什么是权限管理
- 权限管理实现对用户访问系统的控制
- 用户可以访问而且只能访问自己被授权的资源
- 只要有用户和密码的系统,权限管理几乎都会出现
- 举例
给张三赋予“人力资源经理”角色,
“人力资源经理”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。
此时张三能够进入系统,则可以进行这些操作;
权限管理
- 认证
对于需要访问控制的资源用户首先经过身份认证
判断一个用户是否为合法用户的处理过程 - 授权
认证通过后用户具有资源的访问权限-方可访问
控制能够访问哪些资源
shiro概述
- Apache Shiro是Java的一个安全框架
- Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证、授权、加密、会话管理、与Web集成、缓存等
- Shiro使用起来小而简单
- spring中有spring security ,是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。
- shiro不依赖于spring,shiro不仅可以实现web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,
- shiro属于轻量框架,越来越多企业项目开始使用shiro.
shiro核心概念
核心类
整体类图
-
Authentication 身份认证/登录,验证用户是不是拥有相应的身份;
-
Authorization 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;
-
Session Manager 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;
-
Cryptography 加密,保护数据的安全性
-
Web Support Web支持,可以非常容易的集成到Web环境;
-
Caching 缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
-
Concurrency shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
-
Testing 提供测试支持;
-
Run As 允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
-
Remember Me 记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
主要概念
Subject :当前的操作用户,可以是人,爬虫 ,当前跟软件交互的东西
在shiro当中我们可以统称"用户"
在代码的任何地方,你都能轻易的获得Shiro Subject。
一旦获得Subject,你就可以立即获得你希望用Shiro为当前用户做的90%的事情
登录、退、访问会话、执行授权检查等
SecurityManager
SecurityManager则管理所有用户的安全操作
引用了多个内部嵌套安全组件,是Shiro框架的核心
你可以把它看成DispatcherServlet前端控制器。
用于调度各种Shiro框架的服务
Realms
Realms则是用户的信息认证器和用户的权限认证器
执行认证(登录)和授权(访问控制)时,Shiro会从应用配置的Realm中查找很多内容
Realm 可以理解为读取用户信息、角色及权限的 DAO
SecurityManager要验证用户身份与权限,那么它需要从Realm获取相应的信息进行比较以确定用户身份是否合法;
可以把Realm看成DataSource,即安全数据源。
Shiro架构
整体架构图
subject:主体
主体可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。
securityManager:安全管理器
主体进行认证和授权都是通过securityManager进行。
authenticator: 认证器
主体进行认证最终通过authenticator进行的。
authorizer: 授权器
主体进行授权最终通过authenticator进行的。
sessionManager:会话管理
web应用中一般是用web容器对session进行管理,shiro也提供一套session管理的方式。
sessionDao:
通过sessionDao管理session数据,
cacheManager: 缓存管理器
主要对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和 ehcache整合对缓存数据进行管理。
realm: 领域
相当于数据源,通过realm存取认证、授权相关数据。
cryptography: 密码管理
提供了一套加密/解密的组件,方便开发。比如 提供常用的散列、加/解密等功能。
认证
什么是认证
- 身份认证,就是判断一个用户是否为合法用户的处理过程
- 通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确
关键对象
Subject:主体
用户
Principal:身份信息
是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等
credential:凭证信息
是只有主体自己知道的安全信息,如密码、证书等。
使用ini完成认证
1.在Maven中添加依赖jar包
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
2.添加shiro.ini配置文件
首先准备一些用户身份/凭据(shiro.ini):
[users]
itlike=1234
my=1234
3.登录与退出
1.构建securityManager工厂
2.通过工厂创建securityManager
3.将securityManager设置到运行环境中
4.创建一个Subject实例
5.创建token令牌
6.用户登录
7.用户退出
代码
/*1.构建securityManager工厂*/
IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
/*2.通过工厂创建securityManager*/
SecurityManager securityManager = factory.getInstance();
/*3.将securityManager设置到运行环境中*/
SecurityUtils.setSecurityManager(securityManager);
/*4.创建一个Subject实例*/
Subject subject = SecurityUtils.getSubject();
/*5.创建token令牌 用户名和密码*/
UsernamePasswordToken token = new UsernamePasswordToken("itlike", "1234");
/*6.用户登陆*/
try {
subject.login(token);
} catch (UnknownAccountException e) {
System.out.println("用户名不存在");
e.printStackTrace();
}catch (IncorrectCredentialsException e){
System.out.println("密码错误");
e.printStackTrace();
}
System.out.println("是否认证"+subject.isAuthenticated());
/*7.用户退出*/
subject.logout();
System.out.println("是否认证"+subject.isAuthenticated());
认证流程
认证流程图
认证代码执行流程
1.调用subject.login方法进行登录,其会自动委托给securityManager.login方法进行登录;
2.securityManager通过Authenticator(认证器)进行认证;
3.Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码
4.IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModularRealmAuthenticator返回null,如果找到则匹配密码,匹配密码成功则认证通过。
5、最后调用Subject.logout进行退出操作。
自定义realm
1.创建一个类继承AuthorizingRealm
2.覆盖doGetAuthenticationInfo方法,在此方法当中数据库获取用户,交有验证器去验证
3.在ini文件当中进行配置
myRealm=MyRealm
securityManager.realms=$myRealm
散列密码
概述:散列算法一般用于生成数据的摘要信息,是一种不可逆的算法
一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等
使用shiro进行散列密码
Md5Hash
SimpleHash
示例
Md5Hash md5Hash = new Md5Hash("itlike");
System.out.println(md5Hash);
/*通过加盐的方式来对密码进一步保护 这个盐就是myxq*/
Md5Hash md5Hash2 = new Md5Hash("itlike","myxq");
System.out.println(md5Hash2);
/*可进行二次散列*/
Md5Hash md5Hash3 = new Md5Hash("itlike","myxq",2);
System.out.println(md5Hash3);
/*使用SimpleHash*/
SimpleHash simpleHash = new SimpleHash(
"md5",
"itlike",
"myxq",
2);
System.out.println(simpleHash);
realm中配置散列
在ini文件当中进行散列
shiro.ini
[main]
#定义凭证匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#散列算法
credentialsMatcher.hashAlgorithmName=md5
#散列次数
credentialsMatcher.hashIterations=3
#指定realm
myRealm=com.itlike.MyRealm
#配置散列
myRealm.credentialsMatcher=$credentialsMatcher
#配置自定义散列
securityManager.realms=$myRealm
要保证数据库中的密码是经过散列之后的
授权
什么是授权
授权,即访问控制,控制谁能访问哪些资源。
主体进行身份认证后需要分配权限,方可访问系统的资源,对于某些资源没有权限是无法访问的。
使用ini形式配置权限信息
自定义Realm形式权限