这几天在研究人人开源的renren-fast框架,其中用到了shiro,于是吭哧了两天学习了一下shiro.笔记如下
Shiro
简介
-
Apache Shiro 是 Java 的一个安全(权限)框架
-
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。
-
Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存 等。
功能介绍
-
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
-
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限
-
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境,也可以是 Web 环境的;
-
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
-
Web Support:Web支持,可以非常容易的集成到Web 环境;
-
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
-
Concurrency:Shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
-
Testing:提供测试支持;
-
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
-
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了
Shiro 架构(Shiro外部来看)
-
Subject:应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外 API 核心就是 Subject。Subject 代表了当前“用户”, 这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫, 机器人等;与 Subject 的所有交互都会委托给 SecurityManager; Subject 其实是一个门面,SecurityManager 才是实际的执行者;
-
SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且其管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与 Shiro 的其他组件进行交互,它相当于 SpringMVC 中 DispatcherServlet 的角色
-
Realm:Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/ 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource
Shiro 架构(Shiro内部来看)
-
Subject:任何可以与应用交互的“用户”;
-
SecurityManager :相当于SpringMVC 中的 DispatcherServlet;是 Shiro 的心脏; 所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证、授权、会话及缓存的管理。
-
Authenticator:负责 Subject 认证,是一个扩展点,可以自定义实现;可以使用认证策略(AuthenticationStrategy),即什么情况下算用户认证通过了;
-
Authorizer:授权器、即访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
-
Realm:可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC 实现,也可以是内存实现等等;由用户提供;所以一般在应用中都需要实现自己的 Realm;
-
SessionManager:管理 Session 生命周期的组件;而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境
-
CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少改变,放到缓存中后可以提高访问的性能
-
Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密。
Shiro与web spring的整合
-
Shiro 提供了与 Web 集成的支持,其通过一个 ShiroFilter 入口来拦截需要安全控制的URL,然后 进行相应的控制
-
ShiroFilter 类似于如 Strut2/SpringMVC 这种 web 框架的前端控制器,是安全控制的入口点,其 负责读取配置(如ini 配置文件),然后判断URL 是否需要登录/权限等工作。
-
web.xml
DelegatingFilterProxy 作用是自动到 Spring 容器查找名字为 shiroFilter(filter-name)的 bean 并把所有 Filter 的操作委托给它
<filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
-
applicationContext.xml
shiro核心组件
-
配置Security Manager
-
配置Cache Manager
-
配置Realm
3.1 Realm需实现Realm接口
-
配置LifecycleBeanPostProcessor 可以自动来调用配置在Spring IOC容器中shiro bean的生命周期
-
启动IOC容器中使用shiro的注解,但必须在配置了LifecycleBeanPostProcessor 后才能用
-
配置ShiroFilter
-
id必须和web.xml文件中配置的DelegatingFilterProxy的<filter-name> 一致
DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器中查找和
<filter-name>对应的filter bean,也可以通过 targetBeanName 的初始化参数来配置filterbean的id.
-
配置哪些页面需要受保护,以及访问这些页面需要的权限.
-
anno 可以被匿名访问
-
authc 必须认证(即登陆)后才可以访问的页面
-
logout 登出
-
-
filterChainFilter
URL 匹配模式
url = 拦截器[参数]
URL配置模式,支持Ant风格模式
URL权限采取第一次匹配优先
Shiro认证
-
身份验证:一般需要提供如身份 ID 等一些标识信息来表明登录者的身份,如提供 email,用户名/密码来证明。
在 shiro 中,用户需要提供 principals (身份)和 credentials(证 明)给 shiro,从而应用能验证用户身份:
-
principals:身份,即主体的标识属性,可以是任何属性,如用户名、 邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名/邮箱/手机号。
-
credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证 书等。
-
最常见的 principals 和 credentials 组合就是用户名/密码了
身份验证基本流程
-
获取当前的subject
-
校验当前subject是否被认证
-
若没有被认证,则把用户名和密码封装成UsernamePasswordToken对象
1) 创建一个表单页面
2) 把请求提交到SpringMVC的Handler
3) 获取用户名和密码
-
执行登陆 subject.login(token)
-
创建自定义的 Realm 类,从数据库中获取对应的记录,返回给shiro
1) 继承org.apache.shiro.realm.AuthorizingRealm类
2) 实现doGetAuthenticationInfo(AuthenticationToken)方法
-
由shiro完成数据比对
if (!currentUser.isAuthenticated()) { // 把用户名和密码封装为 UsernamePasswordToken 对象 UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa"); // rememberme token.setRememberMe(true); try { // 执行登录. currentUser.login(token); } // 若没有指定的账户, 则 shiro 将会抛出 UnknownAccountException 异常. catch (UnknownAccountException uae) { log.info(" There is no user with username of " + token.getPrincipal()); return; } // 若账户存在, 但密码不匹配, 则 shiro 会抛出 IncorrectCredentialsException 异常。 catch (IncorrectCredentialsException ice) { log.info(" Password for account " + token.getPrincipal() + " was incorrect!"); return; } // 用户被锁定的异常 LockedAccountException catch (LockedAccountException lae) { log.info("The account for username " + token.getPrincipal() + " is locked. " + "Please contact your administrator to unlock it."); } // ... catch more exceptions here (maybe custom ones specific to your application? // 所有认证时异常的父类. catch (AuthenticationException ae) { //unexpected condition? error? } }
身份认证流程
-
首先调用 Subject.login(token) 进行登录,其会自动委托给 SecurityManager
-
SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
-
Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
-
Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
-
Authenticator 会把相应的 token 传入 Realm,从 Realm 获取 身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。
Realm
Realm:Shiro 从 Realm 获取安全数据(如用户、角色、 权限),即 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作
实现Realm
一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了 CachingRealm(带有缓存实现)。
-
把 AuthenticationToken 转为 UsernamePasswordToken
-
从UsernamePasswordThoken中获取username
-
调用数据库的方法,从数据库中查询username对应的记录
-
若用户不存在,抛出UnkownAccountException异常
-
根据用户信息的情况,决定是否抛出其他异常
-
根据用户的情况,构建AuthenticationInfo对象并返回,通常使用SimpleAuthenticationInfo
-
principal:认证的实体信息,可以是username,也可以是数据库对应的用户的实体类对象.
-
credentials:密码
-
realmName :当前的realm对象的name,调用父类的getName()方法即可.
-
ByteSource credentialsSalt : 盐值
-
密码比对
通过AuthenticationRealm 的credentialsMatcher(凭证匹配器)属性来进行密码比对
通过credentialsMatcher进行MD5盐加密
-
如何把一个字符串加密为md5
-
替换当前realm的credentialsMatcher属性,直接使用HashedCredentialMather对象,并设置加密算法即可.
-
盐:ByteSource credentialsSalt = ByteSource .Utils.bytes(username);
盐值需要唯一
多realm和验证策略
-
多realm下创建ModularRealmAuthenticator
-
验证策略:
1);FirstSuccessfulStrategy:只要一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略
2):AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,将返回所有Realm身份验证成功的认证信息 (默认)
3):AllSuccessfulStrategy: 所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败.
授权
-
授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限 (Permission)、角色(Role)。
-
主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。
-
资源(Resource):在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些 数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
-
权限(Permission):安全策略中的原子授权单位,通过权限我们可以表示在应用中用户 有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控 制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允 许。
-
Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限, 即实例级别的)
-
角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有 一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等 都是角色,不同的角色拥有一组不同的权限。
授权方式
-
shiro支持三种方式的授权
1)编程式 通过写if/else 授权代码块完成
2)注解式 通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
3)JSP/GSP标签 在JSP/GSP 页面通过相应的标签完成
-
shiro默认拦截器
授权需要继承AuthorizingRealm并实现doGetAutorizationInfo方法
AuthorizingRealm继承自AuthenticatingRealm,但没有实现AuthenticatingRealm中的
Permissions
-
规则:资源标识符:操作:对象实例 ID 即对哪个资源的哪个 实例可以进行什么操作. 其默认支持通配符权限字符串,: 表 示资源/操作/实例的分割;, 表示操作的分割,* 表示任意资 源/操作/实例。
-
多层次管理:
– 例如:user:query、user:edit
– 冒号是一个特殊字符,它用来分隔权限字符串的下一部件:第一部分 是权限被操作的领域(打印机),第二部分是被执行的操作。
– 多个值:每个部件能够保护多个值。因此,除了授予用户 user:query 和 user:edit 权限外,也可以简单地授予他们一个:user:query, edit
– 还可以用 * 号代替所有的值,如:user:* , 也可以写:*:query,表示 某个用户在所有的领域都有 query 的权限
Shiro 的 Permissions
-
实例级访问控制
– 这种情况通常会使用三个部件:域、操作、被付诸实 施的实例。如:user:edit:manager
– 也可以使用通配符来定义,如:user:edit:、user::、 user::manager
– 部分省略通配符:缺少的部件意味着用户可以访问所 有与之匹配的值,比如:user:edit 等价于 user:edit :、 user 等价于 user::*
– 注意:通配符只能从字符串的结尾处省略部件,也就 是说 user:edit 并不等价于 user:*:edit
授权流程
-
首先调用 Subject.isPermitted/hasRole 接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;
-
Authorizer是真正的授权者,如果调用如 isPermitted(“user:view”),其首先会通过PermissionResolver 把字符串转换成相应的 Permission 实例;
-
在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角 色/权限用于匹配传入的角色/权限;
-
Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果 有多个Realm,会委托给 ModularRealmAuthorizer 进行循环判断, 如果匹配如 isPermitted/hasRole 会返回true,否则返回false表示 授权失败。
ModularRealmAuthorizer
-
ModularRealmAuthorizer 进行多 Realm 匹配流程:
– 1、首先检查相应的 Realm 是否实现了实现了Authorizer;
– 2、如果实现了 Authorizer,那么接着调用其相应的 isPermitted/hasRole 接口进行匹配;
– 3、如果有一个Realm匹配那么将返回 true,否则返回 false。
shiro标签
-
Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制,如:根据登录用户显示相应的页面按钮
-
guest 标签:用户没有身份验证时显示相应信息,即游客访问信息
-
user 标签:用户已经经过认证/记住我登录后显示相应的信息
-
authenticated 标签:用户已经身份验证通过,即 Subject.login登录成功,不是记住我登录的
-
notAuthenticated 标签:用户未进行身份验证,即没有调 用Subject.login进行登录,包括记住我自动登录的也属于 未进行身份验证
-
pincipal 标签:显示用户身份信息,默认调用 Subject.getPrincipal() 获取,即 Primary Principal
-
hasRole 标签:如果当前 Subject 有角色将显示 body 体内容:
-
hasAnyRoles 标签:如果当前Subject有任意一个 角色(或的关系)将显示body体内容。
-
lacksRole:如果当前 Subject 没有角色将显 示 body 体内
-
hasPermission:如果当前 Subject 有权限 将显示 body 体内容 lacksPermission:如果当前Subject没有权 限将显示body体内容。
-
权限注解
-
@RequiresAuthentication:表示当前Subject已经通过login 进行了身份验证;即 Subject. isAuthenticated() 返回 true
-
@RequiresUser:表示当前 Subject 已经身份验证或者通过记 住我登录的。
-
@RequiresGuest:表示当前Subject没有身份验证或通过记住 我登录过,即是游客身份。
-
@RequiresRoles(value={“admin”, “user”}, logical= Logical.AND):表示当前 Subject 需要角色 admin 和user
-
@RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR):表示当前 Subject 需要权限 user:a 或 user:b。
自定义拦截器
通过自定义拦截器可以扩展功能,例如:动态url-角色/权 限访问控制的实现、根据 Subject 身份信息获取用户信息 绑定到 Request(即设置通用数据)、验证码验证、在线用户信息的保存等
从数据库初始化资源和权限
FilterChainDefinitionMapBuilder 的 buildFilterChainDefinitionMap
public class FilterChainDefinitionMapBuilder { public LinkedHashMap<String, String> buildFilterChainDefinitionMap(){ LinkedHashMap<String, String> map = new LinkedHashMap<>(); //可以从数据库中获取数据存入map中 map.put("/login.jsp", "anon"); map.put("/shiro/login", "anon"); map.put("/shiro/logout", "logout"); map.put("/user.jsp", "authc,roles[user]"); map.put("/admin.jsp", "authc,roles[admin]"); map.put("/list.jsp", "user"); map.put("/**", "authc"); return map; }
会话管理
-
Shiro 提供了完整的企业级会话管理功能,不依赖于底层容 器(如web容器tomcat),不管 JavaSE 还是 JavaEE 环境 都可以使用,提供了会话管理、会话事件监听、会话存储/ 持久化、容器无关的集群、失效/过期支持、对Web 的透明 支持、SSO 单点登录的支持等特性。
-
会话相关的 API
-
Subject.getSession() :即可获取会话;其等价于 Subject.getSession(true),即如果当前没有创建 Session 对象会创建 一个;Subject.getSession(false),如果当前没有创建 Session 则返回 null
-
session.getId() :获取当前会话的唯一标识
-
session.getHost() :获取当前Subject的主机地址
-
session.getTimeout()&session.setTimeout():获取/设置当 前Session的过期时间
-
session.getStartTimeStamp()&session.getLastAccessTime() : 获取会话的启动时间及最后访问时间;如果是 JavaSE 应用需要自己定 期调用 session.touch() 去更新最后访问时间;如果是 Web 应用,每 次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间。
-
session.touch()&session.stop() :更新会话最后访问时 间及销毁会话;当Subject.logout()时会自动调用 stop 方法 来销毁会话。如果在web中,调用 HttpSession. invalidate() 也会自动调用Shiro Session.stop 方法进行销毁Shiro 的会话
-
session.setAttribute(key,val)&session.getAttribute(key)&session.removeAttribute(key) :设置/获取/删除会话属 性;在整个会话范围内都可以对这些属性进行操作
-
RememberMe
-
Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝 等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁, 下次访问时无需再登录即可访问,基本流程如下:
-
首先在登录页面选中 RememberMe 然后登录成功;如果是 浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并 保存下来;
-
关闭浏览器再重新打开;会发现浏览器还是记住你的;
-
访问一般的网页服务器端还是知道你是谁,且能正常访问;
-
但是比如我们访问淘宝时,如果要查看我的订单或进行支付时,此时还是需要再进行身份认证的,以确保当前用户还是你
-
-
认证和记住我区别
-
subject.isAuthenticated() 表示用户进行了身份验证登录的, 即使有 Subject.login 进行了登录;
-
subject.isRemembered():表示用户是通过记住我登录的, 此时可能并不是真正的你(如你的朋友使用你的电脑,或者 你的cookie 被窃取)在访问的
-
两者二选一,即 subject.isAuthenticated()==true,则 subject.isRemembered()==false;反之一样。
-