apache shiro框架簡(jiǎn)介

　　Apache Shiro是一個(gè)強(qiáng)大而靈活的開源安全框架，它能夠干凈利落地處理身份認(rèn)證，授權(quán)，企業(yè)會(huì)話管理和加密。現(xiàn)在，使用Apache Shiro的人越來(lái)越多，因?yàn)樗喈?dāng)簡(jiǎn)單，相比比Spring Security，Shiro可能沒有Spring Security那么多強(qiáng)大的功能，但是在實(shí)際工作時(shí)可能并不需要那么復(fù)雜的東西，所以使用簡(jiǎn)單的Shiro就足夠了。

　　以下是你可以用 Apache Shiro所做的事情：

　　Shiro的4大核心部分——身份驗(yàn)證，授權(quán)，會(huì)話管理和加密

 　　　　Authentication：身份驗(yàn)證，簡(jiǎn)稱“登錄”。

 　　　　Authorization：授權(quán)，給用戶分配角色或者權(quán)限資源

 　　　　Session Management：用戶session管理器，可以讓CS程序也使用session來(lái)控制權(quán)限

 　　　　Cryptography：把JDK中復(fù)雜的密碼加密方式進(jìn)行封裝。

　　除了以上功能，shiro還提供很多擴(kuò)展   

　　Web Support：主要針對(duì)web應(yīng)用提供一些常用功能。

　　Caching：緩存可以使應(yīng)用程序運(yùn)行更有效率。

　　Concurrency：多線程相關(guān)功能。

　　Testing：幫助我們進(jìn)行測(cè)試相關(guān)功能

　　Run As：一個(gè)允許用戶假設(shè)為另一個(gè)用戶身份（如果允許）的功能，有時(shí)候在管理腳本很有用。

　　Remember Me：記住用戶身份，提供類似購(gòu)物車功能。

　　shiro框架認(rèn)證流程

　　Application Code：應(yīng)用程序代碼，由開發(fā)人員負(fù)責(zé)開發(fā)的

　　Subject：框架提供的接口，是與程序進(jìn)行交互的對(duì)象，可以是人也可以是服務(wù)或者其他，通常就理解為用戶。所有Subject 實(shí)例都必須綁定到一個(gè)SecurityManager上。我們與一個(gè) Subject 交互，運(yùn)行時(shí)shiro會(huì)自動(dòng)轉(zhuǎn)化為與 SecurityManager交互的特定 subject的交互。

　　SecurityManager：框架提供的接口，是 Shiro的核心，代表安全管理器對(duì)象。初始化時(shí)協(xié)調(diào)各個(gè)模塊運(yùn)行。然而，一旦 SecurityManager協(xié)調(diào)完畢，SecurityManager 會(huì)被單獨(dú)留下，且我們只需要去操作Subject即可，無(wú)需操作SecurityManager 。 但是我們得知道，當(dāng)我們正與一個(gè) Subject 進(jìn)行交互時(shí)，實(shí)質(zhì)上是 SecurityManager在處理 Subject 安全操作。

　　Realm：可以開發(fā)人員編寫，框架也提供一些。Realms在 Shiro中作為應(yīng)用程序和安全數(shù)據(jù)之間的“橋梁”或“連接器”。他獲取安全數(shù)據(jù)來(lái)判斷subject是否能夠登錄，subject擁有什么權(quán)限。他有點(diǎn)類似DAO。在配置realms時(shí)，需要至少一個(gè)realm。而且Shiro提供了一些常用的 Realms來(lái)連接數(shù)據(jù)源，如LDAP數(shù)據(jù)源的JndiLdapRealm，JDBC數(shù)據(jù)源的JdbcRealm，ini文件數(shù)據(jù)源的IniRealm，properties文件數(shù)據(jù)源的PropertiesRealm，等等。我們也可以插入自己的 Realm實(shí)現(xiàn)來(lái)代表自定義的數(shù)據(jù)源。 像其他組件一樣，Realms也是由SecurityManager控制。

　　更詳細(xì)的圖

　　下面就開始shiro與SSM工程的整合使用

　　下載地址：http://shiro.apache.org/download.html

　　下載下來(lái)這兩個(gè)個(gè)文件，一個(gè)jar包，一個(gè)源碼文件

　　首先，第一步，將jar包導(dǎo)入到工程中

　　然后，第二步，在web.xml中配置spring框架提供的用于整合shiro框架的過(guò)濾器（一定要放到springmvc或struts框架過(guò)濾器的前面，為了保險(xiǎn)起見，放到最上面就好了）

<!--配置過(guò)濾器，用于整合Shiro-->
<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

　　第三步，在spring配置文件中配置bean，id為shiroFilter

<!-- 配置shiro框架的過(guò)濾器工廠bean -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/index.jsp"/>
  <property name="successUrl" value=""/>
  <property name="unauthorizedUrl" value="/noPrivilegeUI.jsp"/>
  <!-- 指定URL級(jí)別攔截策略 -->
  <property name="filterChainDefinitions">
    <value>
      /script/** = anon
    　　/style/** = anon
    　　/index.jsp* = anon
    　　/noPrivilegeUI.jsp* = anon
    　　/user/login = anon
　　　　　　 /role/findAllRoleList = perms["角色管理"]
    　　/** = authc
    </value>
  </property>
</bean>  

　　securityManager：這個(gè)屬性是必須的。

　　loginUrl ：沒有登錄的用戶請(qǐng)求需要登錄的頁(yè)面時(shí)自動(dòng)跳轉(zhuǎn)到登錄頁(yè)面，不是必須的屬性，不輸入地址的話會(huì)自動(dòng)尋找項(xiàng)目web項(xiàng)目的根目錄下的”/login.jsp”頁(yè)面。

　　successUrl ：登錄成功默認(rèn)跳轉(zhuǎn)頁(yè)面，可以不配置，不配置則跳轉(zhuǎn)至”/”。如果登陸前點(diǎn)擊的一個(gè)需要登錄的頁(yè)面，則在登錄自動(dòng)跳轉(zhuǎn)到那個(gè)需要登錄的頁(yè)面。不跳轉(zhuǎn)到此。

　　unauthorizedUrl ：沒有權(quán)限默認(rèn)跳轉(zhuǎn)的頁(yè)面。

　　anon: 例子/admins/** = anon 沒有參數(shù)，表示可以匿名使用（需要認(rèn)證(登錄)）。

　　authc : 例如/admins/user/** = authc 表示需要認(rèn)證(登錄)才能使用，沒有參數(shù)

　　roles：例子/admins/user/** = roles[admin], 參數(shù)可以寫多個(gè)，多個(gè)時(shí)必須加上引號(hào)，并且參數(shù)之間用逗號(hào)分割，當(dāng)有多個(gè)參數(shù)時(shí)，例如admins/user/** = roles["admin,guest"], 每個(gè)參數(shù)通過(guò)才算通過(guò)，相當(dāng)于hasAllRoles()方法。

　　perms：例子/admins/user/** = perms[user:add:*], 參數(shù)可以寫多個(gè)，多個(gè)時(shí)必須加上引號(hào)，并且參數(shù)之間用逗號(hào)分割，例如/admins/user/** = perms["user:add:*,user:modify:*"]，當(dāng)有多個(gè)參數(shù)時(shí)必須每個(gè)參數(shù)都通過(guò)才通過(guò)，想當(dāng)于　　isPermitedAll()方法。

　　Rest：例子/admins/user/** = rest[user]；根據(jù)請(qǐng)求的方法，相當(dāng)于/admins/user/** = perms[user:method] ；其中method為post，get，delete等。

　　port：例子/admins/user/** = port[8081]； 當(dāng)請(qǐng)求的url的端口不是8081是跳轉(zhuǎn)到schemal://serverName:8081?queryString,其中schmal是協(xié)議http或https等，serverName是你訪問的host,8081是url配置里port的端口，queryString

是你訪問的url里的？后面的參數(shù)。

　　authcBasic：例如/admins/user/** = authcBasic； 沒有參數(shù)表示httpBasic認(rèn)證

　　ssl:例子/admins/user/** = ssl；沒有參數(shù)，表示安全的url請(qǐng)求，協(xié)議為https

　　user:例如/admins/user/** = user； 沒有參數(shù)表示必須存在用戶，當(dāng)?shù)侨氩僮鲿r(shí)不做檢查

　　注：anon，authcBasic，auchc，user是認(rèn)證過(guò)濾器，

　　　　perms，roles，ssl，rest，port是授權(quán)過(guò)濾器

　　第四步：配置安全管理器

<!-- 配置安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"/>

　　第五步：寫一個(gè)login方法，使用shiro提供的方式進(jìn)行認(rèn)證操作

　　這是我之前的login方法，以這種方法，shiro是不知道登錄驗(yàn)證通過(guò)了的，一直不通過(guò)，所以我們要以shiro提供的認(rèn)證操作方式進(jìn)行登錄操作

/**
 * 登錄
 */
@RequestMapping("/login")
public String login(User user, HttpServletRequest request, Model model){
　　HttpSession session = request.getSession();
　　User newUser = userService.login(user);
　　if(newUser != null){
　　　　session.setAttribute("loginUser",newUser);
　　　　return "home/home";
　　}
　　model.addAttribute("errorMessage","用戶名或者密碼不正確！");
　　return "forward:/index.jsp";
}

 　　修改后的login方法

/**
 * 使用Shiro框架提供的方式進(jìn)行認(rèn)證登錄
 */
@RequestMapping("/login")
public String login(User user, HttpServletRequest request, Model model){
　　HttpSession session = request.getSession();
  //使用Shiro框架提供的方式進(jìn)行認(rèn)證
  Subject subject = SecurityUtils.getSubject(); //獲得當(dāng)前登錄用戶對(duì)象，現(xiàn)在狀態(tài)為 “未認(rèn)證”
  //用戶名密碼令牌
  AuthenticationToken token = new UsernamePasswordToken(user.getLoginName(), MD5Utils.md5(user.getPassword()));
  try{
  　　subject.login(token); //執(zhí)行你自定義的Realm
  　　User user1 = (User) subject.getPrincipal();
  　　session.setAttribute("loginUser",user1);
  　　return "home/home";
  }catch(UnknownAccountException e){
  　　e.printStackTrace();
  　　model.addAttribute("errorMessage","此用戶名不存在！");
  }catch(IncorrectCredentialsException e){
  　　e.printStackTrace();
  　　model.addAttribute("errorMessage","密碼不正確！");
  }catch(Exception e){
  　　e.printStackTrace();
  }
  return "forward:/index.jsp";
}

　　第六步：自定義realm，并注入給安全管理器　

　　創(chuàng)建一個(gè)UserRealm類，繼承AuthorizingRealm這個(gè)類　

public class UserRealm extends AuthorizingRealm{
  @Autowired
  private UserDao userDao;
　　 //認(rèn)證方法
  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    System.out.println("realm中的認(rèn)證方法執(zhí)行了。。。。");
    UsernamePasswordToken myToken = (UsernamePasswordToken) token;
    String loginName = myToken.getUsername();
    //根據(jù)用戶名查詢數(shù)據(jù)庫(kù)中的用戶,這個(gè)方法是自己寫的
    User user = userDao.findUserByLoginName(loginName);
    if(user == null){
      //用戶名不存在
      return null;
    }
    //如果能查詢到，再由框架比對(duì)數(shù)據(jù)庫(kù)中查詢到的密碼和頁(yè)面提交的密碼是否一致
    AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
    return info;
  }
　　 //授權(quán)方法
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    return null;
  }
}

　　將自定義realm注入給安全管理器

<!-- 配置安全管理器 -->
  <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!-- 注入realm -->
    <property name="realm" ref="userRealm"/>
  </bean>
  <!-- 注冊(cè)自定義realm -->
  <bean id="userRealm" class="com.demo.privilege.service.realm.UserRealm"/>

　　到這里程序就可以正常運(yùn)行了,登錄后進(jìn)入首頁(yè)

　　但是點(diǎn)擊角色管理，會(huì)進(jìn)入沒有權(quán)限的頁(yè)面

　　這是因?yàn)槲以趕pring配置文件中配置了   /role/findAllRoleList = perms["角色管理"]，而我還沒有給當(dāng)前用戶授權(quán)，所以當(dāng)前用戶沒有權(quán)限訪問此路徑

　　所以要給該用戶授權(quán)，在UserRealm類中，編寫授權(quán)方法

//授權(quán)方法
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    User user = (User) principals.getPrimaryPrincipal();
    for (Role role : user.getRoles()){
      for (Privilege privilege : role.getPrivileges()){
        info.addStringPermission(privilege.getName());
      }
    }
    return info;
  }

　　這樣，就可以正常訪問了，這個(gè)授權(quán)方法是在訪問/role/findAllRoleList這個(gè)路徑時(shí)，shiro框架自動(dòng)調(diào)用的

　　我們之前進(jìn)行權(quán)限控制是在spring配置文件中配置了   /role/findAllRoleList = perms["角色管理"] ，現(xiàn)在介紹另一種方式，也是我比較喜歡的方式， 使用注解方式進(jìn)行權(quán)限控制

　  使用shiro的方法注解方式權(quán)限控制

　　第一步：在springmvc配置文件中開啟shiro注解支持（注意：springmvc框架，放到springmvc配置文件中，struts放到spring配置文件中） 

<!-- 保證實(shí)現(xiàn)了Shiro內(nèi)部lifecycle函數(shù)的bean執(zhí)行 --> 
  <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
  <!-- 開啟shiro框架注解支持 -->
  <!-- 自動(dòng)代理 -->
  <bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
    <!-- value必須設(shè)置為true使用cglib方式為對(duì)象創(chuàng)建代理對(duì)象，
      默認(rèn)為false，設(shè)為false，就是使用JDK方式為對(duì)象創(chuàng)建代理對(duì)象，程序會(huì)出錯(cuò) --> 
    <property name="proxyTargetClass" value="true"/>
  </bean>
  <!-- 配置shiro框架提供的切面類，用于創(chuàng)建代理對(duì)象 -->
  <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

　　第二步：在Controller的方法上使用shiro注解------ @RequiresPermissions("") 執(zhí)行這個(gè)方法必須有相應(yīng)的權(quán)限  

 /**
   * 查詢崗位列表
   */
  @RequiresPermissions("角色列表") //執(zhí)行這個(gè)方法必須有角色列表這個(gè)權(quán)限
  @RequestMapping("/findAllRoleList")
  public String findAllRoleList(Model model){
    List<Role> roleList = roleService.findAllRoleList();
    model.addAttribute("roleList",roleList);
    return "role/list";
  }

　　@RequiresAuthentication

　　　　驗(yàn)證用戶是否登錄，等同于方法subject.isAuthenticated() 結(jié)果為true時(shí)。

　　@ RequiresUser

　　　　驗(yàn)證用戶是否被記憶，user有兩種含義：

　　　　一種是成功登錄的（subject.isAuthenticated() 結(jié)果為true）；

　　　　另外一種是被記憶的（ subject.isRemembered()結(jié)果為true）。

　　@ RequiresGuest

　　　　驗(yàn)證是否是一個(gè)guest的請(qǐng)求，與@ RequiresUser完全相反。

        　  換言之，RequiresUser  == ! RequiresGuest 。

　　　   此時(shí)subject.getPrincipal() 結(jié)果為null.

　　@ RequiresRoles

　　　　例如：

@RequiresRoles("aRoleName");
        　　  void someMethod();

　　　　如果subject中有aRoleName角色才可以訪問方法someMethod。如果沒有這個(gè)權(quán)限則會(huì)拋出異常AuthorizationException。

　　@RequiresPermissions

　　　　例如：

@RequiresPermissions( {"file:read", "write:aFile.txt"} )
         　　 void someMethod();

　　　　要求subject中必須同時(shí)含有file:read和write:aFile.txt的權(quán)限才能執(zhí)行方法someMethod()。否則拋出異常AuthorizationException。

 　　注解方式的權(quán)限控制就完成了，但這種方式?jīng)]有權(quán)限時(shí)不會(huì)自動(dòng)跳轉(zhuǎn)到?jīng)]有權(quán)限的頁(yè)面，而是直接把異常拋到頁(yè)面了，所以我們要配置一個(gè)全局的異常處理

　　第三步：在springmvc配置文件中，進(jìn)行如下配置，配置全局異常捕獲，當(dāng)shiro框架拋出權(quán)限不足異常時(shí)，跳轉(zhuǎn)到權(quán)限不足提示頁(yè)面

<!-- 全局異常處理 -->  
  <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver"> 
    <property name="exceptionMappings"> 
      <props> 
        <prop key="org.apache.shiro.authz.UnauthorizedException">redirect:/noPrivilegeUI.jsp</prop> 
      </props> 
    </property> 
  </bean> 

　　使用shiro提供的頁(yè)面標(biāo)簽方式權(quán)限控制

　　最后，說(shuō)一說(shuō)shiro提供的頁(yè)面標(biāo)簽　　

　　第一步：在jsp頁(yè)面中引入shiro的標(biāo)簽庫(kù)

<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>

　　第二步：使用shiro的標(biāo)簽控制頁(yè)面元素展示

　　這樣，一個(gè)shiro入門程序就完成了。

總結(jié)

以上所述是小編給大家介紹的Apache shiro的簡(jiǎn)單介紹與使用教程(與spring整合使用），希望對(duì)大家有所幫助，如果大家有任何疑問請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！