导入pom.xml
<!-- shiro核心文件-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.1</version>
</dependency>
<!-- configure logging -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>jcl-over-slf4j</artifactId>
<version>1.7.21</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.21</version>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
Shiro的核心三个对象:
可以看到:应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外 API 核心就是 Subject;其每个 API 的含义:
Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面;SecurityManager 才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行交互,如果学习过 SpringMVC,你可以把它看成 DispatcherServlet 前端控制器;
Realm:域,Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。
实例:
Shiro通过工厂方法创建Shiro的Subject
// 创建一个基于ini文件的数据源
//把数据源绑定到实例中
DefaultSecurityManager securityManager = new DefaultSecurityManager();
IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
securityManager.setRealm(iniRealm);
SecurityUtils.setSecurityManager(securityManager);
// 获取当前的用户对象 Subject
Subject currentUser = SecurityUtils.getSubject();
通过对象获得Session(独立的Session,可实现存取值的操作)
// 通过当前用户拿到Session
Session session = currentUser.getSession();
//可以通过Session存值取值
session.setAttribute("someKey", "aValue");
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
log.info("Subject的Session中取得了什么值[" + value + "]");
}
具体对ini文件中用户名密码的登录
// 判断当前的用户是否被认证
if (!currentUser.isAuthenticated()) {
//Token : 令牌:没有获取,随机设置的
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
token.setRememberMe(true); //设置认识我
try {
currentUser.login(token); //执行登录操作
//捕获相应的异常
} catch (UnknownAccountException uae) {
log.info("There is no user with username of " + token.getPrincipal());
} catch (IncorrectCredentialsException ice) {
log.info("Password for account " + token.getPrincipal() + " was incorrect!");
} catch (LockedAccountException lae) {
log.info("The account for username " + token.getPrincipal() + " is locked. " +
"Please contact your administrator to unlock it.");
}
// ... catch more exceptions here (maybe custom ones specific to your application?
catch (AuthenticationException ae) {
//认证异常
//unexpected condition? error?
}
}
存取用户的信息
//存取当前用户的信息
log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");
对于ini中角色信息的处理
//test a role:
if (currentUser.hasRole("schwartz")) {
log.info("May the Schwartz be with you!");
} else {
log.info("Hello, mere mortal.");
}
// 粗粒度的判断
//test a typed permission (not instance-level)
if (currentUser.isPermitted("lightsaber:wield")) {
log.info("You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
//细粒度的
//a (very powerful) Instance Level permission:
if (currentUser.isPermitted("winnebago:drive:eagle5")) {
log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'. " +
"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
注销:
//注销
//all done - log out!
currentUser.logout();
结束系统
//结束系统
System.exit(0);
核心步骤:
1.// 获取当前的用户对象 Subject
Subject currentUser = SecurityUtils.getSubject();
2.//判断当前的用户是否被认证
currentUser.isAuthenticated()
3.//执行登录操作(认证成功)
currentUser.login(token);
4.//保存用户的信息
currentUser.getPrincipal()
5.//判断是否有角色
currentUser.hasRole()
6.//判断角色的权限
currentUser.isPermitted()
7.//注销
currentUser.logout();
扫一扫
1038
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
