1.Shiro安全框架简介
1.1 Shiro 概述
Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/),它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权,加密,会话管理等功能,组成了一个通用的安全认证框架,使用shiro就可以非常快速的完成认证,授权等功能的开发,降低系统成本.
用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程图如下:
1.2 Shiro 概要架构
在概念层面,Shiro架构包含三个主要的理念,如图:
其中:
- Subject : 主体对象,负责提交用户认证和授权信息.
- SecurityManager : 安全管理器,负责认证,授权等业务的实现.
- Realm : 领域对象, 负责从数据层获取业务数据.
1.3 Shiro详细架构
Shiro框架进行权限观看时,要涉及到的一些核心对象,主要包括:认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象以及Realm管理对象(领域对象:负责处理认证和授权领域的数据访问)等,其局架构如图:
其中:
- Subject(主体) : 与软件交互的一个特定的实体(用户,第三方服务等);
- SecurityManager(安全管理器) : Shiro 的核心,用来协调管理组件工作.
- Authentication(认证管理器) : 负责执行认证操作.
- Authorizer (授权管理器) : 负责授权检测.
- SessionManager(会话管理) : 负责创建并管理用户 Session 生命周期,提供一个强有力的 Session 体验.
- SessionDAO : 代表 SessionManager 执行 Session 持久(CRUD) 动作,它允许任何存储的数据挂接到 session 管理基础上.
- CacheManager(缓存管理器) : 提供创建缓存实例和管理缓存生命周期的功能.
- Cryptography (加密管理器) : 提供了加密方式的设计及管理.
- Realms (领域对象) ; 是shiro和你的应用程序安全数据之间的桥梁.
2. Shiro框架认证拦截实现(filter)
2.1 Shiro基本环境配置
2.1.1 添加shiro依赖
实用spring整合shiro时,需要在pom.xml中添加如下依赖:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.5.3</version>
</dependency>
2.1.2 Shiro核心对象配置
基于SpringBoot 实现的项目中,没有提供shiro的自动化配置,需要我们自己配置。
第一步: 创建SpringShiroConfig配置类,代码如下:
package com.cy.pj.common.config;
/**@Configuration 注解描述的类为一个配置对象,
* 此对象也会交给spring管理
*/
@Configuration
public class SpringShiroConfig {
}
第二步:在Shiro配置类中添加SecurityManager配置(这里一定要使用org.apache.shiro.mgt.SecurityManager这个接口对象),代码如下:
@Bean
public SecurityManager securityManager() {
DefaultWebSecurityManager sManager=new DefaultWebSecurityManager();
return sManager;
}
第三步: 在Shiro配置类中添加ShiroFilterFactoryBean对象的配置,通过此对象设置资源匿名访问,认证访问等,代码如下:
@Bean
public ShiroFilterFactoryBean shiroFilterFactory (SecurityManager securityManager) {
ShiroFilterFactoryBean sfBean=new ShiroFilterFactoryBean();
sfBean.setSecurityManager(securityManager);
//定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
LinkedHashMap<String,String> map= new LinkedHashMap<>();
//静态资源允许匿名访问:"anon"
map.put("/bower_components/**","anon");
map.put("/build/**","anon");
map.put("/dist/**","anon");
map.put("/plugins/**","anon");
//除了匿名访问的资源,其他都要认证("authc")后访问
map.put("/**","authc");
sfBean.setFilterChainDefinitonMap(map);
return sfBean;
其配置过程中,对象关系如下图
2.2 Shiro登陆页面呈现
2.2.1 服务端Controller实现
- 业务描述及设计实现
当服务端拦截到用户请求以后,判定此请求是否已经被认证,假如没有认证应该先跳转到登录页面。 - 关键代码分析及实现.
第一步:在PageController中添加一个呈现登录页面的方法,关键代码如下
@RequestMapping("doLoginUI")
public String doLoginUI(){
return "login";
}
第二步:修改SpringShiroConfig类中shiroFilterFactorybean的配置,添加登陆url的设置。关键代码见sfBean.setLoginUrl("/doLoginUI")
部分。
@Bean
public ShiroFilterFactoryBean