1.Shiro安全框架简介
1.1 Shiro概述
Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用Shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。
用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示:
图-1
1.2 Shiro概要架构
在概念层面,Shiro 架构包含三个主要的理念,如图-2所示:
图-2
其中:
- Subject :主体对象,负责提交用户认证和授权信息。
- SecurityManager:安全管理器,负责认证,授权等业务实现。
- Realm:领域对象,负责从数据层获取业务数据。
1.1 Shiro详细架构
Shiro框架进行权限管理时,要涉及到的一些核心对象,主要包括:认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象以及Realm管理对象(领域对象:负责处理认证和授权领域的数据访问)等,其具体架构如图-3所示:
图-3
其中:
- Subject(主体):与软件交互的一个特定的实体(用户、第三方服务等)。
- SecurityManager(安全管理器) :Shiro 的核心,用来协调管理组件工作。
- Authenticator(认证管理器):负责执行认证操作。
- Authorizer(授权管理器):负责授权检测。
- SessionManager(会话管理):负责创建并管理用户 Session 生命周期,提供一个强有力的 Session 体验。
- SessionDAO:代表 SessionManager 执行 Session 持久(CRUD)动作,它允许任何存储的数据挂接到 session 管理基础上。
- CacheManager(缓存管理器):提供创建缓存实例和管理缓存生命周期的功能。
- Cryptography(加密管理器):提供了加密方式的设计及管理。
- Realms(领域对象):是Shiro和你的应用程序安全数据之间的桥梁。
2. Shiro框架认证拦截实现(filter)
2.1 Shiro基本环境配置
2.1.1 添加Shiro依赖
使用Spring整合Shiro时,需要在pom.xml中添加如下依赖:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.8.0</version>
</dependency>
2.1.2 Shiro核心对象配置
基于SpringBoot 实现的项目中,没有提供Shiro的自动化配置,需要我们自己配置。
第一步:创建SpringShiroConfig类。关键代码如下:
package com.cy.pj.common.config;
/**@Configuration 注解描述的类为一个配置对象,
* 此对象也会交给spring管理
*/
@Configuration
public class SpringShiroConfig {//spring-shiro.xml
}
第二步:在Shiro配置类中添加SecurityManager配置,关键代码如下:
@Bean
public SecurityManager securityManager() {
DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();
return sManager;
}
第三步: 在Shiro配置类中添加ShiroFilterFactoryBean对象的配置。通过此对象设置资源匿名访问、认证访问。关键代码如下:
@Bean
public ShiroFilterFactoryBean shiroFilterFactory (SecurityManager securityManager) {
ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();
sfBean.setSecurityManager(securityManager);
//定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
LinkedHashMap<String,String> map = new LinkedHashMap<>();
//静态资源允许匿名访问:"anon"
map.put("/bower_components/**","anon");
map.put("/build/**","anon");
map.put("/dist/**","anon");
map.put("/plugins/**","anon");
//除了匿名访问的资源,其它都要认证("authc")后访问
map.put("/**","authc");
sfBean.setFilterChainDefinitionMap(map);
return sfBean;
}
其配置过程中,对象关系如下图-4所示:
图-4
2.2 Shiro登陆页面呈现
2.2.1 服务端Controller实现
- 业务描述及设计实现
当服务端拦截到用户请求以后,判定此请求是否已经被认证,假如没有认证应该先跳转到登录页面。
- 关键代码分析及实现
第一步:在PageController中添加一个呈现登录页面的方法,关键代码如下:
@RequestMapping("doLoginUI")
public String doLoginUI(){
return "login";
}
第二步:修改SpringShiroConfig类中shiroFilterFactorybean的配置,添加登陆url的设置。关键代码见sfBean.setLoginUrl("/doLoginUI")部分。
@Bean
public ShiroFilterFactoryBean shiroFilterFactory (@Autowired SecurityManager securityManager) {
ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();
sfBean.setSecurityManager(securityManager);
sfBean.setLoginUrl("/doLoginUI");
//定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
LinkedHashMap<String,String> map = new LinkedHashMap<>();
//静态资源允许匿名访问:"anon"
map.put("/bower_components/**","anon");
map.put("/build/**","anon");
map.put("/dist/**","anon");
map.put("/plugins/**","anon");
//除了匿名访问的资源,其它都要认证("authc")后访问
map.put("/**","authc");
sfBean.setFilterChainDefinitionMap(map);
return sfBean;
}
2.2.2 客户端页面实现
- 业务描述及设计实现
在/templates/pages/添加一个login.html页面,然后将项目部署到web服务器,并启动测试运行。
- 关键代码分析及实现
具体代码见项目中login.html。
3. Shiro框架认证业务实现
3.1 认证流程分析
身份认证即判定用户是否是系统的合法用户,用户访问系统资源时的认证(对用户身份信息的认证)流程图-5所示:
图-5
其中认证流程分析如下:
- 系统调用subject的login方法将用户信息提交给SecurityManager
- SecurityManager将认证操作委托给认证器对象Authenticator
- Authenticator将用户输入的身份信息传递给Realm
- Realm访问数据库获取用户信息然后对信息进行封装并返回
- Authenticator 对realm返回的信息进行身份认证
思考:不使用shiro框架如何完成认证操作?filter,intercetor
3.2 认证服务端实现
3.2.1 核心业务分析
认证业务API处理流程分析,如图-6所示:
图-6
3.2.2 DAO接口定义
- 业务描述及设计实现
在用户数据层对象SysUserDao中,按特定条件查询用户信息,并对其进行封装。
- 关键代码分析及实现
在SysUserDao接口中,添加根据用户名获取用户对象的方法,关键代码如下:
SysUser findUserByUserName(String username)
3.2.3 Mapper元素定义
- 业务描述及设计实现
根据SysUserDao中定义的方法,在SysUserMapper文件中添加元素定义。
- 关键代码分析及实现
基于用户名获取用户对象的方法,关键代码如下:
<select id="findUserByUserName"
resultType="com.cy.pj.sys.entity.SysUser">
select *
from sys_users
where username=#{username}
</select>
3.2.4 Service接口及实现
- 业务描述及设计实现
本模块的业务在Realm类型的对象中进行实现,我们编写realm时,要继承AuthorizingRealm并重写相关方法,完成认证及授权业务数据的获取及封装。
- 关键代码分析及实现
第一步:定义ShiroUserRealm类,关键代码如下:
package com.cy.pj.sys.service.realm;
@Service
public class ShiroUserRealm extends AuthorizingRealm {
@Autowired
private SysUserDao sysUserDao;
@Autowired
private SysUserRoleDao sysUserRoleDao;
@Autowired
private SysRoleMenuDao sysRoleMenuDao;
@Autowired
private SysMenuDao sysMenuDao;
/**负责获取登陆用户权限信息并进行封装*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("===doGetAuthorizationInfo===");
//1.获取登陆用户身份信息
SysUser user=(SysUser)principals.getPrimaryPrincipal();
//2.基于用户 id 获取角色 id
List<Integer> roleIds = sysUserRoleDao.findRoleIdsByUserId(user.getId());
if(roleIds==null||roleIds.size()==0)
throw new AuthorizationException();
//3.基于角色 id 获取对应的菜单 id
List<Integer> menuIds = sysRoleMenuDao.findMenuIdsByRoleIds(roleIds.toArray(new Integer[] {}));
if(menuIds==null||menuIds.size()==0)
throw new AuthorizationException();
//4.基于菜单 id 获取授权标识
List<String> permissions = sysMenuDao.findPermissions(menuIds.toArray(new Integer[] {}));
if(permissions==null||permissions.size()==0)
throw new AuthorizationException();
//5.对用户权限信息进行封装
Set<String> stringPermissions=new HashSet<>();
for(String per:permissions) {
if(!StringUtils.isEmpty(per)) {
stringPermissions.add(per);
}
}
System.out.println("stringPermissions="+stringPermissions);
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setStringPermissions(stringPermissions);
return info;//此对象会返回给授权管理器
}
/**基于此方法的返回值告诉 shiro 框架我们采用什么加密算法*/
@Override
public CredentialsMatcher getCredentialsMatcher() {
HashedCredentialsMatcher cMatcher = new HashedCredentialsMatcher();
cMatcher.setHashAlgorithmName("MD5");
cMatcher.setHashIterations(1);
return cMatcher;
}
/**此方法中负责认证信息的获取以及封装*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//1.获取登陆用户信息(页面上用户输入的用户名)
UsernamePasswordToken uToken=(UsernamePasswordToken) token;
String username=uToken.getUsername();
//2.基于用户名查询数据库获取用户对象信息并进行判定
//2.1)获取用户对象
SysUser user = sysUserDao.findUserByUserName(username);
//2.2)验证对象是否存在
if(user==null)throw new UnknownAccountException();
//2.3)检查用户是否被禁用
if(user.getValid()==0)throw new LockedAccountException();
//3.封装用户信息并返回。
ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt().getBytes());
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(
user, //principal 用户身份
user.getPassword(),//hashedCredentials 已经加密的密码
credentialsSalt, //credentialsSalt 盐值
this.getName());//getName()为 realm 的名字
return info;//返回给认证管理器
}
}
第二步:对此realm,需要在SpringShiroConfig配置类中,注入给SecurityManager对象,修改securityManager方法,见黄色背景部分,例如:
@Bean
public SecurityManager securityManager(Realm realm) {
DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();
sManager.setRealm(realm);
return sManager;
}
3.2.5 Controller 类实现
- 业务描述及设计实现。
在此对象中定义相关方法,处理客户端的登陆请求,例如获取用户名,密码等然后提交该shiro框架进行认证。
- 关键代码分析及实现。
第一步:在SysUserController中添加处理登陆的方法。关键代码如下:
@RequestMapping("doLogin")
public JsonResult doLogin(String username,String password,boolean isRememberMe) {
//1.获取 subject 对象
Subject subject = SecurityUtils.getSubject();
//2.提交用户请求
UsernamePasswordToken token = new UsernamePasswordToken();
token.setUsername(username);
token.setPassword(password.toCharArray());
token.setRememberMe(isRememberMe);
subject.login(token);//提交给 securityManager
return new JsonResult("login ok");
}
第二步:修改shiroFilterFactory的配置,对/user/doLogin这个路径进行匿名访问的配置:
@Bean
public ShiroFilterFactoryBean shiroFilterFactory (SecurityManager securityManager) {
ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();
sfBean.setSecurityManager(securityManager);
//假如没有认证请求先访问此认证的url
sfBean.setLoginUrl("/doLoginUI");
//定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
LinkedHashMap<String,String> map = new LinkedHashMap<>();
//静态资源允许匿名访问:"anon"
map.put("/bower_components/**","anon");
map.put("/build/**","anon");
map.put("/dist/**","anon");
map.put("/plugins/**","anon");
map.put("/user/doLogin","anon"); //authc表示,除了匿名访问的资源,其它都要认证("authc")后才能访问访问
map.put("/**","authc");
sfBean.setFilterChainDefinitionMap(map);
return sfBean;
}
第三步:当我们在执行登录操作时,为了提高用户体验,可对系统中的异常信息进行处理,例如,在统一异常处理类中添加如下方法:
@ExceptionHandler(ShiroException.class)
@ResponseBody
public JsonResult doHandleShiroException(ShiroException e) {
JsonResult r = new JsonResult();
r.setState(0);
if(e instanceof UnknownAccountException) {
r.setMessage("账户不存在");
}else if(e instanceof LockedAccountException) {
r.setMessage("账户已被禁用");
}else if(e instanceof IncorrectCredentialsException) {
r.setMessage("密码不正确");
}else if(e instanceof AuthorizationException) {
r.setMessage("没有此操作权限");
}else {
r.setMessage("系统维护中");
}
e.printStackTrace();
return r;
}
3.3 认证客户端实现
3.3.1 编写用户登陆页面
在/templates/pages/目录下添加登陆页面(login.html)。
3.3.2 异步登陆操作实现
点击登录操作时,将输入的用户名,密码异步提交到服务端。
$(function () {
$(".login-box-body").on("click",".btn",doLogin);
});
function doLogin(){
var params={
username:$("#usernameId").val(),
password:$("#passwordId").val()
}
var url="user/doLogin";
$.post(url,params,function(result){
if(result.state==1){
//跳转到indexUI对应的页面
location.href="doIndexUI?t="+Math.random();
}else{
$(".login-box-msg").html(result.message);
}
});
}
3.4 退出操作配置实现
在SpringShiroConfig配置类中,修改过滤规则,添加黄色标记部分代码的配置,请看如下代码:
@Bean
public ShiroFilterFactoryBean shiroFilterFactory(SecurityManager securityManager) {
ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();
sfBean.setSecurityManager(securityManager);
//假如没有认证请求先访问此认证的url
sfBean.setLoginUrl("/doLoginUI");
//定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
LinkedHashMap<String,String> map=new LinkedHashMap<>();
//静态资源允许匿名访问:"anon"
map.put("/bower_components/**","anon");
map.put("/build/**","anon");
map.put("/dist/**","anon");
map.put("/plugins/**","anon");
map.put("/user/doLogin","anon");
map.put("/doLogout","logout"); //除了匿名访问的资源,其它都要认证("authc")后访问
map.put("/**","authc");
sfBean.setFilterChainDefinitionMap(map);
return sfBean;
}