shiro session_极简入门,Shiro的认证与授权流程解析

最新推荐文章于 2022-08-17 17:57:01 发布
最新推荐文章于 2022-08-17 17:57:01 发布
阅读量330 收藏
点赞数
文章标签: shiro session shiro 单点登录 shiro单点登录
Cat哥领读:

接下来的几天,我们开讲Shiro,从入门到分析、集成、单点登录整合等几篇。今天我们先来认识一下Shiro吧~

其实Shiro框架并不难,我梳理了一下,你只需要学会以下内容基本就足够了:

  • 登陆、授权流程

  • shiro过滤器链

  • 整合Springboot、redis做共享会话

  • 结合xxl-sso实现单点登录

接下来我会分为几篇文章分别去介绍,这篇我们先来了解一下shiro的一些基础知识,以及登录授权逻辑。

Shiro简介

在Web系统中我们经常要涉及到权限问题,例如不同角色的人登录系统,他操作的功能、按钮、菜单是各不相同的,这就是所谓的权限。

而构建一个互联网应用,权限校验管理是很重要的安全措施,这其中主要包含:

  • 用户认证 - 用户身份识别,即登录

  • 用户授权 - 访问控制

  • 密码加密 - 加密敏感数据防止被偷窥

  • 会话管理 - 与用户相关的时间敏感的状态信息

Shiro对以上功能都进行了很好的支持,它可以非常容易的开发出足够好的应用。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。而且Shiro的API也是非常简单。

官方源码:https://github.com/apache/shiro

整体结构与重要组件

72cceee70b8f87ad20d9402689659c78.png

从上图可以看出,Security Manager是Shiro的核心管理器,认证授权会话缓存等都是在其内部完成,然后会委托给具体的组件来处理,比如认证过程委托给Authenticator,授权委托给Authorizer组件。所以,整理还是比较清晰,源代码也容易追踪。

我们来具体聊聊所有的组件:

**Subject:**主体,可以看到主体可以是任何可以与应用交互的“用户”;

**SecurityManager:**Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;负责所有Subject、且负责进行认证和授权、及会话、缓存的管理。

  • Authenticator:认证器,判断用户是否正常登陆

  • Authorizer:授权器,判断用户是否有权限操作资源

**Realm:**可以有1个或多个Realm,主要提供认证和授权的数据;

**Session:**Shiro提供一个权限的企业级Session解决方案,session的生命周期都在SessionManager中进行管理。

**SessionManager:**shiro的会话管理器;

**SessionDAO:**用于会话的CRUD,比如存储到ehcache或者redis中的会话增删改查;

**CacheManager:**缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能

**Cryptography:**密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。

官方简单示例

官网例子:http://shiro.apache.org/tutorial.html

刚入门Shiro的同学,真的需要去看看这个官方例子,你可以更加深入了解Shiro的权限校验流程。我还是贴一下代码吧,一些同学比较懒:

  • shiro.ini

# -----------------------------------------------------------------------------
# Users and their (optional) assigned roles
# username = password, role1, role2, ..., roleN
# -----------------------------------------------------------------------------
[users]
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darklord, schwartz
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# Roles with assigned permissions
# roleName = perm1, perm2, ..., permN
# -----------------------------------------------------------------------------
[roles]
admin = *
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5

上面代码中,root = secret, admin表示,用户名root,密码secret,角色是admin;schwartz = lightsaber:*表示角色schwartz拥有权限lightsaber:*。你其实可以把这个文件看成一个Realm,其实就是shiro默认的IniRealm。

  • 测试类Tutorial

public class Tutorial {

private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class);

public static void main(String[] args) {
        log.info("My First Apache Shiro Application");

        Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);// get the currently executing user:
        Subject currentUser = SecurityUtils.getSubject();// Do some stuff with a Session (no need for a web or EJB container!!!)
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");if (value.equals("aValue")) {
            log.info("Retrieved the correct value! [" + value + "]");
        }// let's login the current user so we can check against roles and permissions:if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true);try {
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +"Please contact your administrator to unlock it.");
            }// ... catch more exceptions here (maybe custom ones specific to your application?catch (AuthenticationException ae) {//unexpected condition?  error?
            }
        }//say who they are://print their identifying principal (in this case, a username):
        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");//test a role:if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }//test a typed permission (not instance-level)if (currentUser.isPermitted("lightsaber:wield")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }//a (very powerful) Instance Level permission:if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +"Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }//all done - log out!
        currentUser.logout();
        System.exit(0);
    }
}

从上面的实例中,我们可以总结一下常用的API:

常用API
#获取当前用户
Subject currentUser = SecurityUtils.getSubject(); 
#判断用户已经认证
currentUser.isAuthenticated() 
#用户登录凭证
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa"); 
#记住我
token.setRememberMe(true); 
#登陆校验
currentUser.login(token); 
#判断是否有角色权限
currentUser.hasRole("schwartz") 
#判断是否有资源操作权限
currentUser.isPermitted("lightsaber:wield") 
#登出
currentUser.logout();

其实稍微梳理一下,可以发现上面代码主要有两个步骤:

  • 认证:

UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
currentUser.login(token);
currentUser.logout();

  • 判断权限

currentUser.hasRole("schwartz")
currentUser.isPermitted("winnebago:drive:eagle5")

接下来,我们去探讨一下shiro的认证与授权流程,并从源码层去解析一下shiro各个组件之间的关系。

认证流程

5abe9acf6c13ab99e67e715a434d6ea5.png

上面图片中,根据序号,其实我们大概能猜出里shiro的认证流程:

  1. Subject进行login操作,参数是封装了用户信息的token

  2. Security Manager进行登录操作

  3. Security Manager委托给Authenticator进行认证逻辑处理

  4. 调用AuthenticationStrategy进行多Realm身份验证

  5. 调用对应Realm进行登录校验,认证成功则返回用户属性,失败则抛出对应异常

我们从login方法开始debug一下流程,用简要方式追踪shiro源码的认证逻辑:

currentUser.login(token);
|
Subject subject = this.securityManager.login(this, token);
|
AuthenticationInfo info = this.authenticate(token);
|
this.authenticator.authenticate(token);
|
AuthenticationInfo info = this.doAuthenticate(token);
|
Collection realms = this.getRealms();
doSingleRealmAuthentication(realm, token);
|
AuthenticationInfo info = realm.getAuthenticationInfo(token);
|
AuthenticationInfo info = realm.doGetAuthenticationInfo(token);

ok,一条线下来,从login到委托给authenticator,再最后调用realm的doGetAuthenticationInfo方法。

所以,从源码上来看,如果要实现shiro的认证逻辑,至少要准备一个Realm组件、和初始化securityManager组件。

常见异常

  • DisabledAccountException(禁用的帐号)

  • LockedAccountException(锁定的帐号)

  • UnknownAccountException(错误的帐号)

  • ExcessiveAttemptsException(登录失败次数过多)

  • IncorrectCredentialsException (错误的凭证)

  • ExpiredCredentialsException(过期的凭证)

授权流程

f9c59228b4e2353f5f29b4e9925a957d.png

从上图中,我们可以知道授权流程如下:

  • 调用Subject.isPermitted*/hasRole*接口

  • 委托给SecurityManager

  • 而SecurityManager接着会委托给Authorizer

  • Authorizer会判断Realm的角色/权限是否和传入的匹配

  • 匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败

追踪一下源码如下:

currentUser.hasRole("schwartz")
|
this.securityManager.hasRole(this.getPrincipals(), roleIdentifier)
|
this.authorizer.hasRole(principals, roleIdentifier)
|
AuthorizationInfo info = this.getAuthorizationInfo(principal);
return info.getRoles().contains(roleIdentifier)
|
info = this.doGetAuthorizationInfo(principals);(realm)

所以shiro判断用户是否有权限首先会从realm中获取用户所拥有的权限角色信息,然后再匹配当前的角色或权限是否包含,从而判定用户是否有权限!

说到权限,很多人自然会想起权限系统,涉及到几个关键对象:

  • 主体(Subject)

  • 资源(Resource)

  • 权限(Permission)

  • 角色(Role)

通过这几个要素,可以设计出比较合理的权限系统。

Shiro常见3种授权判断方式:

  • 编码实现

Subject subject = SecurityUtils.getSubject();  
if(subject.hasRole(“admin”)) {  
//有权限  
} else {  
//无权限  
}

  • 注解实现

@RequiresRoles("admin")  
public void hello() {  
//有权限  
}

  • JSP Taglig实现,freemarker等类似

"admin">

jsp页面引入shiro标签

"shiro" uri="http://shiro.apache.org/tags"%>

在线会话管理

获取当前会话总人数
@Autowired
private SessionDAO sessionDAO;
//获取会话数量
int size = sessionDAO.getActiveSessions().size()
强制下线
//强制退出
Session session = sessionDAO.readSession(subject.getSession().getId());
sessionDAO.delete(session);
// logout,可作为强制退出
subject.logout();
Assert.isTrue(!subject.isAuthenticated());

结束语

ok,感觉是高度极简的一篇文章,主要把重要的组件和登录、授权几个流程搞清楚之后,其实shiro基本已经学会了,后面我们再学一下shiro的几个主要内置过滤器怎么使用,如何集成SpringBoot,基本就差不多了。

(完)

[最近发表]

一份完整的阿里云 Redis 开发规范,值得收藏!

SpringBoot 整合Shiro实现动态权限加载更新+Session共享+单点登录

在 Spring Boot 中,如何干掉 if else

Linux 最常用命令(简单易学,但能解决 95% 以上的问题)

图片验证码的需求分析、优雅实现

为什么很多SpringBoot开发者放弃了Tomcat,选择了Undertow

带你认识不一样的Stream,Java8就该这么玩!

终于明白为什么要加 final 关键字了!

Springboot整合SpringDataJPA基于Restful风格实现增删改查功能

Springboot整合多数据源以及多数据源中的事务处理(附源码)

Git 从入门到精通,这篇包教包会!

SpringBoot+Vue 前后端分离开发首秀

具有完整讲解文档的7个Java开源项目,值得一学!

SQL 性能优化,太太太太太太太有用了!

0edc49aec16a24736e97dc2345d5c80a.png

长按关注,学习Java

weixin_39940688
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot shiro基于redis分布式权限实现完整案例代码
08-25
springboot shiro基于redis分布式权限实现完整案例代码。。。。。。。。。。。。。。。。。。。。。。。。。。。
Shiro权限控制流程
csdn_chaoping的博客
11-22 269
软件研发,权限控制是每个软件必备的功能,shiro权限控制框架比较成熟,控制流程看下图:
踩坑篇-Nacos+Sping-gateway+shiro实现分布式认证权限框架
weixin_44828808的博客
06-09 9765
踩坑篇-Nacos+Sping-gateway+shiro实现分布式认证权限框架创作背景基本功能版本说明认证中心实现篇网关实现篇简单的解释 创作背景 我们公司属于通信行业,做出的产品用户群体比较小众,所以不太追求像互联网公司那样的Tps,Qps之类的指标,单体springboot其实已经够用了。但是身为技术人嘛,总要有所追求。 另外一个原因,也是最重要的原因:shiro很少被用来做为微服务的安全框架,这让我替这个非常简单易用的框架鸣不,平开发这个,也是来证明微服务安全框架并不是只能选spring secur
SpringBoot+JWT+Shiro+MybatisPlus实现Restful快速开发后端脚手架
weixin_46794373的博客
09-22 155
一、背景 前后端分离已经成为互联网项目开发标准,它会为以后的大型分布式架构打下基础。SpringBoot使编码配置部署都变得简单,越来越多的互联网公司已经选择SpringBoot作为微服务的入门级微框架。 Mybatis-Plus是一个 Mybatis 的增强工具,有代码生成器,并且提供了类似hibernate的单表CRUD操作,又保留了mybatis的特性支持定制化 SQL。 Apache Shiro是一款强大易用的Java安全框架,Java官方推荐使用Shiro,它比Spring Security
Shiro认证授权(上)基于Session认证授权
蜗牛学院重庆校区的博客
05-06 631
一、Shiro Shiro是堡垒的意思,是一个身份认证和权限校验框架。通常来说在管理系统中权限是必不可少的一部分。公司所有的人都在同一个系统上进行操作,但是并不是所有的人都具备相同的权利。那么就需要在系统中将每个人所拥有的的权限明确的标识出来并同时在后端进行校验。 权限系统按照颗粒粒度分为: 按钮级别权限(决定某个用户能做什么不能做什么) 数据级别权限(决定用户在能做这件事的前提下,能对哪些数据做这件事) 要实现权限系统分为两个步骤: 1.所见即所得 我们需要在系统的界面层面,将用户所具备的菜单和按钮给用户
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
主要介绍了基于springboot实现整合shiro实现登录认证以及授权过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot整合Apache Shiro极简入门实例.zip
最新发布
11-04
SpringBoot整合Shiro,实现菜单权限控制入门简单实例;用户菜单权限来自数据库,简单起见,user用户表中同事配置了用户菜单权限,感兴趣的小伙伴可以自行使用RBAC方案扩展数据库表设计进行完善。 运行环境 jdk8+...
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
shiro_tool.zip
10-11
一款好用的shiro检测利用工具,使用方式java -jar shiro_tool.jar https://xx.xx.xx.xx,Github有开源下载链接,在这里上传是为了赚积分下载别的工具,欢迎使用
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
Shiro框架认证流程
tumu6889的博客
06-17 310
shirt 认证流程 AuthenticationInfo
分布式项目之 Shiro 整合搭建
qq_41995896的博客
11-09 766
Shiro 搭建 导入Shiro 的maven依赖 在web.xml中配置过滤器 这个过滤器会创建一个过滤器工厂,用来创建多个不同用途的过滤器 通过filter-name 和spring中的bean 的id 的值来找到这个过滤器工厂 <!--shiro 过滤器配置--> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframe
shiro框架---多项目登录访问共享session的实现
热门推荐
凌大大的博客
08-04 1万+
shiro框架—多项目登录访问共享session的实现 公司需要这样的需求:   有两个项目master 主项目、suiteone 项目,两个项目各自由shiro 安全框架管理,当不能登录时,都无法访问,但当登录了其中一个,再访问另一个的时候不再需要登录即可访问。   如果想看为什么需要共享session ,可以去看我这篇文章。 关于实现多项目共享session的逻辑介绍   其...
JAVAWEB开发之权限管理(二)——shiro入门详解以及使用方法、shiro认证shiro授权
m0_54850825的博客
08-17 987
上边的程序中使用的是Shiro自带的iniRealm。iniRealm从配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义Realm。// 设置Realm的名称@Override}// 支持UsernamePasswordToken@Override}// 用于认证@Override// token是用户输入的// 第一步从token中取出身份信息// 第二步:根据用户输入的usercode从数据库查询// 如果查询不到返回null。...
Shiro权限管理】12.Shiro认证策略
程序猿之洞
11-26 2681
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 上一篇我们讲到了Shiro的多Realm验证,并且编写实例进行了测试。对于多Realm校验,我们还需要知道,两个Realm时,怎么才能知道认证通过了?是一个Realm通过了就通过,还是全部Realm通过了才通过,还是其它?这就牵扯到了认证策略。 认证策略实际上是AuthenticationStrategy这个接口,它有三个
最全Shiro教程,一篇学会Shiro权限管理
老达摩的博客
12-23 1万+
声明:本文是博主观看bilibili上Java涛哥视频学习的Shiro框架所整理笔记,学完思路清晰,原文代码大致相同,原视频链接附上,方便以后学习查看。 Shiro ​ Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 一、权限管理 不同身份的人进入系统所完成的操作不同,如下图,当一个系统包含左侧所有菜单功能时,要求不同人员登录展示不
shiro权限管理1--------整体介绍
良之才的专栏
05-23 262
shiro权限管理框架,已经是第三次进行总结了。走马观花的搭建过,简单的进行了应用。跟着开涛哥的教程做了一遍。感觉可以了。不到半年没用,全交回去了。 随后正自己认真的整理了一遍笔记,重新归纳。然后,笔记找不到了。 这次在云端整理一次,希望把细节点认真的组织好。然后,不会在丢了。 ---------------------------------------------------------...
Shiro - 关于session
dengtangu7674的博客
12-01 486
Shiro Session session管理可以说是Shiro的一大卖点。 Shiro可以为任何应用(从简单的命令行程序还是手机应用再到大型企业应用)提供会话解决方案。 在Shiro出现之前,如果我们想让你的应用支持session,我们通常会依赖web容器或者使用EJB的Session Bean。 Shirosession的支持更加易用,而且他可以在任何应用、任...
shiro校验session_id
05-24
Shiro可以通过Subject对象来验证session_id是否有效。可以通过以下步骤进行验证: 1. 通过SecurityUtils获取当前Subject对象。 2. 调用Subject对象的getSession()方法获取当前用户的session。 3. 判断session是否...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值