Shiro-web相关认证授权

身份认证

在 shiro 中，用户需要提供 principals （身份）和 credentials（证明）给 shiro，从而应用能验证用户身份：

      • 身份验证：一般需要提供如身份 ID 等一些标识信息来表明登录者的身 份，如提供 email，用户名/密码来证明。

       在 shiro 中，用户需要提供 principals （身份）和 credentials（证 明）给 shiro，从而应用能验证用户身份：

      • principals：身份，即主体的标识属性，可以是任何属性，如用户名、 邮箱等，唯一即可。一个主体可以有多个 principals，但只有一个 Primary principals，一般是用户名/邮箱/手机号。

       • credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证 书等。

      • 最常见的 principals 和 credentials 组合就是用户名/密码了，外两个相关的概念是之前提到的 Subject 及 Realm，分别是主体及验证主体的数据源

授权

      授权，也叫访问控制，即在应用中控制谁访问哪些资源（如访问页面/编辑数据/页面操作 等）。在授权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限 （Permission）、角色（Role）。

      1、 主体(Subject)：访问应用的用户，在 Shiro 中使用 Subject 代表该用户。用户只有授权 后才允许访问相应的资源。

      2、 资源(Resource)：在应用中用户可以访问的 URL，比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。

      3、 权限(Permission)：安全策略中的原子授权单位，通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源，如：访问用户列表页面查看/新增/修改/删除用户数据（即很多时候都是CRUD（增查改删）式权限控制）等。权限代表了用户有没有操作某个资源的权利，即反映在某个资源上的操作允不允许。

      4、 角色(Role)：权限的集合，一般情况下会赋予用户角色而不是权限，即这样用户可以拥有 一组权限，赋予权限时比较方便。典型的如：项目经理、技术总监、CTO、开发工程师等 都是角色，不同的角色拥有一组不同的权限。

Shiro的Permissions（权限）

      – 这种情况通常会使用三个部件：域、操作、被付诸实的实例。如：user:edit:manager

      – 也可以使用通配符来定义，如：user:edit:*、user:*:*、 user:*:manager

      – 部分省略通配符：缺少的部件意味着用户可以访问所 有与之匹配的值，比如：user:edit 等价于 user:edit :*、 user 等价于 user:*:*

      – 注意：通配符只能从字符串的结尾处省略部件，也就是说 user:edit 并不等价于 user:*:edit

Shiro 支持三种方式的授权

1、编程式：通过写if/else 授权代码块完成

 //是否有lightsaber:weild的权限（测试用户是否有什么行为）
if (currentUser.isPermitted("lightsaber:weild")) {
    log.info("----> You may use a lightsaber ring.  Use it wisely.");
} else {
    log.info("Sorry, lightsaber rings are for schwartz masters only.");
}

       
if (currentUser.isPermitted("user:delete:zhangsan")) {
    log.info("----> You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +"Here are the keys - have fun!");
} else {
    log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}

2、注解式：通过在执行的Java方法上放置相应的注解完成，没有权限将抛出相应的异常

1、@RequiresAuthentication：表示当前Subject已经通过login进行了身份验证；即 Subject. isAuthenticated() 返回 true

2、@RequiresUser：表示当前 Subject 已经身份验证或者通过记住我登录的。

3、@RequiresGuest：表示当前Subject没有身份验证或通过记住我登录过，即是游客身份。

4、@RequiresRoles(value={“admin”, “user”}, logical= Logical.AND)：表示当前 Subject 需要角色admin和user

5、@RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR)：表示当前 Subject 需要权限 user:a 或user:b。



@Controller
@RequestMapping("/shiro")
public class ShiroHandler {
	
	@Autowired
	private ShiroService shiroService;
	
	@RequestMapping("/testShiroAnnotation")
	@RequiresRoles(value = {"admin","user"},logical = Logical.OR) //拥有admin或者user角色才能访问
	public String testShiroAnnotation(HttpSession session){
		session.setAttribute("key", "value12345");
		shiroService.testMethod();
		return "redirect:/list.jsp";
	}
}

3、shiro标签：在JSP/GSP 页面通过相应的标签完成，提供了 JSTL 标签用于在 JSP 页面进行权限控制，如根据登录用户显示相应的页面按钮。

1、guest 标签：用户没有身份验证时显示相应信息，即游客访问信息：
    <Shiro:guest>
	    欢迎访问，<<a href="login.jsp">登录</a>
    </Shiro:guest>

2、user 标签：用户已经经过认证/记住我登录后显示相应的信息。
    <shiro:user>
	    欢迎【<shiro:principal />】登录，<<a href="logout">退出</a>
    </shiro:user>

3、authenticated 标签：用户已经身份验证通过，即Subject.login登录成功，不是记住我登录的
    <shiro:authenticated>
	    用户【<shiro:principal />】已经身份验证通过
    </shiro:authenticated>

4、 notAuthenticated 标签：用户未进行身份验证，即没有调用Subject.login进行登录，包括记住我自动登录的也属于未进行身份验证。
    <shiro:notAuthenticated>
	    未身份验证（包括记住我）
    </shiro:notAuthenticated>

5、hasRole 标签：如果当前 Subject 有角色将显示 body 体内容
	<shiro:hasRole name="admin">
		用户【<shiro:principal/>】前往admin管理页面 <a href="admin.jsp">Admin Page</a>
	</shiro:hasRole>

6、hasAnyRoles 标签：如果当前Subject有任意一个角色（或的关系）将显示body体内容。
    <shiro:hasAnyRoles name="admin,user">
	    用户【<shiro:principal />】拥有admin角色或者uer角色
    </shiro:hasAnyRoles>

7、lacksRole：如果当前 Subject 没有角色将显示 body 体内容
	<shiro:lacksRole name="admin">
		用户【<shiro:principal/>】没有admin角色
	</shiro:lacksRole>

8、hasPermission：如果当前 Subject 有权限将显示 body 体内容
    <shiro:hasPermission name="user:create">
	    用户【<shiro:principal />】拥有权限user:create
    </shiro:hasPermission>

9、lacksPermission：如果当前Subject没有权限将显示body体内容。
    <shiro:lacksPermission name="user:create">
	    用户【<shiro:principal />】没有权限user:create
    </shiro:lacksPermission>

认证和记住我的区别

记住我（RememberMe）概述

      Shiro 提供了记住我（RememberMe）的功能，比如访问如淘宝 等一些网站时，关闭了浏览器，下次再打开时还是能记住你是谁， 下次访问时无需再登录即可访问，基本流程如下：

       1、首先在登录页面选中RememberMe登录成功,若是浏览器登录一般会把 RememberMe的Cookie写到客户端并保存下来 

       2、关闭浏览器再重新打开；会发现浏览器还是记住你的；

       3、访问一般的网页服务器端还是知道你是谁，且能正常访问；

       4、但是我们访问淘宝，如果要查看我的订单或进行支付时，此时还是需要再进行身份认证的，以确保当前用户还是你。

 

subject.isAuthenticated() :true 表示用户进行了身份验证登录的， 即使有 Subject.login 进行了登录；

subject.isRemembered()：true 表示用户是通过记住我登录的，此时可能并不是真正的你（如你的朋友使用你的电脑，或者

你的cookie 被窃取）在访问的

• 两者二选一，即 subject.isAuthenticated()==true，则  subject.isRemembered()==false；反之一样。

认证和记住我使用建议：

访问一般网页：如个人在主页之类的，我们使用user 拦截 器即可，user 拦截器只要用户登录(isRemembered()||isAuthenticated())过即可访问成功；

访问特殊网页：如我的订单，提交订单页面，我们使用 authc 拦截器即可，authc 拦截器会判断用户是否是通过Subject.login（isAuthenticated()==true）登录的，如果是才放行，否则会跳转到登录页面叫你重新登录。


/user.jsp = authc,roles[user]  <!-- 必须经过认证并且拥有user角色才可以访问 -->
/admin.jsp = authc,roles[admin]<!-- 必须经过认证并且拥有admin角色才可以访问 -->
/list.jsp=user <!--记住我的状态就可以访问 list.jsp 结合token.setRememberMe(true);-->