apache shiro是一个强大且易用的java安全框架,用于执行身份验证、授权、密码和会话管理。通过shiro的易于理解的api,您可以快速、轻松地为任何应用程序提供安全性,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro的官方网站提供了详细的框架图和架构说明。从外部来看,Shiro框架的核心是Subject,应用代码直接与Subject交互。Shiro的对外API主要围绕Subject设计。
内部结构图显示了Shiro的组件,包括SecurityManager、Authenticator、Authorizer和SessionManager等。这些组件协同工作,确保安全功能的实现。
在Shiro中,shiro.ini文件用于配置,main部分提供了对根对象SecurityManager及其依赖对象的配置。以下是配置示例:
# 创建对象 securityManager=org.apache.shiro.mgt.DefaultSecurityManager
其构造器必须是public空参构造器,通过反射创建相应的实例。配置格式如下:
对象名=全限定类名 # 相对于调用public无参构造器创建对象 对象名.属性名=值 # 相当于调用setter方法设置常量值 对象名.属性名=$对象引用 # 相当于调用setter方法设置对象引用
users部分用于配置用户/密码及其角色:
[users] zhang=123,role1,role2 wang=123
roles部分用于配置角色及权限之间的关系:
[roles] role1=user:create,user:update role2=*
如果只有角色没有对应的权限,可以不配置roles。
urls部分用于web,配置web url的拦截规则:
/index.html = anon /admin/** = authc, roles[admin],perms["permission1"]
官方教程的第一个案例展示了如何添加依赖和配置shiro.ini文件。首先,添加依赖:
org.apache.shiro shiro-core 1.1.0 org.slf4j slf4j-simple 1.6.1 test junit junit 4.12 test commons-logging commons-logging 1.2
然后,在src/main/resources下添加shiro.ini文件:
内容如下:
[users] root = 123456 # 账号为root 密码是 123456
认证操作的代码示例:
@Test
public void test() {
// 1.获取SecurityManager工厂对象
Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 2.通过Factory对象获取SecurityManager对象
SecurityManager securityManager = factory.getInstance();
// 3.将SecurityManager对象添加到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);
// 4.获取Subject对象
Subject subject = SecurityUtils.getSubject();
AuthenticationToken token = new UsernamePasswordToken("root", "123456");
// 登录操作
subject.login(token);
// 获取登录的状态
System.out.println(subject.isAuthenticated());
} 测试账号密码正确:
账号错误时抛出UnknownAccountException异常:
密码错误时抛出IncorrectCredentialsException异常:
因此,代码可以调整为:
@Test
public void test() {
// 1.获取SecurityManager工厂对象
Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 2.通过Factory对象获取SecurityManager对象
SecurityManager securityManager = factory.getInstance();
// 3.将SecurityManager对象添加到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);
// 4.获取Subject对象
Subject subject = SecurityUtils.getSubject();
AuthenticationToken token = new UsernamePasswordToken("root", "111");
// 登录操作
try {
subject.login(token);
} catch (UnknownAccountException e) {
System.out.println("账号出错...");
} catch (IncorrectCredentialsException e) {
System.out.println("密码出错...");
}
// 获取登录的状态
System.out.println(subject.isAuthenticated());
} 认证流程总结如下:
login方法:
DelegatingSubject中的login方法:
在此方法中,SecurityManager管理认证操作。继续进入DefaultSecurityManager的login方法:
此方法中调用Authenticator进行认证:
AbstractAuthenticator认证:
ModularRealmAuthenticator:
在该方法中获取ini文件中的信息,加载解析不是在此方法中进行。
AuthenticatingRealm:
流程描述:创建token令牌,token中有用户提交的认证信息,即账号和密码。执行subject.login(token),最终由SecurityManager通过Authenticator进行认证。Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件获取用户真实的账号和密码,这里使用的是IniRealm(Shiro自带)。IniRealm先根据token中的账号去ini中查找该账号,如果找不到则给ModularRealmAuthenticator返回null,如果找到则匹配密码,匹配密码成功则认证通过。
