Shiro入門
1. 什麼是shirohtml
shiro是apache的一個開源框架,是一個權限管理的框架,實現 用戶認證、用戶受權。前端
spring中有spring security (原名Acegi),是一個權限框架,它和spring依賴過於緊密,沒有shiro使用簡單。java
shiro不依賴於spring,shiro不只能夠實現 web應用的權限管理,還能夠實現c/s系統,linux
分佈式系統權限管理,shiro屬於輕量框架,愈來愈多企業項目開始使用shiro。web
2. 在應用程序角度來觀察如何使用Shiro完成工做(圖01)redis
Subject:主體,表明了當前「用戶」,這個用戶不必定是一個具體的人,與當前應用交互的任何東西都是Subject,如網絡爬蟲,機器人等;即一個抽象概念;全部Subject 都綁定到SecurityManager,與Subject的全部交互都會委託給SecurityManager;能夠把Subject認爲是一個門面;SecurityManager纔是實際的執行者;算法
SecurityManager:安全管理器;即全部與安全有關的操做都會與SecurityManager 交互;且它管理着全部Subject;能夠看出它是Shiro 的核心,它負責與後邊介紹的其餘組件進行交互,若是學習過SpringMVC,你能夠把它當作DispatcherServlet前端控制器;spring
Realm:域,Shiro從從Realm獲取安全數據(如用戶、角色、權限),就是說SecurityManager要驗證用戶身份,那麼它須要從Realm獲取相應的用戶進行比較以肯定用戶身份是否合法;也須要從Realm獲得用戶相應的角色/權限進行驗證用戶是否能進行操做;能夠把Realm當作DataSource,即安全數據源。數據庫
3. shiro架構(圖02)apache
3.1 subject:主體,能夠是用戶也能夠是程序,主體要訪問系統,系統須要對主體進行認證、受權。
3.2 securityManager:安全管理器,主體進行認證和受權都是經過securityManager進行。securityManager是一個集合,
真正作事的不是securityManager而是它裏面的東西。
3.3 authenticator:認證器,主體進行認證最終經過authenticator進行的。
3.4 authorizer:受權器,主體進行受權最終經過authorizer進行的。
3.5 sessionManager:web應用中通常是用web容器(中間件tomcat)對session進行管理,shiro也提供一套session管理的方式。
shiro不只僅能夠用於web管理也能夠用於cs管理,因此他不用web容器的session管理。
3.6 SessionDao: 經過SessionDao管理session數據,針對個性化的session數據存儲須要使用sessionDao
(若是用tomcat管理session就不用SessionDao,若是要分佈式的統一管理session就要用到SessionDao)。
3.7 cache Manager:緩存管理器,主要對session和受權數據進行緩存(權限管理框架主要就是對認證和受權進行管理,
session是在服務器緩存中的),好比將受權數據經過cacheManager進行緩存管理,
和ehcache整合對緩存數據進行管理(redis是緩存框架)。
3.8 realm:域,領域,至關於數據源,經過realm存取認證、受權相關數據(原來是經過數據庫取的)。
注意:authenticator認證器和authorizer受權器調用realm中存儲受權和認證的數據和邏輯。
3.9 cryptography:密碼管理,好比md5加密,提供了一套加密/解密的組件,方便開發。好比提供經常使用的散列、加/解密等功能。好比 md5散列算法(md5只有加密沒有解密)。
Shiro入門案例
準備工做:
一、導入相關依賴
二、編寫shiro.ini文件
log4j2.xml
<?xml version="1.0" encoding="UTF-8"?> <!-- status : 指定log4j自己的打印日誌的級別.ALL< Trace < DEBUG < INFO < WARN < ERROR < FATAL < OFF。 monitorInterval : 用於指定log4j自動從新配置的監測間隔時間,單位是s,最小是5s. --> <Configuration status="WARN" monitorInterval="30"> <Properties> <!--window配置--> <!--配置日誌文件輸出目錄 ${sys:user.home}--> <Property name="LOG_HOME">${sys:user.home}/logs</Property> <property name="ERROR_LOG_FILE_NAME">${sys:user.home}/logs/error</property> <property name="WARN_LOG_FILE_NAME">${sys:user.home}/logs/warn</property> <!--linux ubuntu配置--> <!--請在操做系統中配置環境變量catalina_home--> <!--<Property name="LOG_HOME">${catalina_home}/logs</Property>--> <!--<property name="ERROR_LOG_FILE_NAME">${catalina_home}/logs/error</property>--> <!--<property name="WARN_LOG_FILE_NAME">${catalina_home}/logs/warn</property>--> <!--配置日誌格式--> <property name="PATTERN">%d{yyyy-MM-dd HH:mm:ss.SSS} [%t-%L] %-5level %logger{36} - %msg%n</property> <!--<property name="PATTERN">%n Level: %p%n Time: %d%n Method: %l%nMessage: %m%n</property>--> </Properties> <Appenders> <!--這個輸出控制檯的配置 --> <Console name="Console" target="SYSTEM_OUT"> <!-- 控制檯只輸出level及以上級別的信息(onMatch),其餘的直接拒絕(onMismatch) --> <ThresholdFilter level="trace" onMatch="ACCEPT" onMismatch="DENY"/> <!-- 輸出日誌的格式 --> <!-- %d{yyyy-MM-dd HH:mm:ss, SSS} : 日誌生產時間 %p : 日誌輸出格式 %c : logger的名稱 %m : 日誌內容,即 logger.info("message") %n : 換行符 %C : Java類名 %L : 日誌輸出所在行數 %M : 日誌輸出所在方法名 hostName : 本地機器名 hostAddress : 本地ip地址 --> <PatternLayout pattern="${PATTERN}"/> </Console> <!--文件會打印出全部信息,這個log每次運行程序會自動清空,由append屬性決定,這個也挺有用的,適合臨時測試用 --> <!--append爲TRUE表示消息增長到指定文件中,false表示消息覆蓋指定的文件內容,默認值是true --> <File name="log" fileName="logs/test.log" append="false"> <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/> </File> <!-- 這個會打印出全部的info及如下級別的信息,每次大小超過size, 則這size大小的日誌會自動存入按年份-月份創建的文件夾下面並進行壓縮,做爲存檔 --> <RollingFile name="RollingFileInfo" fileName="${LOG_HOME}/info.log" filePattern="${LOG_HOME}/$${date:yyyy-MM}/info-%d{yyyy-MM-dd}-%i.log"> <!--控制檯只輸出level及以上級別的信息(onMatch),其餘的直接拒絕(onMismatch) --> <ThresholdFilter level="info" onMatch="ACCEPT" onMismatch="DENY"/> <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/> <Policies> <!-- 基於時間的滾動策略,interval屬性用來指定多久滾動一次,默認是1 hour。 modulate=true用來調整時間:好比如今是早上3am,interval是4,那麼第一次滾動是在4am,接着是8am,12am...而不是7am. --> <!-- 關鍵點在於 filePattern後的日期格式,以及TimeBasedTriggeringPolicy的interval, 日期格式精確到哪一位,interval也精確到哪個單位 --> <!-- log4j2的按天分日誌文件 : info-%d{yyyy-MM-dd}-%i.log --> <TimeBasedTriggeringPolicy interval="1" modulate="true"/> <!-- SizeBasedTriggeringPolicy:Policies子節點, 基於指定文件大小的滾動策略,size屬性用來定義每一個日誌文件的大小. --> <!-- <SizeBasedTriggeringPolicy size="2 kB" /> --> </Policies> </RollingFile> <RollingFile name="RollingFileWarn" fileName="${WARN_LOG_FILE_NAME}/warn.log" filePattern="${WARN_LOG_FILE_NAME}/$${date:yyyy-MM}/warn-%d{yyyy-MM-dd}-%i.log"> <ThresholdFilter level="warn" onMatch="ACCEPT" onMismatch="DENY"/> <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/> <Policies> <TimeBasedTriggeringPolicy/> <SizeBasedTriggeringPolicy size="2 kB"/> </Policies> <!-- DefaultRolloverStrategy屬性如不設置,則默認爲最多同一文件夾下7個文件,這裏設置了20 --> <DefaultRolloverStrategy max="20"/> </RollingFile> <RollingFile name="RollingFileError" fileName="${ERROR_LOG_FILE_NAME}/error.log" filePattern="${ERROR_LOG_FILE_NAME}/$${date:yyyy-MM}/error-%d{yyyy-MM-dd-HH-mm}-%i.log"> <ThresholdFilter level="error" onMatch="ACCEPT" onMismatch="DENY"/> <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/> <Policies> <!-- log4j2的按分鐘 分日誌文件 : warn-%d{yyyy-MM-dd-HH-mm}-%i.log --> <TimeBasedTriggeringPolicy interval="1" modulate="true"/> <!-- <SizeBasedTriggeringPolicy size="10 MB" /> --> </Policies> </RollingFile> </Appenders> <!--而後定義logger,只有定義了logger並引入的appender,appender纔會生效 --> <Loggers> <!-- 第三方日誌系統 --> <!--過濾掉spring和mybatis的一些無用的DEBUG信息 --> <logger name="org.springframework" level="ERROR"></logger> <logger name="org.mybatis" level="ERROR"></logger> <logger name="org.apache.ibatis" level="ERROR"></logger> <logger name="net.sf" level="ERROR"/> <logger name="org.jboss" level="ERROR"/> <logger name="org.apache.shiro" level="ERROR"/> <!-- 配置日誌的根節點 --> <root level="all"> <appender-ref ref="Console"/> <!--<appender-ref ref="RollingFileInfo" />--> <!--<appender-ref ref="RollingFileWarn" />--> <!--<appender-ref ref="RollingFileError" />--> </root> </Loggers> </Configuration>
Pom.xml
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.zhuling</groupId> <artifactId>shiro01</artifactId> <version>1.0-SNAPSHOT</version> <packaging>war</packaging> <name>shiro01 Maven Webapp</name> <!-- FIXME change it to the project's website --> <url>http://www.example.com</url> <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <maven.compiler.source>1.7</maven.compiler.source> <maven.compiler.target>1.7</maven.compiler.target> <maven.compiler.plugin.version>3.7.0</maven.compiler.plugin.version> <!-- 添加相關依賴 --> <junit.version>4.12</junit.version> <servlet.version>4.0.0</servlet.version> <log4j2.version>2.9.1</log4j2.version> <slf4j.version>1.7.7</slf4j.version> <log4j2.disruptor.version>3.2.0</log4j2.disruptor.version> <shiro.version>1.2.5</shiro.version> </properties> <dependencies> <!-- shiro核心包 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</version> </dependency> <!-- 添加shiro web支持 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>${shiro.version}</version> </dependency> <!--**********junit**********--> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>${junit.version}</version> <scope>test</scope> </dependency> <!--**********servlet**********--> <dependency> <groupId>javax.servlet</groupId> <artifactId>javax.servlet-api</artifactId> <version>${servlet.version}</version> <scope>provided</scope> </dependency> <!-- ********************** 日誌配置 ********************** --> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>${slf4j.version}</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>jcl-over-slf4j</artifactId> <version>${slf4j.version}</version> <scope>runtime</scope> <exclusions> <exclusion> <artifactId>slf4j-api</artifactId> <groupId>org.slf4j</groupId> </exclusion> </exclusions> </dependency> <!--2) 用於與slf4j保持橋接--> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-slf4j-impl</artifactId> <version>${log4j2.version}</version> <exclusions> <exclusion> <artifactId>slf4j-api</artifactId> <groupId>org.slf4j</groupId> </exclusion> </exclusions> </dependency> <!--3) 核心log4j2jar包--> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>${log4j2.version}</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>${log4j2.version}</version> </dependency> <!--4) web工程須要包含log4j-web,非web工程不須要--> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-web</artifactId> <version>${log4j2.version}</version> <scope>runtime</scope> </dependency> <!--5) 須要使用log4j2的AsyncLogger須要包含disruptor--> <dependency> <groupId>com.lmax</groupId> <artifactId>disruptor</artifactId> <version>${log4j2.disruptor.version}</version> </dependency> </dependencies> <build> <finalName>shiro01</finalName> <resources> <!--解決mybatis-generator-maven-plugin運行時沒有將XxxMapper.xml文件放入target文件夾的問題--> <resource> <directory>src/main/java</directory> <includes> <include>**/*.xml</include> </includes> </resource> <!--解決mybatis-generator-maven-plugin運行時沒有將jdbc.properites文件放入target文件夾的問題--> <resource> <directory>src/main/resources</directory> <includes> <include>*.properties</include> <include>*.xml</include> <include>*.ini</include> </includes> </resource> </resources> <pluginManagement><!-- lock down plugins versions to avoid using Maven defaults (may be moved to parent pom) --> <plugins> <!-- 編碼和編譯和JDK版本 --> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId> <version>${maven.compiler.plugin.version}</version> <configuration> <source>${maven.compiler.source}</source> <target>${maven.compiler.target}</target> <encoding>${project.build.sourceEncoding}</encoding> </configuration> </plugin> <plugin> <artifactId>maven-clean-plugin</artifactId> <version>3.1.0</version> </plugin> <!-- see http://maven.apache.org/ref/current/maven-core/default-bindings.html#Plugin_bindings_for_war_packaging --> <plugin> <artifactId>maven-resources-plugin</artifactId> <version>3.0.2</version> </plugin> <plugin> <artifactId>maven-compiler-plugin</artifactId> <version>3.8.0</version> </plugin> <plugin> <artifactId>maven-surefire-plugin</artifactId> <version>2.22.1</version> </plugin> <plugin> <artifactId>maven-war-plugin</artifactId> <version>3.2.2</version> </plugin> <plugin> <artifactId>maven-install-plugin</artifactId> <version>2.5.2</version> </plugin> <plugin> <artifactId>maven-deploy-plugin</artifactId> <version>2.8.2</version> </plugin> </plugins> </pluginManagement> </build> </project>
shiro.ini
[users] zs=123 ls=456 ww=789
Shiro的認證初體驗
一、 讀取ini數據源文件,獲得securitymanager工廠
二、 獲取securitymanager實例
三、 將securitymanager交給securityutil進行管理
四、 經過securityutil獲取登入用戶主體subject
五、 建立登入令牌token
六、 利用主體subject進行登入
七、 退出也使用subject
ShiroTest.java
package com.zhuling; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.subject.Subject; /** * @author zhuling * @site www.xiaomage.com * @company xxx公司 * @create 2019-11-01 16:52 */ public class ShiroTest { public static void main(String[] args) { /* 一、讀取數據源 二、獲取安全管理器 三、安全管理器交給securityutil進行管理 四、從securityutil中獲取subject登陸主體 五、獲取jsp傳遞過來的用戶名密而後造成一個token令牌 六、登陸操做 */ IniSecurityManagerFactory factory=new IniSecurityManagerFactory("classpath:shiro.ini"); SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token=new UsernamePasswordToken("zs","123"); try { subject.login(token); System.out.println("登陸成功,進行下一步處理!!"); }catch (Exception e){ System.out.println("登陸失敗,異常處理!!"); } subject.logout(); } }
Shiro與web容器的集成
預先準備好的jsp
集成測試步驟:
一、 準本一個shiro-web.ini文件
二、 經過web.xml將shiro與web容器進行集成
三、 編寫servlet
四、 測試
shiro-web.ini
[main] #定義身份認證失敗後的請求url映射,loginUrl是身份認證過濾器中的一個屬性 authc.loginUrl=/login #定義角色認證失敗後的請求url映射,unauthorizedUrl是角色認證過濾器中的一個屬性 roles.unauthorizedUrl=/unauthorized.jsp #定義權限認證失敗後請求url映射,unauthorizedUrl是角色認證過濾器中的一個屬性 perms.unauthorizedUrl=/unauthorized.jsp [users] zs=123,role1 ls=123,role2 ww=123,role3 zdm=123,admin [roles] role1=user:create role2=user:create,user:update role3=user:create,user:update,user:delete,user:view,user:load admin=user:* #定義請求的地址須要作什麼驗證 [urls] #請求login的時候不須要權限,遊客身份便可(anon) /login.do=anon #請求/user/updatePwd.jsp的時候,須要身份認證(authc) /user/updatePwd.jsp=authc #請求/admin的時候,須要角色認證,必須是擁有admin角色的用戶才行 /admin/*.jsp=roles[admin] #請求/teacher的時候,須要權限認證,必須是擁有user:create權限的角色的用戶才行 /user/teacher.jsp=perms["user:update"]
Web.xml
<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" version="3.1"> <display-name>Archetype Created Web Application</display-name> <context-param> <param-name>shiroConfigLocations</param-name> <param-value>classpath:shiro-web.ini</param-value> </context-param> <listener> <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class> </listener> <filter> <filter-name>ShiroFilter</filter-name> <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class> </filter> <filter-mapping> <filter-name>ShiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> </web-app>
LoginServlet.java
package com.zhuling; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.subject.Subject; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; /** * @author zhuling * @site www.xiaomage.com * @company xxx公司 * @create 2019-11-01 17:07 */ @WebServlet("/login") public class LoginServlet extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { doPost(req,resp); } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { String username=req.getParameter("username"); String password = req.getParameter("password"); UsernamePasswordToken token=new UsernamePasswordToken(username,password); Subject subject = SecurityUtils.getSubject(); try { subject.login(token); req.getRequestDispatcher("main.jsp").forward(req, resp); req.getSession().setAttribute("username",username); }catch (Exception e){ req.setAttribute("message","您的用戶名密碼輸入有誤!!!"); req.getRequestDispatcher("login.jsp").forward(req,resp); } } }
LogoutServlet.java
package com.zhuling; import org.apache.shiro.SecurityUtils; import org.apache.shiro.subject.Subject; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; /** * @author zhuling * @site www.xiaomage.com * @company xxx公司 * @create 2019-11-01 21:31 */ @WebServlet("/logout") public class LogoutServlet extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { doPost(req,resp); } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { Subject subject = SecurityUtils.getSubject(); subject.logout(); resp.sendRedirect("login.jsp"); } }
導入前面準備好的jsp頁面進行測試
測試一下幾點
一、身份認證成功與失敗的結果
二、角色認證成功與失敗的結果
三、權限認證成功與失敗的結果
相關文章
- 1. Shiro入門--Hello Shiro
- 2. Shiro入門(六)Shiro受權
- 3. Shiro入門
- 4. shiro入門
- 5. Shiro 入門
- 6. shiro 入門
- 7. Shiro——入門Demo
- 8. shiro入門示例
- 9. shiro簡單入門
- 10. shiro 基礎入門
- 更多相關文章...
- • Memcached入門教程 - NoSQL教程
- • Neo4j數據庫入門教程 - NoSQL教程
- • YAML 入門教程
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 外部其他進程嵌入到qt FindWindow獲得窗口句柄 報錯無法鏈接的外部符號 [email protected] 無法被([email protected]@[email protected]@@引用
- 2. UVa 11524 - InCircle
- 3. The Monocycle(bfs)
- 4. VEC-C滑窗
- 5. 堆排序的應用-TOPK問題
- 6. 實例演示ElasticSearch索引查詢term,match,match_phase,query_string之間的區別
- 7. 數學基礎知識 集合
- 8. amazeUI 復擇框問題解決
- 9. 揹包問題理解
- 10. 算數平均-幾何平均不等式的證明,從麥克勞林到柯西
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. Shiro入門--Hello Shiro
- 2. Shiro入門(六)Shiro受權
- 3. Shiro入門
- 4. shiro入門
- 5. Shiro 入門
- 6. shiro 入門
- 7. Shiro——入門Demo
- 8. shiro入門示例
- 9. shiro簡單入門
- 10. shiro 基礎入門