1、Shiro概述
1.1、什么是Shiro
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Apache Shiro 的目标是易于使用和理解。以下是你可以用 Apache Shiro 所做的事情:
- 验证用户来核实他们的身份
- 对用户执行访问控制,如:
- 判断用户是否被分配了一个确定的安全角色
- 判断用户是否被允许做某事
- 在任何环境下使用 Session API,即使没有 Web 或 EJB 容器。
- 在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。
- 聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。
- 启用单点登录(SSO)功能。
- 为没有关联到登录的用户启用"Remember Me"服务
1.2、Shiro功能模块
Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等操作。而且Shiro的API也是非常简单;其基本功能点如下图所示:
- Authentication:身份认证/登录,验证用户是不是拥有相应的身份。
- Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情。
- Session Management:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的。
- Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储。
- Web Support:Shiro 的 web 支持的 API 能够轻松地帮助保护 Web 应用程序。
- Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率。
- Concurrency:Apache Shiro 利用它的并发特性来支持多线程应用程序。
- Testing:测试支持的存在来帮助你编写单元测试和集成测试,并确保你的能够如预期的一样安全。
- "Run As":一个允许用户假设为另一个用户身份(如果允许)的功能,有时候在管理脚本很有用。
- "Remember Me":记住我。
1.3、Shiro内部结构
- Subject:主体:可以是任何可以与应用交互的“用户”
- SecurityManager:Shiro的心脏,相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher。所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、负责进行认证和授权、及会话、缓存的管理。
- Authenticator:认证器,负责主体(Subject)认证的,即什么情况下算用户认证通过了。
- Authrizer:授权器或者访问控制器,用来决定主体是否有权限进行相应的操作:即控制着用户能访问应用中的哪些功能。
- Realm:可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等。由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm
- SessionManager:学习过Servlet就应该知道Session的概念,Session需要有人去管理它的生命周期,这个组件就是SessionManager;而Shiro并不仅仅可以用在Web环境,也可以用在如普通的JavaSE环境、EJB等环境;所以Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据
- SessionDAO:数据访问对象,用于会话的CRUD
- 比如想把Session保存到数据库,那么可以实现自己SessionDAO,通过如JDBC写到数据库。
- 比如想把Session放到Memcached中,可以实现自己的Memcached SessionDAO
- 另外SessionDAO中可以使用Cache进行缓存以提高性能。
- CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的数据。放到缓存中后可以提高访问的性能。
- Cryptography:密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密。
2、SpringBoot整合Shiro
2.1、Spring和Shiro整合依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.3.2</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.3.2</version>
</dependency>
2.2、自定义realm:完成认证和授权功能
Realm:Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么
它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行
验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
public class CustomRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
@Override
public void setName(String name) {
super.setName("customRealm");
}
/**
* 授权方法
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection
principalCollection) {
// 1.获取认证的用户数据
User user = (User)principalCollection.getPrimaryPrincipal();
/ /2.构造授权数据
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
Set<Role> roles = user.getRoles();
for (Role role : roles) {
// 添加角色信息
info.addRole(role.getName());
for (Permission permission:role.getPermissions()) {
// 添加权限信息
info.addStringPermission(permission.getCode());
}
}
return info;
}
/**
* 认证方法
*/
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken
authenticationToken) throws AuthenticationException {
// 1.获取登录的upToken
UsernamePasswordToken upToken = (UsernamePasswordToken)authenticationToken;
// 2.获取输入的用户名密码
String username = upToken.getUsername();
String password = new String(upToken.getPassword());
// 3.数据库查询用户
User user = userService.findByName(username);
// 4.用户存在并且密码匹配存储用户数据
if(user != null && user.getPassword().equals(password)) {
return new
SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
} else {
// 返回null会抛出异常,表明用户不存在或密码不匹配
return null;
}
}
}
2.3、Shiro配置信息
SecurityManager 是 Shiro 架构的心脏,用于协调内部的多个组件完成全部认证授权的过程。例如通过调用realm完成认证与登录。使用基于Springboot的配置方式完成SecurityManager,Realm的装配。
@Configuration
public class ShiroConfiguration {
// 配置自定义的Realm
@Bean
public CustomRealm getRealm() {
return new CustomRealm();
}
// 配置安全管理器
@Bean
public SecurityManager securityManager(CustomRealm realm) {
// 使用默认的安全管理器
DefaultWebSecurityManager securityManager = new
DefaultWebSecurityManager(realm);
// 将自定义的realm交给安全管理器统一调度管理
securityManager.setRealm(realm);
return securityManager;
}
//Filter工厂,设置对应的过滤条件和跳转条件
@Bean
public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
// 1.创建shiro过滤器工厂
ShiroFilterFactoryBean filterFactory = new ShiroFilterFactoryBean();
// 2.设置安全管理器
filterFactory.setSecurityManager(securityManager);
// 3.通用配置(配置登录页面,登录成功页面,验证未成功页面)
filterFactory.setLoginUrl("/login.html"); // 设置登录页面
filterFactory.setUnauthorizedUrl("/failure.html"); // 授权失败跳转页面
// 4.配置过滤器集合
/**
* key :访问连接 == > 支持通配符的形式
* value:过滤器类型
* shiro常用过滤器
* anno :匿名访问(表明此链接所有人可以访问)
* authc :认证后访问(表明此链接需登录认证成功之后可以访问)
*/
Map<String,String> filterMap = new LinkedHashMap<String,String>();
// 配置不会被拦截的链接 顺序判断
filterMap.put("/user/home", "anon");
filterMap.put("/user/**", "authc");
// 5.设置过滤器
filterFactory.setFilterChainDefinitionMap(filterMap);
return filterFactory;
}
// 配置Shiro注解支持
@Bean
public AuthorizationAttributeSourceAdvisor
authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor advisor = new
AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager);
return advisor;
}
}
- Shiro中常用过滤器有如下
过滤器名 | 说明 |
anon | 无参数,开放权限,可以理解为不需要认证都可以访问 |
authc | 无参数,需要认证才能访问 |
perms[user-add] | 参数可写多个,表示需要某个或某些权限才能访问 多个参数时写perms["user-add,user-update"]:当有多个参数时必须每个参数都通过才算通过 |
roles[admin] | 参数可写多个,表示需要某个或某些角色才能访问 多个参数时写 roles["admin,user"]:当有多个参数时必须每个参数都通过才算通过 |
2.4、控制器编写认证方法
认证:身份认、证/登录:验证用户是不是拥有相应的身份。基于Shiro的认证,Shiro需要采集到用户登录数据使用Subject的login方法进入realm完成认证工作
@RequestMapping(value="/login")
public String login(String username,String password) {
try{
// 获得主体对象
Subject subject = SecurityUtils.getSubject();
// 创建Token对象:封装用户名和密码
UsernamePasswordToken uptoken = new
UsernamePasswordToken(username,password);
// 调用登录方法(进行认证操作) 没有异常代表认证通过
subject.login(uptoken);
return "登录成功";
}catch (Exception e) {
return "用户名或密码错误";
}
}
- 说明:调用Subject对象的login方法就会触发realm的doGetAuthenticationInfo方法执行。
2.5、授权配置
授权:即权限验证:验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情。Shiro支持基于过滤器和注解授权方式
2.5.1、基于过滤器授权方式
// 配置请求连接过滤器配置
// 匿名访问(所有人员可以访问 /user/home)
filterMap.put("/user/home", "anon");
// 具有指定权限访问才能访问:/user/find
filterMap.put("/user/find", "perms[user-find]");
// 认证之后才能访问(登录之后才能访问)
filterMap.put("/user/**", "authc");
// 具有指定角色才能访问
filterMap.put("/user/**", "roles[系统管理员]");
基于过滤器方式进行授权,一旦操作用户不具备操作权限,目标地址不会被执行。会跳转到指定的url连接地址。所以需要在连接地址中更加友好的处理未授权的信息提示。
2.5.2、基于注解授权方式
- RequiresPermissions注解:配置到方法上,表明执行此方法必须具有指定的权限。
// 查询
@RequiresPermissions(value = "user-find")
public String find() {
return "查询用户成功";
}
- RequiresRoles注解:配置到方法上,表明执行此方法必须具有指定的角色。
// 查询
@RequiresRoles(value = "系统管理员")
public String find() {
return "查询用户成功";
}
基于注解的配置方式进行授权,一旦操作用户不具备操作权限,目标方法不会被执行,而且会抛出AuthorizationException 异常。所以需要做好统一异常处理完成未授权处理。