一,Shiro整体介绍
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。
spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。
shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。
使用shiro实现系统 的权限管理,有效提高开发效率,从而降低开发成本。
shiro架构:
subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。
securityManager:安全管理器,主体进行认证和授权都是通过securityManager进行。
authenticator:认证器,主体进行认证最终通过authenticator进行的。
authorizer:授权器,主体进行授权最终通过authorizer进行的。
sessionManager:web应用中一般是用web容器对session进行管理,shiro也提供一套session管理的方式。
SessionDao: 通过SessionDao管理session数据,针对个性化的session数据存储需要使用sessionDao。
cache Manager:缓存管理器,主要对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和ehcache整合对缓存数据进行管理。
realm:域,领域,相当于数据源,通过realm存取认证、授权相关数据。
cryptography:密码管理,提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。
二,认证流程
测试工程:
如果构造maven 工程,可使用如下依赖:
<dependencies> <!-- http://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.5</version> </dependency> <!-- http://mvnrepository.com/artifact/org.slf4j/slf4j-log4j12 --> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-log4j12</artifactId> <version>1.7.21</version> </dependency> </dependencies>
shiro的ini配置:
#对用户信息进行配置 [users] #用户名跟密码 zhangsan=111111 lisi=111111
测试代码:
/** * 认证测试 * * @author LiuHuiChao * */ public class AuthenticationTest { // 用户登录和退出 @Test public void testLoginAndLogout() { // 读取配置文件,初始化SecurityManager工厂 Factory<SecurityManager> factory = new IniSecurityManagerFactory( "classpath:shiro-first.ini"); //创建SecurityManager SecurityManager securityManager=factory.getInstance(); //将SecurityManager设置到当前的运行环境中 SecurityUtils.setSecurityManager(securityManager); //从SecurityUtils构造创建一个subject Subject subject=SecurityUtils.getSubject(); //在提交认证前,需要准备token UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","111111"); //执行认证提交 try { subject.login(token); } catch (AuthenticationException e) { e.printStackTrace(); } boolean IsAuthenticated = subject.isAuthenticated();//是否认证通过 System.out.println(IsAuthenticated); //ture //执行退出操作 subject.logout(); //是否认证通过 System.out.println(subject.isAuthenticated()); //false } }
代码执行流程分析:
1、通过ini配置文件创建securityManager
2、调用subject.login方法主体提交认证,提交的token
3、securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证。
4、ModularRealmAuthenticator调用IniRealm(给realm传入token) 去ini配置文件中查询用户信息
最后去执行认证的还是realm。