shiro框架学习-2-springboot整合shiro及Shiro认证授权流程

1. 添加依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
                </dependency>
        <dependency>
15             <groupId>org.apache.shiro</groupId>
16             <artifactId>shiro-spring</artifactId>
17             <version>1.4.0</version>
18         </dependency>
                      

2. Shiro认证和授权流程

2.1 常用API:

//是否有对应的角色
subject.hasRole("root")
//获取subject名
subject.getPrincipal()
//检查是否有对应的角色，无返回值，直接在SecurityManager里面进行判断
subject.checkRole("admin")
//检查是否有对应的角色
subject.hasRole("admin")
//退出登录
subject.logout();

2.2 shiro认证流程：

  

 测试代码：

package net.xdclass.xdclassshiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.SimpleAccountRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Before;
import org.junit.Test;

/**
 * shiro认证过程：
 * 1.构造SecurityManager环境
 * 2.调用Subject.login()执行认证
 * 3.SecurityManager进行认证
 * 4.Authenticator执行 认证
 * 5.根据realm进行验证
 */
public class QuicksStratTest {

    /**
     * accountRealm 相当于数据库的作用
     */
    private SimpleAccountRealm accountRealm = new SimpleAccountRealm();

    private DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

    @Before
    public void init() {
        //初始化数据源
        accountRealm.addAccount("lch", "123");
        accountRealm.addAccount("jack", "345");
        //构建环境
        defaultSecurityManager.setRealm(accountRealm);

    }

    @Test
    public void testAuthentication() {
        //设置当前上下文
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //设置当前subject(application应用的user)
        Subject subject = SecurityUtils.getSubject();
        //模拟用户输入
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("lch", "123");
        // 实际是调用securityManager的login方法 Subject subject = this.securityManager.login(this, token);
        subject.login(usernamePasswordToken);
        System.out.println("认证结果(是否已授权)：" + subject.isAuthenticated());  // 打印true


    }
}

上面这个login方法里面 ，会调用认证器对 usernamePasswordToken 中的用户信息进行认证

2.3 shiro授权流程：

测试代码：

package net.xdclass.xdclassshiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.SimpleAccountRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Before;
import org.junit.Test;

/**
 * shiro授权过程及常用API：
 * 1.构造SecurityManager环境
 * 2.Subject执行授权
 * 3.SecurityManager进行认证授权
 * 4.Authenticator执行授权
 * 5.根据realm进行授权验证
 */
public class QuicksStratTest2 {

    /**
     * accountRealm 相当于数据库的作用
     */
    private SimpleAccountRealm accountRealm = new SimpleAccountRealm();

    private DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

    @Before
    public void init() {
        //初始化数据源,入参加入用户角色
        accountRealm.addAccount("lch", "123","root","admin");
        accountRealm.addAccount("jack", "345","user");
        //构建环境
        defaultSecurityManager.setRealm(accountRealm);
    }

    @Test
    public void testAuthentication() {
        //设置当前上下文
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //设置当前subject(application应用的user)
        Subject subject = SecurityUtils.getSubject();
        //模拟用户输入
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("lch", "123");
        // 实际是调用securityManager的login方法 Subject subject = this.securityManager.login(this, token);
        subject.login(usernamePasswordToken);

        System.out.println("认证结果(是否已授权)：" + subject.isAuthenticated()); // 结果：true
        //最终调用的是org.apache.shiro.authz.ModularRealmAuthorizer.hasRole方法
        System.out.println("是否有对应的角色：" + subject.hasRole("root"));   // 结果：true
        //获取登录 账号
        System.out.println("getPrincipal():" + subject.getPrincipal());  // getPrincipal():lch
        subject.logout();
        System.out.println("logout后认证结果：" + subject.isAuthenticated());  //logout后认证结果：false


    }
}

subject.hasRole()方法，实际上是调用SecurityManager的hasRole方法进行权限校验：

SecurityManager的hasRole方法，又是调用authorizer的hasRole方法去校验，

 它有三个实现类：

  测试代码中使用的 SimpleAccountRealm 是继承自 AuthorizingRealm，所以这里我们进入第一个实现类AuthorizingRealm 里面，发现它的授权逻辑如下：