shiro安全框架初识--shiro简介、认证与授权

1.shiro安全框架

1.1.什么是权限管理

基本上涉及到用户参与的系统都要进行权限管理，权限管理属于系统安全的范畴，权限管理实现对用户访问系统的控制，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证和授权两部分，简称认证授权。对于需要访问控制的资源用户首先经过身份认证，认证通过后用户具有该资源的访问权限方可访问。

1.2 什么是身份认证

身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。对于采用指纹等系统，则出示指纹；对于硬件Key等刷卡系统，则需要刷卡。

1.3 什么是授权

授权，即访问控制，控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源，对于某些资源没有权限是无法访问的

1.4 认证授权框架有哪些?

shiro框架和spring security框架 这款框架是现在市面比较流行。

1.5 什么shiro框架

Apache Shiro 是一个强大易用的 Java 安全框架，提供了认证、授权、加密和session会话管理等功能，对于任何一个应用程序，Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security，Shiro 要简单的多.

 Shiro是apache旗下一个开源框架，它将软件系统的安全认证相关的功能抽取出来，实现用户身份认证，权限授权、加密、会话管理等功能，组成了一个通用的安全认证框架。

Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境。Shiro可以帮助我们完成：认证、授权、加密、会话管理、与Web集成、缓存等。

2.使用shiro完成认证工作

2.1.shiro中认证的关键对象

Subject：主体访问系统的用户，主体可以是用户、程序等，进行认证的都称为主体；

Principal：身份信息----账号是主体（subject）进行身份认证的标识，标识必须具有唯一性，如用户名、手机号、邮箱地址等，一个主体可以有多个身份，但是必须有一个主身份（Primary Principal）。

credential：凭证信息---密码是只有主体自己知道的安全信息，如密码、证书等。

2.2. 认证流程

 2.3.代码实践

1）创建一个maven工程，并引入shiro依赖

        
            org.apache.shiro
            shiro-core
            1.9.0
        
 

2)创建一个ini文件

ini文件中使用 ；来表示注释

 3)测试代码

public class TestShiro01 {
    public static void main(String[] args) {
        //获取 DefaultSecurityManager 对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        // 读取 ini 文件
        IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
        //设置 securityManager的realm
        securityManager.setRealm(iniRealm);
        //设置 securityManager 上下文生效
        SecurityUtils.setSecurityManager(securityManager);
 
        //获取subject主体对象
        Subject subject = SecurityUtils.getSubject();
        try{
            //  UsernamePasswordToken 作用就是封装输入的账号和密码 是客户输入的账号和密码
            UsernamePasswordToken token = new UsernamePasswordToken("张三","123456");
            //抛出异常 比对shiro中realm与输入的比对
            subject.login(token);
            System.out.println("登录成功");
        }catch (Exception e){
            e.printStackTrace();
            System.out.println("账号或密码错误");
        }
    }
}

2.4.认证的原理

 Subject: 主题 登录信息提交给SecurityManager, --->认证器Authenticator---->根据你的realm提供的数据进行相关的认证。 realm---与数据源交互的类。

3.授权

 

 1)修改ini文件

 2)修改代码

public class TestShiro01 {
    public static void main(String[] args) {
        //获取 DefaultSecurityManager 对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        // 读取 ini 文件
        IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
        //设置 securityManager的realm
        securityManager.setRealm(iniRealm);
        //设置 securityManager 上下文生效
        SecurityUtils.setSecurityManager(securityManager);
 
        //获取subject主体对象
        Subject subject = SecurityUtils.getSubject();
        try{
            //  UsernamePasswordToken 作用就是封装输入的账号和密码 是客户输入的账号和密码
            UsernamePasswordToken token = new UsernamePasswordToken("张三","123456");
            //抛出异常 比对shiro中realm与输入的比对
            subject.login(token);
            System.out.println("登录成功");
        }catch (Exception e){
            e.printStackTrace();
            System.out.println("账号或密码错误");
        }
 
        System.out.println("~~~~~~~~~~~~~~~~~~登录后~~~~~~~~~~~~~~~~~~~~");
 
        boolean b = subject.isAuthenticated();
        if(b){
            //判断当前登录者是否具有user:query权限
            boolean permitted1 = subject.isPermitted("user:query");
            System.out.println(permitted1);
 
            //从角色角度判断
            boolean r1 = subject.hasRole("roles1");
            System.out.println(r1);
        }else {
            System.out.println("请先认证");
        }
    }
}