shiro
实战教程
一、权限管理
1.1什么是权限管理
基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源,用户首先经过身份认证通过后,如果该用户有访问这个资源的权限才可以继续访问。
1.2用户身份认证
概念
所谓的身份认真就是判断一个用户是否是合法用户的过程。最常见的就是通过用户输入用户名和密码来校验,看其是否和系统中存储的用户名和密码一致,以此来判断用户的身份是否合法。对于门禁刷卡系统,需要刷卡,对于指纹登录认证,则填充指纹。
身份认证流程
Subject(主体)
访问系统的用户,其实需要认证的都可被称为主体。
Principal(身份信息)
主体的标识,表示具有唯一性,例如你的身份证号码,手机号。一个主体可以有多个角色但是必须有一个主身份。
credentials(凭证信息)
例如密码、证书这些。凭证信息只有主体自己知道。
1.3用户授权
授权又称为访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源是没有权限进行访问的。
授权流程
授权可以理解为主体认证后继续判断是否具有对本资源访问的权限,如果有的话,可以进行访问,如果没有,则拒绝访问
上面提到的有三个关键对象:主体(Subject)、资源(Resource)、权限/许可(Permission);
权限又分为粗粒度和细粒度,粗粒度权限是指对资源类型的权限,细粒度权限是对资源实例的权限。
粗粒度权限管理:用户具有用户管理的权限,具有导出订单明细的权限。对资源实例的控制称为细粒度权限控制,就是控制数据级别的权限。比如:用户只被允许修改本部门的员工信息,用户只允许导出自己创建的订单。
权限分配
对主体分配权限,主体只允许在权限范围内对资源进行操作。例如用户user1分配了对商品信息修改的权限,所以user1只能对商品进行信息修改。
权限分配的数据通常需要持久化,可以将上面的数据模型创建边并将用户具有的权限信息存储到数据库中。
授权方式
-
基于角色的访问控制
-
基于角色的访问控制是以角色为中心进行控制,例如:判断用户A是否具有admin权限
if(userA.hasRole("admin")){ // 有权限 }else{ // 无权限 } // 判断A是否有多个角色 userA.hasAllRoles(Arrays.asList("role1","role2"));
-
-
基于资源的访问控制
-
以资源为中心进行访问
例如用户A对用户管理模块中的所有资源有修改用户信息的权限。
if(A.isPermission("user:update:*")){ // A可以修改user信息,如果换成“uer:update:u1”;就表示只能对u1的用户信息进行修改 }
这里需要知道
权限字符串
上面代码中的"user:update:*"
就是权限字符串,它的格式是:资源标识符:操作:资源实例标识符,意思是对哪个资源的哪个实例具有哪些操作的权限,中间是以:
作为分隔符,*
代表通配符,表示所有。例子:
- 用户创建的权限:
user:create:*
,或者user:create
; - 用户对实例001的所有权限:
user:*:001
- 用户创建的权限:
-
二、shiro框架
什么是shiro?
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
Apache Shiro™是一个功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序。
http://shiro.apache.org/
Shiro是Apache下的一个开源框架,他将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。
核心架构图
-
Subject
主体,外部应用与Subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。subject在Shiro中是一个接口,接口中定义了很多认证授权的方法,外部程序通过subject进行认证授权,而subject是通过SecurityManager进行认证授权的。
-
SecurityManager
安全管理器,对全部的
subject
进行安全管理,他是shiro
的核心,也是一个接口,继承了Authenticator
,Authorizer
,SessionManager
这三个接口。 -
Authenticator
对用户身份进行认证,
Authenticator
是一个接口,shiro
提供ModularRealmAuthenticator
实现类,通过ModularRealmAuthenticator
基本上可以满足大多数需求,也可以自定义认证器。 -
Authorizer
用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限.
-
SessionManager
会话管理,
shiro
框架定义了一套会话管理,它不依赖web容器的session
,所以shiro
可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。 -
SessionDAO
SessionDAO
即会话dao
,是对session会话操作的一套接口,比如要将session
存储到数据库,可以通过jdbc
将会话存储到数据库. -
realm
Realm即领域,相当于
datasource
数据源,securityManager
进行安全认证需要通过Realm
获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。 -
CacheManager
即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
-
Cryptography
即密码管理,
shiro
提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能.
认证测试demo
public class TestAuthenticator {
public static void main(String[] args) {
// 创建安全管理对象
DefaultSecurityManager securityManager = new DefaultSecurityManager();
// 设置realm
securityManager.setRealm(new IniRealm("classpath:shiro-authenticator.ini"));
// 安全工具类设置安全管理对象
SecurityUtils.setSecurityManager(securityManager);
// 创建一个主体
Subject subject = SecurityUtils.getSubject();
// 生成Token
UsernamePasswordToken token = new UsernamePasswordToken("xiaohei","123");
try {
// 开始认证
subject.login(token);
System.out.println("认证状态: "+subject.isAuthenticated()); //true
}catch (Exception e){
e.printStackTrace(