Shiro学习笔记
什么是Shiro
Shiro可以完成:认证、加密、授权、会话管理、与Web集成、缓存等
下载: http://shiro.apache.org/
从应用程序角度观察Shiro是如何完成工作的
Shiro运行流程
Application Code->Subject(当前用户)->Shiro SecurityManager(管理各个组件)->Realm
Subject
应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外API 核心就是 Subject。Subject 代表了当前“用户”, 这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;与 Subject 的所有交互都会委托给 SecurityManager;Subject 其实是一个门面,SecurityManager 才是实际的执行者
SecurityManager
安全管理器;即所有与安全有关的操作都会与SecurityManager 交互;且其管理着所有 Subject;可以看出它是 Shiro的核心,它负责与 Shiro 的其他组件进行交互,它相当于 SpringMVC 中DispatcherServlet 的角色
Realm
Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource
依赖的基础配置
<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-all -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.3.2</version>
</dependency>
<!-- https://mvnrepository.com/artifact/log4j/log4j -->
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-api -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-api</artifactId>
<version>1.7.25</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-log4j12 -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.25</version>
<scope>test</scope>
</dependency>
分析Shiro自带的HelloWord程序
class Quickstart(){
// 获取当前的 Subject. 调用 SecurityUtils.getSubject();
Subject currentUser = SecurityUtils.getSubject();
// 测试使用 Session
Session session = currentUser.getSession();
session.setAttribute("someKey", "aValue");
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
log.info("---> Retrieved the correct value! [" + value + "]");
}
// 测试当前的用户是否已经被认证. 即是否已经登录.
// 调动 Subject 的 isAuthenticated()
if (!currentUser.isAuthenticated()) {
//如果没有登录 那么就会进行判断 将登录的信息保存在token里面进行表示
// 把用户名和密码封装为 UsernamePasswordToken 对象
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
// 记住我
token.setRememberMe(true);
try {
// 执行登录.
currentUser.login(token);
}
// 若没有指定的账户, 则 shiro 将会抛出 UnknownAccountException 异常.
// 用户名不存在
catch (UnknownAccountException uae) {
log.info("----> There is no user with username of " + token.getPrincipal());
return;
}
// 若账户存在, 但密码不匹配, 则 shiro 会抛出 IncorrectCredentialsException 异常。
// 密码错误
catch (IncorrectCredentialsException ice) {
log.info("----> Password for account " + token.getPrincipal() + " was incorrect!");
return;
}
// 用户被锁定的异常 LockedAccountException
catch (LockedAccountException lae) {
log.info("The account for username " + token.getPrincipal() + " is locked. " +
"Please contact your administrator to unlock it.");
}
// ... catch more exceptions here (maybe custom ones specific to your application?
// 所有认证时异常的父类.
catch (AuthenticationException ae) {
//unexpected condition? error?
}
}
// 测试是否有某一个角色. 调用 Subject 的 hasRole 方法.
// 判断用户是否具有某一个权限
if (currentUser.hasRole("schwartz")) {
log.info("----> May the Schwartz be with you!");
} else {
log.info("----> Hello, mere mortal.");
return;
}
// 测试用户是否具备某一个行为. 调用 Subject 的 isPermitted() 方法。
// 测试用于是否具有某一个具体的行为
if (currentUser.isPermitted("lightsaber:weild")) {
log.info("----> You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
//a (very powerful) Instance Level permission:
// 测试用户是否具备某一个行为.
if (currentUser.isPermitted("user:delete:zhangsan")) {
log.info("----> You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'. " +
"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
}
Shiro架构分析
- Subject 任何可以与应用交互的“用户”
- SecurityManager: 相当于SpringMVC 中的 DispatcherServlet;是 Shiro 的心脏,所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证、授权、会话及缓存的管理
- Authenticator: 负责Subject认证,是一个扩展点,可以自定义实现;可以使用认证策略(Authentication Strategy),即什么情况下算用户认证通过了
- Authorizer: 访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能
- Realm: 可以有1个或者多个Realm ,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC 实现,也可以是内存实现等等;由用户提供;所以一般在应用中都需要实现自己的 Realm
- SessionManager: 管理 Session 生命周期的组件;而 Shiro 并不仅仅可以用在 Web环境,也可以用在如普通的 JavaSE 环境
- CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少改变,放到缓存中后可以提高访问的性能
- Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密。
Shiro拦截的流程
-
ShiroFilter:拦截器 来拦截需要安全控制的URL 然后进行相应的控制,类似于SpringMVC 这种web前端控制框架 是安全控制的入口点 判断URL是否具有登录/权限等操作
-
-
在设置不需要拦截和需要拦截的界面的时候
- anon 不需要拦截的URL
- authc 需要拦截的URL
- URL的匹配规则
- ? 匹配一个字符
- “*” 匹配 0个或者多个字符
- ** 匹配路径下面0个或者多个路径
Shiro认证
- 获取当前的 Subject. 调用 SecurityUtils.getSubject();
- 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated()
- 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象
- 创建一个界面 来提交用户的账号和密码,获取用户的账号与密码
- 执行登录方法 调用Subject的login(AuthenticationToken) 方法.
- 自定义Realm的方法 从数据库中获取对应的记录 ,返回给Shiro
- 实际是继承Shiro这个类 实现对应的doGetAuthenticationInfo方法
- 这个里面接受的Token就是在isAuthenticated里面调用的currentUser.login(token)传递的Token
- 让Shiro实现对密码的对比
自定义的Relam认证规则
- 将AuthenticationToken 转换为 UsernamePasswordToken
- 从UsernamePasswordToken获取username
- 调用数据库查询对应的username对应的用户数据
- 判断用户是否符合指定的规则
密码加密规则
使用MD5盐值进行加密
- 在doGetAuthenticationInfo方法返回值创建SimpleAuthenticationInfo(是doGetAuthenticationInfo,需要返回的对象) 对象的时候, 需要使用SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器–>(activeUser,密码,盐,用户名)
- 使用ByteSource.Util.bytes()来计算盐值
- 盐值唯一 一般使用随机字符串或者UserId
- 使用new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations)来计算盐值加密后的密码的值.
doGetAuthenticationInfo
UserRealm extends AuthorizingRealm(){
//得到用户登陆名
// UsernamePasswordToken token1 = (UsernamePasswordToken) token;
// String username = token1.getUsername();
String phone=token.getPrincipal().toString();
//根据电话查询用户是否存在
User user = userService.queryUserByPhone(phone);
if(null!=user){//说明用户存在,但是密码可能不正确
//组装存放到reids里面的对象
ActiverUser activerUser=new ActiverUser();
activerUser.setUser(user);
//匹配密码 具体匹配密码的操纵交给底层进行执行
SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(
activerUser,user.getPassword(), ByteSource.Util.bytes(user.getSalt()),this.getName()
);
return info;
}else{
return null;//代表用户不存在
}
}
UserRealm--->AuthorizingRealm--->AuthenticatingRealm
return simpleAuthenticationInfo 之后,
会调用AuthenticatingRealm的getAuthenticationInfo()方法来实现具体的密码认证
Shiro 授权
授权: 也叫访问控制,即在应用中控制谁访问那些资源,在授权中需要了解的几个对象主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)
主体(Subject):访问应用的用户在 Shiro 中使用 Subject 代表该用户,用户只有授权后才允许访问相应的资源。
资源(Resource):在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
**权限(Permission):**安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,
即实例级别的)
**角色(Role):**权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
//1. 从 PrincipalCollection 中来获取登录用户的信息
Object principal = principals.getPrimaryPrincipal();
//2. 利用登录的用户的信息来用户当前用户的角色或权限(可能需要查询数据库) 角色用户表 角色权限表 用户权限表
Set<String> roles = new HashSet<>();
//如果是用户登录的话只有用户的权限
roles.add("user");
if("admin".equals(principal)){
//如果是管理员的登录的话 还有管理员与用户的权限
roles.add("admin");
}
//3. 创建 SimpleAuthorizationInfo, 并设置其 reles 属性.
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
//4. 返回 SimpleAuthorizationInfo 对象.
return info;
}
会话管理
- Subject.getSession()获取当前会话
- session.getId()获取当前会话的唯一的标识
- session.getHost()获取当前Subject的主机地址
- session.getTimeout() & session.setTimeout(毫秒) 获取/设置当前Session的过期时间
- session.getStartTimestamp() & session.getLastAccessTime() 获取会话的启动时间及最后访问时间
会话验证
ubject.getSession()获取当前会话
- session.getId()获取当前会话的唯一的标识
- session.getHost()获取当前Subject的主机地址
- session.getTimeout() & session.setTimeout(毫秒) 获取/设置当前Session的过期时间
- session.getStartTimestamp() & session.getLastAccessTime() 获取会话的启动时间及最后访问时间
会话验证
Shiro提供了会话验证调度器,用于定期的验证会话是否已经过期,会话验证调度器SessionValidationScheduler或者QuartzSessionValidationScheduler
有什么不足的地方 希望在评论区评论
扫一扫
955
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
