Shrio是什么?
Shiro是一个Java的安全框架。功能强大,它为开发人员提供了一个直观而全面的认证、授权、加密以及会话管理的解决方案。
功能特点
Shrio包含10个内容
1.Authentication :身份认证/登录,用来验证用户是不是拥有响应的身份
2.Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;例如:验证某个用户是否拥有某个角色,或者细粒度的验证某个用户对某个资源是否具有某个权限。
3.Session Manager: 会话管理,即用户登录一次后就是一个会话,它的所有信息都在会话中;会话可以是普通环境也可以是Web环境。
4.Cryptography:加密,保护数据的安全性,如密码加密存储到数据库而不是明文存储
5.Web Support:Web支持,可以非常容易的集成到web环境中
6.Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率。
7.Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去
8.Testing: 提供测试支持
9.Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问
10.Remember Me:记住我。非常常见的功能,即一次登录后,下次再来的话不用登录了
运行原理
- Shiro运行原理(应用程序角度)
application code——>subject(the current user)——>shiro securitymanager(manages all sujects)——>realm(access you security data)
1.Subject:主体,代表了当前的用户。这个用户不一定是一个具体的人,与当前应用交互的任何东西都是subject,如爬虫、机器人等。所有subject都绑定到securitymanager,与subject的所有交互都会委托费securitymanager。
我们可以把subject认为是一个门面,securitymanager才是实际的执行者。
2.securitymanager:安全管理器。即所有与安全有关的操作都会与securitymanager交互,且它管理这所有的subject。可以看出它是shiro的核心,它负责后边介绍的其他组件之间的交互,可以把它看做springmvc里边的DispatcherServlet。
3.realm:域。Shiro从realm获取安全数据(比如用户、角色、权限),就是说securitymanager要验证用户身份,那么它需要从realm中获取相应的用户进行比较以确定用户身份是否合法,也需要从realm得到用户相应的角色/权限进行验证用户能够进行操作。我们可以把realm看做是DataSource - Shiro运行原理(shiro内部架构角度)
1.subject:主体 主体可以是任何与应用交互的用户
2.SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher。它是 Shiro 的核心,所有具体的交互都通过 SecurityManager 进行控制。它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
3.authenticator:认证器,如果用户觉得shiro默认的不好,我们可以自定义实现。其需要认证策略,即什么情况下算用户认证通过了。
4.realm:可以由一个或者多个realm,可以认为是安全实体数据源,即用户获取安全实体的。它可以是JDBC实现的,也可以是LDAP实现,或者内存实现。
5.SessionManager:session需要人去管理它的生命周期,这个组件就是sessionmanager。而shiro并不仅仅可以用在web环境,可以用在普通的JavaSErvlet环境中
6.SessionDao:dao是数据访问对象,用于会话的crud。我们可以自定义sessionDao的实现,控制session存储的位置。比如通过jdbc写入到数据库或者通过jedis写入Redis当中。另外sessionDao中可以使用cache进行缓存以提高性能
7.Authrizer:授权器,或者访问控制器。它用来决定主体是否有权限进行相应的操作,即控制着用户能访问应用中的哪些功能。
8.cacheManager:缓存管理器。它来管理比如用户、角色、权限等的缓存的。因为这些数据基本上很少去改变,放到缓存里边可以提高访问的性能。
9.cryptography:密码模块,shiro提高了一些常见的加密组件用于密码加密和解密。
过滤器
shiro被运用到web项目时,shiro会自动穿件一些默认的过滤器对客户端进行过滤。
/admins/**=anon # 表示该 uri 可以匿名访问
/admins/**=auth # 表示该 uri 需要认证才能访问
/admins/**=authcBasic # 表示该 uri 需要 httpBasic 认证
/admins/**=perms[user:add:*] # 表示该 uri 需要认证用户拥有 user:add:* 权限才能访问
/admins/**=port[8081] # 表示该 uri 需要使用 8081 端口
/admins/**=rest[user] # 相当于 /admins/**=perms[user:method],其中,method 表示 get、post、delete 等
/admins/**=roles[admin] # 表示该 uri 需要认证用户拥有 admin 角色才能访问
/admins/**=ssl # 表示该 uri 需要使用 https 协议
/admins/**=user # 表示该 uri 需要认证或通过记住我认证才能访问
/logout=logout # 表示注销,可以当作固定配置
anon,authcBasic,auchc,user 是认证过滤器。
perms,roles,ssl,rest,port 是授权过滤器。
基础入门
添加依赖
pom.xml
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
配置文件
在resource目录下创建名为shiro.ini的配置文件
[users]
#admin=123表示账号密码,administrator表示账号拥有的角色
admin=123,administrator
zhangsan=1234,manager
lisi=12345,guset
[roles]
#administrator表示角色名称,*表示这个角色拥有所有权限
administrator=*
manager=user:*,department:*
guest=user:query,department:query
其中每个用户可以拥有多个角色,通过逗号分隔。每个角色可以拥有多个权限,同样通过逗号分隔。
public class ShiroTest {
@Test
public void test(){
//之前报错是因为SecurityManager导错包了
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//得到SecurityManager实例,并且绑定给SecurityUtils
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
//得到Subject以及创建用户名/密码身份验证token(即用户身份凭证)
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "1234");
try {
//登录,即身份验证
subject.login(token);
}catch (AuthenticationException e){
//身份验证失败
}
//退出
subject.logout();
}
}
首先通过 new IniSecurityManagerFactory 并指定一个 ini 配置文件来创建一个 SecurityManager 工厂;
接着获取 SecurityManager 并绑定到 SecurityUtils,这是一个全局设置,设置一次即可;
通过 SecurityUtils 得到 Subject,其会自动绑定到当前线程;如果在 web 环境在请求结束时需要解除绑定;然后获取身份验证的 Token,如用户名 / 密码;
调用 subject.login 方法进行登录,其会自动委托给 SecurityManager.login 方法进行登录;
如果身份验证失败请捕获 AuthenticationException 或其子类,常见的如: DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如 “用户名 / 密码错误” 而不是 “用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;
最后可以调用 subject.logout 退出,其会自动委托给 SecurityManager.logout 方法退出。
可以总结出身份验证的步骤
1.手机用户身份/凭证,比如用户名、密码;
2.调用subject.login进行登录,如果失败的话将得到对应的AuthenticationException,根据异常提示用户错误信息;否则登陆成功
3.最后调用Subject.logout进行退出操作
有几个问题
1.用户名和密码硬编码在ini配置文件,以后需要改成数据库存储,且密码需要加密存储
2.用户身份token可能不仅仅是用户名密码,也可能还有其他的,比如登录时候允许用户名/邮箱/手机号同时登录身份认证流程
首先调用 Subject.login(token) 进行登录,其会自动委托给 Security Manager,调用之前必须通过 SecurityUtils.setSecurityManager() 设置;
SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回 / 抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。- 单Realm配置
org.apache.shiro.realm.Realm 接口如下:
String getName(); //返回一个唯一的Realm名字
boolean supports(AuthenticationToken token); //判断此Realm是否支持此Token
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException; //根据Token获取认证信息
public class MyRealm1 implements Realm {
@Override
public String getName() {
return "myrealm1";
}
@Override
public boolean supports(AuthenticationToken token) {
//仅支持UsernamePasswordToken类型的Token
return token instanceof UsernamePasswordToken;
}
@Override
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String)token.getPrincipal(); //得到用户名
String password = new String((char[])token.getCredentials()); //得到密码
if(!"zhang".equals(username)) {
throw new UnknownAccountException(); //如果用户名错误
}
if(!"123".equals(password)) {
throw new IncorrectCredentialsException(); //如果密码错误
}
//如果身份认证验证成功,返回一个AuthenticationInfo实现;
return new SimpleAuthenticationInfo(username, password, getName());
}
}
ini 配置文件指定自定义 Realm 实现 (shiro-realm.ini)
\#声明一个realm
myRealm1=com.bamzhy.shiro.MyRealm1
\#指定securityManager的realms实现
securityManager.realms=$myRealm1;
- 多 Realm 配置
\#声明一个realm
myRealm1=com.bamzhy.shiro.MyRealm1
myRealm2=com.bamzhy.shiro.MyRealm2
\#指定securityManager的realms实现
securityManager.realms=$myRealm1,$myRealm2
securityManager 会按照 realms 指定的顺序进行身份认证。此处我们使用显示指定顺序的方式指定了 Realm 的顺序,如果删除 “securityManager.realms=$ myRealm1,$ myRealm2”,那么securityManager 会按照 realm 声明的顺序进行使用(即无需设置 realms 属性,其会自动发现),当我们显示指定 realm 后,其他没有指定 realm 将被忽略,如 “securityManager.realms=$myRealm1”,那么 myRealm2 不会被自动设置进去。