Shiro(一)——初識Shiro
一、概念
Shiro 是 Java 的一個安全框架,Shiro 可以非常容易的開發出足夠好的應用,其不僅可以用在 JavaSE 環境,也可以用在 JavaEE 環境。Shiro 可以幫助我們完成:認證、授權、加密、會話管理、與 Web 整合、快取等。
基本功能如下圖所示:
Authentication:身份認證、登入,驗證使用者是不是擁有對應的身份
Authorization:授權,即許可權驗證,驗證某個已認證的使用者是否擁有某個許可權;即判斷使用者是否能做事情,常見的如:驗證某個使用者是否擁有某個角色。或者細粒度的驗證某個使用者對某個資源是否具有某個許可權;
Session Manager:會話管理,即使用者登入後就是一次會話,在沒有退出之前,它的所有資訊都在會話中;會話可以是普通 JavaSE 環境的,也可以是如 Web 環境的;
Cryptography:加密,保護資料的安全性,如密碼加密儲存到資料庫,而不是明文儲存;
Web Support:Web 支援,可以非常容易的整合到 Web 環境;
Caching:快取,比如使用者登入後,其使用者資訊、擁有的角色 / 許可權不必每次去查,這樣可以提高效率;
Concurrency:shiro 支援多執行緒應用的併發驗證,即如在一個執行緒中開啟另一個執行緒,能把許可權自動傳播過去;
Testing:提供測試支援;
Run As:允許一個使用者假裝為另一個使用者(如果他們允許)的身份進行訪問;
Remember Me:記住我,這個是非常常見的功能,即一次登入後,下次再來的話不用登入了。
二、Shiro認證
上面的概念太理論,後續我們通過案例進行演示,你會慢慢對Shiro有基本的認知。
2.1 JAR包
首先,你需要shiro-core、junit、slf4j三個包。
//MavenJAR包地址 <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.11</version> <scope>test</scope> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency>
2.2 測試程式碼,新建AuthenticationTest測試類
public class AuthenticationTest {
SimpleAccountRealm simpleAccountRealm =new SimpleAccountRealm();
@Before
public void addUser() {
simpleAccountRealm.addAccount("mark", "123456");
}
@Test
public void testAuthentication() {
//1、構建SecurityManager環境
//安全管理器。即所有與安全有關的操作都會與SecurityManager互動
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
defaultSecurityManager.setRealm(simpleAccountRealm);
//2、主體提交認證請求
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();//獲取主體
UsernamePasswordToken token = new UsernamePasswordToken("mark1", "123456");//提交認證
subject.login(token);
System.out.println("是否認證:"+subject.isAuthenticated());
}
}
2.3 認證過程
Subject:主體,代表當前“使用者”。
SecurityManager:安全管理器。
Realm: 域。Shiro 從從 Realm 獲取安全資料(如使用者、角色、許可權)。
2.4 說明
認證成功,顯示下圖所示:
如果輸入錯誤的密碼:
org.apache.shiro.authc.IncorrectCredentialsException 不正確的憑證異常
如果輸入錯誤的賬號:
org.apache.shiro.authc.UnknownAccountException