【Shiro框架】
它是一种安全框架,用于解决系统认证和授权问题,同时提供了会化管理,数据加密机制。
传统的登录:
Shiro安全框架实现登
什么情况下使用Shiro框架:
用户登录时:检测用户是否登录正确、如登录错误或未登录状态、直接跳转到登录页面并给出提示。如果用户未登录直接访问后台,Shiro框架可以根据用户的请求给出相应的拦截, 并进行跳转到登录页面,防止用户未登录状态下访问到系统的核心功能区。假如用户登录信息认证通过,Shiro框架可以根据用户的不同角色身份,不同的权限进而系统中显示能够操作模块也不相同。这就是Shiro所谓的先认证后授权。
如何使用安全框架:
程序员只关注两部分:
1.如何获得Subject
2.如何定义一个符合规定的Realm域(密码比较器也是我们自己干的)
maven功能导包操作:
<!-- shiro -->
<!-- apache shiro dependencies -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.2.3</version>
</dependency>
用Shiro安全框架首先配置web.xml
<!-- Shiro Security filter filter-name这个名字的值将来还会在spring中用到 一定要放到struts2核心过滤器之前 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
产生代理类的方式:在applicationContext.xml中进行配置
<!-- Shiro产生代理的方式 :下面代码说明了使用cglib方式来生成代理-->
<aop:aspectj-autoproxy proxy-target-class="true"/>
<!--引入shiro.xml文件-->
<import resource="classpath:spring/applicationContext-shiro.xml"/>
配置applicationContext-shiro.xml文件
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:p="http://www.springframework.org/schema/p"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:tx="http://www.springframework.org/schema/tx"
xmlns:aop="http://www.springframework.org/schema/aop"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/aop
http://www.springframework.org/schema/aop/spring-aop.xsd
http://www.springframework.org/schema/tx
http://www.springframework.org/schema/tx/spring-tx.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context.xsd">
<description>Shiro的配置</description>
<!-- SecurityManager配置 -->
<!-- 配置Realm域 -->
<!-- 密码比较器 -->
<!-- 代理如何生成? 用工厂来生成Shiro的相关过滤器-->
<!-- 配置缓存:ehcache缓存 -->
<!-- 安全管理 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- Single realm app. If you have multiple realms, use the 'realms' property instead. -->
<property name="realm" ref="authRealm"/><!-- 引用自定义的realm -->
<!-- 缓存 -->
<property name="cacheManager" ref="shiroEhcacheManager"/>
</bean>
<!-- 自定义权限认证 -->
<bean id="authRealm" class="cn.itcast.jk.shiro.AuthRealm">
<property name="userService" ref="userService"/>
<!-- 自定义密码加密算法 -->
<property name="credentialsMatcher" ref="passwordMatcher"/>
</bean>
<!-- 设置密码加密策略 md5hash -->
<bean id="passwordMatcher" class="cn.itcast.jk.shiro.CustomCredentialsMatcher"/>
<!-- filter-name这个名字的值来自于web.xml中filter的名字 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<!--登录页面 -->
<property name="loginUrl" value="/index.jsp"></property>
<!-- 登录成功后 -->
<property name="successUrl" value="/home.action"></property>
<property name="filterChainDefinitions">
<!-- /**代表下面的多级目录也过滤 -->
<value>
/index.jsp* = anon <!--过滤器名-->
/home* = anon
/sysadmin/login/login.jsp* = anon
/sysadmin/login/logout.jsp* = anon
/login* = anon
/logout* = anon
/components/** = anon
/css/** = anon
/images/** = anon
/js/** = anon
/make/** = anon
/skin/** = anon
/stat/** = anon
/ufiles/** = anon
/validator/** = anon
/resource/** = anon
/** = authc
/*.* = authc <!--过滤器-->
</value>
</property>
</bean>
<!-- 用户授权/认证信息Cache, 采用EhCache 缓存 -->
<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>
</bean>
<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 生成代理,通过代理进行控制 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor">
<property name="proxyTargetClass" value="true"/>
</bean>
<!-- 安全管理器 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
</beans>
Md5Hash加密工具类
package cn.itcast.jk.utils;
import org.apache.shiro.crypto.hash.Md5Hash;
/**
* @Description:
* @Author: 周家林
* @CreateDate: 2016年12月4日
*/
public class Encrypt {
/*
* 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,
* 常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(盐),比如加密密码“admin”,
* 产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,
* 可以到一些md5解密网站很容易的通过散列值得到密码“admin”,
* 即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,
* 如用户名和ID(即盐);这样散列的对象是“密码+用户名+ID”,这样生成的散列值相对来说更难破解。
*/
//高强度加密算法,不可逆
public static String md5(String password, String salt){
return new Md5Hash(password,salt,2).toString();
}
public static void main(String[] args) {
System.out.println(new Md5Hash("123456","tony",2).toString());
}
}
编写Realm域
package cn.itcast.jk.shiro;
import java.util.ArrayList;
import java.util.List;
import java.util.Set;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import cn.itcast.jk.domain.Module;
import cn.itcast.jk.domain.Role;
import cn.itcast.jk.domain.User;
import cn.itcast.jk.service.UserService;
/**
* 自定义了一个Realm域 (主要作用是提供安全数据:用户,角色,模块)
* @author Administrator
*
*/
public class AuthRealm extends AuthorizingRealm {
//注入userService
private UserService userService;
public void setUserService(UserService userService) {
this.userService = userService;
}
//授权
/**
* 验证用户是否具有某某权限
*
* 当jsp页面上碰到Shiro标签时就会调用这个方法,当第一次碰到时才调用这个方法
*/
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
//1.得到用户信息
User user= (User) pc.fromRealm(this.getName()).iterator().next();
//2.通过对象导航得到用户的角色列表
Set<Role> roles = user.getRoles();
List<String> permissions = new ArrayList<String>();
//遍历角色列表,得到每个用户的角色
for(Role role:roles){
//得到每个角色,并通过对象导航,进一步加载这个角色下的模块
Set<Module> modules = role.getModules();
//遍历模块的集合,得到每个模块的信息
for(Module module:modules){
permissions.add(module.getName());
}
}
//声明AuthorizationInfo的一个子类对象
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(permissions);
return info;
}
/**
* 认证(在登录时就会调用这个方法) Subject.login();
* 参数:AuthenticationToken代表用户在界面上输入的用户名和密码
* 返回值不为null就会执行密码比较器
*/
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//1.将token转化为子类对象
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
//2.从token中获取用户界面输入的用户名
String username = upToken.getUsername();
//3.调用业务逻辑层,根据用户名查询用户对象
List<User> userList = userService.find("from User where userName=?", User.class, new String[]{username});
if(userList!=null && userList.size()>0){
//查询到了用户对象,说明了用户名是正确的
User user = userList.get(0);
//principal代表用户信息 credentials代表用户的密码 第三个参数:只要是一个字符串就可以
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
return info;
}
//4.组织返回的结果
return null;
}
}
已在applicationContext-shiro.xml中进行了配置。如下:
<!-- 自定义权限认证 -->
<bean id="authRealm" class="cn.itcast.jk.shiro.AuthRealm">
<property name="userService" ref="userService"/>
<!-- 自定义密码加密算法 -->
<property name="credentialsMatcher" ref="passwordMatcher"/>
</bean>
<!-- 设置密码加密策略 md5hash -->
<bean id="passwordMatcher" class="cn.itcast.jk.shiro.CustomCredentialsMatcher"/>
密码比较器CustomCredentialsMatcher
package cn.itcast.jk.shiro;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import cn.itcast.jk.utils.Encrypt;
/**
* 自定义的密码比较器
* @author 周家林
*
*/
public class CustomCredentialsMatcher extends SimpleCredentialsMatcher {
/**
* 重写了密码比较的方法
* 第一个参数AuthenticationToken 代表用户在界面上输入的用户名和密码
*
* 第二个参数AuthenticationInfo 代表了当前这个用户在数据库中的信息,就会有加密后的密码
*
* 返回值:true证明密码比较成功了
* false证明密码比较失败,密码输入错误,程序会抛出异常
*
*/
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
//1.将用户在界面输入的密码进行加密
UsernamePasswordToken upToken = (UsernamePasswordToken) token; //向下转型
String inputpwd = new String(upToken.getPassword());
String inputpwdEncrypt = Encrypt.md5(inputpwd, upToken.getUsername());//md5hash算法进行加密
//2.将用户在数据库中的密码读取出来
String dbPwd = info.getCredentials().toString();
//3.进行比较
return super.equals(inputpwdEncrypt, dbPwd);
}
}
LoginAction中的login和logout登录代码
//SSH传统登录方式
public String login() throws Exception {
//1.与Shiro交互
Subject subject = SecurityUtils.getSubject();
//如果已登录过,直接在页面上回车
if(subject.isAuthenticated()){
return SUCCESS;
}
if(UtilFuns.isEmpty(username)){
return "login";
}
try {
//2.调用subject中的方法,来实现登录
UsernamePasswordToken token = new UsernamePasswordToken(username, password);//将用户在界面输入的用户名密码进行封装
subject.login(token);//当login执行时,就会自动跳入authRealm域中的认证方法
//3.从Shiro中取出用户登录结果信息
User user = (User) subject.getPrincipal();
//4.将用户信息保存到session中
session.put(SysConstant.CURRENT_USER_INFO, user);
return SUCCESS;
} catch (Exception e) {
e.printStackTrace();
request.put("errorInfo", "登录失败,用户名或密码错误!");
return "login";
}
}
//退出
public String logout(){
session.remove(SysConstant.CURRENT_USER_INFO); //删除session
SecurityUtils.getSubject().logout();//Shiro中的登录方法,才会真实的将JSESSIONID删除
return "logout";
}
测试授权过程:
当jsp页面上出现Shiro标签时就会执行AuthRealm域中的授权方法
1.引入 Shiro标签
<%@taglib lib="http:shiro.apache.org/tags" prefix="shiro"%>
2.使用shiro标签进行授权判断
举例:
<shiro:hasPermission name="系统首页">
<span id="topmenu" οnclick="toModule('home');">系统首页</span><span id="tm_separator"></span>
</shiro:hasPermission>
其实shiro标签就和<c:if></c:if>很像,如果此用户拥有此模块操作权,此模块就会显示,没有权限,此模块就不会显示。
小结:
这是我对Shiro安全 框架的应用展示,如有不足敬请提出,大家一起进步。