shiro进行权限控制的四种方式
URL拦截权限控制:基于filter过滤器实现
@Bean("shiroFilter")
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
shiroFilter.setSecurityManager( securityManager);
//oauth过滤
Map<String, Filter> filters = new HashMap<>();
filters.put("oauth2", new OAuth2Filter());
shiroFilter.setFilters(filters);
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/webjars/**", "anon");
filterMap.put("/druid/**", "anon");
filterMap.put("/sys/login", "anon");
filterMap.put("/personal/**", "anon");
filterMap.put("/swagger/**", "anon");
filterMap.put("/v2/api-docs", "anon");
filterMap.put("/swagger-ui.html", "anon");
filterMap.put("/swagger-resources/**", "anon");
filterMap.put("/captcha.jpg", "anon");
filterMap.put("/file/**", "anon");
filterMap.put("/sys/file/**", "anon");
filterMap.put("/sys/sysdict/findSysDict/**", "anon");
//消息系统
filterMap.put("/static/**", "anon");
filterMap.put("/**", "oauth2");
shiroFilter.setFilterChainDefinitionMap(filterMap);
return shiroFilter;
}
方法注解权限控制:基于代理技术实现
@RequiresPermissions(“sys:sysdict:save”) 判断用户是否有 字典表的保存权限
@PostMapping("/save")
@RequiresPermissions("sys:sysdict:save")
public R save(@RequestBody SysDictEntity sysDict){
。。。。
}
@RequiresRoles( “teller” ) 判断用户角色,如果符合角色,可以使用对应方法
//Throws an AuthorizationException if the caller
//doesn’t have the ‘teller’ role:
@RequiresRoles( “teller” )
public void openAccount( Account acct ) {
。。。。
}
页面标签权限控制:页面表签技术实现
使用 <shiro:hasPermission name=“users:manage”> 判断用户是否有管理权限
<%@ taglib prefix=“shiro” uri=http://shiro.apache.org/tags %>
<html>
<body>
<shiro:hasPermission name=“users:manage”>
<a href=“manageUsers.jsp”>
Click here to manage users
</a>
</shiro:hasPermission>
<shiro:lacksPermission name=“users:manage”>
No user managementfor you!
</shiro:lacksPermission>
</body>
</html>
代码中判断(略)
shiro url 匹配规则
- ? 匹配一个字符
- ‘*’ 匹配一个或多个字符
- ** 匹配一个或多个目录
shiro 过滤器
过滤器简称 | 作用 | 对应的java类 |
---|---|---|
Anon | 匿名可以访问 | org.apache.shiro.web.filter.authc.AnonymousFilter |
Authc | 认证才可访问 | org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
authcBasic | Basic HTTP身份验证拦截器,主要属性: applicationName:弹出登录框显示的信息(application); | org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter |
perms | 权限授权拦截器,验证用户是否拥有所有权限 示例“/user/**=perms[“user:create”]” | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
port | 端口拦截器,主要属性:port(80):可以通过的端口;示例“/test= port[80]”, | org.apache.shiro.web.filter.authz.PortFilter |
rest | rest风格拦截器,自动根据请求方法构建权限字符串(GET=read, POST=create,PUT=update,DELETE=delete,HEAD=read,TRACE=read,OPTIONS=read, MKCOL=create)构建权限字符串;示例“/users=rest[user]”,会自动拼出“user:read,user:create,user:update,user:delete”权限字符串进行权限匹配(所有都得匹配,isPermittedAll); | org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter |
roles | 角色授权拦截器,验证用户是否拥有所有角色 示例“/admin/**=roles[admin]” | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
ssl | SSL拦截器,只有请求协议是https才能通过;否则自动跳转会https端口(443) | org.apache.shiro.web.filter.authz.SslFilter |
user | 用户拦截器,用户已经身份验证/记住我登录的都可 | org.apache.shiro.web.filter.authc.UserFilter |
logout | 登出过滤器 | org.apache.shiro.web.filter.authc.LogoutFilter |
anon: 例子/admins/**=anon 没有参数,表示可以匿名使用。
authc: 例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
roles: 例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号, 并且参数之间用逗号分割,当有多个参数时,
例如admins/user/**=roles["admin,guest"], 每个参数通过才算通过,相当于hasAllRoles()方法。
perms: 例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,
例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,
想当于isPermitedAll()方法。
rest: 例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,
其中method为post,get,delete等。
port: 例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal
是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
ssl: 例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user: 例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
注:
anon,authcBasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器
Shiro的具体内部功能模块
- Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”; 与Subject的所有交互都会委托给 SecurityManager;Subject 其实是一个门面,SecurityManager 才是实际的执行者;
- SecurityManager:相当于SpringMVC中的DispatcherServlet;是Shiro的心脏;所有具体的交互都通过SecurityManager 进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。SecurityManager 接口继承了Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm 进行验证,验证规则通过AuthenticationStrategy接口指定
- Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
- Authorizer:授权器、即访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
- Realm:Shiro从Realm 获取安全数据(如用户、角色、权限), 可以有1个或多个Realm,SecurityManager 要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把 Realm 看成DataSource
- SessionManager:管理Session 生命周期的组件 ,而Shiro并不仅仅可以用在Web环境,也可以用在如普通的JavaSE环境、EJB等环境;所有呢,Shiro就抽象了一个自己的Session来管理主与应用之间交互的数据;这样的话,比如我们在Web环境用,刚开始是一台Web服务器;接着又上了台EJB服务器;这时想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到Memcached服务器);
- SessionDAO:DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的- - -SessionDAO,通过如JDBC写到数据库;比如想把Session放到Memcached中,可以实现自己的Memcached SessionDAO;另外SessionDAO中可以使用Cache进行缓存,以提高性能;
- CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的能
- Cryptography:密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。
编码/解码
Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作。Shiro内部的一些数据的存储/表示都使用了base64和16进制字符串。
通过如下方式可以进行base64编码/解码操作
String str = "hello";
String base64Encoded = Base64.encodeToString(str.getBytes());
String str2 = Base64.decodeToString(base64Encoded);
Assert.assertEquals(str, str2);
通过如下方式可以进行16进制字符串编码/解码操作,更多API请参考其Javadoc。
String str = "hello";
String base64Encoded = Hex.encodeToString(str.getBytes());
String str2 = new String(Hex.decode(base64Encoded.getBytes()));
Assert.assertEquals(str, str2);
散列算法
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(盐),
比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过散列值得到密码“admin”,
即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如用户名和ID(即盐);这样散列的对象是“密码+用户名+ID”,这样生成的散列值相对来说更难破解。
String str = "hello";
String salt = "123";
String md5 = new Md5Hash(str, salt).toString();//还可以转换为 toBase64()/toHex()
//如上代码通过盐“123”MD5散列“hello”。另外散列时还可以指定散列次数,如2次表示:md5(md5(str)):“new Md5Hash(str, salt, 2).toString()”。
String str = "hello";
String salt = "123";
String sha1 = new Sha256Hash(str, salt).toString();
//使用SHA256算法生成相应的散列数据,另外还有如SHA1、SHA512算法
shiro 默认加密算法hash512
1、首先创建一个DefaultHashService,默认使用SHA-512算法;
2、可以通过hashAlgorithmName属性修改算法;
3、可以通过privateSalt设置一个私盐,其在散列时自动与用户传入的公盐混合产生一个新盐;
4、可以通过generatePublicSalt属性在用户没有传入公盐的情况下是否生成公盐;
5、可以设置randomNumberGenerator用于生成公盐;
6、可以设置hashIterations属性来修改默认加密迭代次数;
7、需要构建一个HashRequest,传入算法、数据、公盐、迭代次数。
DefaultHashService hashService = new DefaultHashService(); //默认算法SHA-512
hashService.setHashAlgorithmName("SHA-512");
hashService.setPrivateSalt(new SimpleByteSource("123")); //私盐,默认无
hashService.setGeneratePublicSalt(true);//是否生成公盐,默认false
hashService.setRandomNumberGenerator(new SecureRandomNumberGenerator());//用于生成公盐。默认就这个
hashService.setHashIterations(1); //生成Hash值的迭代次数
HashRequest request = new HashRequest.Builder()
.setAlgorithmName("MD5").setSource(ByteSource.Util.bytes("hello"))
.setSalt(ByteSource.Util.bytes("123")).setIterations(2).build();
String hex = hashService.computeHash(request).toHex();
总结
org.apache.shiro.mgt 提供主安全管理器界面和默认实现层次结构,用于管理应用程序中Shiro功能的所有方面
org.apache.shiro.SecurityUtils Subject根据运行时环境 访问当前可访问的调用代码
org.apache.shiro.subject A Subject表示单个应用程序用户的状态和安全操作。这些操作包括身份验证(登录/注销),授权(访问控制)和会话访问。Shiro是单用户安全功能的主要机制
//通过SecurityUtils得到Subject,其会自动绑定到当前线程
SecurityUtils.getSubject().getSession(); // 当前正在使用应用的用户session是否存在 (返回值为boolean)
org.apache.shiro.subject.Subject.isAuthenticated() //返回true如果此Subject /用户证明其身份的本届会议期间 通过提供有效的凭据匹配那些已知的系统
org.apache.shiro.subject.Subject.login(token);//执行此主题/用户的登录尝试
org.apache.shiro.subject.Subject.logout();//退出登录
AccountEntity loginUser = (AccountEntity) SecurityUtils.getSubject().getSession().getAttribute(“currUser”);//获取shiro session中的用户对象
org.apache.shiro.authc.UsernamePasswordToken.getPrincipal()//返回token中的用户名
org.apache.shiro.authc.UsernamePasswordToken.getCredentials()//返回密码
图
参考
安全认证框架Shiro (二)- shiro过滤器工作原理
shiro实现APP、web统一登录认证和权限管理
使用redis进行基于shiro的session集群共享
开涛老师 第十章 会话管理——《跟我学Shiro》
springboot + shiro 尝试登录次数限制与并发登录人数控制