前几篇文章讲解了关于信息安全的另一框架Spring security ，今天趁热打铁基础的了解以下shiro这一框架。

什么是shiro？

Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

关于shiro框架的几个关键组件

1、Subject
即“当前操作用户”。但是，在 Shiro 中，Subject 这一概念并不仅仅指人，也可以是第三方进程、后台帐户（Daemon Account）或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。Subject 代表了当前用户的安全操作，SecurityManager 则管理所有用户的安全操作。

2、SecurityManager
它是Shiro 框架的核心，典型的 Facade 模式，Shiro 通过 SecurityManager 来管理内部组件实例，并通过它来提供安全管理的各种服务。

3、Realm
Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro 会从应用配置的 Realm 中查找用户及其权限信息。从这个意义上讲，Realm 实质上是一个安全相关的 DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给 Shiro。当配置 Shiro 时，你必须至少指定一个 Realm，用于认证和（或）授权。配置多个 Realm 是可以的，但是至少需要一个。Shiro 内置了可以连接大量安全数据源（又名目录）的 Realm，如 LDAP、关系数据库（JDBC）、类似 INI 的文本配置资源以及属性文件等。如果缺省的 Realm 不能满足需求，你还可以插入代表自定义数据源的自己的 Realm 实现。
 

一张图总结关于shiro框架的实现流程

 流程：

1：用户登录，UsernamePasswordToken 这个类会将用户登录信息封装起来，生成Token（令牌）

2：subject会把生成的令牌交给securityManager(安全管理器）

3：安全管理器会把Token交给认证器

4：认证器会将Token分解开来，分成账号和密码，并通过Relam这个桥梁向数据库进行求证

5：数据库会将用户信息封装成info对象，与认证器获取的账户和密码进行认证

6：认证通过，则允许此用户继续下一个操作，认证失败，则返回到登录界面重新进行登录。

案例：通过shiro框架实现用户的认证

一：环境搭建

创建一个新的spring boot项目，并导入下面依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>2.7.9</version><relativePath/></parent><groupId>com.springboot_shiro</groupId><artifactId>demo</artifactId><version>0.0.1-SNAPSHOT</version><name>demo</name><description>Demo project for Spring Boot</description><properties><java.version>14</java.version></properties>
<!--    web环境依赖--><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId></dependency>
<!--        thymeleaf依赖实现数据的传递--><dependency><groupId>org.thymeleaf</groupId><artifactId>thymeleaf-spring5</artifactId></dependency><dependency><groupId>org.thymeleaf.extras</groupId><artifactId>thymeleaf-extras-java8time</artifactId></dependency>
<!--        导入shiro与spring的集成--><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.10.0</version></dependency></dependencies><build><plugins><plugin><groupId>org.springframework.boot</groupId><artifactId>spring-boot-maven-plugin</artifactId></plugin></plugins></build></project>

二：简单的创建静态资源文件

 内容简单，重要的学习方法

三：创建controller类：实现网页的访问

package com.springboot_shiro.controller;import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;@Controller
public class controller1 {//索引网页的设置@RequestMapping("/")public String Toindex(Model model){return "index";}//add网页@RequestMapping("/add")public String add(){return "add";}//update网页@RequestMapping("/update")public String update(){return "update";}//登录界面@RequestMapping("/tologin")public String login(){return "login";}//登录界面form表格进行提交，提交到这@RequestMapping("/get")public String getword(String username,String password,Model model){//组件一：subjectSubject subject = SecurityUtils.getSubject();//将用用户名和密码进行加密UsernamePasswordToken Token = new UsernamePasswordToken(username, password);//通过subject将Token交给securitymanager进行验证try {subject.login(Token);      //验证通过，跳转到index网页return "index";}catch (UnknownAccountException e){     //出现用户名错误model.addAttribute("msg","用户名输入错误");  //通过model类进参数的传递return "login";}catch (IncorrectCredentialsException e){ //出现密码错误model.addAttribute("msg","密码输入错误");return "login";}}
}

四：自定义实现认证流程

package com.springboot_shiro.Myconfig;import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;import java.util.LinkedHashMap;
import java.util.Map;@Configuration
public class config1 {//定义认证流程过程中需要的程序
//    shiroFilterFactoryBean组件可以实现指定网页的拦截，并为文件的访问设置权限@Beanpublic ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager FactoryBean){ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();shiroFilterFactoryBean.setSecurityManager(FactoryBean);//拦截请求Map<String,String> map = new LinkedHashMap<>();//权限设置：当访问/add这个网页要先进行登录map.put("/add","authc");//访问/update则不需要进行任何操作，直接可以进行访问map.put("/update","anon");shiroFilterFactoryBean.setFilterChainDefinitionMap(map);shiroFilterFactoryBean.setLoginUrl("/tologin");return shiroFilterFactoryBean;}//对内部的组件进行管理@Beanpublic DefaultWebSecurityManager securityManager(@Qualifier("realm") Realm realm){DefaultWebSecurityManager SecurityManager = new DefaultWebSecurityManager();SecurityManager.setRealm(realm());return SecurityManager;}//用户验证的桥梁，实现用户的认证信息的确认@Beanpublic Realm realm(){return new Realm();}
}

五：配置Realm：自定义用户的认证和授权

package com.springboot_shiro.Myconfig;import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;public class Realm extends AuthorizingRealm {//授权内容则是在这个接口进行配置@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {System.out.println("执行了授权");return null;}//验证则是在这个接口进行配置//获取subject传递来的参数加密的令牌Token，进行认证//AuthenticationInfo是一个接口：return它的的实现类@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken Token) throws AuthenticationException {System.out.println("执行了验证");String name = "demo1";String password = "123";UsernamePasswordToken token =(UsernamePasswordToken) Token;  //转换if(!token.getUsername().equals(name)){      //用户名的判断System.out.println("kankan");return null;}//密码的验证，在spring boot架构中给一个类SimpleAuthenticationInfo可以自动化进行认证return new SimpleAuthenticationInfo("",password,"");}
}

如果if语句出现问题，则会报UnknownAccountException错误，那么就会执行控制类的这个语句

在Realm定义了一个用户

账户：demo1

密码：123

当用户名输入错误时：

 密码输入错误时

 运行项目

在上述的定义中，定义访问add网页时需要进行认证，update则不需任何的操作就可以进行操作

拦截权限的关键名词：

 项目完整实现流程：

一：索引网页

二：访问update：没有进行认证服务的配置，可以随意访问

三：访问add网页：因为进行了认证服务的设置：网页进行跳转到登录界面

 进行登录完成后：访问成功

 认证服务设置成功