认证与Shiro安全框架

摘要:
Shiro的主要功能是管理应用程序中与安全相关的所有内容。Shiro基于完美的界面驱动设计和面向对象的原则,如认证、授权、加密、会话管理、Web集成、缓存等;或者细粒度验证用户是否对资源具有特定权限;无需每次检查其用户信息和角色/权限。从外部角度来看,它应该有一个非常简单易用的API,也就是说,从应用程序的角度来看,观察如何使用Shiro来完成工作。

 

本文内容均来自官网

1.简介

Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。

实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成与其他安全框架同样的功能,这不也是我们一直努力想要得到的吗!

Apache Shiro相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。

Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。这不就是我们想要的嘛,而且Shiro的API也是非常简单;其基本功能点如下图所示:

认证与Shiro安全框架第1张

Authentication身份认证/登录,验证用户是不是拥有相应的身份;

Authorization授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

Cryptography加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web SupportWeb支持,可以非常容易的集成到Web环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

Concurrencyshiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

Testing提供测试支持;

Run As允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

记住一点,Shiro不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro即可。

接下来我们分别从外部和内部来看看Shiro的架构,对于一个好的框架,从外部来看应该具有非常简单易于使用的API,且API契约明确;从内部来看的话,其应该有一个可扩展的架构,即非常容易插入用户自定义实现,因为任何框架都不能满足所有需求。

首先,我们从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图:

认证与Shiro安全框架第2张

可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:

Subject主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm域,Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

也就是说对于我们而言,最简单的一个Shiro应用:

1、应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManager;

2、我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。

从以上也可以看出,Shiro不提供维护用户/权限,而是通过Realm让开发人员自己注入。

接下来我们来从Shiro内部来看下Shiro的架构,如下图所示:

认证与Shiro安全框架第3张

Subject主体,可以看到主体可以是任何可以与应用交互的“用户”;

SecurityManager相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;

Authrizer授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;

Realm可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;

SessionManager如果写过Servlet就应该知道Session的概念,Session呢需要有人去管理它的生命周期,这个组件就是SessionManager;而Shiro并不仅仅可以用在Web环境,也可以用在如普通的JavaSE环境、EJB等环境;所有呢,Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据;这样的话,比如我们在Web环境用,刚开始是一台Web服务器;接着又上了台EJB服务器;这时想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到Memcached服务器);

SessionDAODAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;比如想把Session放到Memcached中,可以实现自己的Memcached SessionDAO;另外SessionDAO中可以使用Cache进行缓存,以提高性能;

CacheManager缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能

Cryptography密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。

2.过滤器和权限拦截器

过滤器简称

对应的java类

anon

org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter

logout

org.apache.shiro.web.filter.authc.LogoutFilter

3.前端Shiro标签

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe时

<shiro:user>

用户在RememberMe时

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal>

默认显示用户名称

4.Spring security和Apache shiro差别

shiro配置更加容易理解,容易上手;security配置相对比较难懂。

在spring的环境下,security整合性更好。Shiro对很多其他的框架兼容性更好,号称是无缝集成。

shiro 不仅仅可以使用在web中,它可以工作在任何应用环境中。

在集群会话时Shiro最重要的一个好处或许就是它的会话是独立于容器的。

Shiro提供的密码加密使用起来非常方便。

5.控制精度

Shiro也支持注解方式。

注解方式控制权限只能是在方法上控制,无法控制类级别访问。

过滤器方式控制是根据访问的URL进行控制。允许使用*匹配URL,所以可以进行粗粒度,也可以进行细粒度控制。

6.Shiro具体应用

6.1.导入jar包

 <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>${shiro.version}</version>
 </dependency>

6.2.过滤器的配置

虽然需要配置10个过滤器,但是使用的时候只需要在web.xml中配置一个就可以(DelegatingFulterProxy),具体配置如下

 1    <!-- Shiro Security filter  filter-name这个名字的值将来还会在spring中用到  -->
 2    <filter>
 3         <filter-name>shiroFilter</filter-name>
 4         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
 5         <init-param>
 6             <param-name>targetFilterLifecycle</param-name>
 7             <param-value>true</param-value>
 8         </init-param>
 9     </filter>
10     <filter-mapping>
11         <filter-name>shiroFilter</filter-name>
12         <url-pattern>/*</url-pattern>
13     </filter-mapping>
14     

6.3.Shiro配置文件

 1 <?xml version="1.0" encoding="UTF-8"?>
 2 <beans xmlns="http://www.springframework.org/schema/beans"  
 3     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"       
 4     xmlns:p="http://www.springframework.org/schema/p"  
 5     xmlns:context="http://www.springframework.org/schema/context"   
 6     xmlns:tx="http://www.springframework.org/schema/tx"  
 7     xmlns:aop="http://www.springframework.org/schema/aop"  
 8     xsi:schemaLocation="http://www.springframework.org/schema/beans    
 9     http://www.springframework.org/schema/beans/spring-beans.xsd    
10     http://www.springframework.org/schema/aop    
11     http://www.springframework.org/schema/aop/spring-aop.xsd    
12     http://www.springframework.org/schema/tx    
13     http://www.springframework.org/schema/tx/spring-tx.xsd    
14     http://www.springframework.org/schema/context    
15     http://www.springframework.org/schema/context/spring-context.xsd">
16     
17     <description>Shiro的配置文件</description>
18     
19     <!-- SecurityManager配置 -->
20     <!-- 配置Realm域 -->
21     <!-- 密码比较器 -->
22     <!-- 代理如何生成? 用工厂来生成Shiro的相关过滤器-->
23     <!-- 配置缓存:ehcache缓存 -->
24     <!-- 安全管理 -->
25     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
26         <!-- Single realm app.  If you have multiple realms, use the 'realms' property instead. -->
27         <property name="realm" ref="authRealm"/><!-- 引用自定义的realm -->
28         <!-- 缓存 -->
29         <property name="cacheManager" ref="shiroEhcacheManager"/>
30     </bean>
31 
32     <!-- 自定义权限认证 -->
33     <bean id="authRealm" class="cn.itcast.jk.shiro.AuthRealm">
34         <property name="userService" ref="userService"/>
35         <!-- 自定义密码加密算法  -->
36         <property name="credentialsMatcher" ref="passwordMatcher"/>
37     </bean>
38     
39     <!-- 设置密码加密策略 md5hash -->
40     <bean id="passwordMatcher" class="cn.itcast.jk.shiro.CustomCredentialsMatcher"/>
41 
42     <!-- filter-name这个名字的值来自于web.xml中filter的名字 -->
43     <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
44         <property name="securityManager" ref="securityManager"/>
45         <!--登录页面  -->
46         <property name="loginUrl" value="/index.jsp"></property>
47         <!-- 登录成功后 -->      
48         <property name="successUrl" value="/home.action"></property>
49         <property name="filterChainDefinitions">
50             <!-- /**代表下面的多级目录也过滤 -->
51             <value>
52                 /index.jsp* = anon
53                 /home* = anon
54                 /sysadmin/login/login.jsp* = anon
55                 /sysadmin/login/logout.jsp* = anon
56                 /login* = anon
57                 /logout* = anon
58                 /components/** = anon
59                 /css/** = anon
60                 /images/** = anon
61                 /js/** = anon
62                 /make/** = anon
63                 /skin/** = anon
64                 /stat/** = anon
65                 /ufiles/** = anon
66                 /validator/** = anon
67                 /resource/** = anon
68                 /** = authc
69                 /*.* = authc
70             </value>
71         </property>
72     </bean>
73 
74     <!-- 用户授权/认证信息Cache, 采用EhCache  缓存 -->
75     <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
76         <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>
77     </bean>
78 
79     <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
80     <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
81 
82     <!-- 生成代理,通过代理进行控制 -->
83     <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
84           depends-on="lifecycleBeanPostProcessor">
85         <property name="proxyTargetClass" value="true"/>
86     </bean>
87     
88     <!-- 安全管理器 -->
89     <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
90         <property name="securityManager" ref="securityManager"/>
91     </bean>
92     
93     
94 </beans>

6.4自定义密码比较器

密码比较器,用于用户登录身份验证,用md5加密

 1 /**
 2  * 密码比较器:规范是extends SimpleCredentialsMatcher 
 3  * @author Administrator
 4  *
 5  */
 6 public class CustomCredentialsMatcher extends SimpleCredentialsMatcher {
 7 
 8     /**
 9      * 重写父类的密码比较的方法
10      * 比较的算法:
11      *     1.接收用户在密码框输入的明文
12      *     2.使用Md5Hash算法进行加密 
13      *     3.获取数据库中的加密的密码进行比较
14      *     
15      *     第一个参数token:代表用户在界面上输入的用户名和密码
16      *     第二个参数info:它内部会包含数据库中的密码(当前用户加密后的密码)
17      *     
18      *     返回值:如果返回true代表密码验证成功,如果返回false代表密码比对失败,失败后程序就会出现异常
19      *     
20      */
21     public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
22         //1.向下转型
23         UsernamePasswordToken upToken = (UsernamePasswordToken) token;
24         
25         //2.获取用户名或密码
26         String username = upToken.getUsername();
27         //获取密码并使用Md5Hash算法进行加密 
28         String inputPwdEncrypt = Encrypt.md5(new String(upToken.getPassword()), username);
29         
30         //3.获取数据库中的加密的密码
31         String dbPwd = info.getCredentials().toString();
32         
33         return equals(inputPwdEncrypt, dbPwd);
34     }
35 
36 }

 6.5编写自定义realm域

 1 public class AuthRealm extends AuthorizingRealm {
 2     private UserService userService;
 3     public void setUserService(UserService userService) {
 4         this.userService = userService;
 5     }
 6 
 7     //授权   第一个参数PrincipalCollection:Principal的集合,其实它里面放了一个用户的信息
 8     /**
 9      * 当jsp页面碰到shiro标签时,就会自动这个方法
10      */
11     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
12         //1.从Shiro中取出当前认证的用户对象
13         User user = (User)pc.fromRealm(this.getName()).iterator().next();
14         
15         //2.获取用户的相关权限,首先要去找到角色
16         Set<Role> roles = user.getRoles();//对象导航
17         
18         List<String> permissions = new ArrayList<String>();//产生一个用于保存模块列表的集合 
19         //3.遍历集合
20         for(Role role :roles){
21             //得到每个角色对象
22             Set<Module> modules = role.getModules();//对象导航,得到这个角色下面的模块列表
23             
24             for(Module module :modules){
25                 //可以取到每个模块
26                 permissions.add(module.getCpermission());
27             }
28         }
29         
30         //产生一个返回值的对象
31         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
32         info.addStringPermissions(permissions);
33         
34         return info;
35     }
36 
37     //认证   第一个参数token:代表用户在界面上输入的用户名和密码    AuthenticationInfo
38     //如果函数返回null,程序也会抛出异常    如果正常程序就会自动进入到密码比较器
39     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
40         
41         //1.向下转型
42         UsernamePasswordToken upToken = (UsernamePasswordToken) token;
43                 
44         //2.获取用户名
45         String username = upToken.getUsername();
46         
47         //3.根据用户名查询数据库
48         List<User> userList = userService.find("from User where userName=?" , User.class, new String[]{username});
49         
50         if(userList!=null && userList.size()>0){
51             User user = userList.get(0);
52             //第一个参数:代表用户的实体对象             第二个参数credentials:密码       第三个参数:relam的名字
53             return new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
54         }
55         return null;
56     }
57 
58 }

 6.6.登录操作

 1 public class LoginAction extends BaseAction {
 2 
 3     private static final long serialVersionUID = 1L;
 4 
 5     private String username;
 6     private String password;
 7 
 8 
 9 
10     //SSH传统登录方式
11     public String login() throws Exception {
12         
13 //        if(true){
14 //            String msg = "登录错误,请重新填写用户名密码!";
15 //            this.addActionError(msg);
16 //            throw new Exception(msg);
17 //        }
18 //        User user = new User(username, password);
19 //        User login = userService.login(user);
20 //        if (login != null) {
21 //            ActionContext.getContext().getValueStack().push(user);
22 //            session.put(SysConstant.CURRENT_USER_INFO, login);    //记录session
23 //            return SUCCESS;
24 //        }
25 //        return "login";
26         
27         
28         
29         if(UtilFuns.isEmpty(username)){
30             return "login";
31         }
32         
33         try {
34             //1.得到Subject
35             Subject subject =SecurityUtils.getSubject();
36             
37             //2.调用它的登录方法
38             UsernamePasswordToken token = new UsernamePasswordToken(username,password);
39             subject.login(token);
40             
41             //3.取出Shiro中保存的用户信息
42             User user = (User) subject.getPrincipal();
43             
44             //4.将用户信息保存到session中
45             session.put(SysConstant.CURRENT_USER_INFO, user);
46             
47             
48             return SUCCESS;
49         } catch (Exception e) {
50             e.printStackTrace();
51             request.put("errorInfo", "登录失败,用户名或密码错误!");
52             return "login";
53         }
54     }
55     
56     
57     //退出
58     public String logout(){
59         session.remove(SysConstant.CURRENT_USER_INFO);        //删除session
60         
61         SecurityUtils.getSubject().logout();
62         return "logout";
63     }
64 
65     public String getUsername() {
66         return username;
67     }
68 
69     public void setUsername(String username) {
70         this.username = username;
71     }
72 
73     public String getPassword() {
74         return password;
75     }
76 
77     public void setPassword(String password) {
78         this.password = password;
79     }
80 
81 }

6.7.Shiro过程详解

  • 登录过程

认证与Shiro安全框架第4张

  • 授权过程

认证与Shiro安全框架第5张

  • 整体分析过程:

认证与Shiro安全框架第6张

 

免责声明:文章转载自《认证与Shiro安全框架》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇十三.Java中的泛型和枚举Could not obtain connection to query metadata : An attempt by a client to checkout a Connection has timed out.]下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

写了个用jquery控制select只读(select选项可以供用户查看但不能改变初始选中值)

转载自: http://www.cnblogs.com/case/articles/1864500.html <scripttype="text/javascript"src="http://ajax.googleapis.com/ajax/libs/jquery/1.4/jquery.min.js"></script> &...

shiro细节、默认的过滤器、匹配模式和顺序

部分细节 [urls] 部分的配置,其格式是:“url=拦截器[参数],拦截器[参数]”; 如果当前请求的url匹配[urls] 部分的某个url模式,将会执行其配置的拦截器。 anon(anonymous)拦截器表示匿名访问(即不需要登录即可访问) authc(authentication)拦截器表示需要身份认证通过后才能访问 shiro中默认的过滤...

如何使用Docker构建开发环境

我们在开发中都会遇到这样的问题:在本地开发好功能后,部署到服务器,或者其他人拉到本地接着开发时,会出现功能无法使用的情况。 这些异常情况,大多数时候是因为系统不同而导致的依赖差异。因此,为了解决这个问题,就产生基于 Docker 构建统一开发环境的需求。 有关 docker 的基本知识,可以参照 docker教程。 1. 使用 Docker 的好处 部...

17用户身份管理

一. 用户身份概述 设计Linux系统的初衷之一就是为了满足多个用户同事工作的需求,因此LInux系统必须具备很好的安全性。 1.用户ID——UID 在RHEL7系统中,用户身份有如下这些: 管理员UID为0:系统的管理员用户。 系统用户UID为1——999: Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器,默认服务程序会有独立的系统...

积少成多Flash(7) ActionScript 3.0 交互之鼠标事件和键盘事件

[索引页][源码下载]积少成多Flash(7) - ActionScript 3.0 交互之鼠标事件和键盘事件 作者:webabcd介绍演示使用 Flash ActionScript 3.0 来监听用户的键盘事件和鼠标事件,并对其作相应的处理 键盘事件 - 在 flash.events.KeyboardEvent 类下。只有两个事件类型 Keyboard...

layui--入门(helloWorld)

具体可参考官方文档:https://www.layui.com/doc/ 由于引入layui 需要用到node.js 安装过程可参考: https://www.cnblogs.com/liuchenxing/p/8036384.html layui--入门(helloWorld)  1.首先官网首页下载 layui  https://www.layui.c...