 21 return null; 22 } 23 24 @Override 25 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { 26 // 獲取用戶的名稱信息 27 String userName = (String) authenticationToken.getPrincipal(); 28 // 在這里需要從數(shù)據(jù)庫(kù)獲取信息，我們模擬一下即可 29 30 // 驗(yàn)證用戶名，如果查詢不到則返回為空 31 if (!userName.equals("admin")) { 32 return null; 33 } 34 35 // 根據(jù)用戶名獲取從數(shù)據(jù)庫(kù)查詢到的密碼 36 String dbPassWord = "hello"; 37 38 // 返回認(rèn)證信息由父類AuthenticatingRealm驗(yàn)證 39 SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo( 40 userName, //輸入的正確用戶名 41 dbPassWord, //對(duì)應(yīng)用戶名的正確密碼 42 getName() //該方法是父類中的方法，不多描述 43 ); 44 return simpleAuthenticationInfo; 45 } 46 47 }

?

　　②接著我們要用借用配置文件使securityManager獲取到該Realm域，配置文件如下：

1 [main] 2 #自定義 realm 3 customRealm=org.ssm.service.CustomRealm 4 #將realm設(shè)置到securityManager 5 securityManager.realms=$customRealm

　　

　　③萬(wàn)事俱備，我們測(cè)試一下，測(cè)試代碼如下：

1 @Test 2 public void testShiro() { 3 // 通過(guò)工廠加載配置 4 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-shiro.ini"); 5 // 通過(guò)工廠獲取安全管理器 6 SecurityManager securityManager = factory.getInstance(); 7 // 注冊(cè)Subject工具 8 SecurityUtils.setSecurityManager(securityManager); 9 // 獲取Subject對(duì)象 10 Subject subject = SecurityUtils.getSubject(); 11 // 獲取驗(yàn)證對(duì)象 12 AuthenticationToken authenticationToken = new UsernamePasswordToken("admin", "hello"); 13 // 驗(yàn)證 14 try { 15 subject.login(authenticationToken); 16 System.out.println("通過(guò)..." + "\t" + authenticationToken.getPrincipal()); 17 } catch (UnknownAccountException e) { 18 System.out.println("未通過(guò):用戶不存在" + "\t" + authenticationToken.getPrincipal()); 19 e.printStackTrace(); 20 } catch (IncorrectCredentialsException e) { 21 System.out.println("未通過(guò)：用戶密碼不正確" + "\t" + authenticationToken.getPrincipal()); 22 } catch (LockedAccountException e) { 23 System.out.println("未通過(guò)：用戶被鎖定" + "\t" + authenticationToken.getPrincipal()); 24 } 25 26 }

　　是不是很簡(jiǎn)單呢！如果我們運(yùn)用到實(shí)際應(yīng)用中，一般和spring框架結(jié)合起來(lái)用，有了spring的集成，用起來(lái)更方便！

?

　　三、Shiro與spring對(duì)身份認(rèn)證的實(shí)現(xiàn)

　　①我們需要加入依賴：

　　

<properties><shiro.version>1.4.0</shiro.version> </properties> <dependencyManagement> <!-- 對(duì)shiro的依賴 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</version> </dependency> <!-- spring對(duì)shiro的支持 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.version}</version> </dependency> </dependencies>

?

　　②首先，需要配置Shiro的過(guò)濾器，對(duì)所有訪問(wèn)進(jìn)行過(guò)濾；需要在web.xml中加上如下配置：

<!--配置上shiro過(guò)濾器，使其生效--><filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <!--設(shè)置url由servlet容器控制filter的生命周期--> <init-param> <param-name>transformWsdlLocations</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>

　　

　　③我們需要重新定義Realm域，且安全數(shù)據(jù)來(lái)源于數(shù)據(jù)庫(kù)：

　　

1 package org.ssm.shiro.realm; 2 3 import org.apache.shiro.authc.*; 4 import org.apache.shiro.authz.AuthorizationInfo; 5 import org.apache.shiro.realm.AuthorizingRealm; 6 import org.apache.shiro.subject.PrincipalCollection; 7 import org.springframework.beans.factory.annotation.Autowired; 8 import org.springframework.beans.factory.annotation.Qualifier; 9 import org.ssm.entity.Users; 10 import org.ssm.service.UsersService; 11 12 13 /** 14 * 用戶認(rèn)證 15 * @author zuoyu 16 */ 17 public class UserRealm extends AuthorizingRealm { 18 19 /** 20 * 引入users操作的整合操作 21 */ 22 @Autowired 23 @Qualifier("usersService") 24 private UsersService usersService; 25 26 /** 27 *獲取授權(quán)信息 28 * @param principalCollection 29 * @return 30 */ 31 @Override 32 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { 33 return null; 34 } 35 36 /** 37 * 獲取獲取身份驗(yàn)證相關(guān)信息 38 * @param authenticationToken 39 * @return 40 * @throws AuthenticationException 41 */ 42 @Override 43 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { 44 // 獲取用戶輸入的用戶名 45 String userName = (String) authenticationToken.getPrincipal(); 46 // 根據(jù)用戶名查詢?cè)摂?shù)據(jù) 47 Users user = usersService.selectByName(userName); 48 49 if (user == null){ 50 // 沒(méi)有找到賬號(hào) 51 throw new UnknownAccountException(); 52 } 53 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUserName(), user.getPassWord(), 54 // 此為realm內(nèi)的方法，用于獲取realm的name 55 getName() 56 ); 57 return authenticationInfo; 58 } 59 }

?

　?、苄枰趕pring的applicationContext.xml配置文件加入對(duì)Shiro的Bean依賴注入的處理：

<!--shiro的配置--><!--注入自定義的Realm--> <bean id="userRealm" class="org.ssm.shiro.realm.UserRealm"/> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="userRealm"/> </bean> <!--配置ShiroFilter的屬性--> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="filterChainDefinitions"> <value> /login = anon </value> </property> </bean>

　　

　　⑤寫(xiě)一個(gè)springMVC的攔截器，對(duì)登陸進(jìn)行攔截：

1 package org.ssm.aop; 2 3 import org.apache.shiro.SecurityUtils; 4 import org.apache.shiro.subject.Subject; 5 import org.springframework.web.servlet.AsyncHandlerInterceptor; 6 import org.springframework.web.servlet.HandlerInterceptor; 7 import org.springframework.web.servlet.ModelAndView; 8 import javax.servlet.http.HttpServletRequest; 9 import javax.servlet.http.HttpServletResponse; 10 11 /** 12 * 登陸攔截 13 * @author zuoyu 14 */ 15 public class LoginInterceptor implements HandlerInterceptor { 16 17 /** 18 * 登陸攔截 19 * {@link AsyncHandlerInterceptor}. 20 * 21 * @param request current HTTP request 22 * @param response current HTTP response 23 * @param handler chosen handler to execute, for type and/or instance evaluation 24 * @return {@code true} if the execution chain should proceed with the 25 * next interceptor or the handler itself. Else, DispatcherServlet assumes 26 * that this interceptor has already dealt with the response itself. 27 * @throws Exception in case of errors 28 */ 29 @Override 30 public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { 31 32 // 從該回話中獲取subject 33 Subject subject = SecurityUtils.getSubject(); 34 // 獲取用戶信息 35 String user = (String) subject.getPrincipal(); 36 // 如果用戶信息為空，則進(jìn)行攔截 37 if (user != null){ 38 return true; 39 } 40 response.sendRedirect(request.getContextPath() + "/User/login"); 41 return false; 42 } 43 44 45 @Override 46 public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { 47 48 } 49 50 51 @Override 52 public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { 53 54 } 55 56 57 }

　　

　　⑥我們需要在springMVC的配置文件中設(shè)置一下該攔截器的攔截對(duì)象以及哪些不需要攔截，加上如下代碼：

<mvc:interceptors><mvc:interceptor> <mvc:mapping path="/**"/> <mvc:exclude-mapping path="/assets/**"/> <mvc:exclude-mapping path="/User/login"/> <mvc:exclude-mapping path="/logout"/> <bean class="org.ssm.aop.LoginInterceptor"/> </mvc:interceptor> </mvc:interceptors>

　　

　　ok，這樣就完成了基于spring集成的簡(jiǎn)單Shiro身份認(rèn)證，前端頁(yè)面自己寫(xiě)就可以了。

轉(zhuǎn)載于:https://www.cnblogs.com/jianwei-dai/p/8986295.html

總結(jié)

以上是生活随笔為你收集整理的Shiro身份认证---转的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。