一、概念
Shiro 是 Java 的一個安全框架,Shiro 可以非常容易的開發出足夠好的應用,其不僅可以用在 JavaSE 環境,也可以用在 JavaEE 環境。Shiro 可以幫助我們完成:認證、授權、加密、會話管理、與 Web 集成、緩存等。
基本功能如下圖所示:
Authentication:身份認證、登錄,驗證用戶是不是擁有對應的身份
Authorization:授權,即權限驗證,驗證某個已認證的用戶是否擁有某個權限;即判斷用戶是否能做事情,常見的如:驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具有某個權限;
Session Manager:會話管理,即用戶登錄後就是一次會話,在沒有退出之前,它的所有信息都在會話中;會話可以是普通 JavaSE 環境的,也可以是如 Web 環境的;
Cryptography:加密,保護數據的安全性,如密碼加密存儲到數據庫,而不是明文存儲;
Web Support:Web 支持,可以非常容易的集成到 Web 環境;
Caching:緩存,比如用戶登錄後,其用戶信息、擁有的角色 / 權限不必每次去查,這樣可以提高效率;
Concurrency:shiro 支持多線程應用的併發驗證,即如在一個線程中開啓另一個線程,能把權限自動傳播過去;
Testing:提供測試支持;
Run As:允許一個用戶假裝爲另一個用戶(如果他們允許)的身份進行訪問;
Remember Me:記住我,這個是非常常見的功能,即一次登錄後,下次再來的話不用登錄了。
二、Shiro認證
上面的概念太理論,後續我們通過案例進行演示,你會慢慢對Shiro有基本的認知。
2.1 JAR包
首先,你需要shiro-core、junit、slf4j三個包。
//MavenJAR包地址
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.11</version>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
2.2 測試代碼,新建AuthenticationTest測試類
public class AuthenticationTest {
SimpleAccountRealm simpleAccountRealm =new SimpleAccountRealm();
@Before
public void addUser() {
simpleAccountRealm.addAccount("mark", "123456");
}
@Test
public void testAuthentication() {
//1、構建SecurityManager環境
//安全管理器。即所有與安全有關的操作都會與SecurityManager交互
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
defaultSecurityManager.setRealm(simpleAccountRealm);
//2、主體提交認證請求
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();//獲取主體
UsernamePasswordToken token = new UsernamePasswordToken("mark1", "123456");//提交認證
subject.login(token);
System.out.println("是否認證:"+subject.isAuthenticated());
}
}
2.3 認證過程
Subject:主體,代表當前“用戶”。
SecurityManager:安全管理器。
Realm: 域。Shiro 從從 Realm 獲取安全數據(如用戶、角色、權限)。
2.4 說明
認證成功,顯示下圖所示:
如果輸入錯誤的密碼:
org.apache.shiro.authc.IncorrectCredentialsException 不正確的憑證異常
如果輸入錯誤的賬號:
org.apache.shiro.authc.UnknownAccountException
