Day81 Java框架 SSH案例_ERP(十三)__shiro框架

Shiro简介 

一.什么是Shiro

1. Apache Shiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功能：
   1. 认证（Authentication）：用户身份识别，常被称为用户“登录”，判断用户是否登陆，如果未登陆，则拦截其请求
   2. 授权（Authorization）：访问控制。当用户登陆后，判断其身份是否有权限访问相应的资源，如果没有权限则拦截
   3. 密码加密（Cryptography）：保护或隐藏数据防止被偷窃。将MD5进行二次封装，让其更加容易使用。注意MD5不可逆运算
   4. 会话管理（Session Management）
2. 功能
   

二.Shiro内置过滤器

1. 内置过滤器
   
2. 分类
   这些过滤器分为两组：
   1. 认证过滤器：anon(不认证也可以访问)，authcBasic, authc(必须认证后才可访问)
   2. 授权过滤器：perms（指定资源需要哪些权限才可以访问）,  port,  rest，roles, ssl
3. ERP项目中所使用到过滤器
   anon: /admins/*=anon 没有参数，表示可以匿名使用
   authc: /admins/user/*=authc
   perms: /admins/user/*=perms[“权限名称”]，参数可以写多个，多个之间用逗号

三.ERP整合Shiro

1. 添加依赖:
   给erp_parent父工程添加依赖。
   定义版本号：
   
2. 配置web.xml, 添加过滤器代理DelegatingFilterProxy，要放在struts2的核心过滤器之前
   
           Spring提供的一个简便的过滤器处理方案，它将具体的操作交给内部的Filter对象delegate去处理，而这个delegate对象通过Spring的IOC容器获取，这里采用的是Spring的FactorBean的方式获取这个对象。
           虽然中配置了这一个filter，但是它并没做任何实际的工作，而是把这个工作交由Spring容器中一个bean的id为shiroFilter的类，即ShiroFilterFactoryBean。
3. 添加shiro核心控制器的spring配置文件
   复制资料中的applicationContext_shiro.xml文件到erp_web的资源目录下
   
4. 创建error.html
   

认证

一.需求分析

1. 判断当前用户是否登陆，如果没有登陆则跳转到登陆页面

二.Subject的login方法

1. 修改LoginAction的checkUser方法。
   步骤：
   ⦁    创建令牌：UsernamePassowrdToken
   ⦁    获取subject
   ⦁    执行subject.login()方法
   
2. UsernamePasswordToken是AuthenticationToken的子接口的实现类，它是对用户名和密码的封装。
   
   Subject是对当前用户执行操作的封装，此处我们用它来执行登陆的操作。如果用户名和密码错误，login方法会抛出AuthenticationException异常

三.自定义Realm

1.         我们改用subject.login方法后，并不会调用登陆的业务层进行登陆的验证查询，即不会从数据库查找登陆的用户名和密码是否正确，而是将这项工作交给shiro去完成。那shiro是怎么知道登陆的用户名和密码是否正确的呢？其实它也需要用到我的登陆验证业务，这时它就得向“别人”打听一下，那就是Realm了。
2. 真正实现登陆验证的是Realm，而shiro只是去调Realm
               Realm： Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。
              从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。
3. 在erp_web子工程下创建包cn.itcast.erp.realm
   创建ErpRealm类继承自AuthorizingRealm
   
4. 实现登陆验证
   注入IEmpBiz
   
   修改验证方法
   
   配置ErpRealm, 在applicationContext_shiro.xml中配置
   
   删除LoginAction中注入的IEmpBiz，配置文件也要同步删除。

四.Url访问规则

1.         运行项目，发现无法登陆。通过查看浏览器的network项看到：发送login_checkUser请求的返回码为302，302的意思是页面跳转。由于我们配置了/*=authc，这个Url规则包含login_checkUser，所以无法执行并强行跳转到登陆页面。
2. 修改applicationContext_shiro.xml中的配置
   
3. anon为内置的匿名认证过滤M器，也就是不需要认证就可以访问。
   authc需要认证后才能访问

五.主角对象的提取

1.        Shiro提供了会话管理机制，实际上我们自定义的realm的认证方法返回值对象中的主角对象就是登陆的用户，它可以代替我们之前存入session中的emp对象。我们可以通过subject的getPrincipal方法将其提取出来。
2. 修改LoginAction中的showName方法
   
3. 修改LoginAction中的退出登陆方法
   
4. 修改BaseAction中的getLoginUser方法
   

授权

一.需求分析

1. 授权就是通过设置规则，指定哪些URL需要哪些权限才可以访问

二.授权方法与配置

编写授权方法

1. 注入IMenuBiz，用于查询当前登陆用户所具的菜单权限信息
   
2. 修改ErpRealm中的授权方法：
   
3. 配置授权控制规则
   

三.自定义授权过滤器

1. 当一个URL有多个权限需要访问的时候，我们应该怎么配置呢？
   如果按下面的方法来配置
   /orders.html=perms[“采购订单查询”]
   /orders.html=perms[“采购订单审核”]
   那么只有最后一条生效，前面的会被后面的覆盖掉
   
   如果按下面的方法来配置
   /orders.html=perms[“采购订单查询”,“采购订单审核”]
   系统默认是同时具备这两个权限才可以访问此URL，而我们的需求是，只要有具备一种就可以访问此URL。系统使用的
   and关系，而不是or关系，那我们如何让它实现or关系呢？这就需要我们去自定义授权过滤器
2. 创建自定义过滤器，继承自AuthorizationFilter
   
3. 配置过滤器
   在applicationContext_shiro.xml中添加
   
   配置
   
4. 配置或的关系
   

知识点总结

Shiro的三大核心组件:

1. Subject：正与系统进行交互的人，或某一个第三方服务。所有Subject实例都被绑定到(且这是必须的)一个SecurityManager上。
2. SecurityManager：Shiro架构的心脏，典型的Facade模式。用来协调内部各安全组件，管理内部组件实例，并通过它来提供安全管理的各种服务。当Shiro与一个Subject进行交互时，实质上是幕后的SecurityManager处理所有繁重的Subject安全操作。
3. Realms：本质上是一个特定安全的DAO。当配置Shiro时，必须指定至少一个Realm用来进行身份验证和/或授权。Shiro提供了多种可用的Realms来获取安全相关的数据。如关系数据库(JDBC)，INI及属性文件等。可以定义自己Realm实现来代表自定义的数据源。