【shiro权限管理】2.shiro的HelloWorld

xiaoxiaoHer

浏览: 329047 次
性别:
来自: 南京

最近访客更多访客>>

long-zhigang

kxlele

vvdeng

cht的大摩托

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

shiro

下面是shiro在javase环境下的简单使用

一、新建一个java项目，将shiro相关的包以及日志包引入项目

<dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-lang</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-cache</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-config-core</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-config-ogdl</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-crypto-core</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-crypto-hash</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-crypto-cipher</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-event</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-web</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-servlet-plugin</artifactId>
      <version>1.4.1</version>
    </dependency>
    <!-- Shiro 3rd party support (keep this alphabetically ordered based on the artifactId please): -->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-aspectj</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-cas</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-ehcache</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-quartz</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-guice</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-hazelcast</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-jaxrs</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-all</artifactId>
      <version>1.4.1</version>
    </dependency>
    <!-- Shiro samples: -->
    <dependency>
      <groupId>org.apache.shiro.samples</groupId>
      <artifactId>samples-spring-client</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring-boot-starter</artifactId>
      <version>1.4.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring-boot-web-starter</artifactId>
      <version>1.4.1</version>
    </dependency>
    <!-- Intra project test dependencies: -->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>1.4.1</version>
      <type>test-jar</type>
      <scope>test</scope>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-config-ogdl</artifactId>
      <version>1.4.1</version>
      <type>test-jar</type>
      <scope>test</scope>
    </dependency>
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>slf4j-api</artifactId>
      <version>1.7.21</version>
    </dependency>
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>slf4j-log4j12</artifactId>
      <version>1.7.21</version>
    </dependency>
    <dependency>
      <groupId>commons-beanutils</groupId>
      <artifactId>commons-beanutils</artifactId>
      <version>1.9.3</version>
    </dependency>
    <dependency>
      <groupId>log4j</groupId>
      <artifactId>log4j</artifactId>
      <version>1.2.17</version>
    </dependency>

二、从官网上下载任意版本shiro项目，找到里面的samples/quickstart项目。将里面的Quickstart.java类复制到任意包下，然后将模板项目的resources下的logj.properties和shiro.ini文件拷贝到项目根目录下。

三、分块剖析Quickstart.java的样例代码

(1)创建SecurityManager

//下面是创建一个SecurityManager最简单的方式，使用了ini文件(shiro.ini)中配置的
//realms, users, roles 以及 permissions。我们使用了工程的模式，加载ini文件中
//的配置，进而创建出了一个SecurityManager实例。
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();

上面所指的Shiro.ini文件就是之前我们加入到测试工程的文件，其中核心的配置数据如下：

[users]

root = secret, admin

guest = guest, guest

presidentskroob = 12345, president

lonestarr = vespa, goodguy, schwartz

[roles]

admin = *

schwartz = lightsaber:*

goodguy = winnebago:drive:eagle5

上面配置了root用户、guest用户、presidentskroob用户、lonestarr用户的密码以及角色，下面配置了admin以及schwartz和goodguy这三个角色的权限信息。

上面创建SecurityManager的方式以及ini的配置，仅作为测试样例的参考，在开发中不可能使用这种方式进行开发，这里大家仅作为了解即可。

(2)securityManager的一些设置

//对于这个简单的例子，我们使SecurityManager在Java虚拟机中变可访问的“单例”，

//但大部分应用都不这么做。这里为了体验快速工程，才使用这种最小开销的方式。

SecurityUtils.setSecurityManager(securityManager);

上面就是一个单例设置，日常开发中也很少这么做，这里仅作了解即可。

(3)使用Shiro的核心API

1.获取当前用户的Subject

//获取当前的Subject
Subject currentUser = SecurityUtils.getSubject();

上面的代码就是使用SecurityUtils的getSubject获取当前用户的Subject。上一此我们说到在Shiro中与SecurityManager打交道的就是Subject。

2.使用Session

//测试使用Session(即便不是Web或EJB容器下)
Session session = currentUser.getSession();//调用Subject的getSession方法
session.setAttribute("someKey", "aValue");//存入Key-Value对象
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
    log.info("Retrieved the correct value! [" + value + "]");
}

上面的代码通过调用Subject的getSession方法获取session对象来使用。

3.进行认证(登录)

//测试当前用户是否已经被认证(即是否已经登录)
if (!currentUser.isAuthenticated()) {
   //将用户名与密码封装为UsernamePasswordToken对象
    UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
    token.setRememberMe(true);//记录用户
    try {
        currentUser.login(token);//调用Subject的login方法执行登录
    } catch (UnknownAccountException uae) {
        log.info("There is no user with username of " + token.getPrincipal());
    } catch (IncorrectCredentialsException ice) {
        log.info("Password for account " + token.getPrincipal() + " was incorrect!");
    } catch (LockedAccountException lae) {
        log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                "Please contact your administrator to unlock it.");
    }
    // ... catch more exceptions here (maybe custom ones specific to your application?
    catch (AuthenticationException ae) {
        //unexpected condition?  error?
    }
}

上面的代码去校验用户是否被认证，如果没有被认证，则会将用户的账号密码封装为。UsernamePasswordToken对象，并传入Subject的login方法执行登录。如果账号密码正确，则通过认证并登录成功，如果账户没有，则会抛出UnknownAccountException异常；如果账户存在但密码错误，则会抛出IncorrectCredentialsException异常；如果用户被锁定，则会抛出LockedAccountException 异常；最后的AuthenticationException是上面所有异常的父类，在不清楚会发生何种异常时，可以直接抛出该类异常。

4.进行角色判定

//测试用户是否有某一个角色
if (currentUser.hasRole("schwartz")) {
    log.info("May the Schwartz be with you!");
} else {
    log.info("Hello, mere mortal.");
}

通过Subject的hasRole方法来判定该用户是否含有指定的橘色。对于该样例，ini文件中配置的lonestarr用户是有“schwartz”这个角色的，所以控制台会输出“May the Schwartz be with you!”。

5.进行权限判定

//测试用户是否具备某个行为
if (currentUser.isPermitted("lightsaber:wield")) {
    log.info("You may use a lightsaber ring.  Use it wisely.");
} else {
    log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
 
//a (very powerful) Instance Level permission:
if (currentUser.isPermitted("winnebago:drive:eagle5")) {
    log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
            "Here are the keys - have fun!");
} else {
    log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}

一般在系统的权限设置中，一个用户对应一个或多个角色，而一个角色下又会拥有许多个权限，来指定该角色的行为范围。这里使用Subject的isPermitted方法来判定用户是否具备某个类型下的某些行为权限。在该样例中，第一个判断就是判定用户在lightsaber类型下是否拥有wield行为权限，而在上面的ini配置文件中我们可以看到，该用户的“schwartz”角色的权限指定为“schwartz = lightsaber:*”，即是对于lightsaber类型可以执行所有行为，所以这里的wield行为是可以通过的。

后面的"winnebago:drive:eagle5"更为具体，即是“类型:行为:实例”，指可以对某类型的谋实例做某事。换一个更好理解的配置，如“user:delete:zhangsan”，即在user模块下可以对zhangsan来进行delete操作。

6.用户登出(注销)

//执行登出(注销)
currentUser.logout();

使用Subject的logout方法来执行登出操作，一般在应用中来使用户退出系统。

上面就是整个Shiro的测试样例代码的讲解。在上面的代码中，只有登录和登出的写法使我们可以在项目中直接使用的，而权限判定等一般在项目中使用声明(注解、配置)的方式来进行判定，不会使用样例程序的硬编码方式判定。

最后，执行以下main方法，观察控制台打印的日志信息

、

分享到：

【shiro权限管理】3.shiro集成spring | 【shiro权限管理】1.shiro简介

2019-05-30 10:04
浏览 453
评论(0)
分类:企业架构
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论