权限控制方案之——集成shiro

最新推荐文章于 2024-03-17 18:59:19 发布
最新推荐文章于 2024-03-17 18:59:19 发布
阅读量578 收藏 1
点赞数

概述:

         上一篇文章中我们介绍的权限控制方案的实现方式是通过URL拦截实现的,这里介绍通过shiro实现权限控制。shiro是apache下的开源的权限管理框架。

Shiro架构:

         

         Subject:主体,是用户和程序的统一抽象。

         SecurityManager:安全管理器,认证和授权的核心处理类。

         Authenticator:认证器,主体认证的处理类。

         Authorizer:授权器,主体授权的处理类。

         SessionManager:shiro提供的一套session管理机制。

         SessionDao:对于session的存储需要用到sessionDao。

         CacheManager;缓存管理器,主要对session和相关数据进行缓存管理。

         Realm:通过realm间接连接数据源,认证和授权需要通过realm存取认证和授权数据。

         Cryptography:密码管理器,shiro提供的一套加密解密组建。

 

整合shiro

         实现方式:

         1、通过shiro默认的IniRealm实现(开发中一般不用该方式),该方式需要将认证和授权信息配置在一个ini文件中,shiro会默认通过IniRealm读取该文件信息,实现认证。

         2、通过自定义Realm实现(一般都需要自定义Realm),自定义的Realm可以自定义认证和授权信息获取的方式(例如从数据库中查询),自定义的Realm继承AuthorizingRealm。

         这里主要介绍通过自定义Realm实现认证和授权的方式。下面通过将shiro整合到项目中的过程来介绍shiro的基本用法和shiro的工作原理。

         整合过程:

         1、添加jar包

         主要包括:shiro和spring整合的jar包,shiro和web应用整合的jar包和shiro一些基本的包。

         2、配置shiro的filter

         上篇文章我们介绍通过URL拦截中用到了拦截器,shiro内部也是用到了filter拦截进行实现。

         配置信息:

         

[html]  view plain  copy
  1. <!-- 将shiroFilter作为spring的Bean,由Spring来管理该Filter,实现和其他Filter的统一 -->  
  2.     <filter>  
  3.         <filter-name>shiroFilter</filter-name>  
  4.         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  5.         <!-- 设置true表示由servlet容器控制filter的生命周期 -->  
  6.         <init-param>  
  7.             <param-name>targetFilterLifecycle</param-name>  
  8.             <param-value>true</param-value>  
  9.         </init-param>  
  10.         <!-- 设置spring容器filter指定的Bean的id,如果不设置则找与filter-name一致的bean-->  
  11.         <init-param>  
  12.             <param-name>targetBeanName</param-name>  
  13.             <param-value>shiroFilter</param-value>  
  14.         </init-param>  
  15.     </filter>  
  16.     <filter-mapping>  
  17.         <filter-name>shiroFilter</filter-name>  
  18.         <url-pattern>/*</url-pattern>  
  19.     </filter-mapping>  


         3、applicationContext-shiro.xml

         在applicationContext-shiro.xml中配置shiroFilter需要的Bean及其他相关配置。

        

[html]  view plain  copy
  1. <!-- web.xml中shiro的filter对应的bean -->  
  2. <!-- Shiro 的Web过滤器 -->  
  3. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
  4.     <property name="securityManager" ref="securityManager" />  
  5.     <!-- loginUrl认证提交地址,如果没有认证将会请求此地址进行认证,请求此地址将由formAuthenticationFilter进行表单认证 -->  
  6.     <property name="loginUrl" value="/login.action" />  
  7.     <!-- 认证成功跳转到first.action-->  
  8.     <property name="successUrl" value="/first.action"/>  
  9.     <!-- 指定没有权限操作时跳转页面-->  
  10.     <property name="unauthorizedUrl" value="/refuse.jsp" />  
  11.     <!-- 自定义filter配置 -->  
  12.     <property name="filters">  
  13.         <map>  
  14.             <!-- 将自定义 的FormAuthenticationFilter注入shiroFilter中-->  
  15.             <entry key="authc" value-ref="formAuthenticationFilter" />  
  16.         </map>  
  17.     </property>  
  18.       
  19.     <!-- 过虑器链定义,从上向下顺序执行,一般将/**放在最下边 -->  
  20.     <property name="filterChainDefinitions">  
  21.         <value>  
  22.             <!-- 对静态资源设置匿名访问 -->  
  23.             /images/** = anon  
  24.             /js/** = anon  
  25.             /styles/** = anon  
  26.             /validatecode.jsp = anon  
  27.               
  28.             <!-- 只需请求logout.action地址即可清除session-->  
  29.             /logout.action = logout  
  30.             <!--授权配置,例queryItems.action请求需要item:query权限-->  
  31.             /items/queryItems.action = perms[item:query]  
  32.             /items/editItems.action = perms[item:edit]  
  33.             <!-- /** = authc 所有url都必须认证通过才可以访问-->  
  34.             /** = authc  
  35.         </value>  
  36.     </property>  
  37. </bean>  
  38.   
  39. <!-- securityManager属性配置 -->  
  40. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
  41.     <property name="realm" ref="customRealm" />  
  42.     <!-- 注入缓存管理器 -->  
  43.     <property name="cacheManager" ref="cacheManager"/>  
  44.     <!-- 注入session管理器 -->  
  45.     <property name="sessionManager" ref="sessionManager" />  
  46. </bean>  
  47.   
  48. <!-- 自定义的realm -->  
  49. <bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm">  
  50.     <!-- 将凭证匹配器设置到realm中,realm按照凭证匹配器的要求进行散列 -->  
  51.     <property name="credentialsMatcher" ref="credentialsMatcher"/>  
  52. </bean>  
  53.   
  54. <!-- 凭证匹配器,后边有介绍 -->  
  55. <bean id="credentialsMatcher"  
  56.     class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">  
  57.     <property name="hashAlgorithmName" value="md5" />  
  58.     <property name="hashIterations" value="1" />  
  59. </bean>  
  60.   
  61. <!-- 缓存管理器,后边将会介绍关于引入ehcache缓存 -->  
  62. <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">  
  63.         <property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml"/>  
  64. </bean>  
  65.   
  66. <!--session管理器,让shiro对session管理-->  
  67. <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">  
  68.     <!-- session的失效时长,单位毫秒 -->  
  69.     <property name="globalSessionTimeout" value="600000"/>  
  70.     <!-- 删除失效的session -->  
  71.     <property name="deleteInvalidSessions" value="true"/>  
  72. </bean>  
  73.   
  74. <!-- 自定义form认证过虑器 -->  
  75. <!-- 基于Form表单的身份验证过滤器,不配置将采用默认值,默认值为username和password -->  
  76. <bean id="formAuthenticationFilter"   
  77. class="cn.itcast.ssm.shiro.CustomFormAuthenticationFilter ">  
  78.     <!-- 表单中账号的input名称 -->  
  79.     <property name="usernameParam" value="username" />  
  80.     <!-- 表单中密码的input名称 -->  
  81.     <property name="passwordParam" value="password" />  
  82. </bean>  


         4、认证:

         实现原理:由上边的配置可知,当用户进行认证时,会去请求loginurl进行认证,中间FormAuthenticationFilter进行拦截,取出request中携带的username和password参数(注:这里默认为username和password,也可以自行配置),FormAuthenticationFilter会调用realm(自定义的吗?)进行认证,同时传给realm一个token参数,username和password封装在token中,realm会根据username查询用户信息,如果查询到则返回,如果查询不到则会返回null,这时FormAuthenticationFilter会向request中设置异常参数和信息。

        

[java]  view plain  copy
  1. @Override  
  2. protected AuthenticationInfo doGetAuthenticationInfo(  
  3.         AuthenticationToken token) throws AuthenticationException {  
  4.       
  5.     //token中封装了用户输入的用户名和密码,从token中取出用户名  
  6.     String userCode = (String) token.getPrincipal();  
  7.   
  8.     //根据用户输入的userCode从数据库查询  
  9.     SysUser sysUser = null;  
  10.     try {  
  11.         sysUser = sysService.findSysUserByUserCode(userCode);  
  12.     } catch (Exception e1) {  
  13.         e1.printStackTrace();  
  14.     }  
  15.     // 如果查询不到返回null  
  16.     if(sysUser==null){  
  17.         //此处返回null,ModularRealmAuthenticator抛出UnknownAccountException(用户不存在)异常  
  18.         return null;   
  19.     }  
  20.     //获取用户散列密码  
  21.     String password = sysUser.getPassword();  
  22.     //获取盐  
  23.     String salt = sysUser.getSalt();  
  24.       
  25.     ActiveUser activeUser = new ActiveUser();  
  26.     activeUser.setUserid(sysUser.getId());  
  27.     activeUser.setUsercode(sysUser.getUsercode());  
  28.     activeUser.setUsername(sysUser.getUsername());  
  29.       
  30.     List<SysPermission> menus  = null;  
  31.     try {  
  32.         //根据用户id取出菜单  
  33.         menus = sysService.findMenuListByUserId(sysUser.getId());  
  34.     } catch (Exception e) {  
  35.         e.printStackTrace();  
  36.     }  
  37.     //用户菜单设置到activeUser  
  38.     activeUser.setMenus(menus);  
  39.     //将activeUser设置到simpleAuthenticationInfo返回  
  40.     SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(  
  41.             activeUser, password,ByteSource.Util.bytes(salt), this.getName());  
  42.     return simpleAuthenticationInfo;  
  43. }  


         5、登出

         对于登出可以不用去实现具体的退出操作,只需要访问一个指定的登出的url,因为中间会由LogoutFilter拦截,同时清除session数据。配置方式见applicationContext-shiro.xml中的logout配置

         6、授权配置

         说明:对于shiro的授权配置有三种方法:

                  1、通过配置文件进行配置。

                  2、通过注解进行配置。

                  3、通过jsp标签进行配置。

         对于配置文件的配置方式见applicationContext-shiro.xml中的授权配置部分。

         实现原理为:在用户请求到/users/deleteUser.action时会被PermissionsAuthorizationFilter拦截,filter根据配置发现需要“item:query”权限,这时PermissionAuthorizationFilter会调用realm从数据库中获取权限信息,如果发现用户拥有该权限会放行,如果发现没有会转到前边配置中指定的refuse.jsp页面。

         7、权限判断

        

[java]  view plain  copy
  1. @Override  
  2. protected AuthorizationInfo doGetAuthorizationInfo(  
  3.         PrincipalCollection principals) {  
  4.       
  5.     //获取身份信息  
  6.     ActiveUser activeUser =  (ActiveUser) principals.getPrimaryPrincipal();  
  7.       
  8.     List<SysPermission> permissionList = null;  
  9.     try {  
  10.         //获取用户拥有的权限信息  
  11.         permissionList = sysService.findPermissionListByUserId(activeUser.getUserid());  
  12.     } catch (Exception e) {  
  13.         e.printStackTrace();  
  14.     }  
  15.     List<String> permissions = new ArrayList<String>();  
  16.     if(permissionList!=null){  
  17.         for(SysPermission sysPermission:permissionList){  
  18.             permissions.add(sysPermission.getPercode());  
  19.         }  
  20.     }  
  21.       
  22.     //返回授权信息,将查询到的权限信息设置到simpleAuthorizationInfo中  
  23.     SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();  
  24.     simpleAuthorizationInfo.addStringPermissions(permissions);  
  25.     return simpleAuthorizationInfo;  
  26. }  


         8、设置凭证匹配器

         由于在数据库中存放的密码是经过加密算法的散列值,所以在shiro也需要对取到的密码进行相同的加密算法才能进行密码比对,这里通过在配置文件中配置的凭证匹配器对加密算法进行配置,对于凭证匹配器的配置见applicationContext-shiro.xml。

         上边对于授权的方式我们使用的是通过配置文件进行实现的,但是这样的缺点在,URL和对应的权限成对配置,这样将造成很大的配置量,相对来说比较麻烦;下边我们说明一下如何通过注解的方式进行配置。

 

整合改进

         注解方式实现授权:

         上边介绍了对于shiro的授权配置有三种方式,上边的方式是通过配置文件的方式实现的,下边介绍一下如何通过注解方式和jsp标签方式进行授权配置。

         开启注解:

         由于注解方式内部使用了spring的AOP方式,所以需要首先开启spring的AOP,同时开启shiro的注解支持。配置如下:

        

[html]  view plain  copy
  1. <!-- 开启aop,对类代理 -->  
  2. <aop:config proxy-target-class="true"></aop:config>  
  3. <!-- 开启shiro注解支持 -->  
  4. <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">  
  5.     <property name="securityManager" ref="securityManager" />  
  6. </bean>  


         注解使用:

         注解的使用方式为,在需要进行权限控制的方法上添加相应注解,注解的写法为:

         @RequiresPermissions(“users:delete”),表示执行此方法需要“users:delete”权限。


         Jsp标签实现授权:

         对于通过jsp标签实现授权需要引入shiro的自定义标签

         <%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>

         标签使用:shiro提供的标签很多,这里介绍其中几个:

         1、认证成功后可以显示的内容放在<shiro:authenticated>内。

         2、当用户有指定角色时才显示的内容放在<shiro:hasRole name="角色名"

         3、当用户有指定的权限时才显示的内容放在<shiro:hasPermission name="item:query">

         在实际应用当中,通过注解和jsp标签的方式相对多些。


         引入缓存: 

         对于上边的使用,无论是通过何种方式配置的权限,存在一个较大的问题是,对于权限的判断,每次都需要realm从数据库中查询权限信息进行比对,这样对系统的性能消耗是很大的,为了解决该问题,我们为shiro引入缓存处理,这样就只需要在用户第一次访问时去查询数据库,再后边就可以直接从缓存中取,这里使用的是ehcache。

         1、添加ehcache的jar包。

         2、配置cacheManager,需要将cacheManager注入到securityManager中,对于相关配置见applicationContext-shiro.xml。

         3、创建shiro-ehcache.xml,定义ehcache的使用方案,具体配置如下:

        

[html]  view plain  copy
  1. <ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  2.     xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">  
  3.     <!--diskStore:缓存数据持久化的目录地址  -->  
  4.     <diskStore path="F:\develop\ehcache" />  
  5.     <defaultCache   
  6.         maxElementsInMemory="1000"   
  7.         maxElementsOnDisk="10000000"  
  8.         eternal="false"   
  9.         overflowToDisk="false"   
  10.         diskPersistent="false"  
  11.         timeToIdleSeconds="120"  
  12.         timeToLiveSeconds="120"   
  13.         diskExpiryThreadIntervalSeconds="120"  
  14.         memoryStoreEvictionPolicy="LRU">  
  15.     </defaultCache>  
  16. </ehcache>  

         其他

         shiro提供了在用户退出后缓存的自动清空处理,然而,在用户登录期间对用户的缓存进行更新处理,需要调用realm的clearCached方法对缓存进行清空。

 

总结:

         对于利用shiro对权限的控制和前边基于URL拦截的控制进行对比来说,shiro的控制功能更加强大一些,但是对于框架的依赖性大些,虽然shiro本身是不依赖与其他框架的,但是这里和项目整合还是依赖了spring框架,在使用shiro时如果使用注解的方式进行权限控制会更加方便和直观。这里主要介绍了shiro和项目整合中的基本用法,其中对于认证和授权的流程在后边进行介绍,这些只是shiro的一些基本用法,对于shiro的其他应用特点还有待继续了解和学习,也希望这篇文章可以对你有所帮助吧。

 

我的推想毫无逻辑
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
主要介绍了SpringBoot集成Shiro进行权限控制和管理的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
全网最全的权限系统设计方案,不接受反驳!
公众号-老炮说Java
08-10 373
1 为什么需要权限管理日常工作中权限的问题时时刻刻伴随着我们,程序员新入职一家公司需要找人开通各种权限,比如网络连接的权限、编码下载提交的权限、监控平台登录的权限、运营平台查数据的权限等等。在很多时候我们会觉得这么多繁杂的申请给工作带来不便,并且如果突然想要查一些数据,发现没有申请过权限,需要再走审批流程,时间拉得会很长。那为什么还需要这么严格的权限管理呢?举个例子,一家支付公司有运营后台,运营后...
Springboot集成shiro框架
weixin_35654814的博客
03-17 806
Shiro是一个功能强大且易于使用的Java安全框架,可以运行在JavaSE和JavaEE项目中,可执行身份验证、授权、加密和会话管理。
权限管理系统设计方案
.
08-14 3441
用户和角色,角色和权限都是多对多的关系,这种模型是最通用的权限管理模型,节省了很大的权限维护成本, 但是实际的业务千变万化,权限管理的模型也需要根据不同的业务模型适当的调整,比如一个公司内部的组织架构是分层级的,层级越高权限越大,因为层级高的人不仅要拥有自己下属拥有的权限,二期还要有一些额外的权限。这种模型能够满足权限的基本分配能力,但是随着用户数量的增长,这种模型的弊端就凸显出来了,每一个用户都需要去分配权限,非常的浪费管理员的时间和精力,并且用户和权限杂乱的对应关系会给后期带来巨大的维护成本。
史上最全的微服务权限控制方案
m0_71777195的博客
12-31 2277
1、将shrio和网关gateway放在同一个服务中,但是这就带来一个问题,众所周知,shrio的数据中心realm需要用到用户服务当中的数据(查询用户、角色、权限之间的关系及数据),因此这里shrio就需要使用服务发现组件(我这里用的dubbo)去发现用户服务,但是用户服务中的登录又需要用到shrio的认证,到这里可能有人要说了,可以在用户服务中再去远程调用shrio服务啊,如果这种方法可以的话大家就可以用这种方法就不用往下看了…所以这就造成两个服务耦合在一块儿去了,这种方法直接pass掉。
一二三文档管理系统设计——2.文档管理系统中权限控制实现方案
学海无涯,行者无疆
01-23 2840
文档管理的权限控制与常规的功能权限和数据权限都不同,有其自己的特色,异常复杂。 1.权限项相对固化,对于文件夹,有创建、删除、更名、查看4个操作项;对于文件,则通常有上传、下载、删除、更名、在线预览(仍存在扩展的可能)5个操作项。 2.需要对组织机构进行授权,通常企业内部部门内文档共享,部门外需控制授权。 3.需考虑权限继承,两个层面,一是对某一文件夹授权,则对该文件夹的子文件夹及文件也应自动拥有权限;二是对某一组织机构授权,则该组织机构的子组织机构也应自动拥有权限 4.文件夹及文件均属于动态变化,因此不
springmvc集成shiro登录权限示例代码
08-31
本篇文章主要介绍了springmvc集成shiro登录权限示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring MVC整合Shiro权限控制的方法
08-27
主要介绍了Spring MVC整合Shiro权限控制,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot 集成 Shiro 实现动态uri权限
04-22
本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权
Springboot和bootstrap实现shiro权限控制配置过程
08-19
主要介绍了Springboot和bootstrap实现shiro权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
角色权限管理设计方案
02-21
比较详细的讲解如何进行角色权限设计。个人认为对人很有帮助。
一个通用的权限管理模型的设计方案
04-04
一个通用的权限管理模型的设计方案一个通用的权限管理模型的设计方案一个通用的权限管理模型的设计方案
史上最全的微服务权限控制方案,完美实现!
weixin_44421461的博客
01-08 984
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
后端修改数据库_前、后端分离权限控制设计和实现思路
weixin_39713814的博客
11-22 1004
作者:薛定谔的猫www.yuque.com/zhanghaofei/blog/xrpz9p简述近几年随着react、angular、vue等前端框架兴起,前后端分离的架构迅速流行。但同时权限控制也带来了问题。网上很多前、后端分离权限仅仅都仅仅在描述前端权限控制、且是较简单、固定的角色场景,满足不了我们用户、角色都是动态的场景。且仅仅前端进行权限控制并不是真正意义的权限控制,它只是减少页面...
前端权限控制(一):前端权限管理及动态路由配置方案
热门推荐
zhufan2333的博客
08-01 1万+
在项目中,尤其是在后台管理系统中,不同人员登陆,看到的页面菜单是不一样的,比如,一个公司的办公系统,超级管理员登陆可以看到所有的页面,而普通员工账号登录可能无法看到人员管理等页面,比如公司的员工个人资料页面只有人力资源部门有权利看,其他部门的员工是不允许查看公司员工信息数据的。当然了除了页面的权限,还会有一些按钮级别的权限,比如一个下载按钮,有的帐号可以用,有的人不能用,比如人员账号管理中,一个页面中有一个确认添加、删除该账号人员按钮,这个按钮只有管理员有权利点击,其他人员登陆是无法点击的。........
如何实现报表集成?(四)——权限集成
明月说数据
02-02 309
在上一篇,我们介绍了报表工具的资源集成,基本知道了报表工具链接、模块、页面和移动端如何实现集成。这一篇,我们看下如何做权限集成。使用第三方系统的资源权限验证实际上往往存在多个系统需要统一权限认证,用户要求将某个系统作为统一认证平台,&nbsp;Smartbi&nbsp;为了应对这种需求,提供了一个可以根据需要扩充的权限验证方式,让项目能根据实际情况开发不同的需求。实现步骤参考“开发插件包”,开发一个项目插件包;在插件包项目中新建一个Java类&nbsp;com.mycomp.mypa
自动驾驶运动规划(Motion Planning).pdf
最新发布
04-26
自动驾驶运动规划(Motion Planning)问题分析
springboot集成shiro权限管理
07-08
授权器负责判断用户是否有权限执行某个操作,可以使用Shiro提供的Permission类来实现权限控制。 然后,需要为Spring Boot应用程序配置Shiro过滤器链。可以使用Shiro的FilterChainDefinitionMap类来配置URL与权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值