文章目录
一:什么是Shiro框架
Shiro是一个轻量级的权限框架,它可以帮助我们完成:认证、授权、会话管理、与Web继承、缓存等功能。它有以下几个特点:
易于使用:易于使用是该项目的最终目标。全面:Apache Shiro声称没有其他具有范围广度的安全框架,因此它可能是满足安全需求的“一站式服务”。灵活:Apache Shiro可以在任何应用程序环境中工作。虽然它可以在Web,EJB和IoC环境中运行,但不需要它们。Shiro也不要求任何规范,甚至没有很多依赖性。具有Web功能:Apache Shiro具有出色的Web应用程序支持,使您可以基于应用程序URL和Web协议(例如REST)创建灵活的安全策略,同时还提供一组JSP库来控制页面输出。可插拔:Shiro干净的API和设计模式使它易于与许多其他框架和应用程序集成。您会看到Shiro与Spring,Grails,Wicket,Tapestry,Mule,Apache Camel,Vaadin等框架无缝集成。受支持:Apache Shiro是Apache Software Foundation(Apache软件基金会)的一部分,事实证明该组织的运作符合其社区的最大利益。项目开发和用户群体友好的公民随时可以提供帮助。如果需要,像Katasoft这样的商业公司也可以提供专业的支持和服务。
Apache Shiro官网:https://www.infoq.com/articles/apache-shiro/
二:Shiro框架简介
1、Shiro基础功能点介绍
Shiro框架的四个基石:身份验证、授权、会话管理、密码模块
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Management:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中,会话可以是普通的JavaSE环境,也可以是Web环境的;
Cryptography:密码模块,加密保护数据的安全性,如密码加密存储到数据库中,而非明文存储;
在不同的应用程序环境中,还具有其他功能来支持和加强这些问题,尤其是:
Web Support:Web支持,可以非常容易的集成到Web环境
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:Shiro支持多线程应用的并发验证,即使在一个先程中开启另一个线程,也可以把权限自动传播过去;
Testing:提供测试支持;
“RunAs”:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
需要注意,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
2、Shiro的工作原理
从应用的视角我们可以看到应用层直接交互的对象就是Subject,Shiro对外API核心就是Subject,如下介绍每个API的含义:
Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象的概念;所有的Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Sub认为是一个门面;SecManager才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;并且它管理着所有的Subject,它是Shiro的核心,它负责与后面的其他组件进行交互,它类似SpringMVC里面的DispatcherServlet前端控制器;
Realm:域,Shiro从Realm获取安全数据(用户、角色、权限),SecurityManager需要验证用户身份,那么它需要从Ream获取相应的用户进行比较以确定用户身份是否合法;也需要从Ream得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即数据源;
一个简单的Shiro应用流程如下:
1、应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManager;
2、我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能够得到合法的用户及其权限进行判断。
3、Shiro的内部工作结构
Subject:主体,可以看到主体可以是任何可以与应用交互的 “用户”;
SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher;是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
Realm:可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是 JDBC 实现,也可以是 LDAP 实现,或者内存实现等等;由用户提供;注意:Shiro 不知道你的用户 / 权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的 Realm;
SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session 呢需要有人去管理它的生命周期,这个组件就是 SessionManager;而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境、EJB 等环境;所以呢,Shiro 就抽象了一个自己的 Session 来管理主体与应用之间交互的数据;这样的话,比如我们在 Web 环境用,刚开始是一台 Web 服务器;接着又上了台 EJB 服务器;这时想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到 Memcached 服务器);
SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD,比如我们想把 Session 保存到数据库,那么可以实现自己的 SessionDAO,通过如 JDBC 写到数据库;比如想把 Session 放到 Memcached 中,可以实现自己的 Memcached SessionDAO;另外 SessionDAO 中可以使用 Cache 进行缓存,以提高性能;
CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能
Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密 / 解密的。
4、Shiro的身份认证流程
流程如下:
- 首先调用
Subject.login(token)进行登录,其会自动委托给 Security Manager,调用之前必须通过 SecurityUtils.setSecurityManager() 设置; SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用AuthenticationStrategy 进行多 Realm 身份验证;Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回 / 抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问
三:Spring集成Shrio
1、添加依赖支持
本文使用的shiro版本为:1.2.2
<shiro.version>1.2.2</shiro.version>
<!--shiro start-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>${shiro.version}</version>
</dependency>
<!--shiro end-->
2、首先添加ShrioFilter拦截器
<filter>
<description>shiro 权限拦截</description>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3、定义一个myspring-shiro.xml的权限配置文件
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:util="http://www.springframework.org/schema/util" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd">
<description> shiro 配置</description>
<!--1,配置SecurityManager-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="MyShiroRealm"></property>
</bean>
<!--2.配置cacheManager-->
<bean class="org.apache.shiro.cache.MemoryConstrainedCacheManager"/>
<!--3.配置authenticator-->
<bean class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
<property name="authenticationStrategy">
<bean class="org.apache.shiro.authc.pam.FirstSuccessfulStrategy"></bean>
</property>
</bean>
<!--4.配置realm -->
<bean id ="MyShiroRealm" class="com.leo.shiro.MyShiroRealm">
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="MD5"></property>
<property name="hashIterations" value="1024"></property>
</bean>
</property>
</bean>
<!--5.配置lifecycleBeanPostProcessor 可以自动的来调用配置在Spring IOC 容器中的生命周期方法-->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>
<!--6.启动IOC容器中使用shiro 的注解,但必须配置lifecycleBeanPostProcessor 之后,才能使用-->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"></bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"></property>
</bean>
<!--配置shiroFilter-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"></property>
<property name="loginUrl" value="/login.jsp"></property>
<!--这里直接用Controller里面跳转到成功界面,所以没设置参数-->
<property name="successUrl" value="/index.jsp"></property>
<property name="unauthorizedUrl" value="/view"></property>
<!-- 配置哪些页面需要受保护. 以及访问这些页面需要的权限.
1). anon(anonymous) 可以被匿名访问 2). authc(authentication)
必须认证(即登录)后才可能访问的页面. 3). logout 登出.4)等等其他的,没用到 我就不写出来了 -->
<property name="filterChainDefinitions">
<value>
/login.jsp=anon
/user/login=anon
/hello=anon
#表示其他所有的url都需要认证
/** =authc
</value>
</property>
</bean>
</beans>
4、将myspring-shiro.xml添加到applicationContext.xml
<!-- 引入shiro配置信息 -->
<import resource="myspringmvc-shiro.xml"/>
5、编写MyShiroRealm
package com.leo.shiro;
import com.leo.model.User;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import java.util.*;
/**
* @ClassName: MyShiroRealm
* @Description: shiro的授权鉴权
* @Author: leo825
* @Date: 2020-08-01 11:16
* @Version: 1.0
**/
public class MyShiroRealm extends AuthorizingRealm {
private static Map<String,User> userMap = new HashMap<String, User>();
static{
// userMap.put("jack", new User("jack","aaa123"));
// userMap.put("tom", new User("tom","bbb321"));
// userMap.put("jean", new User("jean","ccc213"));
//使用Map模拟数据库获取User表信息
userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1"));
userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95"));
userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e"));
}
/***
* 授权
* @param
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
Object principal = principals.getPrimaryPrincipal();
Set<String> roles = new HashSet<>();
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
if ("admin".equals(principal.toString())) {
roles.add("admin");
info.setRoles(roles);
info.addStringPermissions(Arrays.asList("admin:*"));
} else if ("user".equals(principal.toString())) {
roles.add("user");
info.setRoles(roles);
info.addStringPermissions(Arrays.asList("user:*"));
}
return info;
}
/****
* 认证
* @param token
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
//1.把AuthenticationToken转换为UsernamePasswordToken
UsernamePasswordToken userToken = (UsernamePasswordToken) token;
//2.从UsernamePasswordToken中获取username
String username = userToken.getUsername();
//3.调用数据库的方法,从数据库中查询Username对应的用户记录
System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");
//Map模拟数据库取数据
User u = userMap.get(username);
//4.若用户不行存在,可以抛出UnknownAccountException
if(u==null){
throw new UnknownAccountException("用户不存在");
}
//5.若用户被锁定,可以抛出LockedAccountException
// if(u.isLocked()){
// throw new LockedAccountException("用户被锁定");
// }
//7.根据用户的情况,来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo
//以下信息是从数据库中获取的
//1)principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体对象
Object principal = u.getUserName();
//2)credentials:密码
Object credentials = u.getPassword();
//3)realmName:当前realm对象的name,调用父类的getName()方法即可
String realmName = getName();
//4)credentialsSalt盐值
ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值
SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);
info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
return info;
}
// //main方法生成加密后的密码
// public static void main(String[] args) {
// User u = null;
// Iterator<String> it = userMap.keySet().iterator();
// while(it.hasNext()){
// u = userMap.get(it.next());
// String hashAlgorithmName = "MD5";//加密方式
// Object crdentials = u.getPassword();//密码原值
// ByteSource salt = ByteSource.Util.bytes(u.getUserName());//以账号作为盐值
// int hashIterations = 1024;//加密1024次
// Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
// System.out.println(u.getUserName()+":"+result);
// }
// }
}
6、编写登录模块代码
package com.leo.controller;
import com.leo.model.User;
import com.leo.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/**
* @ClassName: LoginController
* @Description: 登录认证控制器
* @Author: leo825
* @Date: 2020-08-01 11:58
* @Version: 1.0
**/
@Controller
@RequestMapping("/user")
public class LoginController {
@Autowired
private UserService userService;
@RequestMapping("/login")
public String dologin(User user, Model model){
System.out.println("登录认证开始了...");
String info = loginUser(user);
if (!"SUCC".equals(info)) {
model.addAttribute("failMsg", "用户不存在或密码错误!");//此处不能展示具体失败信息,会遭到安全攻击
return "/jsp/fail";
}else{
model.addAttribute("successMsg", "登陆成功!");//返回到页面说夹带的参数
model.addAttribute("name", user.getUserName());
return "/jsp/success";//返回的页面
}
}
@RequestMapping("/logout")
public void logout(HttpServletRequest request,HttpServletResponse response) throws IOException{
Subject subject = SecurityUtils.getSubject();
if (subject != null) {
try{
subject.logout();
}catch(Exception ex){
}
}
response.sendRedirect("/login.jsp");
}
private String loginUser(User user) {
if (isRelogin(user)) return "SUCC"; // 如果已经登陆,无需重新登录
return shiroLogin(user); // 调用shiro的登陆验证
}
/**
* 登录验证
* @param user
* @return
*/
private String shiroLogin(User user) {
// 组装token:用户名称、密码
UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword().toCharArray(), null);
token.setRememberMe(true);
// shiro登陆验证
try {
SecurityUtils.getSubject().login(token);
} catch (UnknownAccountException ex) {
return "用户不存在或者密码错误!";
} catch (IncorrectCredentialsException ex) {
return "用户不存在或者密码错误!";
} catch (AuthenticationException ex) {
ex.printStackTrace();
return ex.getMessage(); // 自定义报错信息
} catch (Exception ex) {
ex.printStackTrace();
return "内部错误,请重试!";
}
return "SUCC";
}
/**
* 检测是否需要重新登录
* @param user
* @return
*/
private boolean isRelogin(User user) {
Subject us = SecurityUtils.getSubject();
if (us.isAuthenticated()) {
return true; // 参数未改变,无需重新登录,默认为已经登录成功
}
return false; // 需要重新登陆
}
}
登录页面和登录成功失败的页面就省略了
四:总结
根据此篇文章可以基本了解什么是Shiro,Shiro能做些什么,以及如何在SpringMVC中整合Shrio。
源码模块:chapter-7-springmvc-shiro1
地址:https://gitee.com/leo825/spring-framework-learning-example.git