学习了shiro分析下源码

从官网可以知道shiro的构成，核心:Subject，SecurityManager，Realm

Realm中的核心Authorization（用于做权限配置）和Authentication（用于做身份认证），两个单词很接近但意义不同

SecurityManager是核心用来管理个个组件

网上可以找一大堆配置shiro的文件这里就不贴了，来写一下整个过程是怎么进行的

首先是配置：

配置自定义Ream 

public class MyShiroRealm extends AuthorizingRealm {    @Resource    private UserInfoService userInfoService;    @Override    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {        System.out.println("权限配置-->MyShiroRealm.doGetAuthorizationInfo()");        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();        UserInfo userInfo  = (UserInfo)principals.getPrimaryPrincipal();        for(SysRole role:userInfo.getRoleList()){            authorizationInfo.addRole(role.getRole());            for(SysPermission p:role.getPermissions()){                authorizationInfo.addStringPermission(p.getPermission());            }        }        return authorizationInfo;    }    /*主要是用来进行身份认证的，也就是说验证用户输入的账号和密码是否正确。*/    @Override    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)            throws AuthenticationException {        System.out.println("MyShiroRealm.doGetAuthenticationInfo()");        //获取用户的输入的账号.        String username = (String)token.getPrincipal();        System.out.println(token.getCredentials());        //通过username从数据库中查找 User对象，如果找到，没找到.        //实际项目中，这里可以根据实际情况做缓存，如果不做，Shiro自己也是有时间间隔机制，2分钟内不会重复执行该方法        UserInfo userInfo = userInfoService.findByUsername(username);        System.out.println("----->>userInfo="+userInfo);        if(userInfo == null){            return null;        }        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(                userInfo, //用户名                userInfo.getPassword(), //密码                ByteSource.Util.bytes(userInfo.getCredentialsSalt()),//salt=username+salt                getName()  //realm name        );        return authenticationInfo;    }}

 

 实现 AuthorizingRealm，实现权限配置和用户认证，注意下身份认证中 SimpleAuthenticationInfo 的四个参数

 

principal 和 realmName相当于创建了一个 SimplePrincipalCollection ，并在其中的 realmPrincipals中添加了key是realmName value是principal 

hashedCredentials 是用来判断密码的正确性 ， credentialsSalt是为了确保在密码一致的情况下还可以进行唯一性验证（比如admin和test的密码都是123，如何确定当前的密码123是admin还是test就是靠credentialsSalt）

 

我们再来看下继承类AuthorizingRealm 的配置

还可以进行配置credentialsMatcher（用于进行密码加密），authenticationCache（缓存）

credentialsMatcher是个借口看下他的实现

我们可以使用 HashedCredentialsMatcher 

配置一个bean

 

配置到自定义realm里面

我们的自定义realm就完成了，然后把realm注册到SecurityManager，把SecurityManager注入到ShiroFilterFactoryBean，我们的shiro就配置完成了

 

@Bean    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {        System.out.println("ShiroConfiguration.shirFilter()");        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();        shiroFilterFactoryBean.setSecurityManager(securityManager);        //拦截器.        Map
     
       filterChainDefinitionMap = new LinkedHashMap
      
       ();        // 配置不会被拦截的链接 顺序判断        filterChainDefinitionMap.put("/static/**", "anon");        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了        filterChainDefinitionMap.put("/logout", "logout");        //
       :这是一个坑呢，一不小心代码就不好使了;        //
               filterChainDefinitionMap.put("/**", "authc");        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面        shiroFilterFactoryBean.setLoginUrl("/login");        // 登录成功后要跳转的链接        shiroFilterFactoryBean.setSuccessUrl("/index");        Map
       
         filters = new LinkedHashMap<>();    filters.put("authc",FormAuthenticationFilter());        //未授权界面;        shiroFilterFactoryBean.setUnauthorizedUrl("/403");        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);    shiroFilterFactoryBean.setFilters(filters);        return shiroFilterFactoryBean;    }    @Bean    public SecurityManager securityManager(){        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();        securityManager.setRealm(myShiroRealm());        return securityManager;    }