shiro安全框架
零、目录
- 问题引申
- shiro介绍
- shiro工作流程
- 使用shiro 进行登录操作
- 使用shiro进行权限管理
一、 问题引申
- 需要实现的功能: 用户没有登录的情况下 , 处理登录界面其他页面都不能访问
- 权限控制: 根据用户的权限列表内的权限 , 控制页面中各项功能的显示
- 解决方案: shiro安全框架
二、 shiro安全框架介绍
- Authentication:登录证明 , 当用户登录系统时需要使用这个模块 , 此时shiro框架内部会自己做登录校验 , 如果登录通过则证明用户名密码正确
- Authorization: 权限认证: 当用户没有登录时 , 不能随意发出请求 , 当不同的用户登录时会通过用户的权限列表控制页面功能的显示或隐藏。
- SessionManagement: session管理器 , 处理session问题
- Cryptography: 加密模块 , 包含了加密算法和加密工具类MD5Hash
- 类似产品: Spring Security 是Spring的子产品 , 但是由于配置过于繁琐所以不被广泛使用
三、工作流程
- Application: 应用程序代码
- Subject: Subject是shiro框架对外暴露的唯一接口 , 如果用户需要登录验证 , 需要创建Subject对象才能通过shiro安全中心进行各种操作 ,
- shiro SecurityManager: shiro安全管理器 , 处理登录或权限控制等问题等内部逻辑
- Realm: 代表进行登录或权限控制的原材料 , 登录时需要给shiro提供正确的用户信息和登录的用户名和密码 。
- 执行流程:
- 程序员创建subject , 提交登录的请求发送到shiro安全管理器
- 此时shiro安全管理器并不知道正确的信息是什么 , 需要通过realm得到正确的登录信息
四、使用shiro进行登录操作
导入需要依赖的jar包
<!-- Apache Shiro 权限架构 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.3</version> </dependency>
创建shiro的配置文件 一共5个bean
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:tx="http://www.springframework.org/schema/tx" xmlns:aop="http://www.springframework.org/schema/aop" xmlns:context="http://www.springframework.org/schema/context" xmlns:util="http://www.springframework.org/schema/util" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.2.xsd http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-3.2.xsd http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.2.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.2.xsd "> <!--1. 安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <!-- 注入原材料 --> <property name="realm" ref="authRealm"></property> </bean> <!-- 2. 创建原材料 com.tj.ht.shiro.AuthRleam类--> <!-- 3. 引入原材料 --> <bean id="authRealm" class="com.tj.ht.shiro.AuthRealm"> <!-- 注入加密匹配器 --> <property name="credentialsMatcher" ref="authMatcher"></property> </bean> <!-- 4. 创建加密匹配器 com.tj.ht.shiro.AuthMatcher类--> <!-- 5. 引入加密匹配器 --> <bean id="authMatcher" class="com.tj.ht.shiro.AuthMatcher"> </bean> <!-- 6. 权限认证 的观察器 --> <bean id="advisor" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <!-- 注入安全管理器 --> <property name="securityManager" ref="securityManager"></property> </bean> <!-- 7. shiro过滤工厂 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" > <!-- 输入安全管理器 --> <property name="securityManager" ref="securityManager"></property> <!-- 配置登陆地址 如果没有登陆则跳转发出登陆请求 , 跳转到登陆界面 默认是放行的--> <property name="loginUrl" value="/tologin.action"></property> <!-- 配置拦截 和 放行地址 --> <property name="filterChainDefinitions"> <value> <!-- anon 放行 --> <!-- authc 拦截 --> /login.action=anon <!-- 对登陆放行 --> <!-- /* 代表 所有请求 --> <!-- /**代表所有请求及静态资源文件 --> /staticfile/**=anon <!-- 对静态资源放行 --> /sysadmin/user/tocreate=anon<!-- 对添加用户放行 测试用 --> /sysadmin/user/save=anon<!-- 对添加用户放行 测试用--> /**=authc<!-- 除了上面放行的资源 , 其余全部拦截 --> </value> </property> </bean> </beans>
在web.xml文件中配置过滤器
<!-- 配置安全框架过滤器 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <!-- 吧过滤器的生命周期交给web容器进行管理 --> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
执行流程
- 在loginController中拦截login请求 , 并创建subject
- 调用subject的login方法 , 让安全管理器进行登录校验
- 安全管理器回去找AuthRealm获取登录的原材料信息 , 在AuthRealm类中通过用户名获取正确的用户信息和密码交由安全管理器进行校验
安全管理器进行登录检验时需要先把用户输入的明文密码加密后再与数据库中加密后的面比对 ,这是会去找自定义的AuthCredentialMatcher
1. 拦截登录请求 @RequestMapping("login.action") public String login(Model model , String username , String password ) { //获取subject对象 Subject subject = SecurityUtils.getSubject(); //创建用户名密码令牌 UsernamePasswordToken token = new UsernamePasswordToken(username , password); try{ //安全框架进行登陆 subject.login(token); //得到登录成功的信息 User u = (User) subject.getPrincipal(); model.addAttribute("_CURRENT_USER", u);//把用户信息存进session中 }catch(AuthenticationException e) { e.printStackTrace(); //登录失败 model.addAttribute("errorInfo", "用户名或密码错误!"); return "sysadmin/login/login"; } //登录成功 return "redirect:/home"; } 2. AuthRealm类 public class AuthRealm extends SimpleAccountRealm{ @Autowired private UserService userService; //登录证明 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //需要给安全中i性能提供的登陆校验的信息 1. 用户正确信息 2. 提交的信息 //得到正确信息 //用户输入的信息 UsernamePasswordToken myToken = (UsernamePasswordToken) token; //通过提交的用户名查询用户正确信息 User user = userService.findOneByUsername(myToken.getUsername()); //创建用于登陆的原材料信息 //参数 1. 正确信息 2. 需要验证的正确信息 3. 原材料的类的名称 AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName()); return info; } //权限认证 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // TODO Auto-generated method stub return super.doGetAuthorizationInfo(principals); } } 3. AuthMatcher类 public class AuthMatcher extends SimpleCredentialsMatcher{ //需要在此位置对原材料中的密码进行加密操作 @Override public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) { //得到明文密码 加密后设置回去 UsernamePasswordToken myToken = (UsernamePasswordToken) token; Md5Hash md5Hash = new Md5Hash(String.valueOf(myToken.getPassword()) , myToken.getUsername(), 3); //设置回去 myToken.setPassword(md5Hash.toString().toCharArray()); return super.doCredentialsMatch(myToken, info); } } 4. 登出操作 @RequestMapping("logout") public String logout(Model model,HttpSession session) { session.removeAttribute("_CURRENT_USER"); //通知shiro框架 退出登录 Subject subject = SecurityUtils.getSubject(); //判断是否是登录状态 , 如果是则退出 if(subject.isAuthenticated()) { subject.logout(); } return "sysadmin/login/login"; }
五、通过shiro实现权限管理
- 在原材料中提供当前用户所拥有的权限列表
- 页面显示的时候通过shiro标签进行权限判断 , 如果有权限才允许在页面中显示相应的功能
代码
1. 正原材料类中添加权限认证代码 public class AuthRealm extends SimpleAccountRealm{ @Autowired private UserService userService; //登录证明 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //需要给安全中i性能提供的登陆校验的信息 1. 用户正确信息 2. 提交的信息 //得到正确信息 //用户输入的信息 UsernamePasswordToken myToken = (UsernamePasswordToken) token; //通过提交的用户名查询用户正确信息 User user = userService.findOneByUsername(myToken.getUsername()); //创建用于登陆的原材料信息 //参数 1. 正确信息 2. 需要验证的正确信息 3. 原材料的类的名称 AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName()); return info; } //权限认证 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { User user = (User) principals.getPrimaryPrincipal(); List<String> ps = userService.findAllModulesByUserId(user.getUserId()); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.addRoles(ps); return info; } } 2. 在页面中引入标签 <%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %> 3. 对页面中的模块请求进行控制 <shiro:hasPermission name="货运管理"> //name要与原材料中list中的权限一致 <span id="topmenu" onclick="toModule('cargo');">货运管理</span><span id="tm_separator"></span> </shiro:hasPermission> <shiro:hasPermission name="基础信息"> <span id="topmenu" onclick="toModule('baseinfo');">基础信息</span><span id="tm_separator"></span> </shiro:hasPermission> <shiro:hasPermission name="系统管理"> <span id="topmenu" onclick="toModule('sysadmin');">系统管理</span> </shiro:hasPermission>