一些shiro的笔记吧..以前学习框架也好..基础也好,都没有又要的去记录好笔记..
自从面试过了才知道笔记的重要性..嗯对的,应该还有的救吧..
先把shiro的笔记记录好吧..明天或者后天自己去写一个ssm+shiro的认证出来的..不然我又怕忘记了
shiro简介
- Apache Shiro 是 Java ?的一个安全(权限)框架。
- Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。
- Shiro 可以完成:认证、授权、加密、会话管理(session)、与JavaSE、JavaWeb 集成、缓存 等。
- 下载:http://shiro.apache.org/
功能简介
如下图的主要功能接口...
- Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
- Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作比如:验证某个用户是否拥有某个角色;或者验证某个用户对某个资源是否具有某个权限;
- Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前(logout),它的所有信息都在会话中;会话可以是普通 JavaSE 环境,也可以是 JavaWeb 环境的.
- Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储.
- Web Support:Web 支持,可以非常容易的集成到JavaWeb 环境.
- Caching:缓存(如ehcach),比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可 以提高效率.
- Concurrency:Shiro 支持多线程应用的并发验证即如在一个线程中开启另一个线程,能把权限自动传播过去.
- Testing:提供我们测试用.
- Run As:允许一个用户假装为另一个用户(如:他们允许)的身份进行访问
- Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了
Shiro 架构
从外部来看Shiro ,即从应用程序角度的来观察如何使用 Shiro 完成工作,如图:
从上图来看,就是包含了三个含义,subject(可以说是充当一个门面)->securityManager(这才是shiro的执行者/管理器)->realm(获取安全数据(如用户、角色、权限))
所以从外部看:
- Subject:应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外 API 核心就是 Subject。Subject 代表了当前“用户”, 这个用户不一定 是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫, 机器人等;与 Subject ?的所有交互都会委托给 SecurityManager; Subject 其实是一个门面,SecurityManager 才是实际的执行者;
- SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且其管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与 Shiro 的其他组件进行交互,它相当于 SpringMVC 中 DispatcherServlet 的角色
- Realm:Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户 进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/ 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource..
从内部来看Shiro ,即从开发者角度的来观察如何使用 Shiro的功能去实现产品,如图:
- Subject:任何可以与shiro应用交互的
- SecurityManager :相当于SpringMVC 中的 DispatcherServlet;是 Shiro 的心脏; 所有具体的交互都通过 SecurityManager 进行控制(filfer);它管理着所有 Subject、且负责进 行认证、授权、会话及缓存的管理。
- Authenticator:负责 Subject 认证,是一个扩展点,可以自定义实现;可以使用认证策略(Authentication Strategy),即什么情况下算用户认证通过了;。
- Authorizer:授权器、即访问控制器,用来决定主体是否有权限进行相应的操作;即控 制着用户能访问应用中的哪些功能。
- Realm:自定义Realm,可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC 实现,也可以是内存实现等等;由用户提供;所以一般在应用中都需要实现自己的 Realm。
- SessionManager:管理 Session 生命周期的组件;而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境
- CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据 基本上很少改变,放到缓存中后可以提高访问的性能 。
- Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密。
集成 Spring
- 加入 Spring 和 Shiro 的 jar 包
- 配置 Spring 及 SpringMVC
- 参照从官网下载下来的文件,我的是1.2.2版本:shiro-root-1.2.2-sourcerelease\shiro-root-1.2.2\samples\spring配置 web.xml 和 Spring 的配置文件
在web.xml加入如下代码:
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
id="WebApp_ID" version="2.5">
<!-- shiro配置 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
其中DelegatingFilterProxy 作用是自动到 Spring 容器查找名字为 shiroFilter(filter-name)的 bean 并把所有 Filter 的操作委托给它.
在applicationContext.xml加入
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<!--
1. 配置 SecurityManager!
-->
<!-- 安全策划管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="cacheManager" ref="cacheManager"/>
<property name="authenticator" ref="authenticator"></property>
<!-- 我们需要自己去写一个realm -->
<!-- <property name="realm" ref="jdbcRealm"/>-->
<property name="realms">
<list>
<ref bean="jdbcRealm"/>
<ref bean="secondJdbcRealm"/>
</list>
</property>
</bean>
<!--
2. 配置 CacheManager.
2.1 需要加入 ehcache 的 jar 包及配置文件.
-->
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/>
</bean>
<!--
3. 配置 Realm
3.1 直接配置实现了 org.apache.shiro.realm.Realm 接口的 bean
-->
<bean id="jdbcRealm" class="com.glj.bean.shiroRealm">
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="MD5"></property>
<property name="hashIterations" value="1024"></property>
</bean>
</property>
</bean>
<bean id="secondJdbcRealm" class="com.glj.bean.secondShiroRealm">
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="SHA1"></property>
<property name="hashIterations" value="1024"></property>
</bean>
</property>
</bean>
<bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
<property name="authenticationStrategy">
<!-- :只要有一个Realm验证成功即可,和 FirstSuccessfulStrategy 不同,将返回所有Realm身份验证成功的认证信 息;-->
<bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>
<!-- 所有Realm验证成功才算成功,且返回所有 Realm身份验证成功的认证信息,如果有一个失败就失败了。
<bean class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"></bean> -->
</property>
</bean>
<!-- 多Realm配置的第二种方式
<bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
<property name="realms">
<list>
<ref bean="jdbcRealm"/>
<ref bean="secondJdbcRealm"/>
</list>
</property>
</bean>-->
<!-- 必须要有这样的实例,用来管理在spring容器当中的shiro常见的对象
配置 LifecycleBeanPostProcessor.
可以自定的来调用配置在 Spring IOC 容器中 shiro bean 的生命周期方法.
-->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 启用shiro注解
但必须在配置了 LifecycleBeanPostProcessor 之后才可以使用.
-->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
<!-- 网络方面 -->
<bean id="secureRemoteInvocationExecutor" class="org.apache.shiro.spring.remoting.SecureRemoteInvocationExecutor">
<property name="securityManager" ref="securityManager"/>
</bean>
<!--
配置shiroFiler
id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
若不一致, 则会抛出: NoSuchBeanDefinitionException.
因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.jsp"/>
<property name="successUrl" value="/success.jsp"/>
<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
<!-- filter具体配置 -->
<property name="filterChainDefinitions">
<value>
/login.jsp = anon
# allow WebStart to pull the jars for the swing app:
/login = anon
/loginout = logout
/admin.jsp = roles[admin]
/user.jsp = roles[user]
# everything else requires authentication:
/** = authc
</value>
</property>
</bean>
<bean id="shiroService" class="com.glj.service.shiroService"></bean>
</beans>
shiro中默认的过滤器
URL 匹配模式
- url 模式使用 Ant 风格模式
- Ant 路径通配符支持 ?、*、**,注意通配符匹配不 包括目录分隔符“/”
- – ?:匹配一个字符,如 /user? 将匹配 /user1,但不匹配 /user或 /user/
- – *:匹配零个或多个字符串,如 /user* 将匹配 /user、 /user123,但不匹配 /user/123
- – **:匹配路径中的零个或多个路径,如 /user/** 将匹 配 /user/a或 /user/a/b....
URL 匹配顺序
- URL 权限采取第一次匹配优先的方式,即从头开始使用第一个匹配的 url 模式对应的拦截模式
如:
/login/** = filter1
/login/aa?= filter2
/**=filter3
如果我们现在请求的url是/login/aa,按照声明顺序进行匹配,那么是filter1进来拦截
所以如果想让/login/aa被filter2拦截,只需要调换一下顺序即可...
认证
身份验证
- 身份验证:一般需要提供如身份 ID 等一些标识信息来表明登录者的身份
- 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份
- principals:身份,即主体的标识属性,可以是任何属性,如用户名、 邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名/邮箱/手机号。
- credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证 书等。
- 最常见的 principals 和 credentials 组合就是用户名/密码了
身份验证基本流程
- 1.收集用户身份/凭证,如用户名/密码
- 2.调用 Subject.login 进行登录,如果失败将得到相应 的 AuthenticationException 异常,根据异常提示用户错误信息;否则登录成功
- 3.创建自定义的 Realm 类,继承 org.apache.shiro.realm.AuthorizingRealm类,实现doGetAuthenticationInfo() 方法
如下代码:
//判断当前用户是否有认证
if (!currentUser.isAuthenticated()) {
//创建UsernamePasswordToken对象来封装对象的身份,即用户名和密码
UsernamePasswordToken token = new UsernamePasswordToken("username", "password");
//是否记住我
token.setRememberMe(true);
try {
currentUser.login(token);
//如果登录失败即返回下列的错误...
} catch (UnknownAccountException uae) {
log.info("There is no user with username of " + token.getPrincipal());
} catch (IncorrectCredentialsException ice) {
log.info("Password for account " + token.getPrincipal() + " was incorrect!");
} catch (LockedAccountException lae) {
log.info("The account for username " + token.getPrincipal() + " is locked. " +
"Please contact your administrator to unlock it.");
}
// ... catch more exceptions here (maybe custom ones specific to your application?
catch (AuthenticationException ae) {
//unexpected condition? error?
}
}
- 1.首先调用 Subject.login(token) 进行登录,其会自动委托给 SecurityManager
- 2.SecurityManager 负责真正的身份验证逻辑,它会委托给 Authenticator 进行身份验证
- 3.Authenticator 才是真正的身份验证者,Shiro API 中核心的身份 认证入口点,此处可以自定义插入自己实现的Reaml
- 4.Authenticator 可能会委托给相应的 AuthenticationStrategy 进 行多 Realm 身份验证,默人ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证
- 5.Authenticator 会把相应的 token 传入 Realm,从 Realm 获取 身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处 可以配置多个Realm,将按照相应的顺序及策略进行访问
Realm
- ?Realm:Shiro 从 Realm 获取安全数据(如用户、角色、 权限),即 SecurityManager 要验证用户身份,那么它需 要从 Realm 获取相应的用户进行比较以确定用户身份是否 合法;也需要从Realm得到用户相应的角色/权限进行验证 用户是否能进行操作
- 一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了 CachingRealm(带有缓存实现)
Authenticator
- Authenticator 的职责是验证用户帐号,是 Shiro API 中身份验 证核心的入口点:如果验证成功,将返回AuthenticationInfo 验 证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException 异常
- SecurityManager 接口继承了 Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm 进行验证,验证规则通过 AuthenticationStrategy 接口指定
AuthenticationStrategy
- FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第 一个 Realm 身份验证成功的认证信息,其他的忽略
- AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和 FirstSuccessfulStrategy 不同,将返回所有Realm身份验证成功的认证信息
- AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有 Realm身份验证成功的认证信息,如果有一个失败就失败了
- ModularRealmAuthenticator 默认是 AtLeastOneSuccessfulStrategy 策略
<bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator"> <property name="authenticationStrategy"> <!-- :只要有一个Realm验证成功即可,和 FirstSuccessfulStrategy 不同,将返回所有Realm身份验证成功的认证信 息;--> <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean> <!-- 所有Realm验证成功才算成功,且返回所有 Realm身份验证成功的认证信息,如果有一个失败就失败了。 <bean class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"></bean> --> </property> </bean>
授权
- 授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限 (Permission)、角色(Role)。
- 主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权 后才允许访问相应的资源
- 资源(Resource):在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些 数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问
- 权限(Permission):安全策略中的原子授权单位,通过权限我们可以表示在应用中用户 有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源
- 角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有 一组权限,赋予权限时比较方便
授权方式
Shiro 支持三种方式的授权
- 1.编程式:通过写if/else 授权代码块完成 (比较少用)
- 2.注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
- 3.JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成
1.编程式
if(subject.hasRole("admin")){
//有admin的权限干什么
}else{
//没有admin的权限干什么
}
2.注解式
@RequiresRoles(value={"admin"})
public void TestshiroMethod(){
System.out.println(new Date()+"只有admin才可以访问");
}
3.JSP/GSP 标签
<shiro:hasRole name="admin"> <a href="admin.jsp">admin page</a> </shiro:hasRole>
默认拦截器
Shiro 内置了很多默认的拦截器,比如身份验证、授权等相关的。
默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举 拦截器:
身份验证相关的
授权相关的
Shiro 的 Permissions
规则:
资源标识符,操作:对象实例 ID 即对哪个资源的哪个 实例可以进行什么操作. 其默认支持通配符权限字符串,: 表 示资源/操作/实例的分割;, 表示操作的分割,* 表示任意资 源/操作/实例。
- 多层次管理
例如:user:query、user:edit
1.-冒号是一个特殊字符,它用来分隔权限字符串的下一部件:第一部分 是权限被操作的领域(打印机),第二部分是被执行的操作。
2.-多个值:每个部件能够保护多个值。因此,除了授予用户 user:query 和 user:edit 权限外,也可以简单地授予他们一个:user:query, edit...
3.-还可以用 * 号代替所有的值,如:user:* , 也可以写:*:query,表示 某个用户在所有的领域都有 query 的权限
- 实例级访问控制
1.– 这种情况通常会使用三个部件:域:操作:被付诸实施的实例。如:user:edit:manager
2.– 也可以使用通配符来定义,如:user:edit:*、user:*:*、 user:*:manager
3.– 部分省略通配符:缺少的部件意味着用户可以访问所 有与之匹配的值,比如:user:edit 等价于 user:edit :*、 user 等价于 user:*:*
4.– 注意:通配符只能从字符串的结尾处省略部件,也就 是说 user:edit 并不等价于 user:*:edit而等价于 user:edit:*
授权流程
- ?1、首先调用 Subject.isPermitted*/hasRole* 接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;
- 2、Authorizer是真正的授权者,如果调用如 isPermitted(“user:view”),其首先会通过??PermissionResolver 把字符串转换成相应的 Permission 实例
- 3、在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角 色/权限用于匹配传入的角色/权限
- 4、Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果 有多个Realm,会委托给ModularRealmAuthorizer 进行循环判断, 如果匹配如 isPermitted*/hasRole* 会返回true,否则返回false表示 授权失败
ModularRealmAuthorizer 进行多 Realm 匹配流程
- 1、首先检查相应的 Realm 是否实现了实现了Authorizer
- 2、如果实现了 Authorizer,那么接着调用其相应的 isPermitted*/hasRole* 接口进行匹配
- 3、如果有一个Realm匹配那么将返回 true,否则返回 false
Shiro 标签
Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制,需要实现:
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
guest 标签:用户没有身份验证时显示相应信息,即游客 访问信息:
<shiro:guest> WelCome<a href="login.jsp">登录</a> </shiro:guest>
user 标签:用户已经经过认证/记住我登录后显示相应的信息。
<shiro:user> <h1>WelCome:<shiro:principal /></h1> <a href="loginout">登出</a> </shiro:user>
authenticated 标签:用户已经身份验证通过,即 Subject.login登录成功,不是记住我登录的
<shiro:authenticated> 用户[<shiro:principal />]已经身份验证通过 </shiro:authenticated>
notAuthenticated 标签:用户未进行身份验证,即没有调 用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证。
<shiro:notAuthenticated> 没有调 用Subject.login进行登录,包括记住我自动登录的也属于 未进行身份验证 </shiro:notAuthenticated>
pincipal 标签:显示用户身份信息,默认调用 Subject.getPrincipal() 获取,即 Primary Principal
<shiro:principal />
hasRole 标签:如果当前 Subject 有角色将显示 body 体内 容
<shiro:hasRole name="admin"> <a href="admin.jsp">admin page</a> <br/> <br/> </shiro:hasRole>
hasAnyRoles 标签:如果当前Subject有任意一个 角色(或的关系)将显示body体内容。
<shiro:hasAnyRoles name="admin,user"> 用户[<shiro:principal />]拥有admin/user权限 </shiro:hasAnyRoles>
lacksRole:如果当前 Subject 没有角色将显示 body 体内容
<shiro:lacksRole name="admin"> WelCome:<shiro:principal />,你不是admin </shiro:lacksRole>
hasPermission:如果当前 Subject 有权限 将显示 body 体内容
<shiro:hasPermission name="admin:update"> WelCome:<shiro:principal />拥有admin:update </shiro:hasPermission>
lacksPermission:如果当前Subject没有权 限将显示body体内容
<shiro:lacksPermission name="admin:update"> WelCome:<shiro:principal />不拥有admin:update </shiro:lacksPermission>
shiro权限注解
- @RequiresAuthentication:表示当前Subject已经通过login 进行了身份验证;即 Subject. isAuthenticated() 返回 true
- @RequiresUser:表示当前 Subject 已经身份验证或者通过记 住我登录的
- @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份
- @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND):表示当前 Subject 需要角色 admin 和user
- @RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR):表示当前 Subject 需要权限 user:a 或 user:b
会话管理
Shiro 提供了完整的企业级会话管理功能,不依赖于底层容 器(如web容器tomcat),不管 JavaSE 还是 JavaEE 环境 都可以使用,提供了会话管理、会话事件监听、会话存储/ 持久化、容器无关的集群、失效/过期支持、对Web 的透明 支持、SSO 单点登录的支持等特性。
会话相关的 API
- Subject.getSession():即可获取会话,其等价于 Subject.getSession(true),即如果当前没有创建 Session 对象会创建 一个;Subject.getSession(false),如果当前没有创建 Session 则返回 null
- session.getId():获取当前会话的唯一标识
- session.getHost():获取当前Subject的主机地址
- session.getTimeout() & session.setTimeout(毫秒):获取/设置当 前Session的过期时间
- session.getStartTimestamp() & session.getLastAccessTime(): 获取会话的启动时间及最后访问时间;如果是 JavaSE 应用需要自己定 期调用 session.touch() 去更新最后访问时间;如果是 Web 应用,每 次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间
- session.touch() & session.stop():更新会话最后访问时 间及销毁会话;当Subject.logout()时会自动调用 stop 方法 来销毁会话。如果在web中,调用 HttpSession. invalidate() 也会自动调用Shiro Session.stop 方法进行销毁Shiro 的会 话
- session.setAttribute(key, val) &?session.getAttribute(key) &?session.removeAttribute(key):设置/获取/删除会话属性;在整个会话范围内都可以对这些属性进行操作
/**
* 用户登录
* @param user
* @param request
* @return
*/
@RequestMapping("/login")
public String login(User user, HttpServletRequest request) {
// 获取subject对象
Subject subject = SecurityUtils.getSubject();
String username = user.getUserName();
String password = user.getPassword();
System.out.println(username+"--"+password);
// 实例化用户名密码令牌
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try {
// 使用subject对象进行登陆
subject.login(token);
// 获取session
Session session = subject.getSession();
// 输出session
System.out.println("sessionId:" + session.getId() + ";sessionHost:" + session.getHost() +";sessionTimeout:%s" + session.getTimeout());
session.setAttribute("info", "session的数据");
return "redirect:success";
} catch (Exception e) {
// 验证失败
e.printStackTrace();
request.setAttribute("user", user);
request.setAttribute("errorMsg", "用户名或密码错误");
return "login";
}
}
会话监听器
会话监听器用于监听会话创建、过期及停止事件
会话验证
- Shiro 提供了会话验证调度器,用于定期的验证会话是否 已过期,如果过期将停止会话
- 出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在 web 环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro 提供了会话验证调度器 SessionValidationScheduler
- Shiro 也提供了使用Quartz会话验证调度器:QuartzSessionValidationScheduler
缓存
CacheManagerAware 接口
Shiro 内部相应的组件(DefaultSecurityManager)会自 动检测相应的对象(如Realm)是否实现了 CacheManagerAware 并自动注入相应的 CacheManager
Realm 缓存
- Shiro 提供了 CachingRealm,其实现了 CacheManagerAware 接口,提供了缓存的一些基础实现
- AuthenticatingRealm 及 AuthorizingRealm 也分别提供了对AuthenticationInfo 和 AuthorizationInfo 信息的缓 存
Session 缓存
- 如 SecurityManager 实现了 SessionSecurityManager, 其会判断 SessionManager 是否实现了CacheManagerAware 接口,如果实现了会把 CacheManager 设置给它
- SessionManager 也会判断相应的 SessionDAO(如继承 自CachingSessionDAO)是否实现了 CacheManagerAware,如果实现了会把 CacheManager 设置给它
- 设置了缓存的 SessionManager,查询时会先查缓存,如 果找不到才查数据库
认证和记住我
- subject.isAuthenticated() 表示用户进行了身份验证登录的, 即使有 Subject.login 进行了登录
- subject.isRemembered():表示用户是通过记住我登录的, 此时有可能并不是真正的你(如你的朋友使用你的电脑,或者 你的cookie 被窃取)在访问的
- 两者二选一,即 subject.isAuthenticated()==true,则 subject.isRemembered()==false;反之一样