long blogs

进一步有进一步惊喜


  • Home
  • Archive
  • Tags
  •  

© 2025 long

Theme Typography by Makito

Proudly published with Hexo

shiro使用

Posted at 2019-09-23 笔记 spring 

shiro核心对象和方法

核心对象 Subject

使用Subject currentUser = SecurityUtils.getSubject();
该条语句是获得当前的用户。

常用方法
  • subject.login(AuthenticationToken token)登陆。这种登陆是给shiro的认证机制登陆的。
1
2
3
4
5
6
7
AuthenticationToken token =
new UsernamePasswordToken(username, password);

//2. 获取当前 Subject:
Subject currentUser = SecurityUtils.getSubject();
//3. 登录: 
currentUser.login(token);
  • boolean subject.hasRole("administrator")
    判断是否有某个角色.
  • 权限检查 boolean subject.isPermitted("user:create")
    是否有user的create权限

shiro使用

工作流程如下:
Subject是我们可以操作的接口。
Realm是配置shiro的核心领域。包括账号验证、加密解密、权限的配置

内部的架构如下

相关说明:

  • SecurityManager:相当于SpringMVC 中的 DispatcherServlet;是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证、授权、会话及缓存的管理
  • Authenticator: 负责 Subject 认证,是一个扩展点,可以自定义实现;可以使用认证策略(Authentication Strategy),即什么情况下算用户认证通过了
  • Authorizer: 授权器、 即访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能
  • Realm:可以有一个或多个Realm,可以认为是安全实体数据源,即用于获得安全实体的;可以是JDBC实现,也可以是内存实现等。由用户提供,应用中要自己实现自己的Realm;
  • SessionManager: 管理Session生命周期的组件;Shiro不仅可以用在Web环境。普通的JavaSE环境也可以使用session.和httpServletSession差不多的接口。
  • CacheManager:缓存控制器,用来管理用户、角色、权限等的缓存;
  • Cryptography:加密和解密模块。内置了加密和解密的模块,不需要自己将前台的明文密码加密后再和数据中的加密的密码比较。shiro会自动调用加密模块然后完成比较。
shiro默认过滤器
  • anon 所属类:org.apache.shiro.web.filter.authc.AnonymousFilter 没有参数,可以匿名使用。例如: /admin/** = anon
  • authc 所属类:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 没有参数,需要认证(登陆)之后才能访问 例如:/user/** = authc
  • authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter 没有参数,表示需要通过HttpBasic验证。如果不通过验证,跳转到登陆页面。 例如: /user/** = authcBasic
  • logout org.apache.shiro.web.filter.authc.LogoutFilter 注销登陆的时候,完成一定功能:任何现有的session都将会失效,任何身份都会失去关联。(web应用程序中,RememberMe cookie将被删除)
  • noSessionCreation org.apache.shiro.web.filter.authc.NoSessionCreationFiler 阻止在请求期间创建新的会话,保证无状态体验。
  • perms org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter 可以写多个。多个时加上引号。用逗号分隔。多个参数需要通过全部的参数才算通过。相当于isPermitedAll()方法。 例如:/admin/** = perms[user:add:] /admin/* = perms[“user:add:,user:delete:“]
  • port org.apache.shiro.web.filter.authz.PortFilter 指定访问的端口。如果不匹配跳转到登陆界面。 例如:/admin/** = port[8080]
  • rest org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter 根据请求方法 例如:/admins/user/** = perms[user.method] method为post、get、delete等请求方法
  • roles org.apache.shiro.web.filter.authz.RolesAuthorizationFilter 角色过滤。判断当前用户是否指定角色。多个参数需通过所有的角色。 例如:/admins/** = roles[“admin,guest”]
  • ssl org.apache.shiro.web.filter.authz.SslFilter 使用协议为Https
  • user org.apache.shiro.web.filter.authc.UserFilter 缓存必须存在用户

URL匹配模式

url模式使用Ant风格模式,支持?,*,**。通配符匹配不了包括目录分隔符"\"

  • ?:匹配一个字符,如/admin?。将匹配/admin1,但是不匹配/admin 或 /admin/
  • *:匹配0个或n个字符串.如/admin* 匹配/admin、/admin123。但不匹配/admin/1、/admin/
  • **: 匹配路径中的0或n路径。如/admin/** 匹配/admin/a or /admin/a/b

URL权限采取第一次匹配优先的方式。所以需要一些不要认证的路径放在前面。将需要认证的路径放在后面。否则会被覆盖的。

认证

身份验证

在shiro中我们需要提供两个对象(principals和credentials)用来完成身份的验证

  • principals 身份,主体的标识属性,可以是任何的属性。用户名、邮箱等。具备唯一性。可以有多个principals.但只有一个Primary principals。一般是用户名/邮箱/手机号
  • credentials 证明/凭证。证明主体标识的,如密码和数字证书等。
    最常使用的就是用户名和密码来组合成principals和credentials
身份验证的基本流程

1、收集用户的身份/凭证。一般是从前端获得用户名和密码
2、调用Subject.login进行登陆。失败会抛出响应的异常信息
3、创建自定义的Realm类。继承org.apache.shiro.realm.AuthorizingRealm类。实现doGetAuthenticationInfo()方法
官方给的认证示例代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
// let's login the current user so we can check against roles and permissions:
// 测试当前的用户是否已经被认证. 即是否已经登录. 
// 调动 Subject 的 isAuthenticated() 
if (!currentUser.isAuthenticated()) {
// 把用户名和密码封装为 UsernamePasswordToken 对象
  UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
  // rememberme
  token.setRememberMe(true);
  try {
    // 执行登录. 
      currentUser.login(token);
  } 
  // 若没有指定的账户, 则 shiro 将会抛出 UnknownAccountException 异常. 
  catch (UnknownAccountException uae) {
      log.info("----> There is no user with username of " + token.getPrincipal());
      return; 
  } 
  // 若账户存在, 但密码不匹配, 则 shiro 会抛出 IncorrectCredentialsException 异常。 
  catch (IncorrectCredentialsException ice) {
      log.info("----> Password for account " + token.getPrincipal() + " was incorrect!");
      return; 
  } 
  // 用户被锁定的异常 LockedAccountException
  catch (LockedAccountException lae) {
      log.info("The account for username " + token.getPrincipal() + " is locked.  " +
              "Please contact your administrator to unlock it.");
  }
  // ... catch more exceptions here (maybe custom ones specific to your application?
  // 所有认证时异常的父类. 
  catch (AuthenticationException ae) {
      //unexpected condition?  error?
  }
}
身份认证的流程

1、首先调用 Subject.login(token) 进行登录,其会自动委托给SecurityManager
2、 SecurityManager 负责真正的身份验证逻辑;它会委托给Authenticator 进行身份验证;
3、 Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
4、 Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用AuthenticationStrategy 进行多 Realm 身份验证;
5、 Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

授权

会话

Share 

 Previous post: 一键下载blibli的专栏图片 Next post: element使用javascript触发表单校验 

© 2025 long

Theme Typography by Makito

Proudly published with Hexo