简介Shiro:
1.基本功能
身份认证、授权、加密、会话管理
Web支持、缓存、多线程、测试、允许一个用户假装为另一个用户的身份进行访问、记住我
2. 执行过程
分为五步:
-
Subject
用户主体:请求的发起者,即访问应用的用户
-
Security Manager
安全管理器:Shiro的核心,用来分发请求,对Shiro中的其他对象进行管理
-
Authenticator
认证器:用来进行认证操作
-
Authentication Strategy
认证策略 :对于多个realm,可以对认证realm的个数进行配置
三种认证策略:AtLeastOneSuccessfulStrategy、FirstSuccessfulStrategy、AllSuccessfulStrategy
-
Realm
安全数据源:用来进行数据匹配的,可以通过多种数据源进行匹配认证,如文件、数据库、QQ、微信、手机号等
3. url过滤
场景:有些url的访问需要登录才能访问,如后台管理界面,未登录时不允许访问,自动跳转到登录页面
解决:使用Shiro过滤器,配置url过滤规则
常用的过滤规则:
-
anon 表示url不需要验证
-
authc 表示url需要登录验证,如果未登录,默认跳转到/login.jsp,参考FormAuthenticationFilter类
-
roles 表示url需要角色验证
-
perms 表示url需要权限验证
-
logout 配置url实现退出登录
注:默认所有url都不需要验证,相当于是anon
应用spring boot实例:
创建一个springboot项目添加依赖:Lombok、Web
<!--jsp-->
<dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-jasper</artifactId>
</dependency>注意:一定要配置jsp的依赖包,否则,在浏览器中访问jsp界面,默认访问文件(下载),不能解析为浏览器dom元素
配置properties.yml
server:port: 8080servlet:context-path: /shirospring:mvc:view:prefix: /suffix: .jsp在webapp文件夹中创建index.jsp和login.jsp
要求webapp要与resource为同级
编写自定义数据源Realm:
/*** 自定义Realm ,继承AuthorizingRealm*/
public class ShiroRealm extends AuthorizingRealm {/*** 认证* Authentication 证明真实性,鉴定;身份验证*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {return null;}/*** 授权* Authorization 批准书,授权书;批准*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {return null;}
}
编写shiro配置:
@Configuration
public class ShiroConfig {/*** 获得认证的数据源* realm 领域、范围* @return*/@Beanpublic Realm getRealm() {ShiroRealm realm = new ShiroRealm();return realm;}/*** 创建安全管理器 类似于: 自定义XXService* 自定义的Realm交给SecurityManager管理* @param realm* @return*/@Beanpublic DefaultWebSecurityManager getDefaultWebSecurityManager(Realm realm) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(realm);return securityManager;}/*** ShiroFilter ,对资源进行过滤处理* 将SecurityManager交给ShiroFilterFactoryBean管理* @param securityManager* @return*/@Beanpublic ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();//设置过滤路径 anon 默认 authc 认证 roles perms 授权 logout 退出Map<String,String> map = new LinkedHashMap<>();map.put("/index.jsp","authc");map.put("/login.jsp","anon");//设置安全管理器filterFactoryBean.setSecurityManager(securityManager);filterFactoryBean.setFilterChainDefinitionMap(map);filterFactoryBean.setLoginUrl("/login.jsp");return filterFactoryBean;}
}运行程序:
输入网址:http://localhost:8080/shiro/index.jsp
回车之后(成功被拦截到login.jsp):
