SpringBoot Shiro 入门及源码

一、前言

SpringBoot + Shiro + Mybatis

最基本的功能已经实现,并且还实现了互斥登陆、动态刷新权限。

能力有限,目前也仅仅只是一个API调用师。参考了大量的教程,实际操作起来还是遇到了很多坑的。

网上的教程一搜一大把,我这里就只挑部分进行整理,先学会怎么用,能够照着教程实现出来,然后再去详细了解其原理,加深理解。

源码放在了最后,各位可自行下载。

二、Shiro是什么

Shiro是一个安全、强大、灵活、开源、易用的Java安全框架。主要用于认证、授权、加密、会话管理。与Spring Security相比,它更简单易用,是一个轻量级的框架。

三、Shiro能做什么

  • 认证:即“登陆”。
  • 权限控制:比如,用户有怎样的权限,能够进行哪些操作
  • 单点登陆
  • 等等

四、Shiro的整体框架

ApplicationCode为客户端,在项目中即为Controller,我们只需要创建一个Subject对象,调用其上的login()方法,即可完成登录。

  • Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
  • SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,可以看成DispatcherServlet前端控制器;
  • Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

五、Shiro的验证流程

整个流程就是在客户端调用Subject对象的login方法,里面传入一个参数token,这个token就是前端用户输入的账号密码,封装成token对象传入即可,底层还是SecurityManager调用认证器(第三步),在认证器中选择具体认证策略(第四步),最后去Realms(数据源)中验证用户是否存在等等。

六、相关代码

看到这,可能有人还是搞不懂为什么要使用Shiro,我举个简单的例子,相信大家一定会有所共鸣。

假设有个在线阅读系统,有三种用户:普通用户,只能够阅读免费内容,付费内容只能试看;VIP用户,能够阅读所有内容;管理员用户,能够上传、管理等。

问题来了,用户登陆之后,如何区分用户?如何展示对应的资源?

最常见的应该是这种写法:

if(user.getPermission() == 1){ 
    //管理员登陆 
}else if(user.getPermission() == 2){ 
    //普通用户登陆 
}else if(user.getPermission() == 3){ 
    //VIP用户登陆
 }

目前只有三个角色,那以后再加一个角色呢?再或者,我需要提供更细粒度的权限控制,比如:新增一个超级管理员身份,能够进行增删改查;管理员身份只能改查,那又该如何处理?继续用if else吗?

这显然是不现实的,这个时候,就轮到Shiro登场了。

只贴值得注意的部分

隐藏内容,您需要满足以下条件方可查看
End

人已赞赏
软件工具

知网免费下载

2019-12-20 22:38:38

Java编程语言

Springboot WebSocket 入门及源码

2019-11-26 21:17:28

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
今日签到
有新私信 私信列表
搜索