shiro中文官方文档
做项目要用到shiro,花了几天做了些简单的理解,有错误欢迎纠正。
简单的认识
shiro作为一个很简单的java安全框架,提供了认证、授权、加密、session管理等功能。没有使用其他安全框架,没有参照物对比的情况下,我依然觉得shiro使用真的好简单(我听说好像还有个什么spring security,但使用很复杂)。为了加深印象,写篇博客加深下印象。
使用
认证
所谓认证,不过是输入用户信息,密码然后登录的过程。从使用角度看,shiro提供了很简单的接口。
在controller获取账号密码后封装UsernamePasswordToken对象:
UsernamePasswordToken token = new UsernamePassword(username, password);
获取当前对象然后登录即可:
Subject user = SecurityUtils.getSubject();
user.login(token);
当然在登录之前也可以先判断是否已经登录,或者被记住:
if (!user.isAuthenticated() && !user.isRemembered()) {
token.setRememberMe(true);
user.login(token);
}
当然,作为一个安全框架,就要监视请求,所以要配置 拦截器 ,认证就需要获取数据库(或者在缓存中,后面讲)中的用户登录信息,获取信息的过程shiro是交给realm(翻译 “域”)做,所以我们还需要 实现realm。 实现了realm怎么告诉框架呢,在shiro中是realm是交给securityManager管理的,所以我们还需要 配置securityManager。
在Spring+SpringMVC环境下,这些操作发生在web.xml和application文件中,其他配置不多说,重点讲shiro配置:
拦截器:
在web.xml文件中配置拦截器拦截请求:
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
这里配置的是DelegatingFilterProxy,顾名思义啊,可以看出这是个代理类,那么代理的是哪个具体对象呢?
代理的对象我们配置在applicationContext.xml文件中:
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="login.html"/>
<property name="successUrl" value="home.html"/>
<property name="unauthorizedUrl" value="/error.html"/>
<property name="filterChainDefinitions">
<value>
/logout=anon
/user/root=roles[root]
/user/admin=roles[admin]
/user/**=anon
/login.html=anon
/home.html=authc
/**=authc
</value>
</property>
</bean>
这是我的配置,值得注意的是bean的id要和web.xml文件中一样,不然会报错
NoSuchBeanDefinitionException。或者也可以配置初始化参数配置指定要代理bean对象id:
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetBeanName</param-name>
<param-value>shiroFilter</param-value>
</init-param>
</filter>
注意还有一个属性为:
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
该属性默认为false,当为true时表示要代理filter的init方法。
然后配置realm
首先继承AuthenticatingRealm,当然如果还要实现授权功能可以直接继承AuthorizingRealm。前者是后者的父类,在父类doGetAuthenticationInfo认证方法的基础上还增加了一个doGetAuthorizationInfo授权抽象方法。
public class MyRealm extends AuthenticatingRealm{
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
throws AuthenticationException {
System.out.println("do authentic");
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
String username = token.getUsername();
String password = token.getPassword();
System.out.println("username : " + username + " password : " + password);
//下面的root和123456模拟为从数据库中取出的用户名和密码。
return new SimpleAuthenticationInfo("root", "123456", null, getName());
}
}
返回的是从数据库中获取的数据,封装成SimpleAuthenticationInfo返回,交给shiro框架比对,参数中null相当于盐值。这里先不提加密,所以设置为null。其他参数依次为principle,credentials,然后就是getName,即此realm的名字。
然后就是配置在IOC容器中即可:
<bean id="myRealm" class="realm.MyRealm">
</bean>
securityManager
SecurityManager是shiro的核心,shiro作为一个java安全框架,而此类的字面意思又为安全管理,可见其重要性。在shiro中,用此类实现门面模式管理其他组件,所以我们的realm需要配置在这里。
<bean class="org.apache.shiro.web.mgt.DefaultWebSecurityManager" id="securityManager">
<property name="realm" ref="myRealm"/>
</bean>
其他
然后再创建几个简单的html文件和controller即可。
@RequestMapping(value = "/user/toLogin")
public String login(@RequestParam String username, @RequestParam String password, HttpSession httpSession) {
System.out.println("do login");
Subject user = SecurityUtils.getSubject();
try {
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
if (!user.isAuthenticated() && !user.isRemembered()) {
token.setRememberMe(true);
user.login(token);
}
} catch (Exception e) {
System.out.println("登录发生错误!");
return "redirect:/login.html";
}
return "home";
}
配置好后我们试着打断点分析认证的工作流程
ctrl+f9启动后:
- 输入用户名密码点击登录首先停留在controller方法中的第一个断点,进入shiro框架的登录接口:
- 进入subject子类的DelegatingSubject的login方法,可以看到subject的登录方法还是要交给securityManager。
- 点击继续,停留在SecurityManager的子类DefaultSecurityManager类的login方法中,然后调用自身的认证方法。
在认证方法中调用自身属性private Authenticator authenticator = new ModularRealmAuthenticator();来验证。
-
下一步,可以看到不是直接到子类中去,而是调用抽象父类AbstractAuthenticator的authenticate方法:
在次方法中调用自身的抽象方法(即模板方法模式)。调用此方法后就可以跳转到子类ModularRealmAuthenticator对象中。
截不下那么长的...
这个方法的意思就是获取realm的集合,然后判断是单个还是多个realm,然后分别进入不用的处理方法,我们这里只配置了单个realm,所以进入doSingleRealmAuthentication方法,否则进入doMultiRealmAuthentication方法。
进入该方法!
就到了使用realm的时候了。
-
下一步,进入到Realm接口的实现类也是我们实现的MyRealm的父类AuthenticatingRealm的getAuthenticationInfo方法:
在此方法中主要有两步:1. 首先从缓存中获取数据,这里没有配置缓存,所以先试着手动走一走这个流程:
在此方法中获取缓存然后返回。回到上一张图的方法中判断是否为空,为空则进入realm获取数据。
-
点击下一步,可以看到来到了熟悉的代码界面了
返回数据后返回。
-
返回的数据回到AuthenticatingRealm类中,通过assertCreddentialsMatch方法比对。
-
看看比对密码的方法:
主要内容就是先获取CredentialsMatcher对象,这个作为AuthenticatingRealm的一个属性,在加密时是要在applicationContext.xml文件中配置好的(因为我这里是配置了这个的,所以就会跳转到这一步,请忽略这些细节~),如果没有配置后面再讲。
然后就是比对了。
一层层返回。 -
返回到DefaultSecurityManager类中,登录成功,调用自身onSuccessfulLogin方法,
rememberMeSuccessfulLogin方法:
调用
判断是否配置了记住密码。然后调用AbstractRememberMeManager类的rememberSerializedIdentity方法(抽象方法,子类中实现),到子类CookieRememberMeManager实现的方法,
操作很明了。
-
最后跳转到home.html界面。我们查看浏览器端的cookie,在chrome中可以看到名为rememberMe的cookie:
-
后面登录时就可以直接发送此cookie直接登录了。
网友评论