1、用户需要提供用户的
principals (身份)和credentials(证明)给shiro,以用来验证身份。
2、Realm
Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
3、流程
SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。
4、代码
4.1
定义Realm
public class ESStoreRealm extends AuthorizingRealm {
private final Map<String, SimpleAccount> accounts = new HashMap<String, SimpleAccount>();
@Override
public boolean supports(AuthenticationToken token) { <span style="color: rgb(0, 130, 0); font-family: Monaco, "DejaVu Sans Mono", "Bitstream Vera Sans Mono", Consolas, "Courier New", monospace; background-color: rgb(250, 250, 250);">//判断此Realm是否支持此Token</span>
return token instanceof UsernamePasswordToken;
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String username = getAvailablePrincipal(principals).toString();
SimpleAccount account = this.accounts.get(username);
return account;
}<span class="comment" style="color: rgb(0, 130, 0); padding: 0px; margin: 0px; width: auto; border: 0px; font-family: Monaco, "DejaVu Sans Mono", "Bitstream Vera Sans Mono", Consolas, "Courier New", monospace; background-color: rgb(250, 250, 250);">//根据Token获取认证信息</span><span style="font-family: Monaco, "DejaVu Sans Mono", "Bitstream Vera Sans Mono", Consolas, "Courier New", monospace; background-color: rgb(250, 250, 250);"> </span>
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken t) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) t;
String username = token.getUsername();
Object password = token.getCredentials();
SimpleAccount account = this.doGetAuthenticationInfo(username, password);
this.accounts.put(username, account);
return account;
}<span class="comment" style="color: rgb(0, 130, 0); padding: 0px; margin: 0px; width: auto; border: 0px; font-family: Monaco, "DejaVu Sans Mono", "Bitstream Vera Sans Mono", Consolas, "Courier New", monospace; background-color: rgb(250, 250, 250);">//根据Token获取认证信息</span><span style="font-family: Monaco, "DejaVu Sans Mono", "Bitstream Vera Sans Mono", Consolas, "Courier New", monospace; background-color: rgb(250, 250, 250);"> </span>
}
4.2
定义SecurityManager 和设置Realm
ESStoreRealm realm = new ESStoreRealm(client);
List<Realm> list = new ArrayList<Realm>();
list.add(realm);
SecurityManager securityManager = new DefaultSecurityManager(list);
获取Token使用Authenticator验证
UsernamePasswordToken token = SecurityUtil.parseUsernamePasswordToken(request);
AuthenticationInfo info = ThreadContext.getSecurityManager().authenticate(token);
5.授权
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
Permission
规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。
SimpleAccount account = new UserAccount(username, password, this.getName()); //获取subject
account.addRole((String)role);//添加角色
//添加权限
Map<String, Object> map = privilege.sourceAsMap();
String permission = (String) map.get(AUTH_TABLE_PRIVILEGE_CONTENT);
account.addObjectPermission(new WildcardPermission(permission, true));
6.验证权限
boolean permit = subject.isPermitted(new WildcardPermission(index+":"+type+":search", true));