shiro权限认证与授权

什么是shiro？

Shiro是apache旗下一个开源框架，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证，权限授权、加密、会话管理等功能，组成了一个通用的安全认证框架。

为什么要用shiro？

既然可以基于url实现权限的管理，为什么还要用shiro呢？？

1.shiro将安全认证相关的功能抽取出来组成一个框架，使用shiro就可以非常快速的完成认证、授权等功能的开发，降低系统成本。最主要的就是方便了我们的开发。

2.shiro使用广泛，shiro可以运行在web应用，非web应用，集群分布式应用中越来越多的用户开始使用shiro。

shiro认证

认证流程：

实例：

1.创建一个Java工程，并加入shiro-core的jar包以及它的依赖包。

2.自定义realm

Shiro有自带的IniRealm，IniRealm从ini配置文件中读取用户的信息，大部分情况下需要从系统的数据库中读取用户信息，所以需要自定义realm。

1. public class CustomRealm extends AuthorizingRealm {
2. @Override
3. public String getName() {
4. return "customRealm";
5. }
6. // 用于认证
7. @Override
8. protected AuthenticationInfo doGetAuthenticationInfo(
9. AuthenticationToken token) throws AuthenticationException {
10. // token是用户输入的
11. // 第一步从token中取出身份信息
12. String userCode = (String) token.getPrincipal();
13. // 第二步：根据用户输入的userCode从数据库中查询
14. // 模拟从数据库查询到密码
15. String password = "111111";
16. // 如果查询到返回认证信息AuthenticationInfo
17. SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
18. userCode, password, this.getName());
19. return simpleAuthenticationInfo;
20. }
21. }

3.配置shiro-realm.ini文件

1. [main]
2. #自定义realm
3. customRealm=cn.itcast.shiro.realm.CustomRealm
4. #将realm设置到securityManager，相当于spring中注入
5. securityManager.realms=$customRealm

4.创建认证代码

1. // 用户登录和退出
2. @Test
3. public void testCustomRealm() {
4. // 创建securityManager工厂，通过ini配置文件创建securityManager工厂
5. Factory<SecurityManager> factory = new IniSecurityManagerFactory(
6. "classpath:shiro-realm.ini");
7. // 通过工厂创建SecurityManager
8. SecurityManager securityManager = factory.getInstance();
9. // 将securityManager设置到运行环境中
10. SecurityUtils.setSecurityManager(securityManager);
11. // 创建一个Subject实例，该实例认证要使用上边创建的securityManager进行
12. Subject subject = SecurityUtils.getSubject();
13. // 创建token令牌，记录用户认证的身份和凭证即账号和密码
14. UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
15. "111111");
16. try {
17. // 用户登陆
18. subject.login(token);
19. } catch (AuthenticationException e) {
20. // TODO Auto-generated catch block
21. e.printStackTrace();
22. }
23. // 用户认证状态
24. Boolean isAuthenticated = subject.isAuthenticated();
25. System.out.println("用户认证状态：" + isAuthenticated);
26. // 用户退出
27. subject.logout();
28. isAuthenticated = subject.isAuthenticated();
29. System.out.println("用户认证状态：" + isAuthenticated);
30. }

5.认证流程

（1）创建token令牌，token中有用户提交的认证信息即账号和密码

（2）执行subject.login(token)，最终由securityManager通过Authenticator进行认证

（3）Authenticator的实现ModularRealmAuthenticator调用realm从数据库中取用户真实的账号和密码

（4）CustomRealm先根据token中的账号去数据库中找该账号，如果找不到则给ModularRealmAuthenticator返回null，如果找到则匹配密码，匹配密码成功则认证通过。

6.测试

登录时用户认证成功，退出时用户认证失败。

shiro授权

授权流程

授权方式

shiro支持三种方式的授权：

1.编程式

1. Subject subject = SecurityUtils.getSubject();
2. if(subject.hasPermission(“admin”)) {
3. //有权限
4. } else {
5. //无权限
6. }

2.注解式

1. @RequiresPermissions("admin")
2. public void hello() {
3. //有权限
4. }

3.JSP/GSP标签

1. <shiro:hasPermission name="admin">
2. <!— 有权限—>
3. </shiro:hasRole>

在web系统集成中使用后两种方式，我在这儿举个简单的例子就用第一种方式了。

实例

1.自定义realm

1. // 用于授权
2. @Override
3. protected AuthorizationInfo doGetAuthorizationInfo(
4. PrincipalCollection principals) {
5. // 获取身份信息
6. //将getPrimaryPrincipal方法返回值转为真实身份类型（在上边的doGetAuthenticationInfo认证通过填充到Simpl）
7. String username = (String) principals.getPrimaryPrincipal();
8. // 根据身份信息从数据库中查询权限数据
9. // ....这里使用静态数据模拟
10. List<String> permissions = new ArrayList<String>();
11. permissions.add("user:create");
12. permissions.add("user:delete");
13. // 将权限信息封闭为AuthorizationInfo
14. SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
15. for (String permission : permissions) {
16. simpleAuthorizationInfo.addStringPermission(permission);
17. }
18. return simpleAuthorizationInfo;
19. }

2.配置shiro-realm.ini文件与上面认证配置文件相同

3.创建授权代码

1. // 自定义realm进行资源授权测试
2. @Test
3. public void testAuthorizationCustomRealm() {
4. // 从ini文件中创建SecurityManager工厂
5. Factory<SecurityManager> factory = new IniSecurityManagerFactory(
6. "classpath:shiro-realm.ini");
7. // 创建SecurityManager
8. SecurityManager securityManager = factory.getInstance();
9. // 将securityManager设置到运行环境
10. SecurityUtils.setSecurityManager(securityManager);
11. // 创建主体对象
12. Subject subject = SecurityUtils.getSubject();
13. // 对主体对象进行认证
14. // 用户登陆
15. // 设置用户认证的身份(principals)和凭证(credentials)
16. UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
17. "111111");
18. try {
19. subject.login(token);
20. } catch (AuthenticationException e) {
21. // TODO Auto-generated catch block
22. e.printStackTrace();
23. }
24. // 用户认证状态
25. Boolean isAuthenticated = subject.isAuthenticated();
26. System.out.println("用户认证状态：" + isAuthenticated);
27. // 授权检测，失败则抛出异常
28. // subject.checkRole("role22");
29. // 基于资源授权
30. System.out.println("是否拥有某一个权限：" + subject.isPermitted("user:delete"));
31. System.out.println("是否拥有多个权限："
32. + subject.isPermittedAll("user:update", "user:delete"));
33. // 检查权限
34. subject.checkPermission("user:delete");
35. }

4.授权流程

（1）执行subject.isPermitted("user:delete")

（2）securityManager通过ModularRealmAuthorizer进行授权

（3）ModularRealmAuthorizer调用realm获取权限信息

（4）ModularRealmAuthorizer再通过permissionResolver解析权限字符串，校验是否匹配

5.测试

表明该用户拥有delete权限但是不拥有update权限。

转载：http://blog.csdn.net/u010539352/article/details/51220276