一.shiro簡介

1.簡介
Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼學和會話管理。使用Shiro的易於理解的API,您可以快速、輕鬆地獲得任何應用程式,從最小的移動應用程式到最大的網路和企業應用程式。
Shiro 主要分為兩個部分就是認證和授權，在個人感覺來看就是查詢資料庫做相應的判斷而已，Shiro只是一個框架而已，其中的內容需要自己的去構建，前後是自己的，中間是Shiro幫我們去搭建和配置好的。
2.涉及到的名詞
Subject即主體，外部應用與subject進行互動，subject記錄了當前操作使用者，將使用者的概念理解為當前操作的主體，可能是一個通過瀏覽器請求的使用者，也可能是一個執行的程式。 Subject在shiro中是一個介面，介面中定義了很多認證授相關的方法，外部程式通過subject進行認證授，而subject是通過SecurityManager安全管理器進行認證授權
SecurityManager

安全管理器，對全部的subject進行安全管理，它是shiro的核心，負責對所有的subject進行安全管理。
Authenticator即認證器，對使用者身份進行認證，Authenticator是一個介面，shiro提供ModularRealmAuthenticator實現類，通過ModularRealmAuthenticator基本上可以滿足大多數需求，也可以自定義認證器。
Authorizer即授權器，使用者通過認證器認證通過，在訪問功能時需要通過授權器判斷使用者是否有此功能的操作許可權。
realm即領域，相當於datasource資料來源，securityManager進行安全認證需要通過Realm獲取使用者許可權資料。

二.與spring boot整合

1.pom.xml新增依賴

<dependency>
       <groupId>org.apache.shiro</groupId>
       <artifactId>shiro-spring</artifactId>
       <version>1.3.2</version>
 </dependency>

2.編寫UserRealm類

//UserRealm.java
import com.yang.utils.ShiroUtils;
import com.
 
yang.domain.UserDO;
import com.yang.service.RoleService;
import com.yang.service.UserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import java.util.HashMap;
import java.util.Map;
import java.util.Set;

public class UserRealm extends AuthorizingRealm {
	@Autowired
	UserDao userMapper;
	@Autowired
	RoleService roleService;

	//編寫授權程式碼
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		String userId = ShiroUtils.getUserId();
		Set<String> perms = roleService.listPerms(userId);
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.setStringPermissions(perms);
		System.out.println("");
		return info;
	}

	//編寫認證程式碼
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		String username = (String) token.getPrincipal();
		Map<String, Object> map = new HashMap<>(16);
		map.put("username", username);
		String password = new String((char[]) token.getCredentials());
		// 查詢使用者資訊
		UserDO user = userService.list(map).get(0);

		// 賬號不存在
		if (user == null) {
			throw new UnknownAccountException("賬號或密碼不正確");
		}

		// 密碼錯誤
		if (!password.equals(user.getPassword())) {
			throw new IncorrectCredentialsException("賬號或密碼不正確");
		}

		// 賬號鎖定
		if (user.getStatus().equals("0")) {
			throw new LockedAccountException("賬號已被鎖定,請聯絡管理員");
		}
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password, getName());
		return info;
	}

}

3.編寫controller類

	//使用者登入
	@PostMapping("/login")
	@ResponseBody
	public String ajaxLogin(String username, String password) {
		password = MD5Utils.encrypt(username, password);
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		Subject subject = SecurityUtils.getSubject();
		try {
			subject.login(token);
			return "登入成功";
		} catch (AuthenticationException e) {
			return "使用者或密碼錯誤";
		}
	}
	//登出
	@GetMapping("/logout")
	String logout() {
		SecurityUtils.getSubject.logout();
		return "redirect:/login";
	}