什么是权限管理
基本上涉及用户参与的兄系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制
,按照安全规则
或者安全策略
控制用户可以访问而且只能访问自己被授权的资源
权限管理包括用户身份认证
和授权
两部分,简称认证授权
。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限,方可访问。
什么是身份认证
身份认证
就是判断一个用户是否为合法用户的处理过程。
最常用的简单身份认证方式是,系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户和口令一致,来判断用户身份是否正确。
对于采用指纹等紫铜,则出示指纹,对于硬件key等刷卡系统,则需要刷卡
什么是授权
授权,即访问控制
,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限时无法访问的
shiro概述
shiro是apache旗下一个开源框架,他讲软件系统的安全认证相关的功能抽出来,实现身份认证,权限认证,加密,会话管理等功能,组成了一个通用的安全认证框架。
shiro特点:
- 易于理解的 Java Security API
- 简单的身份认证(登录),支持多种数据源(LDAP,JDBC等)
- 对角色的简单签权(访问控制),也支持细粒度鉴权
- 支持一级缓存,以提升应用程序的性能
- 内置基于POJO企业会话管理,使用与web以及非web的环境
- 异构客户端会话访问
- 非常简单的加密API
- 不跟任何的框架或者容器捆绑,可以独立运行
shiro的核心架构
Subject:
- subject主体,外部应用与subject进行交互,subject将用户作为当前操作的主体,这个主体,可以是一个通过浏览器请求的用户,也可能是一个运行的程序。
- subject在shiro中是一个接口,接口中定义了很多认证授权相关的方法,外部程序通过subject进行认证授权,而subject是通过SecurityManager安全管理器进行认证授权
SecurityManager
- SecurityManager权限管理器,他是shiro的核心,负责对所有的subject进行安全管理。
通过SecurityManager可以完成subject的认证授权等,SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。 - SecurityManager是一个接口,继承了Authenticator,Authroizer,sessionManager这三个接口
Authenticator
- 认证器,对用户登录进行身份认证
Authorizer
- 授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
Realm
- 数据库读取+认证功能+授权功能的实现
SessionManager
- 会话管理器,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话几种在一点管理,此特征可使他实现单点登录
SessionDao
-
对session会话操作的一套接口
-
比如,可以通过jdbc将会话存储到数据库,也可以吧session存储到缓存服务器
CacheManager
- 缓存管理,将用户权限数据存储在焕春,这样可以提高性能
Cryptography
- 密码管理,shiro提供了一套加密解密的组件,方便开发。比如提供常用的散列,加密解密功能。
Shiro中的认证中的关键对象
1.subject:主体
访问体统的用户,主体可以是用户,程序等,进行认证的都称为主体
2.principal 身份信息
是主体进行身份认证的标识,标识必须具有唯一性,如用户名,手机号,邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(primary principal)
3.credential:凭证信息
只有主体直到自己的安全信息,如密码、证书
java和ini文件实现认证
Shiro配置文件是 .ini结尾的配置文件, 用来学习shiro,书写我们系统中的相关权限数据
.ini 可以写复杂的数据格式
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.5.3</version>
</dependency>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.12</version>
</dependency>
创建shiro.ini文件
[users]
xiaochen=123
zhangsan=456
lisi=789
测试
public class Authenticator {
public static void main(String[] args) {
// 1. 创建安全管理器
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
// 2.给安全管理器设置realm
defaultSecurityManager.setRealm(new IniRealm("classpath:shiro.ini"));
//SecurityUtil全局安全工具类,借助安全工具类完成工作
//3. 将安装工具类中设置默认安全管理器
SecurityUtils.setSecurityManager(defaultSecurityManager);
//4.关键对象subject主体
Subject subject = SecurityUtils.getSubject();
//5.创建令牌
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","4526");
//用户认证
try {
System.out.println("认证状态" + subject.isAuthenticated());
subject.login(token);
System.out.println("认证状态" + subject.isAuthenticated());
} catch (UnknownAccountException e) {
//认证失败
e.printStackTrace();
System.out.println("认证失败,用户名不存在");
}catch (IncorrectCredentialsException e){
e.printStackTrace();
System.out.println("认证失败,密码错误!");
}
}
}
认证:
- 最终执行用户名比较
SimpleAccountRealm
类中的doGetAuthenticationInfo
完成了用户名的校验 - 最终密码的校验是在
AuthenticatingRealm
中的assertCredentialsMatch
总结:
AuthenticatingRealm
认证realm doGetAuthenticationInfo
AuthorizingRealm
授权realm doGetAuthorizationInfo