在 Web 项目中应用 Apache Shiro

最新推荐文章于 2022-07-27 18:30:00 发布
最新推荐文章于 2022-07-27 18:30:00 发布
阅读量395 收藏
点赞数
分类专栏: 【JAVA】Java基础 文章标签: shiro

转:http://www.ibm.com/developerworks/cn/java/j-lo-shiro/

Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证、授权、加密、会话管理等功能。认证授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 Shiro 的一系列特征及优点,很多文章已有列举,这里不再逐一赘述,本文重点介绍 Shiro 在 Web Application 中如何实现验证码认证以及如何实现单点登录。

用户权限模型

在揭开 Shiro 面纱之前,我们需要认知用户权限模型。本文所提到用户权限模型,指的是用来表达用户信息及用户权限信息的数据模型。即能证明“你是谁?”、“你能访问多少受保护资源?”。为实现一个较为灵活的用户权限数据模型,通常把用户信息单独用一个实体表示,用户权限信息用两个实体表

  1. 用户信息用 LoginAccount 表示,最简单的用户信息可能只包含用户名 loginName 及密码 password 两个属性。实际应用中可能会包含用户是否被禁用,用户信息是否过期等信息。
  2. 用户权限信息用 Role 与 Permission 表示,Role 与 Permission 之间构成多对多关系。Permission 可以理解为对一个资源的操作,Role 可以简单理解为 Permission 的集合。
  3. 用户信息与 Role 之间构成多对多关系。表示同一个用户可以拥有多个 Role,一个 Role 可以被多个用户所拥有。

认证与授权

Shiro 认证与授权处理过程

  • 被 Shiro 保护的资源,才会经过认证与授权过程。
  • 用户访问受 Shiro 保护的 URL;例如 http://host/security/action.do
  • Shiro 首先检查用户是否已经通过认证,如果未通过认证检查,则跳转到登录页面,否则进行授权检查。认证过程需要通过 Realm 来获取用户及密码信息,通常情况我们实现 JDBC Realm,此时用户认证所需要的信息从数据库获取。如果使用了缓存,除第一次外用户信息从缓存获取。
  • 认证通过后接受 Shiro 授权检查,授权检查同样需要通过 Realm 获取用户权限信息。Shiro 需要的用户权限信息包括 Role 或 Permission,可以是其中任何一种或同时两者,具体取决于受保护资源的配置。如果用户权限信息未包含 Shiro 需要的 Role 或 Permission,授权不通过。只有授权通过,才可以访问受保护 URL 对应的资源,否则跳转到“未经授权页面”。

Shiro Realm

在 Shiro 认证与授权处理过程中,提及到 Realm。Realm 可以理解为读取用户信息、角色及权限的 DAO。由于大多 Web 应用程序使用了关系数据库,因此实现 JDBC Realm 是常用的做法。

清单 1. 实现自己的 JDBC Realm

public class AuthenticationRealm extends AuthorizingRealm
{
     /**
     * 获取认证信息
     * @param token 令牌
     * @return 认证信息
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(org.apache.shiro.authc.AuthenticationToken token)
    {
        AuthenticationToken authenticationToken = (AuthenticationToken) token;
        String username = authenticationToken.getUsername();
        String password = new String(authenticationToken.getPassword());
        String captchaId = authenticationToken.getCaptchaId();
        String captcha = authenticationToken.getCaptcha();
        String ip = authenticationToken.getHost();

         if (!captchaService.isValid(CaptchaType.consoleLogin, captchaId, captcha))
        {
            throw new UnsupportedTokenException();
        }
        if (username != null && password != null)
        {
             Admin admin = adminService.findByUsername(username);
             if (admin == null)
            {
                throw new UnknownAccountException();
            }
            if (!admin.getIsEnabled())
            {
                throw new DisabledAccountException();
            }
              if (admin.getIsLocked())
            {
            }
        }
        if (!DigestUtils.md5Hex(password).equals(admin.getPassword()))
        {
            //略
        }
        return new SimpleAuthenticationInfo(new Principal(admin.getId(), username), password, getName());
     }

    /**
     * 获取授权信息
     * @param principals principals
     * @return 授权信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)
    {
           Principal principal = (Principal) principals.fromRealm(getName()).iterator().next();
        if (principal != null)
        {
            List<String> authorities = adminService.findAuthorities(principal.getId());
            if (authorities != null)
            {
                SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
                authorizationInfo.addStringPermissions(authorities);
                return authorizationInfo;
            }
        }
        return null;   
    }
}

与 Spring 集成

在 Java Web Application 开发中,Spring 得到了广泛使用;与 EJB 相比较,可以说 Spring 是主流。Shiro 自身提供了与 Spring 的良好支持,在应用程序中集成 Spring 十分容易。

有了前面提到的用户权限数据模型,并且实现了自己的 Realm,我们就可以开始集成 Shiro 为应用程序服务了。

配置过滤器:

首先,配置过滤器让请求资源经过 Shiro 的过滤处理,这与其它过滤器的使用类似。

清单 2. web.xml 配置:

<filter> 
   <filter-name>shiroFilter</filter-name> 
   <filter-class> 
      org.springframework.web.filter.DelegatingFilterProxy 
   </filter-class> 
 </filter> 
 <filter-mapping> 
   <filter-name>shiroFilter</filter-name> 
   <url-pattern>/*</url-pattern> 
 </filter-mapping>

Spring 配置:

接下来仅仅配置一系列由 Spring 容器管理的 Bean,集成大功告成。各个 Bean 的功能见代码说明。

清单 3. Spring 配置:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 
   <property name="securityManager" ref="securityManager"/> 
   <property name="loginUrl" value="/login.do"/> 
   <property name="successUrl" value="/welcome.do"/> 
   <property name="unauthorizedUrl" value="/403.do"/> 
   <property name="filters"> 
      <util:map> 
         <entry key="authc" value-ref="formAuthenticationFilter"/> 
      </util:map> 
   </property> 
   <property name="filterChainDefinitions"> 
      <value> 
         /=anon 
         /login.do*=authc 
         /logout.do*=anon 

         # 权限配置示例
         /security/account/view.do=authc,perms[SECURITY_ACCOUNT_VIEW] 

         /** = authc 
      </value> 
   </property> 
 </bean> 

 <bean id="securityManager" 
   class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
   <property name="realm" ref="myShiroRealm"/> 
 </bean> 

 <bean id="myShiroRealm" class="xxx.packagename.MyShiroRealm"> 
   <!-- businessManager 用来实现用户名密码的查询 --> 
   <property name="businessManager" ref="businessManager"/> 
   <property name="cacheManager" ref="shiroCacheManager"/> 
 </bean> 

 <bean id="lifecycleBeanPostProcessor" 
    class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> 

 <bean id="shiroCacheManager" 
   class="org.apache.shiro.cache.ehcache.EhCacheManager"> 
   <property name="cacheManager" ref="cacheManager"/> 
 </bean> 

 <bean id="formAuthenticationFilter" 
   class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"/>
  1. shiroFilter 中 loginUrl 为登录页面地址,successUrl 为登录成功页面地址(如果首先访问受保护 URL 登录成功,则跳转到实际访问页面),unauthorizedUrl 认证未通过访问的页面(前面提到的“未经授权页面”)。
  2. shiroFilter 中 filters 属性,formAuthenticationFilter 配置为基于表单认证的过滤器。
  3. shiroFilter 中 filterChainDefinitions 属性,anon 表示匿名访问(不需要认证与授权),authc 表示需要认证,perms[SECURITY_ACCOUNT_VIEW] 表示用户需要提供值为“SECURITY_ACCOUNT_VIEW”Permission 信息。由此可见,连接地址配置为 authc 或 perms[XXX] 表示为受保护资源。
  4. securityManager 中 realm 属性,配置为我们自己实现的 Realm。
  5. myShiroRealm 为我们自己需要实现的 Realm 类,为了减小数据库压力,添加了缓存机制。
  6. shiroCacheManager 是 Shiro 对缓存框架 EhCache 的配置。

实现单点登录

前面章节,我们认识了 Shiro 的认证与授权,并结合 Spring 作了集成实现。现实中,有这样一个场景,我们拥有很多业务系统,按照前面的思路,如果访问每个业务系统,都要进行认证,这样是否有点难让人授受。有没有一种机制,让我们只认证一次,就可以任意访问目标系统呢?
上面的场景,就是我们常提到的单点登录 SSO。Shiro 从 1.2 版本开始对 CAS 进行支持,CAS 就是单点登录的一种实现。

Shiro CAS 认证流程:

CAS Realm

Shiro 提供了一个名为 CasRealm 的类,与前面提到的 JDBC Realm 相似,该类同样包括认证和授权两部分功能。认证就是校验从 CAS 服务端返回的 ticket 是否有效;授权还是获取用户权限信息。
实现单点登录功能,需要扩展 CasRealm 类。

清单 9. Shiro CAS Realm

 public class MyCasRealm extends CasRealm{ 

   // 获取授权信息
   protected AuthorizationInfo doGetAuthorizationInfo( 
      PrincipalCollection principals) { 
      //... 与前面 MyShiroRealm 相同
   } 

    public String getCasServerUrlPrefix() { 
      return "http://casserver/login"; 
   } 

   public String getCasService() { 
      return "http://casclient/shiro-cas"; 
   } 
   16 
 }

代码说明:
doGetAuthorizationInfo 获取授权信息与前面章节“实现自己的 JDBC Realm”相同。
认证功能由 Shiro 自身提供的 CasRealm 实现。
getCasServerUrlPrefix 方法返回 CAS 服务器地址,实际使用一般通过参数进行配置。
getCasService 方法返回 CAS 客户端处理地址,实际使用一般通过参数进行配置。
认证过程需 keystore,否则会出现异常。可以通过设置系统属性的方式来指定,例如 System.setProperty(“javax.net.ssl.trustStore”,”keystore-file”);

CAS Spring 配置

实现单点登录的 Spring 配置与前面类似,不同之处参见代码说明。
清单 10. Shiro CAS Spring 配置

<bean id="shiroFilter" 
   class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 
   <property name="securityManager" ref="securityManager"/> 
   <property name="loginUrl" 
      value="http://casserver/login?service=http://casclient/shiro-cas"/> 
   <property name="successUrl" value="/welcome.do"/> 
   <property name="unauthorizedUrl" value="/403.do"/> 
   <property name="filters"> 
      <util:map> 
         <entry key="authc" value-ref="formAuthenticationFilter"/> 
         <entry key="cas" value-ref="casFilter"/> 
      </util:map> 
   </property> 
   <property name="filterChainDefinitions"> 
      <value> 
         /shiro-cas*=cas 
         /logout.do*=anon 
         /casticketerror.do*=anon 

         # 权限配置示例
         /security/account/view.do=authc,perms[SECURITY_ACCOUNT_VIEW] 

         /** = authc 
      </value> 
   </property> 
 </bean> 

 <bean id="securityManager" 
   class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
   <property name="realm" ref="myShiroRealm"/> 
 </bean> 

 <bean id="lifecycleBeanPostProcessor" 
   class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> 

 <!-- CAS Realm --> 
 <bean id="myShiroRealm" class="xxx.packagename.MyCasRealm"> 
   <property name="cacheManager" ref="shiroCacheManager"/> 
 </bean> 

 <bean id="shiroCacheManager" 
   class="org.apache.shiro.cache.ehcache.EhCacheManager"> 
   <property name="cacheManager" ref="cacheManager"/> 
 </bean> 

 <bean id="formAuthenticationFilter" 
   class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"/> 

 <!-- CAS Filter --> 
 <bean id="casFilter" class="org.apache.shiro.cas.CasFilter"> 
   <property name="failureUrl" value="casticketerror.do"/> 
 </bean>

代码说明:
shiroFilter 中 loginUrl 属性,为登录 CAS 服务端地址,参数 service 为服务端的返回地址。
myShiroRealm 为上一节提到的 CAS Realm。
casFilter 中 failureUrl 属性,为 Ticket 校验不通过时展示的错误页面。

21989939
关注
专栏目录
springBoot+shiro+cas基于sso单点登录(二)
weixin_45863786的博客
05-02 776
单点登录流程 客户端请求目标服务器 目标服务器重定向到cas服务器 cas服务器进行验证,通过则请求目标服务器,将ticket传给目标服务器 目标服务器根据ticket,请求cas服务器,获取用户登录信息 cas服务器返回验证消息给目标服务器 项目实现 1、导入依赖包 <!-- shrio 权限框架 --> <dependency&...
使用shiro完成认证
m0_69715573的博客
08-11 170
如何用shiro完成认证
shiro cas 遇到 票根验证问题
lyz_112233的博客
06-23 5625
1、票根不符合目标服务 解决方法:检查web.xml里的shiro拦截器和cas ticket拦截器的拜访顺序,应该cas 白在shiro前面 原因:shiro也有验证机制,但不识别票根。 2、票根无法识别(无效) 解决方法:找到web-INF/spring-configuration/ticketExpirationPolicies.xml, 找到  c:numberOfUs
shiro认证流程分析
qiuxinfa123的博客
04-05 217
在上一篇博文springboot整合shiro入门 ,简单介绍了如何使用shiro进行认证和授权,下面通过debug的方式(示例代码还是上一篇博客使用的代码),分析一下shiro是如何进行认证的: 首先,回顾一下,处理登录的方法: @PostMapping("/doLogin") @ResponseBody public String ...
SpringBoot集成shiro+cas单点登录
yixuan_love的博客
07-27 885
springboot shiro cas
springMVC+shiro继承cas cilent首次跳转token内容
qq745196811的博客
06-30 273
最近项目POC时一个springMVC+shiro的工程需要集成cas cilent进行单点登录,发现了一个问题,每次首次从门户首页跳转过来时,debug模式下均出现了首次进入doGetAuthenticationInfo这个方法时,参数AuthenticationToken ticket为null的情况,如果此时设置错误跳转页面,则会阻断登陆流程,第二次点击跳转会正确附带ticket信息,排查了很久,发现网上大部分demo均为成功失败地址设置为相同路径: spring-shiro.xml部分配置:
Apache shiro 1.13.0源码
01-17
web 应用,可以通过配置 `shiro.ini` 或者 `Web.xml` 来定制过滤器。 6. **Caching**:Shiro 支持缓存管理,可以缓存认证和授权信息,提高性能。 7. **Testing**:源码包含了测试用例,帮助开发者理解和...
web项目应用Shiro
02-27
2. **灵活性**:Shiro可以在多种环境运行,不仅限于Web应用,还适用于EJB、IoC等其他环境。 3. **可插拔性**:Shiro的设计模式允许它轻松地与其他框架集成,如Spring、Grails等,相比之下Spring Security在这方面...
基于SpringBoot+MyBatis+Apache Shiro的响应式企业级WEB应用系统设计源码
最新发布
09-26
项目是一款基于SpringBoot、MyBatis、Apache Shiro框架,集成了Bootstrap和Thymeleaf模板的企业级WEB应用系统设计源码。包含3414个文件,涵盖HTML、JavaScript、Java、CSS等多种语言。系统支持响应式布局,兼容IE9...
Apache Shiro教程
12-30
通过这个Apache Shiro教程,你可以学习到如何构建安全的Java应用,了解Shiro的配置和用法,以及如何在实际项目实施身份验证、授权、会话管理和加密策略。无论你是初学者还是经验丰富的开发者,Shiro都是一个值得...
CAS+Shiro实现认证授权
11-15
对应博客:https://blog.csdn.net/fancheng614/article/details/84112083
shiro 过滤器 Filter 修改请求url
dgh112233的博客
09-06 1947
shiro框架有拦截器(过滤器)Filter机制,先将我们的request请求进行匹配,如果匹配成功,则执行相应的Filter,如果不匹配,则放行,让Servlet的拦截器去匹配,执行相应的Controller。 Filter修改request的url,让Filter授权失败了,还能继续访问我们的一个Controller层 接口。 protected boolean isAccessAll...
使用shiro/spring security拦截器Filter,整合jwt,token进行校验【shiro/spring security 拦截token】
世上哪有什么岁月静好,不过是有人替你负重前行
05-18 1901
默认的拦截器 下面的代码为请求声明其拦截器的类型 filterChainDefinitionMap.put("/login/index","anon"); filterChainDefinitionMap.put("/**","authc"); 整合了shiro安全框架后,当运行一个Web应用程序时,Shiro将会创建一些有用的默认 Filter 实例,并自动地将它们置为可用,而这些默认的 Filter 实例是被 DefaultFilter 枚举类定义的,当然我们也可以自定义 Filter 实例 常用的主
第三部分:shiro集成spring使用cas单点登录配置
热门推荐
zh350229319的专栏
01-13 1万+
第三部分 shiro集成spring使用cas单点登录配置(一)shiro单点登录  配置的主要目的在于将登录页面改为${cas.server}?service=${cas.client}/login的形式,service后面为本地的回调地址。在cas服务器端登录成功后,会生成ticket返回给客户端,客户端的shiro使用ticket最为凭据保存起来。      shiro配置单点登陆后,在注
46、shiro认证和权限管理介绍
lixiang987654321的专栏
09-07 583
shiro认证和权限管理介绍前言1、用户名密码身份认证流程2、授权3、权限模型4、权限分配5、权限控制6、权限管理解决方案7、shiro介绍8、shiro使用9、 散列算法10、授权方式11、Shiro总结 前言 Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。Apache Shiro的首要目标是易于使用和理解。安全通常很复杂...
shiro单点登录原理_Cas单点登录(整合shiro版本)
weixin_32926649的博客
12-24 867
Cas单点登录(整合shiro版本)单点登录:Single Sign On,简称 SSO,SSO 使得在多个应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。CAS 框架:CAS(Central Authentication Service)是实现 SSO单点登录的框架。逻辑关系图:(注:图为转载)分析:1.图用户访问cas客户端;2.需要登录时,重定向到 Cas-Server(C...
Apache Shiro:简化Web应用的身份验证与授权
5. **Web 支持(Web Support)**:Shiro 提供了专门的Web过滤器,方便在Web应用程序集成安全控制,如登录、会话管理、CSRF防护等。 6. **单点登录(Single Sign-On,SSO)**:Shiro支持单点登录功能,用户在一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值