Shiro学习总结

第一章入门概述

1.概念

shiro是一个Java安全框架，可以完成：认证、授权、加密、会话管理、与web集成、缓存…

2.优势

● 易于使用，构建简单
● 功能全面
● 灵活，可以在任何应用程序环境中工作，并且不需要依赖它们
● 高效支持web，可以基于应用程序URL和Web协议创建灵活的安全策略
● 兼容性强，易于和其他框架和应用程序集成
● 社区支持

3.与springsecurity的区别

● shiro需要和spring整合开发，而springsecurity基于spring开发，配合起来更便利
● springsecurity比shiro功能丰富，如安全维护
● shiro配置和使用简单，springsecurity较难
● shiro依赖性低，不需要任何框架和容器，可以独立运行，而springsecurity需要依赖spring容器
● shiro可以工作于任何应用环境，独立于容器

4.基本功能

在这里插入图片描述

Authentication：身份认证/登录，验证用户是否拥有对应的身份
authorization：权限验证，验证用户是否拥有某个权限，判断用户可以进行什么操作
session management：会话管理，即用户登录后的一次会话，在没有登出之前，所有的信息都保存在会话中
cryptography：加密，保证数据的安全，比如密码加密存储数据库
web support：web支持，集成web环境
caching：缓存，比如用户登录后，用户信息、角色和权限保存下来
concurrency：多线程并发验证，比如在一个线程红开启另一个线程，可以把权限自动传播过去
Testing：测试功能
run as：伪装用户
remember me：记住我

5.原理

shiro外部架构
在这里插入图片描述

subject：对外API核心，与应用代码直接交互的对象，与subject的所有交互都会委托为securitymanager
securitymanager：安全管理器，所有与安全相关的操作都会与securitymanager交互，管理所有的subject，是shiro的核心，相当于spingmvc的dispatcherservlet的角色
realm：从realm中获取安全数据信息（用户、角色、权限）

shiro内部架构

在这里插入图片描述

Subject：任何可以与应用交互的“用户”
SecurityManager ：相当于 SpringMVC 中的 DispatcherServlet；是 Shiro 的心脏；所有具体的交互都通过 SecurityManager 进行控制；它管理着所有 Subject、且负责进行认证、授权、会话及缓存的管理
Authenticator：负责 Subject 认证，是一个扩展点，可以自定义实现；可以使用认证策略（Authentication Strategy），即什么情况下算用户认证通过了
Authorizer：授权器、即访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能
Realm：可以有 1 个或多个 Realm，可以认为是安全实体数据源，即用于获取安全实体的；可以是 JDBC 实现，也可以是内存实现等等；由用户提供；所以一般在应用中都需要实现自己的 Realm
SessionManager：管理 Session 生命周期的组件
CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少改变，放到缓存中后可以提高访问的性能
Cryptography：密码模块，Shiro 提高了一些常见的加密组件用于如密码加密/解密。

第二章基本使用

1.环境搭建
● 引入依赖

<dependencies><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.9.0</version></dependency><dependency><groupId>commons-logging</groupId><artifactId>commons-logging</artifactId><version>1.2</version></dependency>
</dependencies>

● ini文件：src/main/resources/shiro.ini

[users]
zhangsan=z3
lisi=l4

2.登录认证

概念：
① 身份验证：一般需要提供如身份ID等一些标识信息来表明登录者的身份，如提供email，用户名/密码来证明
② 在shiro中，用户需要提供principals（身份）和credentials（证明）给shiro，从而应用能验证用户身份
③ principals：身份，即主体的标识属性，可以是任何属性，如用户名、邮箱等，唯一即可。一个主体可以有多个principals，但只有一个Primary principals，一般是用户名/邮箱/手机号
④ credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证书等
最常见的principals和credentials组合就是用户名/密码
流程：
① 收集用户身份/凭证，即如用户名/密码
② 调用 Subject.login 进行登录，如果失败将得到相应的 AuthenticationException异常，根据异常提示用户错误信息；否则登录成功
③ 创建自定义的 Realm 类，继承 org.apache.shiro.realm.AuthenticatingRealm类,实现 doGetAuthenticationInfo() 方法
实例：

public class ShiroRun {public static void main(String[] args) {//1.初始化获取securitymanagerIniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");SecurityManager securityManager = factory.getInstance();SecurityUtils.setSecurityManager(securityManager);//2.获取subject对象Subject subject = SecurityUtils.getSubject();//3.创建token对象，web应用用户名密码从页面传递AuthenticationToken token = new UsernamePasswordToken("zhangsan", "z3");//4.完成登录try {subject.login(token);System.out.println("login successful");} catch (UnknownAccountException e) {e.printStackTrace();System.out.println("用户不存在");}catch (IncorrectCredentialsException e) {e.printStackTrace();System.out.println("密码错误");}catch (AuthenticationException e) {e.printStackTrace();System.out.println("登录失败");}}
}

3.授权

① 授权，也叫访问控制，即在应用中控制谁访问哪些资源（如访问页面/编辑数据/页面操作等）。在授权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限（Permission）、角色（Role）
② 主体(Subject)：访问应用的用户，在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源
③ 资源(Resource)：在应用中用户可以访问的 URL，比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问
④ 权限(Permission)：安全策略中的原子授权单位，通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源，如：访问用户列表页面查看/新增/修改/删除用户数据（即很多时候都是CRUD（增查改删）式权限控制）等。权限代表了用户有没有操作某个资源的权利，即反映在某个资源上的操作允不允许
⑤ Shiro 支持粗粒度权限（如用户模块的所有权限）和细粒度权限（操作某个用户的权限，即实例级别的）
⑥ 角色(Role)：权限的集合，一般情况下会赋予用户角色而不是权限，即这样用户可以拥有一组权限，赋予权限时比较方便。典型的如：项目经理、技术总监、CTO、开发工程师等都是角色，不同的角色拥有一组不同的权限
授权方式：

编程式：subject.hasRole("admin")
注解式：@RequiresRoles("admin")
jsp/gsp标签：<shiro:hasRole name="admin"></shiro:hasRole>

授权流程：

首先调用Subject.isPermitted*/hasRole*接口，其会委托给SecurityManager，而SecurityManager接着会委托给 Authorizer
Authorizer是真正的授权者，如果调用如isPermitted(“user:view”)，其首先会通过PermissionResolver把字符串转换成相应的Permission实例
在进行授权之前，其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限
Authorizer会判断Realm的角色/权限是否和传入的匹配，如果有多个Realm，会委托给ModularRealmAuthorizer进行循环判断，如果匹配如isPermitted*/hasRole* 会返回 true，否则返回false表示授权失败

实例：

1.给shiro.ini增加角色配置

[users]
fate=admin,role1,role2
fuck=123456

2.增加权限配置

[roles]
role1=user:insert,user:select

3.测试代码

public static void main(String[] args) {//1.初始化获取securitymanagerIniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");SecurityManager securityManager = factory.getInstance();SecurityUtils.setSecurityManager(securityManager);//2.获取subject对象Subject subject = SecurityUtils.getSubject();//3.创建token对象，web应用用户名密码从页面传递AuthenticationToken token = new UsernamePasswordToken("zhangsan", "z3");//4.完成登录try {subject.login(token);System.out.println("login successful");//5.判断角色boolean hasRole = subject.hasRole("role1");System.out.println("是否拥有role1角色：" + hasRole);//6.判断权限boolean permitted = subject.isPermitted("user:insert");System.out.println("是否拥有此权限：" + permitted);//也可以用checkPermission方法，但没有返回值，没权限抛AuthenticationExceptionsubject.checkPermission("user:update");} catch (UnknownAccountException e) {e.printStackTrace();System.out.println("用户不存在");} catch (IncorrectCredentialsException e) {e.printStackTrace();System.out.println("密码错误");} catch (AuthenticationException e) {e.printStackTrace();System.out.println("登录失败");}
}

4.加密
Shiro内嵌很多常用的加密算法，比如MD5加密

public class ShiroMD5 {public static void main(String[] args) {//密码明文String password = "admin";//使用MD5加密Md5Hash md5Hash = new Md5Hash(password);System.out.println("md5加密：" + md5Hash);//带盐的md5加密，盐就是在密码明文后拼接新字符串，然后再进行加密Md5Hash md5Hash1 = new Md5Hash(password, "salt");System.out.println("带盐的md5加密：" + md5Hash1.toHex());//为了保证安全，避免被破解还可以多次迭代加密，保证数据安全Md5Hash md5Hash2 = new Md5Hash(password, "salt", 3);System.out.println("带盐的3次迭代加密：" + md5Hash2);//使用父类进行加密SimpleHash simpleHash = new SimpleHash("MD5", password, "salt", 3);System.out.println("父类带盐的3次加密：" + simpleHash);}
}

5.自定义登录认证
Shiro 默认的登录认证是不带加密的，如果想要实现加密认证需要自定义登录认证，自定义Realm

public class MyRealm extends AuthenticatingRealm {//自定义登录认证方法，shiro的login方法的底层会调用该类的认证方法进行认证//需要配置自定义的realm生效，应该在ini文件中配置，如果有springboot框架，也可以在Springboot中进行配置//该方法只是获取进行对比的信息，认证逻辑还是按照shiro的底层认证逻辑来完成protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {//1.获取身份信息String principal = authenticationToken.getPrincipal().toString();//2.获取凭证信息String password = new String((char[]) authenticationToken.getCredentials());System.out.println("认证的用户信息:" + principal + "---" + password);//3.获取数据库中存储的用户信息if(principal.equals("zhangsan")){//3.1数据库中存储的加盐3次迭代的密码String pwdInfo = "b073e9301c412431159e7075340c4c66";//4.创建封装校验逻辑的对象，封装数据返回AuthenticationInfo info = new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),pwdInfo,ByteSource.Util.bytes("salt"),authenticationToken.getPrincipal().toString());return info;}return null;}
}

添加配置信息，让shiro知晓你使用的是自定义的Realm

[main]
#在shiro.ini中添加配置信息
md5CredentialsMatcher=org.apache.shiro.authc.credential.Md5CredentialsMatcher
md5CredentialsMatcher.hashIterations=3
myrealm=com.atguigu.shirotest.MyRealm
myrealm.credentialsMatcher=$md5CredentialsMatcher
securityManager.realms=$myrealm[users]
zhangsan=7174f64b13022acd3c56e2781e098a5f,role1,role2
lisi=l4 [roles]
role1=user:insert,user:select

第三章与springboot整合

框架整合

1.引入依赖：

<parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>2.2.1.RELEASE</version>
</parent>
<dependencies><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring-boot-web-starter</artifactId><version>1.9.0</version></dependency><!--mybatis-plus--><dependency><groupId>com.baomidou</groupId><artifactId>mybatis-plus-boot-starter</artifactId><version>3.0.5</version></dependency><!--mysql--><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><version>5.1.46</version></dependency><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency>
</dependencies>

2.配置文件

# mybatis配置
mybatis-plus:configuration:# 日志log-impl: org.apache.ibatis.logging.stdout.StdOutImplmapper-locations: classpath:mapper/ *.xmlspring:
# 数据库配置datasource:type: com.zaxxer.hikari.HikariDataSourcedriver-class-name: com.mysql.jdbc.Driverurl: jdbc:mysql://localhost:3306/shirodb?characterEncoding=utf-8&useSSL=falsepassword: rootusername: root
# json格式jackson:date-format: yyyy-MM-dd HH:mm:sstime-zone: GMT+8shiro:
# 登录接口loginUrl: /myController/login

3.自定义realm

@Component
public class MyRealm extends AuthorizingRealm{@Autowiredprivate UserService userService;//自定义授权方法@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {return null;}//自定义登录认证方法@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {//1.获取用户身份信息String name = authenticationToken.getPrincipal().toString();//2.调用业务层获取用户信息(数据库)User user = userService.getUserInfoByName(name);//3.非空判断，将数据封装返回if(user != null){AuthenticationInfo info = new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),user.getPwd(),ByteSource.Util.bytes("salt"),authenticationToken.getPrincipal().toString());return info;}return null;}
}

4.配置类

@Slf4j
@Configuration
public class ShiroConfig {@Autowiredprivate MyRealm myRealm;//配置SecurityManager@Beanpublic DefaultWebSecurityManager defaultWebSecurityManager(){//1.创建defaultWebSecurityManager 对象DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();//2.创建加密对象，设置相关属性HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();//2.1 采用md5加密matcher.setHashAlgorithmName("md5");//2.2 迭代加密次数matcher.setHashIterations(3);//3.将加密对象存储到myRealm中myRealm.setCredentialsMatcher(matcher);//4.将myRealm存入defaultWebSecurityManager 对象defaultWebSecurityManager.setRealm(myRealm);//5.返回return defaultWebSecurityManager;}//配置Shiro内置过滤器拦截范围@Beanpublic DefaultShiroFilterChainDefinition shiroFilterChainDefinition(){DefaultShiroFilterChainDefinition defaultShiroFilterChainDefinition = new DefaultShiroFilterChainDefinition();
//        设置不认证就可以访问的资源defaultShiroFilterChainDefinition.addPathDefinition("/myController/userLogin","anon");defaultShiroFilterChainDefinition.addPathDefinition("/login","anon");
//        设置需要进行登录认证的拦截范围defaultShiroFilterChainDefinition.addPathDefinition("/**","authc");return defaultShiroFilterChainDefinition;}
}

5.编写控制类

@Controller
@RequestMapping("myController")
public class MyController{@GetMapping("userLogin")@ResponseBobypublic String userLogin(String name,String pwd){//1.获取subject对象Subject subject = SecurityUtils.getSubject();//2.封装请求数据到tokenAuthenticationToken token = new UsernamePasswordToken(name,pwd);//3.调用login方法进行登录认证try{        subject.login(token);return "登录成功";}catch(AuthenticationException e){e.printStackTrace();System.out.println("登录失败");return "登录失败";}
}