1.Shiro 概述
Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本
2.Shiro 架构
在概念层,Shiro 架构包含三个主要的理念:Subject,SecurityManager和 Realm。
Shiro 的核心架构思想如下图所示:
通过Shiro框架进行权限管理时,要涉及到的一些核心对象,主要包括:
认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象
以及Realm管理对象(领域对象:负责处理认证和授权领域的数据访问题)
1) Subject:与软件交互的一个特定的实体(用户、第三方服务等)。
2) SecurityManager :Shiro 的核心,用来协调管理组件工作。
3) Authenticator:负责执行认证操作
4) Authorizer:负责授权检测
5) SessionManager:负责创建并管理用户 Session 生命周期,提供一个强有力的 Session 体验。
6) SessionDAO:代表 SessionManager 执行 Session 持久(CRUD)动作,它允许任何存储的数据挂接到 session 管理基础上。
7) CacheManager:提供创建缓存实例和管理缓存生命周期的功能
8) Cryptography:提供了加密方式的设计及管理。
9) Realms:是shiro和你的应用程序安全数据之间的桥梁。
2.1Shiro 认证流程
用户访问系统资源时的认证流程如下:
具体流程分析如下:
1)系统调用subject的login方法将用户信息提交给SecurityManager
2)SecurityManager将认证操作委托给认证器对象Authenticator
3)Authenticator将身份信息传递给Realm。
4)Realm访问数据库获取用户信息然后对信息进行封装并返回。
5)Authenticator 对realm返回的信息进行身份认证。
2.2Shiro 授权流程
用户访问系统资源时的授权流程如下:
1)系统调用subject相关方法将用户信息(例如isPermitted)递交给SecurityManager
2)SecurityManager将权限检测操作委托给Authorizer对象
3)Authorizer将用户信息委托给realm.
4)Realm访问数据库获取用户权限信息并封装。
5) Authorizer对用户授权信息进行判定。
3. Shiro 应用实践(基于xml方式)
3.1添加shiro依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.3.2</version>
</dependency>
3.2 Dao中方法定义
业务描述
在SysUserDao中添加数据访问方法
1) 根据用户名获取用户对象
2) 根据用户id查询用户权限标识
根据用户名查询用户对象的方法定义
1) 返回值SysUser
2) 方法名findUserByUserName
3) 参数列表(String username)
根据用户名查询用户权限标识
1) 返回值List<String>
2) 方法名 findUserPermissions
3) 参数列表 (String username)
代码实现:
/**
* 根据用户名查找用户信息
* @param username
* @return
*/
SysUser findUserByUserName(String username);
/**
* 根据用户id查找用户权限标识信息
* 例如:sys:role:view,sys:role:add
* @param username
* @return
*/
List<String> findUserPermissions(String username);
3.3Mapper中元素定义
根据SysUserDao中定义的方法,添加元素定义
<select id="findUserByUserName" resultType="sysUser">
select *
from sys_users
where username=#{username}
</select>
<select id="findUserPermissions" parameterType="integer" resultType="string">
select m.permission
from sys_users u join sys_user_roles ur join sys_role_menus rm
join sys_menus m
on u.id=ur.user_id and ur.role_id = rm.role_id and rm.menu_id = m.id
where u.username = #{username}
</select>
3.4构建Realm类
通过Realm实现基本认证及权限控制
public class ShiroUserRealm extends AuthorizingRealm{
@Resource
private SysUserDao sysUserDao;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("==doGetAuthorizationInfo==");
String username= (String)principals.getPrimaryPrincipal();
List<String> permsList = new ArrayList<>();
permsList = sysUserDao.findUserPermissions(userId);
//用户权限列表
Set<String> permsSet = new HashSet<String>();
for(String perm : permsList){
if(perm!=null && !("".equals(perm))){
permsSet.add(perm);
}
}
System.out.println("permsSet="+permsSet);
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setStringPermissions(permsSet);
return info;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("==doGetAuthenticationInfo==");
//1. 把 AuthenticationToken 转换为 UsernamePasswordToken
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
//2. 从 UsernamePasswordToken 中来获取 username
String username = upToken.getUsername();
//判断用户名是否存在,若存在,返回user对象
SysUser user =sysUserDao.findUserByUserName(username);
//盐值.
ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt());
//自动完成密码比对 - 密码的比对:
//通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!
SimpleAuthenticationInfo info =new SimpleAuthenticationInfo(username, user.getPassword(),credentialsSalt,getName());
return info;
}
}
3.6Service中方法定义及实现
业务描述
1) 在SysUserService接口及实现类中添加登录方法
2) 接收用户名及密码参数,并对其进行有效验证
3) 执行登录认证
代码实现
@Override
public void login(String username, String password) {
Subject subject = SecurityUtils.getSubject();
if(subject.isAuthenticated())return;
// 把用户名和密码封装为 UsernamePasswordToken 对象
UsernamePasswordToken token =new UsernamePasswordToken(username, password);
try{//登录认证 - 调用userRealm
subject.login(token);
}catch (IncorrectCredentialsException ice) {
throw new ServiceException("密码错误!");
} catch(AuthenticationException ae){
ae.printStackTrace();
throw new ServiceException("认证失败");
}
}
3.7 Controller及方法定义
定义SysLoginController并添加业务处理方法
@Controller
public class SysLoginController {
@Autowired
private SysShiroService loginService;
@RequestMapping("/loginUI")
public String login(){
return "login";
}
/**登录操作*/
@RequestMapping("/login")
@ResponseBody
public JsonResult login(String username,String password){
System.out.println(username+"/"+password);
loginService.login(username, password);
return new JsonResult("login ok");
}
}
3.8Shiro 注解应用
Shiro中通过使用@RequiresPermissions注解实现对某些方法的标识权限标识,例如,在SysUserServiceImpl类中的validById方法上添加权限检测注解。
@RequiresPermissions("sys:user:valid")
@Override
public int validById(Integer id, Integer valid) {
//1.合法性验证
if(id==null||id<1)
throw new ServiceException("数据不合法,id="+id);
if(valid==null)
throw new ServiceException("状态值不能为空");
if(valid!=0&&valid!=1)
throw new ServiceException("状态值不正确,valid="+valid);
//2.执行更新操作
int rows;
try{
rows=sysUserDao.validById(id, valid);
}catch(Throwable e){
e.printStackTrace();
//报警
throw new ServiceException("系统维护中");
}
//3.验证结果并处理
if(rows==0)
throw new ServiceException("数据可能已经不存在");
return rows;
}
在此方法被访问时会启动权限检查操作。
3.9修改Web.xml
配置shiro中的核心filter,负责拦截客户端所有请求。
<!-- spring整合shiro安全框架 -->
<filter>
<filter-name>DelegatingFilterProxy</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<!-- 初始化参数 -->
<init-param>
<param-name>targetBeanName</param-name>
<param-value>shiroFilter</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>DelegatingFilterProxy</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
说明:建议配置在所有servlet的配置上面
3.10 添加spring-shiro配置文件
配置realm对象
<bean id="userRealm" class="com.jt.sys.service.realm.ShiroUserRealm">
<!-- 配置凭证算法匹配器 -->
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="MD5"/>
<!-- <property name="hashIterations" value="1024"/> -->
</bean>
</property>
</bean>
配置shiro安全管理器
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="userRealm"></property>
</bean>
配置shiro过滤器
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- shiro的核心安全接口 -->
<property name="securityManager" ref="securityManager"/>
<!-- 要求登录时的连接 -->
<property name="loginUrl" value="/loginUI.do"></property>
<!-- 登录成功后要跳转的连接(此处已经在登录中处理了) -->
<!-- <property name="successUrl" value="/index.jsp"></property> -->
<!-- 访问未对其授权的资源时,要跳转的连接
<property name="unauthorizedUrl" value="/default.html"></property>-->
<!-- shiro连接约束配置 -->
<property name="filterChainDefinitions">
<value>
<!-- 对静态资源设置允许匿名访问 -->
/bower_components/** = anon
/build/** = anon
/dist/** = anon
/plugins/** = anon
/doLogin.do = anon
<!-- 退出 -->
/doLogout.do = logout <!-- 会调用Subject的logout方法,此方法会将session清空 -->
<!-- 剩余其他路径,必须认证通过才可以访问 -->
/** = authc
</value>
</property>
</bean>
Shiro生命周期处理器
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
启用shiro注解权限检查
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>