SpringBoot:集成Shiro之简述篇

作者 : 开心源码 本文共1969个字,预计阅读时间需要5分钟 发布时间: 2022-05-12 共138人阅读

前言


想要在SpringBoot 2.0 快速集成Shiro框架,简述篇可以省略跳过.

尽管近来一直在做游戏,但是涉及到后端问题,而且我不在想使用SpringMVC框架来架构本次游戏过程,所以就用SpringBoot 2.0来架构游戏后端,因为涉及到后端管理系统权限的问题,因为以前在SpringMVC中就一直集成shiro框架做权限管理(没有深入研究,当时做的CV战士),所以这次仍然打算用Shiro框架.而后顺道把它的实现原理以及用过程做少量记录.

Shiro框架简介


Apache Shiro 是Java中的一个简单易上手,容易进行扩展的权限校验框架.相比于Spring Security ( PS:未具体研究Spring Security ) 而言,Shiro显得更加的轻巧.当然了,轻巧的同时,也就意味着功能要比Spring Security框架要少的多.但是已经能满足我日常开发所需了,所以就用它了,合适才是最好的.

想要研究其原理,那就先把它的API研究好,我们首先看一下下面的这一张图,非常的经典,由于它能概述Shiro框架大部分的功能点.

上图对Shiro框架功能方面有这个很好的解释.接下来,我们就说一下每一个功能点都有什么的作使用以及使用途.
其中图中的Primary Concerns部分是整个Shiro框架的基础,四个板块分别代表着身份验证、受权、回话管理、加密.

  • Authentication:身份认证/登录,验证使用户是不是拥有相应的身份;

  • Authorization:受权,即权限验证,验证某个已认证的使用户能否拥有某个权限;即判断使用户能否能做事情,常见的如:验证某个使用户能否拥有某个角色。或者者细粒度的验证某个使用户对某个资源能否具备某个权限;

  • Session Manager:会话管理,即可使用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

当然了,图中的 Supporting Features板块则是说明Shiro框架还具备其余的扩展功能. 下面分别来详情一下它的扩展功能.

  • Web Support:Web支持,可以非常容易的集成到Web环境;

  • Caching:缓存,比方使用户登录后,其使用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

  • Concurrency:shiro支持多线程应使用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

  • Testing:提供测试支持;

  • Run As:允许一个使用户伪装为另一个使用户(假如他们允许)的身份进行访问;

  • Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不使用登录了。

Shiro验证受权流程


在搞Shiro框架之前,我们先来看一张关于Shiro权限校验的流程图.

其实在什么服务器语言之中都存在着权限校验这种问题,那么其中就存在了三个最终的部分,分别是SubjectSecurityManagerRealm三个部分.下面我就来说说这个三个部分在权限验证过程分别起着什么样的作使用.

  • Subject :主体,既可以代表使用户,也可以代表程序(网络爬虫等),它需要访问系统,系统则需要对其进行认证和受权,可以看到主体可以是任何可以与应使用交互的“使用户”。

  • SecurityManager :安全管理,使用户请求Url,对应于一个Subject对象,由SecurityManager统一对Subject进行认证和受权(父)。

  • Realm : 使用于存储验证数据的数据库.是验证Subject权限的重要凭证.

上面说的还是挺复杂的,接下来我们就简化一下过程(带有肯定的代码逻辑部分),来看一下Shiro究竟是如何对使用户进行认证的.

上图的过程可以使用文字这么来表述,通过前台或者者手机端传入的使用户信息,包含使用户账号和使用户凭证(使用户密码),而后组成UserNamePasswordToken,也就是主体部分.而后把主体部分传入Security Manager板块中.首先,Security Manager板块会根据Token信息去查询Realm,查看能否存在该使用户信息,假如不存在抛出使用户不存在异常,假如存在进行下一步操作,那就是比对使用户凭证信息,这一步也是需要查看Realm中的使用户信息,假如Token中的使用户凭证和Realm中的使用户凭证一致,那么验证通过,否则验证失败.

结语


集成Shiro的过程还是比较简单,但是对新手的我还是有坑的,所以有必要研究一下Shiro的内部实现过程.下一篇将来说一下假如用INI文件进行Shiro的受权验证.关于Java方面不是太懂,欢迎在评论区批评指导.谢谢大家.

参考博客

说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » SpringBoot:集成Shiro之简述篇

发表回复