Menggunakan Shiro untuk pengesahan dalam pembangunan API Java

Dalam pembangunan Java, keselamatan aplikasi adalah penting. Shiro ialah rangka kerja keselamatan Java yang berkuasa dan mudah digunakan yang boleh digunakan untuk melaksanakan fungsi keselamatan seperti pengesahan, kebenaran, penyulitan dan pengurusan sesi. Dalam artikel ini, kami akan memperkenalkan cara menggunakan Shiro untuk pengesahan dalam pembangunan API Java.

1. Mula

Sebelum menggunakan Shiro, kita perlu membuat beberapa tetapan asas. Kita boleh menggunakan Maven untuk menambah kebergantungan Shiro. Tambahkan kod berikut dalam pom.xml projek:

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.7.1</version>
</dependency>

2. Konsep asas Shiro

Apabila menggunakan Shiro, kita perlu memahami beberapa konsep asas. Berikut ialah beberapa konsep penting:

Pengesahan: Pengesahan ialah proses mengesahkan identiti pengguna. Di Shiro, kami boleh mengesahkan melalui nama pengguna dan kata laluan.

Keizinan: Keizinan ialah proses mengesahkan bahawa pengguna mempunyai kebenaran yang mencukupi untuk melaksanakan operasi. Dalam Shiro, kita boleh menggunakan peranan dan kebenaran untuk kebenaran.

Pengurusan sesi: Sesi merujuk kepada proses interaksi dengan pelayan Ia boleh menjadi proses permintaan dan tindak balas, atau sejumlah besar proses interaksi pada pelayan. Shiro menyediakan fungsi pengurusan sesi untuk mengurus kitaran hayat sesi pengguna.

Penyulitan: Penyulitan merujuk kepada penyulitan kata laluan pengguna dan maklumat sensitif lain. Shiro menyediakan pelbagai algoritma pencincangan dan penyulitan untuk menyulitkan maklumat pengguna dengan mudah.

3. Mengkonfigurasi Shiro

Apabila menggunakan Shiro, kita perlu mengkonfigurasi dasar keselamatan Shiro terlebih dahulu. Ini boleh dicapai dengan menetapkan perkara berikut dalam fail konfigurasi Shiro:

securityManager.realms = $myRealm
securityManager.sessionManager = $sessionManager
sessionManager.globalSessionTimeout = 86400000

Dalam konfigurasi di atas, kami menggunakan myRealm sebagai dasar keselamatan Shiro. Kami juga menetapkan tamat masa sesi global kepada satu hari (24 jam).

Selain itu, kami juga perlu mengisytiharkan komponen lain dalam fail konfigurasi Shiro, seperti AuthenticatingRealm, CredentialsMatcher, dsb. Berikut ialah contoh fail konfigurasi:

[main]
# Shiro提供的默认的会话管理器实现
sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
# 自定义的会话DAO，实现了会话保存、更新、删除
sessionDAO = org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
securityManager.sessionManager = $sessionManager
securityManager.sessionManager.sessionDAO = $sessionDAO

# 使用自定义的Realm实现
myRealm = com.example.MyRealm
securityManager.realms = $myRealm

# 加密配置
credentialsMatcher = org.apache.shiro.authc.credential.Sha256CredentialsMatcher
# 密码加密的次数
credentialsMatcher.hashIterations = 1024
myRealm.credentialsMatcher = $credentialsMatcher

4. Sahkan Pengguna

Selepas mengkonfigurasi Shiro, kami kini boleh mula menulis kod untuk mengesahkan pengguna. Kita boleh menggunakan objek UsernamePasswordToken yang disediakan oleh Shiro untuk mengesahkan pengguna. Berikut ialah contoh kod:

// 在应用程序中创建一个SecurityUtils实例
SecurityUtils securityUtils = new SecurityUtils();

// 创建一个Subject对象，表示当前用户的身份
Subject currentUser = securityUtils.getSubject();

// 创建一个UsernamePasswordToken对象，表示用户输入的用户名和密码
UsernamePasswordToken token = new UsernamePasswordToken("username", "password");
try {
    // 调用Subject的login方法进行认证
    currentUser.login(token);
    // 认证成功后，我们可以执行必要的操作，如重定向到受保护的页面
    // ...
} catch (UnknownAccountException | IncorrectCredentialsException e) {
    // 当认证失败时，抛出异常，我们可以根据不同的异常类型做出不同的响应
    // ...
}

Dalam kod di atas, kami mencipta objek Subjek yang mewakili identiti pengguna semasa. Kami kemudian mencipta objek UsernamePasswordToken yang mewakili nama pengguna dan kata laluan yang dimasukkan oleh pengguna. Akhir sekali, kami memanggil kaedah log masuk Subjek untuk mengesahkan pengguna. Jika pengesahan pengguna gagal, pengecualian yang sesuai akan dilemparkan. Jika pengesahan pengguna berjaya, mereka boleh meneruskan operasi lain.

5. Melaksanakan kebenaran

Selepas mengesahkan pengguna, kami boleh menggunakan fungsi kebenaran Shiro untuk mengawal akses pengguna kepada sumber sistem. Keizinan boleh dicapai melalui peranan dan kebenaran. Berikut ialah contoh kod:

// 在应用程序中创建一个SecurityUtils实例
SecurityUtils securityUtils = new SecurityUtils();

// 创建一个Subject对象，表示当前用户的身份
Subject currentUser = securityUtils.getSubject();

// 检查用户是否具有角色
if (currentUser.hasRole("admin")) {
    // 用户具有管理员角色，可以执行管理员特权操作
    // ...
} else {
    // 用户不是管理员，不能执行管理员特权操作
    // ...
}

// 检查用户是否具有权限
if (currentUser.isPermitted("user:read")) {
    // 用户具有读取用户信息的权限，可以查看用户信息
    // ...
} else {
    // 用户没有相应的读取权限，不能查看用户信息
    // ...
}

Dalam kod di atas, kami menggunakan kaedah hasRole untuk menentukan sama ada pengguna mempunyai peranan. Kami menggunakan kaedah isPermitted untuk menentukan sama ada pengguna mempunyai kebenaran. Jika pengguna mempunyai peranan atau kebenaran yang sepadan, dia boleh melakukan operasi yang sepadan.

6. Kesimpulan

Menggunakan Shiro untuk pengesahan boleh menjadikan pembangunan API Java lebih selamat. Shiro menyediakan fungsi pengesahan, kebenaran, penyulitan dan pengurusan sesi. Kami boleh menggunakan Shiro untuk mengesahkan pengguna, membenarkan pengguna mengakses sumber sistem dan menyulitkan maklumat pengguna. Dengan menggunakan Shiro, kami boleh meningkatkan keselamatan dan kebolehpercayaan aplikasi kami dengan mudah.

Atas ialah kandungan terperinci Menggunakan Shiro untuk pengesahan dalam pembangunan API Java. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!