springboot+shiro的学习
Shiro简介
Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序—从最小的移动应用程序到最大的web和企业应用程序
shiro的核心架构
Subject:
主体,外部的应用与subject交互,记录当前的用户信息,外部应用通过subject进行认证授权,而subject又通过SecurityManager进行认证授权。
SecurityManager:
安全管理器,对subject进行安全管理,是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口
Authenticator:
认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类
Authorizer:
授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限
Realm:
领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,
SessionManager:
会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录
SessionDAO:
会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库
CacheManager:
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能
Cryptography:
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。
shiro认证
认证就是判断一个用户是否是合法用户,最简单的就是通过用户名和口令进行认证
Subject:访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体
Principal:身份信息,是主体(subject)进行身份认证的标识,标识必须具有唯一性,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)
credential:凭证信息,是只有主体自己知道的安全信息,如密码、证书等
普通的认证过程
自定义Realm
/**
* 自定义realm
*/
public class CustomerRealm extends AuthorizingRealm {
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//1.在token中获得用户名,即身份信息
String principal = (String)token.getPrincipal();
//2.根据身份信息从数据库中查询(这里只是模拟)
if ("dong".equals(principal)){
//参数说明 用户名 |密码|当前realm名字
//3.认证
SimpleAuthenticationInfo simpleAuthorizationInfo = new SimpleAuthenticationInfo(principal,"123456",this.getName());
return simpleAuthorizationInfo;
}
return null;
}
}
认证
// 1.创建SecurityManager
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
// 2.设置自定义realm
defaultSecurityManager.setRealm(new CustomerRealm());
// 3.设置安全工具类
SecurityUtils.setSecurityManager(defaultSecurityManager);
// 4.通过安全工具类获取subject
Subject subject = SecurityUtils.getSubject();
// 5.创建token
UsernamePasswordToken token = new UsernamePasswordToken("dong", "123456");
try {
// 6.登录认证
subject.login(token);
System.out.println(subject.isAuthenticated());
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名错误");
} catch (IncorrectCredentialsException e) {
e.printStackTrace();
System.out.println("密码错误");
}catch (Exception e) {
e.printStackTrace();
}
MD5+随机盐方式认证
自定义加密Realm
//认证
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
String principal = (String)authenticationToken.getPrincipal();
if ("dong".equals(principal)){
/**
* 用户名
* 加密后的密码
* 随机盐
* 当前realm的名称
*/
return new SimpleAuthenticationInfo(principal,
"ee31ab9421f9b231ee0d4ced88f48c17",
ByteSource.Util.bytes("ruiwe4"),
this.getName());
}
return null;
}
加密后的密码可以由 javaMd5Hash md5Hash03 = new Md5Hash("123456","ruiwe4",1024);
得到
认证
// 创建SecurityManager
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
// 设置自定义realm
CustomerMD5Realm realm = new CustomerMD5Realm();
// 为realm设置凭证匹配器
HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
// 设置加密算法
credentialsMatcher.setHashAlgorithmName("md5");
// 设置hash次数
credentialsMatcher.setHashIterations(1024);
realm.setCredentialsMatcher(credentialsMatcher);
defaultSecurityManager.setRealm(realm);
// 设置安全工具类
SecurityUtils.setSecurityManager(defaultSecurityManager);
// 通过安全工具类获取subject
Subject subject = SecurityUtils.getSubject();
// 创建token
UsernamePasswordToken token = new UsernamePasswordToken("dong", "123456");
try {
// 登录认证
subject.login(token);
System.out.println("认证成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名错误");
} catch (IncorrectCredentialsException e) {
e.printStackTrace();
System.out.println("密码错误");
}
shiro授权
授权可理解为Who对What进行How操作
授权方式
基于角色的访问控制
RBAC基于角色的访问控制(Role-Based Access Control)是以角色为中心进行访问控制
基于资源的访问控制
RBAC基于资源的访问控制(Resource-Based Access Control)是以资源为中心进行访问控制
权限字符串的规则是:资源标识符:操作:资源实例标识符,意思是对哪个资源的哪个实例具有什么操作
权限的编码方式:编程式、注解式、标签式
授权实现
自定义Realm
//授权
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//从系统返回的身份信息集合中获取主身份信息,即用户名
String primaryPrincipal = (String )principalCollection.getPrimaryPrincipal();
System.out.println("用户名:"+primaryPrincipal);
//根据用户名获取当前用户的角色信息以及权限信息
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
//将数据库中查询的角色信息赋值给权限对象
simpleAuthorizationInfo.addRole("admin");
simpleAuthorizationInfo.addRole("user");
//将数据库中查询的权限信息赋值给各个权限对象
simpleAuthorizationInfo.addStringPermission("user:*:01");
simpleAuthorizationInfo.addStringPermission("product:create");
return simpleAuthorizationInfo;
}
授权
//授权
if(subject.isAuthenticated()){
//基于角色权限控制
System.out.println(subject.hasRole("super"));
//基于多角色权限控制,同时具有
System.out.println(subject.hasAllRoles(Arrays.asList("admin","super")));
//是否具有其中是一角色
boolean[] booleans = subject.hasRoles(Arrays.asList("admin","super","user"));
for (boolean aBoolean : booleans){
System.out.println(aBoolean);
}
System.out.println("+++++++++++++++++++++++++++++++");
//基于权限字符串的访问控制 资源标识符:操作:资源类型
System.out.println("权限:"+subject.isPermitted("user:update:01"));
System.out.println("权限:"+subject.isPermitted("product:crate"));
//分别具有哪些权限
boolean[] permitted = subject.isPermitted("user:*:01","order:*:10");
for (boolean b :permitted){
System.out.println(b);
}
//同时具有哪些权限
boolean permittedAll = subject.isPermittedAll("user:*:01","product:create:01");
System.out.println(permittedAll);
web项目中使用shiro(springboot)
认证大概过程
先自定义Realm,然后创建一个配置类ShiroConfiguration,在这做一些shiro的配置,比如安全管理器、过滤器、realm等,接下来就可以在controller里面做认证。
MD5+随机盐进行注册
这个比较简单,除了正常的注册流程和shiro配置以外需要增加一个生成随机盐的工具类用来生成随机盐。
代码:
@Override
public void register(User user) {
// 生成随机盐
String salt = SaltUtil.getSalt(ShiroConstant.SALT_LENGTH);
// 保存随机盐
user.setSalt(salt);
// 生成密码
Md5Hash password = new Md5Hash(user.getPassword(), salt, ShiroConstant.HASH_ITERATORS);
// 保存密码
user.setPassword(password.toHex());
userMapper.insert(user);
}
MD5+随机盐进行认证
在登陆的基础上修改realm类,把随机盐加进去并且需要从数据库中查询数据
授权过程
基于角色的授权
持久层即数据库中需要创建role、user_role,来用于给用户分配角色
视图层引入java<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
可以通过标签来授权
授权代码:
// 授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//获取主身份信息
String principal = (String) principals.getPrimaryPrincipal();
//根据主身份信息获取角色信息
User user = userService.findUserByUserName(principal);
List<Role> roles = roleService.getRolesByUserID(user.getId());
if (!CollectionUtils.isEmpty(roles)){
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
roles.forEach(role ->{
simpleAuthorizationInfo.addRole(role.getName());
});
return simpleAuthorizationInfo;
}
return null;
}