ApacheShiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。
Shiro有三大核心组件:
Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前应用交互的任何东西都是Subject,如网络爬虫等。所有的Subject都要绑定到SecurityManager上,与Subject的交互实际上是被转换为与SecurityManager的交互。
SecurityManager:即所有Subject的管理者,这是Shiro框架的核心组件,可以把他看做是一个Shiro框架的全局管理组件,用于调度各种Shiro框架的服务。作用类似于SpringMVC中的DispatcherServlet,用于拦截所有请求并进行处理。
Realm:Realm是用户的信息认证器和用户的权限人证器,我们需要自己来实现Realm来自定义的管理我们自己系统内部的权限规则。SecurityManager要验证用户,需要从Realm中获取用户。可以把Realm看做是数据源。
1、搭建测试工程
新建一个maven项目,简单了解一下Shiro的API。
2、引入jar包
在pom.xml加上依赖
# 日志
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.6.1</version>
</dependency>
# shiro
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
如需配置日志打印,在resources文件夹新建log4j.properties文件,内容为:
log4j.rootLogger=INFO, stdout,
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m%n
3、编写shiro配置文件:在resources文件夹下新建shiro.ini文件,文件内容如下:
# 用户
[users]
#账号=密码,角色1,角色2(角色可以无限多:用英文逗号隔开,用户多个的话换行一样的格式)
test=123456,role1,role2
# 角色
[roles]
#角色=权限1,权限2(权限可以无限多:用英文逗号隔开,角色多个的话换行一样的格式)
role2=perm1
role1=perm1,perm2
4、测试代码
public class ShiroTest {
private static final transient Logger log =
LoggerFactory.getLogger(ShiroTest.class);
public static void main(String[] args){
//1、SecurityManager:classpath:shiro.ini
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//2、解析配置文件,并返回一些SecurityManager
SecurityManager securityManager = factory.getInstance();
//3、SecurityManager绑定给SecurityUtils
SecurityUtils.setSecurityManager(securityManager);
//4、安全操作,Subject是当前登录的用户
Subject currentUser = SecurityUtils.getSubject();
//5、测试在应用的当前回话中设置属性
Session session = currentUser.getSession();
//如果用户没有登陆过
if(!currentUser.isAuthenticated()){
UsernamePasswordToken token = new UsernamePasswordToken("test","123456");
//记住我
token.setRememberMe(true);
try{
currentUser.login(token);
log.info("用户【"+currentUser.getPrincipal()+"】 登录成功");
//登录之后查看是否拥有指定角色
if(currentUser.hasRole("admin")){
log.info("有admin角色");
}else{
log.info("没有admin角色");
}
if(currentUser.hasRole("role1")){
log.info("有role1角色");
}else{
log.info("没有role1角色");
}
//查看用户是否拥有某个权限
if(currentUser.isPermitted("perm1")){
log.info("有perm1权限");
}else{
log.info("没有perm1权限");
}
if(currentUser.isPermitted("guest")){
log.info("有guest权限");
}else{
log.info("没有guest权限");
}
//登出
currentUser.logout();
}catch (UnknownAccountException uae){
log.info(token.getPrincipal()+" 账户不存在");
}catch (IncorrectCredentialsException ice){
log.info(token.getPrincipal()+" 密码不正确");
}catch (LockedAccountException lae){
log.info(token.getPrincipal()+" 用户被锁定了 ");
}catch (AuthenticationException ae){
//无法判断是什么错
log.info(ae.getMessage());
}
}
}
}
注:rememberMe只能记住你登录过,但不会记住你的权限信息。
小技巧
在我们开发的过程中,我们经常会遇到修改一点点东西时候,都需要重启操作来生效。因此,spring boot为我们提供了一个devTool热更新工具,无需重启即可生效
pom.xml中引入相关jar
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.0.1.RELEASE</version>
</parent>
<properties>
<java.version>1.8</java.version>
<project.build.sourceEncoding>UTF8</project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF8</project.reporting.outputEncoding>
</properties>
<dependencies>
...
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-devtools</artifactId>
</dependency>
...
<dependencies>
如何使用
【提示】: 由于我自己使用的是idea进行开发,因此对eclipse的引入是否需要快捷键并不是很清楚,提供了相关链接
IDEA使用:
- 修改了java类的地方,使用Ctrl+Shift+F9进行热更新
- 静态页面/模板页面,使用Ctrl+F9进行热更新
- 快捷键使用后不生效?前往File-Settings-Compiler-Build Project automatically选项开始idea自动编译
eclipse使用:
- 直接引入
- 不生效?Eclipse热部署
