Shiro笔记

/ 0评 / 0

一些shiro的笔记吧..以前学习框架也好..基础也好,都没有又要的去记录好笔记..

自从面试过了才知道笔记的重要性..嗯对的,应该还有的救吧..

先把shiro的笔记记录好吧..明天或者后天自己去写一个ssm+shiro的认证出来的..不然我又怕忘记了


shiro简介

功能简介

如下图的主要功能接口...

 

Shiro 架构

从外部来看Shiro ,即从应用程序角度的来观察如何使用 Shiro 完成工作,如图:

从上图来看,就是包含了三个含义,subject(可以说是充当一个门面)->securityManager(这才是shiro的执行者/管理器)->realm(获取安全数据(如用户、角色、权限))

所以从外部看:

从内部来看Shiro ,即从开发者角度的来观察如何使用 Shiro的功能去实现产品,如图:

集成 Spring

在web.xml加入如下代码:

其中DelegatingFilterProxy 作用是自动到 Spring 容器查找名字为 shiroFilter(filter-name)的 bean 并把所有 Filter 的操作委托给它.

在applicationContext.xml加入

shiro中默认的过滤器

URL 匹配模式

URL 匹配顺序

如:

/login/** = filter1

/login/aa?= filter2

/**=filter3

如果我们现在请求的url是/login/aa,按照声明顺序进行匹配,那么是filter1进来拦截

所以如果想让/login/aa被filter2拦截,只需要调换一下顺序即可...

认证

身份验证

身份验证基本流程

如下代码:

Realm

Authenticator

AuthenticationStrategy

授权

授权方式

Shiro 支持三种方式的授权

1.编程式

2.注解式

3.JSP/GSP 标签

默认拦截器

Shiro 内置了很多默认的拦截器,比如身份验证、授权等相关的。

默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举 拦截器:

身份验证相关的

授权相关的

Shiro 的 Permissions

规则:

资源标识符,操作:对象实例 ID 即对哪个资源的哪个 实例可以进行什么操作. 其默认支持通配符权限字符串,: 表 示资源/操作/实例的分割;, 表示操作的分割,* 表示任意资 源/操作/实例。

例如:user:query、user:edit

1.-冒号是一个特殊字符,它用来分隔权限字符串的下一部件:第一部分 是权限被操作的领域(打印机),第二部分是被执行的操作。

2.-多个值:每个部件能够保护多个值。因此,除了授予用户 user:query 和 user:edit 权限外,也可以简单地授予他们一个:user:query, edit...

3.-还可以用 * 号代替所有的值,如:user:* , 也可以写:*:query,表示 某个用户在所有的领域都有 query 的权限

1.– 这种情况通常会使用三个部件:域:操作:被付诸实施的实例。如:user:edit:manager

2.– 也可以使用通配符来定义,如:user:edit:*、user:*:*、 user:*:manager

3.– 部分省略通配符:缺少的部件意味着用户可以访问所 有与之匹配的值,比如:user:edit 等价于 user:edit :*、 user 等价于 user:*:*

4.– 注意:通配符只能从字符串的结尾处省略部件,也就 是说 user:edit 并不等价于 user:*:edit而等价于 user:edit:*

授权流程

ModularRealmAuthorizer 进行多 Realm 匹配流程

Shiro 标签

Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制,需要实现:

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

guest 标签:用户没有身份验证时显示相应信息,即游客 访问信息:

user 标签:用户已经经过认证/记住我登录后显示相应的信息。

authenticated 标签:用户已经身份验证通过,即 Subject.login登录成功,不是记住我登录的

notAuthenticated 标签:用户未进行身份验证,即没有调 用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证。

pincipal 标签:显示用户身份信息,默认调用 Subject.getPrincipal() 获取,即 Primary Principal

hasRole 标签:如果当前 Subject 有角色将显示 body 体内 容

hasAnyRoles 标签:如果当前Subject有任意一个 角色(或的关系)将显示body体内容。

lacksRole:如果当前 Subject 没有角色将显示 body 体内容

hasPermission:如果当前 Subject 有权限 将显示 body 体内容

lacksPermission:如果当前Subject没有权 限将显示body体内容

shiro权限注解

会话管理

Shiro 提供了完整的企业级会话管理功能,不依赖于底层容 器(如web容器tomcat),不管 JavaSE 还是 JavaEE 环境 都可以使用,提供了会话管理、会话事件监听、会话存储/ 持久化、容器无关的集群、失效/过期支持、对Web 的透明 支持、SSO 单点登录的支持等特性。

会话相关的 API

会话监听器

会话监听器用于监听会话创建、过期及停止事件

会话验证

缓存

CacheManagerAware 接口

Shiro 内部相应的组件(DefaultSecurityManager)会自 动检测相应的对象(如Realm)是否实现了 CacheManagerAware 并自动注入相应的 CacheManager

Realm 缓存

Session 缓存

认证和记住我

end....

发表评论

电子邮件地址不会被公开。 必填项已用*标注