Shiro原理

功能简介

• Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

• Authorization：授权，及权限验证，验证某个已认证的用户是否是拥有某个权限；即判断用户是否能进行什么操作，如：验证用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；

• Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，他的所有信息都在会话中；会话可以是普通JavaSe、环境，也可以是Web环境。

• Cryptography：加密，保护疏忽的安全性，如密码加密存储到数据库，而不是明文存储；

• Web Support：Web支持。可以非常容易的继承到Web环境；

• Caching：缓存，比如用户登录后，其用户信息，用户的角色全新不必每次去查数据库，这样可以提高效率。

• Concurrency：Shiro支持多线程应用的并发验证，即如在一个线程中开启；另一个线程，能把权限自动传播出去。

• Testing：提供测试支持。

• Run As：允许一个用户假装为另一个用户的身份进行访问；

• Remember Me：记住我，这是非常常见的功能，即一次登录后，下次再来的话不用登录了；

简介

Apache Shiro 是Java的一个安全（权限）框架

Shiro 可以非常容易的开发出足够好的应用，起步筋可以用在JavaSE环境，也可以用在Web环境下。

Shiro 可以完成：认证、授权、加密、会话管理、与Web集成、缓存等。

Factory<SecurityManger> factory = new IniSecurityManagerFactory("classpath:shiro.ini");  SecurityUtils.setSecurityManager(securityManager);  //获取当前的 Subject Subject currentUser = SecurityUtils.getSubject();  //获取session Session session = currentUser.getSession(); session.setAttribute("someKey", "aValue"); //测试当前用户是否被认证，即是否已经登录 if(!currentUser.isAuthenticatied()) {   UsernamePasswordToken token = new UsernamePasswordToken(username, password);      //remenber me   token.setRemenberMe(true); } //若没有指定的账号，则shiro抛出UnknownAccountException异常 //若账户存在，但密码不匹配，则抛出IncorrectCredentialsException //用户被锁定异常 LockedAccountException //总的认证异常 AuthenticationException。是上面异常的父类  //测试用户是否具备某个行为 if(currentUser.isPermitted("lightsaber:weild"))     //测试用户是否具备某个行为（粒度更细）  #goodguy = user:delete:zhangsan\ 对张三进行删除操作  if(currentUser.isPermitted(user:delete:zhangsan))      //执行登出,调用Subject的 logout（）方法。   currentUser.logout();   

集成Spring

• 加入Spring 和 Shiro 的 jar包
• 配置Spring 及 SpringMVC

配置Spring web.xml

<!-- needed for ContextLoaderListener  加载Spring的配置文件 --> <context-param> 	<param-name>contextConfigLocation></param-name> 	<param-value>classpath:applicationContext.xml></param-value> </context-param> <!-- Bootstraps the root web applicaiton context before servlet initialized--> <listener> 	<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> </listener>  <!-- SpringMVC 的前端控制器--> <servlet> 	<servlet-name>springMVC</servlet-name>   	<servlet-value>org.springframework.web.servlet.DispatcherServlet</servlet-value>     <init-param>       <param-name>contextConfigLoacation</param-name>       <param-value>classpath:SpringMVC.xml</param-value>   </init-param>   	<!-- DispatcherServlet for handling-->   <servlet-mapping>   	<servlet-name>springMVC</servlet-name>     <url-pattern>/*</url-pattern>   </servlet-mapping> </servlet> 

springmvc.xml

<!-- 视图解析器 --> <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver"> 	<property name="prefix" value="/"></property>   	<property name="suffix" value=".jsp"></property> </bean>  <mvc:annotation-driven></mvc:annotation-driven> <mvc:default-servlet-handler></mvc:default-servlet-handler>  <!-- shiro SecurityManager--> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 	<property name="sessionMode" value="native"></property>   	<property name="realm" ref="jdbcRealm"></property> </bean> <!-- shiro CacheManager --> <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> 	<property name="cacheManagerConfigFile" value="classpath:encache.xml"></property> </bean>  <!-- 配置LifecycleBeanPostProcessor。可以自动来配置在 Spring IOC容器红shiro bean的生命周期方法 -->  

<bean id="shrioFilter" class="org.,apache.shiro.spring.web.ShiroFilterFactotyBean"> 	<property name="securityManager" ref="securityManager"></property>   	<property name="loginUrl" value="/login/jsp"></property>   	<property name="successUrl" value="/list.jsp"></property>   	<property name="unauthrizedUrl" value="/unauthrized.jsp"></property> </bean> <!-- 配置哪些页面需要保护 	以及访问这些页面需要的权限 	anon 可以被匿名访问 --> <property name="filterChainDefinitions"> 	<value>  		/login.jsp = anon       	# everything else requires authentication:       	/** = authc   </value> </property> 

shrioFilter 的工作原理

浏览器访问请求，被shiroFilter所拦截（filterChainDefinitions、loginUrl）。若通过拦截或是配置了匿名登录直接通过认证。若没有通过认证，则跳到相应的页面。

DelegatingFilterProxy 实际上是 Filter 的一个代理对象。默认情况下，Spring 回到 IOC容器中查找和名字对应的 filter-bean。

shiro验证流程

1、获取当前的 Subject. 调用 SecurityUtils.getSubject();

2、测试当前的用户是否已经被认证，即是否已经登录。调用 Subject 的 isAuthenticated()

3、若没有认证，则吧用户名和密码封装为 UsernamePasswordToken 对象

1> 创建一个表单页面

2> 把请求提交到 SpringMVC 的 Handler

3>获取用户名密码

4、执行登录：调用 Subject 的 login（AuthenticationToken）方法。

1>实际上需要继承 org.apache.shiro.realm.AuthenticationRealm 类

2>实现 doGetAuthenticationInfo(AuthenticationToken)方法。

6、由 shiro 完成对密码的比对

文章来源: https://blog.csdn.net/baidu_32872293/article/details/92658418