一 . shiro简介
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。
可以用 Apache Shiro所做的事情:
验证用户
对用户执行访问控制,如:
判断用户是否拥有角色admin。
判断用户是否拥有访问的权限
在任何环境下使用 Session API。例如CS程序。
可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。
单点登录(SSO)功能。
“Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。
Shiro的4大部分——身份验证,授权,会话管理和加密
Authentication:身份验证,简称“登录”。
Authorization:授权,给用户分配角色或者权限资源
Session Management:用户session管理器,可以让CS程序也使用session来控制权限
Cryptography:把JDK中复杂的密码加密方式进行封装。
除了以上功能,shiro还提供很多扩展
Web Support:主要针对web应用提供一些常用功能。
Caching:缓存可以使应用程序运行更有效率。
Concurrency:多线程相关功能。
Testing:帮助我们进行测试相关功能
"Run As":一个允许用户假设为另一个用户身份(如果允许)的功能,有时候在管理脚本很有用。
“Remember Me”:记住用户身份,提供类似购物车功能。
若SecurityManager和Realm在application.xml配置,程序调用subject的load()方法,则 SecurityManager会自动调用
Realm随SecurityManager调用也自动调用
subject
Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。
所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,
运行时shiro会自动转化为与 SecurityManager交互的特定
subject的交互。
SecurityManager:
SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。然而,一旦 SecurityManager协调完毕,SecurityManager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作。
Realms
Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如LDAP数据源的JndiLdapRealm,JDBC数据源的JdbcRealm,ini文件数据源的IniRealm,properties文件数据源的PropertiesRealm,等等。我们也可以插入自己的 Realm实现来代表自定义的数据源。 像其他组件一样,Realms也是由SecurityManager控制
具体关系如图所示:
1.Subject(org.apache.shiro.subject.Subject):
简称用户
2.SecurityManager(org.apache.shiro.mgt.SecurityManager)
如上所述,SecurityManager是shiro的核心,协调shiro的各个组件
3.Authenticator(org.apache.shiro.authc.Authenticator):
登录控制
4.Authorizer(org.apache.shiro.authz.Authorizer) :
决定subject能拥有什么样角色或者权限。
5.SessionManager(org.apache.shiro.session.SessionManager) :
创建和管理用户session。通过设置这个管理器,shiro可以在任何环境下使用session。
6.CacheManager(org.apahce.shiro.cache.CacheManager) :
缓存管理器,可以减少不必要的后台访问。提高应用效率,增加用户体验。
7.Cryptography(org.apache.shiro.crypto.*) :
Shiro的api大幅度简化java api中繁琐的密码加密
8.Realms(org.apache.shiro.realm.Realm) :
程序与安全数据的桥梁
二,简单配置
注:这里只介绍spring配置模式。因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不 一 样。
1.在web.xml中配置shiro的过滤器
<!-- 配置spring 用于整合shiro -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2.在Spring的applicationContext.xml中添加shiro配置
<!-- 配置shiro框架的过滤器工厂bean -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"></property>
<property name="loginUrl" value="/login.jsp"></property>
<property name="successUrl" value="/index.jsp"></property>
<property name="unauthorizedUrl" value="/unauthorized.jsp" />
<!-- 指定url级别拦截策略 -->
<property name="filterChainDefinitions">
<value>
/css/**=anon
/js/**=anon
/images/**=anon
/login.jsp*=anon
/validatecode.jsp*=anon
/userAction_login.action=anon
/page_base_staff.action=perms["staff"]
/*=authc
</value>
</property>
</bean>
securityManager:这个属性是必须的。
loginUrl :没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。
successUrl :登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此
unauthorizedUrl :没有权限默认跳转的页面
过滤器所对应的Java类
anon:例子/admins/**=anon 没有参数,表示可以匿名使用 admins下的文件都能使用。
authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数 时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例 如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于 isPermitedAll()方法。
rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为 post,get,delete等。
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
注:anon,authcBasic,auchc,user是认证过滤器,perms,roles,ssl,rest,port是授权过滤器
3. 在applicationContext.xml中添加securityManagerper配置
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 注入realm -->
<property name="realm" ref="bosRealm"></property>
</bean>
<!-- 注册自定义realm -->
<bean id="bosRealm" class="com.itheima.bos.realm.BOSRealm"></bean>
4.配置bosRealm
public class BOSRealm extends AuthorizingRealm {
@Autowired
private UserDao userDao;
//认证方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("realm中的认证方法执行了。。。。");
UsernamePasswordToken mytoken = (UsernamePasswordToken)token;
String username = mytoken.getUsername();//username为页面输入的名字
//根据用户名查询数据库中的密码
User user = userDao.findUserByUserName(username);
if(user == null){
//用户名不存在
return null;
}
//如果能查询到,再由框架比对数据库中查询到的密码和页面提交的密码是否一致 参数2 为从数据库里读取的密码
AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
return info;
}
//授权方法
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
// TODO Auto-generated method stub
return null;
}
}
5.配置shiro注解模式
添加这两个bean 定义到 applicationContext-shiro.xml 中:<bean
class="org.springframwork.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor"/>
<bean
class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdv
isor">
<property name="securityManager" ref="securityManager"/>
</bean>
这样才能使用注解 注解如下
@RequiresAuthentication
验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。
@ RequiresUser
验证用户是否被记忆,user有两种含义:一种是成功登录的(subject.isAuthenticated() 结果为true);
另外一种是被记忆的( subject.isRemembered()结果为true)。
@RequiresGuest
验证是否是一个guest的请求,与@ RequiresUser完全相反。
换言之,RequiresUser == ! RequiresGuest 。
此时subject.getPrincipal() 结果为null.
@ RequiresRoles
例如:@RequiresRoles("aRoleName");
void someMethod();
如果subject中有aRoleName角色才可以访问方法someMethod。如果没有这个权限则会抛出异常 AuthorizationException。
@RequiresPermissions
例如: @RequiresPermissions( {"file:read", "write:aFile.txt"} ) void someMethod();
要求subject中必须同时含有file:read和write:aFile.txt的权限才能执行方法someMethod()。否则抛出异常 AuthorizationException。
如 staff-delete为权限的名称 ,在进行删除之前判断有没有该权限,若有执行该方法 相反则不执行
@RequiresPermissions("staff-delete")//执行这个方法,需要当前用户具有staff-delete这个权限
public String deleteBatch() {
staffService.deleteBatch(ids);
return LIST;
}
6.总结shiro框架提供的权限控制方式
(1) URL拦截权限控制(基于过滤器实现) <!-- 指定url级别拦截策略 -->
<property name="filterChainDefinitions">
<value>
/css/**=anon
/js/**=anon
/images/**=anon
/login.jsp*=anon
/validatecode.jsp*=anon
/userAction_login.action=anon
/page_base_staff.action=perms["staff-list"]
/*=authc
</value>
</property>
(2)方法注解权限控制(基于代理技术实现)
//批量删除
@RequiresPermissions("staff-delete")//执行这个方法,需要当前用户具有staff-delete这个权限
public String deleteBatch() {
staffService.deleteBatch(ids);
return LIST;
}
(3)页面标签权限控制(标签技术实现)
<shiro:hasPermission name="staff-delete">
{
id : 'button-delete',
text : '删除',
iconCls : 'icon-cancel',
handler : doDelete
},
</shiro:hasPermission>
(4)代码级别权限控制(基于代理技术实现)
//修改
//@RequiresPermissions("staff-edit")
public String edit() {
Subject subject = SecurityUtils.getSubject();
subject.checkPermission("staff-edit");
Staff staff = staffService.findById(model.getId());
//使用页面提交的数据进行覆盖
staff.setName(model.getName());
staff.setTelephone(model.getTelephone());
staff.setHaspda(model.getHaspda());
staff.setStandard(model.getStandard());
staff.setStation(model.getStation());
staffService.update(staff);
return LIST;
}