一、簡介
Apache Shiro 是 Java 的一個安全框架。目前,使用 Apache Shiro 的人越來越多,因爲它相當簡單,對比 Spring Security,可能沒有 Spring Security 做的功能強大,但是在實際工作時可能並不需要那麼複雜的東西,所以使用小而簡單的 Shiro 就足夠了。對於它倆到底哪個好,這個不必糾結,能更簡單的解決項目問題就好了。
本教程只介紹基本的 Shiro 使用,不會過多分析源碼等,重在使用。
Shiro 可以非常容易的開發出足夠好的應用,其不僅可以用在 JavaSE 環境,也可以用在 JavaEE 環境。Shiro 可以幫助我們完成:認證、授權、加密、會話管理、與 Web 集成、緩存等。這不就是我們想要的嘛,而且 Shiro 的 API 也是非常簡單;其基本功能點如下圖所示:
Authentication:身份認證 / 登錄,驗證用戶是不是擁有相應的身份;
Authorization:授權,即權限驗證,驗證某個已認證的用戶是否擁有某個權限;即判斷用戶是否能做事情,常見的如:驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具有某個權限;
Session Manager:會話管理,即用戶登錄後就是一次會話,在沒有退出之前,它的所有信息都在會話中;會話可以是普通 JavaSE 環境的,也可以是如 Web 環境的;
Cryptography:加密,保護數據的安全性,如密碼加密存儲到數據庫,而不是明文存儲;
Web Support:Web 支持,可以非常容易的集成到 Web 環境;
Caching:緩存,比如用戶登錄後,其用戶信息、擁有的角色 / 權限不必每次去查,這樣可以提高效率;
Concurrency:shiro 支持多線程應用的併發驗證,即如在一個線程中開啓另一個線程,能把權限自動傳播過去;
Testing:提供測試支持;
Run As:允許一個用戶假裝爲另一個用戶(如果他們允許)的身份進行訪問;
Remember Me:記住我,這個是非常常見的功能,即一次登錄後,下次再來的話不用登錄了。
記住一點,Shiro 不會去維護用戶、維護權限;這些需要我們自己去設計 / 提供;然後通過相應的接口注入給 Shiro 即可。
二、環境準備
項目結構:
maven配置:
<dependencies>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.9</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.2</version>
</dependency>
</dependencies>
shiro.ini
[users]
zhang=123
wang=123
Login1
@Test
public void testHelloworld() {
//1.通過 new IniSecurityManagerFactory 並指定一個 ini 配置文件來創建一個 SecurityManager 工廠;
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//2.通過工廠得到一個SecurityManager對象實例
SecurityManager securityManager = factory.getInstance();
//3.將SecurityManager綁定到 SecurityUtils,這是一個全局設置,設置一次即可
SecurityUtils.setSecurityManager(securityManager);
//4.通過 SecurityUtils 得到 Subject,其會自動綁定到當前線程;如果在 web 環境在請求結束時需要解除綁定;
Subject subject = SecurityUtils.getSubject();
//5.獲取身份驗證的 Token,如用戶名 / 密碼
UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
try {
//6調用 subject.login 方法進行登錄,其會自動委託給 SecurityManager.login 方法進行登錄
subject.login(token);
System.out.println("成功!");
} catch (AuthenticationException e) {
//7如果身份驗證失敗請捕獲 AuthenticationException 或其子類,
System.out.println("失敗!");
}
//8調用subject.isAuthenticated()判斷是否登錄進來了
System.out.println("是否登錄:"+ subject.isAuthenticated());
//9最後可以調用 subject.logout 退出,其會自動委託給 SecurityManager.logout 方法退出。
subject.logout();
}
三、身份認證流程
流程如下:
- 首先調用 Subject.login(token) 進行登錄,其會自動委託給 Security Manager,調用之前必須通過 SecurityUtils.setSecurityManager() 設置;
- SecurityManager 負責真正的身份驗證邏輯;它會委託給 Authenticator 進行身份驗證;
- Authenticator 纔是真正的身份驗證者,Shiro API 中核心的身份認證入口點,此處可以自定義插入自己的實現;
- Authenticator 可能會委託給相應的 AuthenticationStrategy 進行多 Realm 身份驗證,默認 ModularRealmAuthenticator 會調用 AuthenticationStrategy 進行多 Realm 身份驗證;
- Authenticator 會把相應的 token 傳入 Realm,從 Realm 獲取身份驗證信息,如果沒有返回 / 拋出異常表示身份驗證失敗了。此處可以配置多個 Realm,將按照相應的順序及策略進行訪問。