Shrio 安全框架

目录

前言

1.介绍

[2.整合 Shiro 到 Spring Boot](#2.整合 Shiro 到 Spring Boot)

[3.Shiro 相关配置](#3.Shiro 相关配置)

总结


前言

几乎所有涉及用户的系统都需要进行权限管理,权限管理涉及到一个系统的安全。Spring Boot 的安全框架整合方案中还有一个璀璨的明珠:Shrio。


1.介绍

Shiro是一款由Java 编写的安全框架,功能强大,入手容易。Shiro 提供了一套完的RABC模式的授权认证体系,可以对密码进行加密,并完成安全的会话管理。与SpringSecurity 相比显得功能较少,但是对于追求"小而美"的解决方案的开发者和项目来说Shiro使用起来更加得心应手。

  1. 用于身份验证以及登录,检查用户是否拥有相应的角色权限。
  2. 进行权限验证,验证某个已登录认证的用户是否拥有某个具体的角色权限; 常的如:检验某个用户是否有对某些资源包括页面的访问和操作权限等。
  3. 进行会话管理,每当用户登录就是一次会话,在没有退出账号登录之前,用户的所有信息都在会话中存储。
  4. 对数据加密,保护数据的安全性,如密码加密存储到数据库,不是明文存储,更加安全。
  5. 对Web 支持,非常方便地集成到 Web 环境中
  6. 支持多线程并发验证。

这里介绍 Shiro 的一些核心的概念,Shiro 主要由三部分组成:

  1. Subject: 主体,外部应用会和 Subject 进行交互。Subject 会记录当前的用户,用在这里就是 Subject (主体),比如通过浏览器进行请求的用户。而 Subject 要通过 SecurityManager 进行认证授权。在代码层面,Subject 是一个定义了一些授权方法的接口 。
  2. Security Manager: 即安全管理器,它是 Shiro 的核心,将对所有的 Subject 进行安全管理。从代码层面上来说,Security Manager 是一个多继承接口,继承了Authenticator、Authorizer、SessionManager 这三个接口。
  3. Realm:是 Shiro 和安全应用之间的连接器,类似于一个安全相关的 DAO,在进行认证和授权时,Shiro 会从 Realm 中获取想要的数据

2.整合 Shiro 到 Spring Boot

新建一个 SpringBoot 项目 ,在 pom.xml 中添加如下配置:

XML 复制代码
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.7.0</version>
        </dependency>

3.Shiro 相关配置

在 applcation.yml 中编写相关配置。

Crystal 复制代码
shiro:
  # 开启 Shrio 配置,默认为 true
  enabled: true
  web:
    #开启 Shrio Web 配置,默认为 true
    enabled: true
  #配置登录地址,默认为"login.jsp"
  loginUrl: /login
  #配置登录成功地址 默认为 /
  successUrl: /index
  # 配置未获取授权默认跳转地址
  unauthorizedUrl: /unauthorized
  sessionManager:
  # 是否允许通过 Cookie,实现会话跟踪,默认为 true。
    sessionIdCookieEnabled: true
  #是否允许通过 URL 参数实现会话跟踪,默认为 true,如果网站支持 Cookie,可以关闭此选项
# thymeleaf
spring:
  thymeleaf:
   prefix: classpath:templates/
   suffix: .html
   mode: HTML
   encoding: UTF-8
   cache: false # 对于开发,最好禁用缓存

编写 ShiroConfig 文件,具体代码如下:

java 复制代码
package org.example.config;

import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.realm.text.TextConfigurationRealm;
@Configuration
public class ShiroConfig {

    @Bean
    public Realm realm(){
        TextConfigurationRealm realm = new TextConfigurationRealm();
        realm.setUserDefinitions("freephp=123456,user\n admin=123456,admin");
        realm.setRoleDefinitions("user=read\n admin=read,write");
        return  realm;
    }
    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition(){
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
        chainDefinition.addPathDefinition("/logout","logout");
        chainDefinition.addPathDefinition("/login","anon");//匿名访问
        chainDefinition.addPathDefinition("/doLogin","anon");//匿名访问
        chainDefinition.addPathDefinition("/**","authc");
        return chainDefinition;
    }
}

上面的代码中有两个方法,一个是 realm 方法,另一个是 shiroFilterChainDefinition 方法。realm 方法用于获取权限认证数据,例如此处存储了两个账号:freephp 和 admin。

然后再编写 Controller 文件,只做简单的逻辑判断,代码如下:

java 复制代码
package org.example.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class UserController {
    @RequestMapping("/doLogin")
    public String doLogin(String username, String password, Model model){
        System.out.println("userName is"+username);
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
            return "index";
        }catch (AuthenticationException e){
            System.out.println(e.getCause());
            model.addAttribute("error","Username or Password is wrong!");
            return "login";
        }
    }
    @GetMapping("/admin")
    public String admin(){
        return "admin";
    }

    @GetMapping("/user")
    public String user(){
        return "user";
    }

}

上面的代码定义了三个接口,其中 doLogin 用于登录,使用 UsernamePasswordToken 类创建 token。然后根据账号和密码进行匹配判断,如果验证失败则返回 /dologin 页面并显示错误提示,如果验证成功则可以访问 index 页面。

登录页面和首页页面都需要单独编写,在 resources 目录下创建 templates 文件夹,然后分别创建 index.html 和 login.html。

html 复制代码
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
hi,test
</body>
</html>
html 复制代码
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Login</title>
</head>
<body>
<form action="/doLogin" method="post">
    <label>username:</label>
    <input type="text" name="username"><br/>
    <label>password:</label>
    <input type="text" name="password"><br/>
    <div th:text>${error}</div>
    <input type="submit" value="登录"/>
 </form>
</body>
</html>

为了更好的加载上面的页面,编写一个 WebMvcConfig 来加载:

java 复制代码
package org.example.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("index").setViewName("index");
        registry.addViewController("login").setViewName("login");
    }
}

访问之后,输入正确的账号和密码,则可以看到登录成功的页面,反之则提示登录失败。


总结

Shiro 的使用非常方便,只需实现最核心的 realm 定义和 shiroFilterChainDefinition 功能就可以很好地完成认证授权功能。除此之外,Shiro 还提供缓存功能,感兴趣的同学可以自行查阅官方文档进行学习。

相关推荐
raysync8883 分钟前
如何保障医院内部的隔离网安全跨网文件交换?
网络·安全
落落落sss15 分钟前
MQ集群
java·服务器·开发语言·后端·elasticsearch·adb·ruby
我救我自己15 分钟前
UE5运行时创建slate窗口
java·服务器·ue5
2401_8532757336 分钟前
ArrayList 源码分析
java·开发语言
爪哇学长40 分钟前
SQL 注入详解:原理、危害与防范措施
xml·java·数据库·sql·oracle
网络安全-杰克42 分钟前
助力网络安全发展,安全态势攻防赛事可视化
网络·安全·web安全
Source.Liu1 小时前
不安全 Rust
安全·rust
MoFe11 小时前
【.net core】【sqlsugar】字符串拼接+内容去重
java·开发语言·.netcore
_江南一点雨1 小时前
SpringBoot 3.3.5 试用CRaC,启动速度提升3到10倍
java·spring boot·后端
深情废杨杨1 小时前
后端-实现excel的导出功能(超详细讲解)
java·spring boot·excel