Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
我们从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图:
可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:
Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,是一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;
Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
从Shiro内部来看下Shiro的架构,如下图所示:
Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;
SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。
Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
Realm:可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;
shiro的认证流程(创建token令牌使用JWT创建,后期文章会详细说明)
- 创建token令牌,token中有用户提交的认证信息即账号和密码
- 执行subject.login(token),最终由securityManager通过Authenticator进行认证
- Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码,这里使用的是IniRealm(shiro自带)
- IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModularRealmAuthenticator返回null,如果找到则匹配密码,匹配密码成功则认证通过。
shiro的授权流程
1、对subject进行授权,调用方法isPermitted("permission串")
2、SecurityManager执行授权,通过ModularRealmAuthorizer执行授权
3、ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据
调用realm的授权方法:doGetAuthorizationInfo
4、realm从数据库查询权限数据,返回ModularRealmAuthorizer
5、ModularRealmAuthorizer调用PermissionResolver进行权限串比对
6、如果比对后,isPermitted中"permission串"在realm查询到权限数据中,说明用户访问permission串有权限,否则 没有权限,抛出异常。
接下来写一个小demo:
1.Shiro 的配置文件
@Configuration
public class ShiroConfig {
//3,配置shiro过滤器 注入到spring ioc
@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//注入安全管理器securityManager
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
//保证顺序 "/**", "authc" 放到最后,否则其他的 anno就失效
//所以这里不能用 HashMap 而需要使用 LinkedHashMap
filterChainDefinitionMap.put("/static/**", "anon");
filterChainDefinitionMap.put("/2/login", "anon");
filterChainDefinitionMap.put("/sys/login", "anon");
filterChainDefinitionMap.put("/sys/logout", "logout");
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
//各种配置
shiroFilterFactoryBean.setLoginUrl("/2/login");
shiroFilterFactoryBean.setUnauthorizedUrl("/refuse.html");
return shiroFilterFactoryBean;
}
//2, 配置安全管理器securityManager(子类DefaultWebSecurityManager) 注入到spring ioc
@Bean(name = "securityManager")
public DefaultWebSecurityManager securityManager(CustomRealm customRealm) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(customRealm);//自定义realm注入到安全管理器
return securityManager;
}
//1,产生一个 CustomeRealm类的对象,并且注入到Spring IOC容器当中
@Bean(name = "customRealm")
public CustomRealm customRealm(HashedCredentialsMatcher matcher){
CustomRealm customRealm = new CustomRealm();
customRealm.setCredentialsMatcher(matcher);
return customRealm;
}
//4. 产生一个凭证器类的对象 ,并且交给Spring IOC 容器,还要给 CutomRealm
//设置默认加密方式
@Bean(name = "matcher")
public HashedCredentialsMatcher hashedCredentialsMatcher() {
HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
credentialsMatcher.setHashAlgorithmName("MD5"); //加密方式为MD5
credentialsMatcher.setHashIterations(1); //加密次数为1次
credentialsMatcher.setStoredCredentialsHexEncoded(true);//采用hash散列算法加密
return credentialsMatcher;
}
}
2..登录的controller
@PostMapping(value = "/login")
@ResponseBody
public ResponseResult login(Model model, @RequestParam("usercode")String
usercode, @RequestParam("password")String password) {
//生成一个主体
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(usercode,password);
try {
subject.login(token);
ActiveUser activeUser = (ActiveUser) subject.getPrincipal();
System.out.println(activeUser);
model.addAttribute("activeUser",activeUser);
String tokens = Jwts.builder()//头部
.setId(activeUser.getUserid()) //载荷
.setSubject(activeUser.getUsername()) //载荷
.signWith(SignatureAlgorithm.HS256, "client").compact();//加盐方式 盐
Map<String,Object> map = new HashMap<>();
map.put("tokenstr",tokens);
return new ResponseResult(StatusCode.SUCCESS,true,"登陆成功",map);
} catch (Exception e) {
throw new BaseException("登陆失败");
}
}
3.自定义的CustomRealm 继承 AuthorizingRealm
public class CustomRealm extends AuthorizingRealm{
@Autowired
private ISysService sysService;
//AuthenticationInfo 认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
String username = token.getUsername();
User user = sysService.selectUserByUserCode(username);
if(user==null) {
throw new UnknownAccountException("用户不存在");
}else if(user.getLocked().equals("0")) {
throw new DisabledAccountException("账号被锁定");
}
//ActiveUser 自定义的bean 用来存放用户基本数据和权限
ActiveUser ac = new ActiveUser();
ac.setUserid(user.getId());
ac.setUsername(user.getUsername());
ac.setUsercode(user.getUsercode());
//查询该用户的对应权限
List<Permission> findMeauByUserId=null;
try {
findMeauByUserId = sysService.findMeauByUserId(user.getId());
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
ac.setMenuList(findMeauByUserId);
//账号存在
AuthenticationInfo authentication =
new SimpleAuthenticationInfo(ac,user.getPassword(),ByteSource.Util.bytes(user.getSalt()),"customRealm");
return authentication;
}
//AuthorizationInfo 授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
ActiveUser activeUser = (ActiveUser) principals.getPrimaryPrincipal();
List<Permission> permission=null;
try {
permission = sysService.findPermissionByUserId(activeUser.getUserid());
if(permission!=null) {
activeUser.setPermissionList(permission);
}
} catch (Exception e) {
e.printStackTrace();
}
Set<String> set = new HashSet<String>();
for(Permission p : permission) {
set.add(p.getPercode());
}
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.setStringPermissions(set);
return authorizationInfo;
}
}