Shiro 学习笔记(1)—— Hello World

时间:2021-04-16 19:41:58

Shiro 学习笔记(1)—— Hello World

什么是 Shiro?

百度百科上对 Shiro 的概括是非常准确的:

Apache Shiro是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码学和会话管理。

在这里,我就直接拿来使用了。Shiro 是一个安全框架,可以保护你的应用,替你完成身份验证、权限设置、加密、解密、与会话相关的操作。

两个重要的概念:认证、授权

学习 Shiro 之前,我们要明确两个非常重要的概念:1、身份认证;2、授权。
说明:认证(Authentication)和授权(Authorization)这两个单词刚开始学习的时候会常常看错,请大家注意。

认证简单的说,就是登录的时候判断你的用户名和密码是否完全匹配,就是证明你是你。

授权,是在认证的基础之上,进行角色和权限的授予。权限决定了一个用户可以进行怎样的操作。就像你到学校去,你出示了你的学生证以后,学校这个机构要授权给你进学生食堂、宿舍的权力。
由于你的角色是学生,你不能随意进教师办公室,说明你没有进入教师办公区域的权力。

另外两个重要的概念:角色、权限

权限定义了一个用户是否可以执行某个操作。角色就是一组权限的集合。我们通常是把一组权限绑定到一种角色上,再把一个或者多个角色赋给一个用户,这样就实现了权限的控制。即权限通过角色定义到用户上。角色作为权限的集合,方便了我们对权限的管理。

这一节,我们使用 Shiro 帮助我们实现一个小小的登录功能。这个登录的功能没有界面,就是通过简单的用户名密码匹配来实现的。但是我们须要借助 Shiro 来完成。

在以前的项目中,我们做登录的时候,总是把用户名和密码数据放在数据库的数据表对应的字段中。当然 Shiro 也提供了这样的功能,只不过不须要我们自己编写从数据库查询数据,然后进行字符串匹配的代码编写(这个例子我们下一节讲)。

当然,将用户名和密码写在配置文件里、使用 Shiro 提供的 JDBC Realm 不是我们在生产环境下的做法,这两种安全数据源的配置,仅供我们理解、研究和测试 Shiro 这个框架而使用。

测试代码的思路:

将用户登录的用户名和密码信息(以键值对方式)存放在一个配置文件里,然后我们在一个 Main 方法中输入待登录的用户名和密码,使用某个登录的方法,进行登录。

实现步骤:

1、引入 Gradle 依赖

dependencies {
testCompile(
group: "junit", name: "junit", version: "4.11"
)

compile(
"org.apache.shiro:shiro-core:1.2.4",
"org.slf4j:slf4j-log4j12:1.7.13"
)

}

2、核心配置文件 shiro.ini 配置

[users]
liwei=123456
wudi=wudi
huzhenyu=huzhenyu
yuanlian=yuanlian

3、编写代码

public class HelloWorld {
public static void main(String[] args) {
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
Subject currentSubject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("liwei", "123456");
try {
currentSubject.login(token);
} catch (UnknownAccountException e) {
System.out.println("无效的用户名");
e.printStackTrace();
} catch (IncorrectCredentialsException e) {
System.out.println("密码错误");
e.printStackTrace();
} catch (AuthenticationException e) {
e.printStackTrace();
}
System.out.println("登录成功");
currentSubject.logout();
// 最后别忘了退出登录(shiro还会做很多操作,从控制台就可以看出)
currentUser.logout();
System.out.println("退出登录成功");
}
}

说明:我们可以把前台在表单中输入用户名和密码传入 UsernamePasswordToken 的构造函数中,Shiro 就会把 UsernamePasswordToken 和配置文件 shiro.ini 中 [usrs] 节点下的键值对进行比对,如果不能匹配则抛出响应的异常。

我们简单介绍一下 Shiro 在其中发挥的作用:

1、Subject 就是我们登录的主体,这里相当于一个桥梁,我们所有的操作其实都要通过 Subject 来帮助我们完成。

2、SecurityManager 类似于 Spring MVC 中的 DispatcherServlet ,起到类似前端控制器的作用;

3、在 Shiro 中还有一个非常重要的模块,那就是 Realm ,Realm 是安全数据源,我们要把类似于用户名和密码的信息存放到 Realm 中,Shiro 就可以帮助我们完成认证和授权等一系列操作。

在这个例子中的 Realm 叫 IniRealm ,我们把正确的用户名和密码信息存放在一个以 ini 结尾的文件中,Shiro 来帮助我们去做最最简单的字符串匹配,我们只须要通过捕获 Shiro 抛出的响应的异常,做一些后续的处理。将来我们还可以使用 JdbcRealm 和自定义的 Realm。

下一节我们介绍如何使用 JdbcRealm 让 Shiro 通过存放在数据库中的用户信息实现用户登录匹配。