权限控制框架shiro与spring整合详解

最新推荐文章于 2024-03-28 07:00:00 发布

wonabi

最新推荐文章于 2024-03-28 07:00:00 发布

阅读量755

点赞数

分类专栏：后台框架文章标签： spring shiro 安全

本文链接：https://blog.csdn.net/wonabi/article/details/78621098

版权

后台框架专栏收录该内容

13 篇文章 1 订阅

订阅专栏

一.权限概述

1.权限控制的两个核心概念：

认证：系统提供的用于识别用户身份的功能，通常登录功能就是认证功能-----让系统知道你是谁？？

授权：系统授予用户可以访问哪些功能的许可（证书）----让系统知道你能做什么？？

2.常见的权限控制方式

URL拦截权限控制，底层基于拦截器或者过滤器实现,原理图如下：

方法注解权限控制，底层基于代理技术实现，为action创建代理对象，由代理对象进行权限校验，原理图如下：

二.shiro框架的简介

Apache的shiro框架是一个灵活且强大的开源安全权限管理框架，能够处理身份认证，授权，企业会话管理和加密等工作。

下图是shiro具体的功能点：

Shiro的4大部分——身份验证，授权，会话管理和加密

•· Authentication：身份验证，简称“登录”。

•· Authorization：授权，给用户分配角色或者权限资源

•· Session Management：用户session管理器，可以让CS程序也使用session来控制权限

•· Cryptography：把JDK中复杂的密码加密方式进行封装。

除了以上功能，shiro还提供很多扩展

•· Web Support：主要针对web应用提供一些常用功能。

•· Caching：缓存可以使应用程序运行更有效率。

•· Concurrency：多线程相关功能。

•· Testing：帮助我们进行测试相关功能

•· "Run As"：一个允许用户假设为另一个用户身份（如果允许）的功能，有时候在管理脚本很有用。

•· “Remember Me”：记住用户身份，提供类似购物车功能。

三.shiro的访问流程

application code:指用户自己的应用代码，在web应用中，指的一般是控制层代码

Subject：与程序进行交互的对象，可以是人也可以是服务或者其他，通常就理解为当前用户。所有Subject实例都必须绑定到一个SecurityManager上。我们与一个Subject交互，运时shiro会自动转化为与SecurityManager交互的特定subject的交互。

SecurityManager是 Shiro的核心，初始化时协调各个模块运行。然而，一旦SecurityManager协调完毕，SecurityManager会被单独留下，且我们只需要去操作Subject即可，无需操作SecurityManager。但是我们得知道，当我们正与一个 Subject进行交互时，实质上是SecurityManager在处理Subject安全操作。

Realms： Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录，subject拥有什么权限。他有点类似DAO。在配置realms时，需要至少一个realm。而且Shiro提供了一些常用的Realms来连接数据源，如LDAP数据源的JndiLdapRealm，JDBC数据源的JdbcRealm，ini文件数据源的IniRealm，properties文件数据源的PropertiesRealm，等等。我们也可以插入自己的Realm实现来代表自定义的数据源。像其他组件一样，Realms也是由SecurityManager控制，属于securitymanager的一部分。

secritymanager的其他重要部分：

1.Authenticator(org.apache.shiro.authc.Authenticator)：登录控制器，主要用来管理shiro的认证功能。

2.Authorizer(org.apache.shiro.authz.Authorizer)：授权控制器，决定subject能拥有什么样角色或者权限。

3.CacheManager(org.apahce.shiro.cache.CacheManager)：缓存管理器，可以减少不必要的后台访问。提高应用效率，增加用户体验。

四.使用shiro与spring整合完成认证功能（基于maven，eclipse）

第一步：引入shiro的maven依赖

第二步：在web.xml中配置shiro的过滤器，注意过滤器配置要放在前面

<!-- 配置shiro过滤器 -->
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

此时启动服务器，会报一个不存在shiroFilter的bean对象异常，故在spring配置文件中配置

第三步：在spring配置文件中中配置一个ShiroFilterFactoryBean，id为shiroFilter,在这个工厂对象中还需要指定认证授权成功或者失败后访问的URL,需要注入安全管理器对象，和URL级别的拦截规则。

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<!-- 注入安全管理器对象 -->
		<property name="securityManager" ref="securityManager"/>
	<!-- 注入相关页面访问URL -->
		<property name="loginUrl" value="/login.jsp"/>
		<property name="successUrl" value="/index.jsp"/>
		<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
		<!--注入URL拦截规则 -->
		<property name="filterChainDefinitions">
			<value>
				/css/** = anon
				/js/** = anon
				/images/** = anon
				/validatecode.jsp* = anon
				/login.jsp = anon
				/userAction_login.action = anon
				/page_base_staff.action = perms["staff-list"]
				/* = authc
			</value>
		</property>
	</bean>

第四步：配置安全管理器，安全管理器需要注入一个Realm对象，在稍后定义。

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"/>

第五步：编写login方法，使用shiro的方法进行认证操作，只需要构造包含用户名密码的令牌对象，再调用subject（当前对象）的login方法，把令牌对象交由realm处理即可，shiro处理认证请求的方式是从数据库中找到登陆用户的密码，再与令牌密码比对。

 public String login() {
        //从Session中获取生成的验证码
        String validateCode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");
        //校验验证码是否输入正确
        if (StringUtils.isNotBlank(validateCode) && checkcode.equals(validateCode)) {
            //输入的验证码正确,使用shiro的方式认证
        	//获得当前对象
        	Subject subject=SecurityUtils.getSubject();
        	//生成令牌对象，传递到realm中
           AuthenticationToken token=new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));
           try {
        	   subject.login(token);
		} catch (Exception e) {
			e.printStackTrace();
			return LOGIN;
		}
           //登陆成功，获取登陆对象存到session中
          User user=(User) subject.getPrincipal();
          ServletActionContext.getRequest().getSession().setAttribute("loginUser",user);
          return HOME;
          
        } else {
            //输入的验证码错误,设置提示信息，跳转到登录页面
            this.addActionError("验证码不正确，请再输一次");
            return LOGIN;
        }

    }

第六步：自定义一个Realm对象，继承AuthorizingRealm抽象类，实现认证和授权方法。

public class BOSRealm extends AuthorizingRealm{
	@Autowired
	private UserDao userDao;
	/* 
	 * 认证方法
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken passwordToken=(UsernamePasswordToken) token;
		//从令牌中获得用户名，查询相应密码
		String userName=passwordToken.getUsername();
		User user=userDao.findUserByUsername(userName);
		if(user==null)
		{
			return null;
		}
		AuthenticationInfo authenticationInfo=new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
		return authenticationInfo;
	}
}

第七步：在spring配置文件中配置自定义Realm的bean，并注入到securitymanager中

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="bosRealm"/>
	</bean>
	<bean id="bosRealm" class="com.cai.bos.realm.BOSRealm"/>

综上七步，完成shiro与spring整合的完成认证工作的所有内容。需要在spring中配置的shiro相关的bean有： ShiroFilterFactoryBean， DefaultWebSecurityManager，自定义Realm,并且注入关系为：自定义Realm-->DefaultWebSecurityManager-->ShiroFilterFactoryBean。可以清晰地看到，shiro帮助我们完成大部分的工作，我们只需要完成Realm自定义认证逻辑即可。