1、shiro概述
1.1、什么是shiro
- Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。
1.2、shiro基本功能
- Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
- Authorization: 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
- Session Manager: 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
- Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
- Web Support :Web 支持,可以非常容易的集成到Web 环境;
- Caching :缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
- Concurrency : shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能 把权限自动传播过去;
- Testing : 提供测试支持;
- Run As :允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
- Remember Me :记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
1.3、shiro架构说明
-
Subject:Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权
-
SecurityManager:SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。
-
Authenticator: Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器
-
Authrizer:Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
-
Realm:Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
-
SessionManager:sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
-
SessionDAO:SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。
-
CacheManager:缓存控制器,即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
-
Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密 / 解密的。
2、Shiro.ini文件
-
ini (InitializationFile) 初始文件
-
INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类中的key不可重复,#号代表注释,shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。
-
Shiro 使用时可以连接数据库,也可以不连接数据库.
- 如果不连接数据库,可以在shiro.ini中配置静态数据
Shrio.ini文件的组成部分
-
[main] :定义全局变量
内置SecurityManager对象,操作对象时,在[main]里写数据
[main] securityManager.属性=值 property=xxx securityManager.对象属性=$property
-
[users] :定义用户名和密码
[users] # 定义用户名为xxx,密码为123 xxx=123 # 定义用户名为xxx,密码为123,同时具有a角色和b角色 xxx=123,a,b
-
[roles]:定义角色信息
[roles] a=权限1,权限2 b=权限3,权限4 [roles] #role1有query,add,update,delete,export等权限 role1=user:query,user:add,user:update,user:delete,user:export role2=user:query,user:add
-
[urls]:定义路径信息生效,在web应用中使用
[urls] # urlpath=内置Filter或自定义Filter # 访问时出现/login的urlpath必须要验证,支持authc对应的Filter /login=authc # 任意的urlpath都不需要进行认证 /**=anno # 所有的功能都必须保证用户已登录 /**=user # url xxx访问时必须保证用户拥有角色a和角色b /xxx=roles["a,b"] 案例: # 只要是以/login.html开始的路径都放行 /login.html=anon #所有的路径都放行 /**=anon # 所有url必须认证通过后才能放行 /**=authc # 匹配规则:只要满足一个规则就通过,因此如果要是用/**=anon,那么/**=anon要放在最后
3、第一个shiro程序
创建maven工程 导入相关shrio的依赖(如果用到的是test环境进行测试时将compile换成test 用到main主方法时用compile)
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.1</version>
</dependency>
<!-- Shiro uses SLF4J for logging. We'll use the 'simple' binding
in this example app. See http://www.slf4j.org for more info. -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-simple</artifactId>
<version>1.7.21</version>
<scope>compile</scope>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>jcl-over-slf4j</artifactId>
<version>1.7.21</version>
<scope>compile</scope>
</dependency>
</dependencies>
编写shiro.ini文件
#配置用户
[users]
root=123456
zhangsan=123456
测试类
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
public class TestAuthenticationApp {
// 日志输出工具
private static final transient Logger log = LoggerFactory.getLogger(TestAuthenticationApp.class);
@SuppressWarnings("deprecation")
public static void main(String[] args) {
String username="root";
String password="123456";
log.info("My First Apache Shiro Application");
// 1,创建安全管理器的工厂对象
IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 2,使用工厂创建安全管理器
SecurityManager securityManager = factory.getInstance();
// 3,把当前的安全管理器绑定当到线的线程
SecurityUtils.setSecurityManager(securityManager);
// 4,使用SecurityUtils.getSubject得到主体对象
Subject subject = SecurityUtils.getSubject();
// 5,封装用户名和密码
AuthenticationToken token = new UsernamePasswordToken(username, password);
try{
subject.login(token);
System.out.println("验证通过");
}catch (AuthenticationException e) {
System.out.println("用户名或者密码错误!");
}
}
}
4、shiro实现认证和实现授权
4.1、身份验证
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。
在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份:
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名 / 密码 / 手机号。
credentials:证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等。
最常见的 principals 和 credentials 组合就是用户名 / 密码了。接下来先进行一个基本的身份认证。
另外两个相关的概念是之前提到的 Subject 及 Realm,分别是主体及验证主体的数据源。
认证流程
4.2、实现授权
-
想要实现授权 必须先通过认证
-
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)
-
主体:主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源
-
资源:在应用中用户可以访问的任何东西,比如访问JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
-
权限:安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)打印文档等等
-
角色:角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权
限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总
监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。
-
授权流程
授权相关方法说明
- subject.hasRole(“”); 判断是否有角色
- subject.hashRoles(List);分别判断用户是否具有List中每个内容
- subject.hasAllRoles(Collection);返回boolean,要求参数中所有角色用户都需要具有.
- subject.isPermitted(“”);判断是否具有权限.
4.3、使用shiro.ini实现认证和授权
#配置用户
[users]
root=123456,role1
zhangsan=123456,role1,role2
lisi=123456,role2
wangwu=123456,role3
zhaoliu=123456,role2,role3
#声明角色
[roles]
role1=user:query,user:add,user:update,user:delete,user:export
role2=user:query,user:add
role3=user:query,user:export
Test测试
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import java.util.Arrays;
import java.util.List;
public class TestAuthenticationApp {
// 日志输出工具
private static final transient Logger log = LoggerFactory.getLogger(TestAuthenticationApp.class);
@SuppressWarnings("deprecation")
public static void main(String[] args) {
String username="zhangsan";
String password="123456";
log.info("My First Apache Shiro Application");
// 1,创建安全管理器的工厂对象
IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 2,使用工厂创建安全管理器
SecurityManager securityManager = factory.getInstance();
// 3,把当前的安全管理器绑定当到线的线程
SecurityUtils.setSecurityManager(securityManager);
// 4,使用SecurityUtils.getSubject得到主体对象
Subject subject = SecurityUtils.getSubject();
// 5,封装用户名和密码
AuthenticationToken token = new UsernamePasswordToken(username, password);
try{
subject.login(token);
System.out.println("验证通过");
}catch (AuthenticationException e) {
System.out.println("用户名或者密码错误!");
}
//判断用户是否认证通过
boolean authenticated = subject.isAuthenticated();
System.out.println("是否认证通过:"+authenticated);
//角色判断 判断认证通过的用户中是否有这个角色
boolean hasRole1 = subject.hasRole("role1");
System.out.println("是否有role1的角色:"+hasRole1);
//分别判断集合里面的角色 返回数组
List<String> roleIdentifiers= Arrays.asList("role1","role2","role3");
boolean[] hasRoles = subject.hasRoles(roleIdentifiers);
for (boolean b : hasRoles) {
System.out.println(b);
}
//判断当前用户是否有roleIdentifiers集合里面的所有角色
boolean hasAllRoles = subject.hasAllRoles(roleIdentifiers);
System.out.println(hasAllRoles);
//权限判断 这个角色是否有实现这个功能的权限
boolean permitted = subject.isPermitted("user:query");
System.out.println("判断当前用户是否有user:query的权限 "+permitted);
boolean[] permitted2 = subject.isPermitted("user:query","user:add","user:export");
for (boolean b : permitted2) {
System.out.println(b);
}
boolean permittedAll = subject.isPermittedAll("user:query","user:add","user:export");
System.out.println(permittedAll);
//用户退出的方法
subject.logout();
}
}
4.4、使用自定义Realm实现认证和授权
使用自定义的Realm实现认证和授权时 我们需要继承AuthorizingRealm这个抽象类
public class UserRealm extends AuthorizingRealm {
// 用于认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
//获得传进来的用户身份(用户名或者ID或者其他)
String username = token.getPrincipal().toString();
//证明 即只有主体知道的安全值,如密码等
String password = new String((char[])token.getCredentials());
/**
数据库中查询用户 在shrio里面是先根据用户名把用户对象查询出来,再来做密码匹配
若查询到的用户不为空(传进来的用户名存在)则创建SimpleAuthenticationInfo对象
参数说明 1:可以传到任意对象 2:从数据库里面查询出来的密码 3:当前类名
SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(userName, password, this.getName());
返回info 然后再进行密码的验证!
若查询到用户为空(没有此用户名)则 返回空 抛 UnknowAccountException异常
*/
}
// 用于授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
// TODO Auto-generated method stub
return null;
}
}
Test测试
@SuppressWarnings("deprecation")
public class TestAuthenticationApp {
// 日志输出工具
private static final transient Logger log = LoggerFactory.getLogger(TestAuthenticationApp.class);
public static void main(String[] args) {
String username = "zhangsan";
String password = "123456";
log.info("My First Apache Shiro Application");
// 1,创建安全管理器的工厂对象
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 2,使用工厂创建安全管理器
DefaultSecurityManager securityManager = (DefaultSecurityManager) factory.getInstance();
// 3,创建UserRealm
UserRealm realm = new UserRealm();
// 4,给securityManager注入userRealm
securityManager.setRealm(realm);
// 6,把当前的安全管理器绑定当到线的线程
SecurityUtils.setSecurityManager(securityManager);
// 7,使用SecurityUtils.getSubject得到主体对象
Subject subject = SecurityUtils.getSubject();
// 8,封装用户名和密码
AuthenticationToken token = new UsernamePasswordToken(username, password);
// 9,得到认证
try{
subject.login(token);
System.out.println("验证通过");
}catch (AuthenticationException e) {
System.out.println("用户名或者密码错误!");
}
}
}