什么是Shiro
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
三个核心组件
Subject, SecurityManager 和 Realms.
①Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
②SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
③Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
登录认证过程简述
①调用subject.login方法进行登录,其会自动委托给securityManager,login方法进行登录;
②securityManager通过 Authenticator(认证器)进行认证
③Authenticator的实现ModularRealmAuthenticaton调用realm从ini配置文件取用户真实的账号和密码,这里使用的是IniRealm ( shiro自带,相当于数据源) ;
image.png
具体实现
<dependencies>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.11</version>
<scope>test</scope>
</dependency>
<!-- https://mvnrepository.com/artifact/commons-logging/commons-logging -->
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
image.png
package com.swl;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
/**
* <Description>ShiroTest<br>
*
* @author DaShi<br>
* @CreateDate 2019-02-15 09:43 <br>
*/
public class ShiroTest {
@Test
public void loginTest() throws Exception{
//创建IniSecurityManager工程对象:加载配置文件
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//通过工厂对象创建SecurityManager对象
SecurityManager securityManager = factory.getInstance();
// 将SecurityManager绑定到当前运行环境中,让系统随时可以访问SecurityManager对象
SecurityUtils.setSecurityManager(securityManager);
//创建登录主体 注意:此时主体没有经过验证,仅仅是个空的对象
Subject subject = SecurityUtils.getSubject();
//绑定主体登陆的身份、凭证 即账号密码
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","666");
//主体登陆
try{
subject.login(token);
}catch (Exception e){
//抛错误
}
//登陆判断
System.out.println("登录结果" + subject.isAuthenticated() );
//登出判断
subject.logout();
System.out.println("登出结果" + subject.isAuthenticated());
}
}
结果:
image.png
源码分析
①我们在登录操作时打好断点,debug运行
image.png
image.png
image.png
④点进去看一下,我们发现securitymanager将认证任务委托给了认证器,由认证器执行认证方法
image.png
image.png
image.png
image.png
image.png
image.png
看不懂,继续进去看看,我们看到他先把我们的token包装成了 UsernamePasswordToken的形式 然后执行了getuser()参数是我们页面传进来的token的name
image.png
image.png
image.png
image.png
image.png
image.png
好了整个过程大概就是这个样子啦!!!
