shiro---Shiro认证授权案例讲解

Posted 2020-11-12 qdhxhz

Shiro认证、授权案例讲解

 

一、认证

 1、 认证流程

   

2、用户密码已经加密、加盐的用户认证

 （1）测试类

  // 用户登陆和退出，这里我自定了一个realm（开发肯定需要自定义realm获取数据库密码和权限）
    @Test
    public void testCustomRealmMd5() {

        // 创建securityManager工厂，通过ini配置文件创建securityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory(
                "classpath:shiro-realm-md5.ini");

        // 创建SecurityManager
        SecurityManager securityManager = factory.getInstance();

        // 将securityManager设置当前的运行环境中
        SecurityUtils.setSecurityManager(securityManager);

        // 从SecurityUtils里边创建一个subject
        Subject subject = SecurityUtils.getSubject();

        // 在认证提交前准备token（令牌）
        // 这里的账号和密码 将来是由用户输入进去
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "111111");

        try {
            // 执行认证提交
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }

        // 是否认证通过
        boolean isAuthenticated = subject.isAuthenticated();

        System.out.println("加密后是否认证通过：" + isAuthenticated);
        // 退出操作
        subject.logout();
        // 是否认证通过
          isAuthenticated = subject.isAuthenticated();
      System.out.println("退出后是否认证通过：" + isAuthenticated);
    }

（2）shiro-realm-md5.ini （有关散列加密下面会举例子）

    我在ini配置了加密的规则，这个规则要和用户注册保存的密码加密规则一致。

[main]
#定义凭证匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#散列算法
credentialsMatcher.hashAlgorithmName=md5
#散列次数
credentialsMatcher.hashIterations=1

#将凭证匹配器设置到realm
customRealm=com.jincou.shiro.realm.CustomRealmMd5
customRealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$customRealm

（3)自定义CustomRealmMd5类

/**
 *自定义Realm特点
 *（1）继承AuthorizingRealm类
 *（2）重写AuthenticationInfo（认证）
 *     doGetAuthorizationInfo（授权）两个方法
 * 注意：
 * 1：这里password = "f3694f162729b7d0254c6e40260bf15c"肯定也是通过明文（这里指zhangsan）+盐（这里是qwerty）进行加密后的字符串
 * 2：实际应用是将盐和散列后的值存在数据库中，自动realm从数据库取出盐和加密后的值由shiro完成密码校验。
 * 3：这里要注意它们两的加密规则一定要一致，否则无法比较。
 */
public class CustomRealmMd5 extends AuthorizingRealm {

    // 设置realm的名称（任意和其它也无关联）
    @Override
    public void setName(String name) {
        super.setName("customRealmMd5");
    }

    // 用于认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {
        
         System.out.println("测试..自定义CustomRealmMd5方法里面......");
         
        // token是用户输入的
        // 第一步从token中取出身份信息
        String userCode = (String) token.getPrincipal();

        // 第二步：根据用户输入的userCode从数据库查询
        // ....

        //如果数据库查询不到zhangsan用户信息，则返回null
            /*if(user==null){
                    return null;
            }*/

        // 模拟从数据库查询到密码,散列值
        String password = "f3694f162729b7d0254c6e40260bf15c";
        // 从数据库获取salt
        String salt = "qwerty";
        //上边散列值和盐对应的明文：111111

        // 如果查询到返回认证信息AuthenticationInfo，这里的密码加密判断交给底层处理
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
                userCode, password, ByteSource.Util.bytes(salt), this.getName());

        return simpleAuthenticationInfo;
    }

    // 用于授权（后面写）
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
        return null;
    }
}

运行效果：

结论：subject.login(token)我在提交认证，它就会去调用我自定义的CustomRealm，因为我在ini进行配置自定义CustomRealm

 3、加密算法

 因为在ini里面配置的加密规则，那我第一次用户注册的时候，肯定也需要按它的规则进行加密后，把密码保存到数据库

  /**
  * 加密算法
  */
public class MD5Test {    
    public static void main(String[] args) {     
        //原始 密码 
        String source = "111111";
        //盐
        String salt = "qwerty";
        
        //散列次数（和ini中credentialsMatcher.hashIterations=1一致）
        int hashIterations = 1;
        //上边散列1次：f3694f162729b7d0254c6e40260bf15c
        //上边散列2次：36f2dfa24d0a9fa97276abbe13e596fc
        
        //第一个参数：散列算法 
        //这里的散列算法是md5要和ini中credentialsMatcher.hashAlgorithmName=md5一致)
        //第二个参数：明文，原始密码 
        //第三个参数：盐，通过使用随机数
        //第四个参数：散列的次数，比如散列两次，相当 于md5(md5(‘‘))
        SimpleHash simpleHash = new SimpleHash("md5", source, salt, hashIterations);
        System.out.println(simpleHash.toString());    
    }
}
  //这个结果：f3694f162729b7d0254c6e40260bf15c就是在自定义realm中的密文也就是该用户保存到数据库中的密文。

 

 二、授权（基于资源的授权）

 1、授权流程

 

2、授权方式

Shiro 支持三种方式的授权：
（1）编程式：通过写if/else 授权代码块完成：

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有权限
} else {
//无权限
}

 （2）注解式：通过在执行的Java方法上放置相应的注解完成

@RequiresRoles("admin")
public void hello() {
//有权限
}

 （3）JSP/GSP 标签：在JSP/GSP 页面通过相应的标签完成

<shiro:hasRole name="admin">
<!— 有权限—>
</shiro:hasRole>

 这里授权测试使用第一种编程方式，实际与web系统集成使用后两种方式。

 3、授权测试

 （1）测试类

// 自定义realm进行资源授权测试
    @Test
    public void testAuthorizationCustomRealm() {

        // 创建SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory(
                "classpath:shiro-realm.ini");

        // 创建SecurityManager
        SecurityManager securityManager = factory.getInstance();

        // 将SecurityManager设置到系统运行环境，和spring后将SecurityManager配置spring容器中，一般单例管理
        SecurityUtils.setSecurityManager(securityManager);

        // 创建subject
        Subject subject = SecurityUtils.getSubject();

        // 创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
                "111111");

        // 执行认证
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

        System.out.println("认证状态：" + subject.isAuthenticated());
        // 认证通过后执行授权

        // 基于资源的授权，调用isPermitted方法会调用CustomRealm从数据库查询正确权限数据
        // isPermitted传入权限标识符，判断user:create:1是否在CustomRealm查询到权限数据之内
        boolean isPermitted = subject.isPermitted("user:create:1");
        System.out.println("单个权限判断" + isPermitted);

        boolean isPermittedAll = subject.isPermittedAll("user:create:1",
                "user:create");
        System.out.println("多个权限判断" + isPermittedAll);

        // 使用check方法进行授权，如果授权不通过会抛出异常
        subject.checkPermission("items:add:1");

    }

（2）shiro-realm.ini

[main]
#自定义 realm
customRealm=com.jincou.shiro.realm.CustomRealm
#将realm设置到securityManager
securityManager.realms=$customRealm

（3）自定义CustomRealm类

public class CustomRealm extends AuthorizingRealm {

    // 用于认证（上面写过）
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {
        return null;
    }

    // 用于授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
        
        //从 principals获取主身份信息
        //将getPrimaryPrincipal方法返回值转为真实身份类型（在上边的doGetAuthenticationInfo认证通过填充到SimpleAuthenticationInfo中身份类型），
        String userCode =  (String) principals.getPrimaryPrincipal();
        
        //根据身份信息获取权限信息
        //连接数据库...
        //模拟从数据库获取到数据
        List<String> permissions = new ArrayList<String>();
        permissions.add("user:create");//用户的创建
        permissions.add("items:add");//商品添加权限
        //....
        
        //查到权限数据，返回授权信息(要包括 上边的permissions)
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //将上边查询到授权信息填充到simpleAuthorizationInfo对象中
        simpleAuthorizationInfo.addStringPermissions(permissions);

        return simpleAuthorizationInfo;
    }
}

运行结果：

 

 想太多，做太少，中间的落差就是烦恼。想没有烦恼，要么别想，要么多做。少校【5】