关于 Apache Shiro 概念基本都粘自官网 http://shiro.apache.org/
详细中文博客 http://wiki.jikexueyuan.com/p...
与SpringBoot整合 https://segmentfault.com/a/11...
Shiro 简介
Apache Shiro是一个功能强大且灵活的开源安全框架,可以清晰地处理身份验证,授权,企业会话管理和加密。
以下是Apache Shiro可以做的一些事情:
- 验证用户以验证其身份
- 为用户执行访问控制
- 在任何环境中使用Session API,即使没有Web容器或EJB容器也是如此。
- ......
功能简介
- Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
- Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
- Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境,也可以是 Web 环境的;
- Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
- Web Support:Web 支持,可以非常容易的集成到Web 环境;
- Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
- Concurrency:Shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能
- 把权限自动传播过去;
- Testing:提供测试支持;
- Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
- Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了
Shiro 详细的架构
可以参考官方文档:http://shiro.apache.org/archi...
Shiro web工程搭建
1.Maven 架包依赖
缓存架包先用 ehcache
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.3.2</version>
</dependency>
<dependency>
<groupId>net.sf.ehcache</groupId>
<artifactId>ehcache</artifactId>
<version>2.10.6</version>
</dependency>2.ehcache 缓存xml文件配置
<?xml version="1.0" encoding="UTF-8"?>
<ehcache>
<!-- mac 电脑, 跟 win 设置路径有点不一样 示例: path="d:/ehcache/" -->
<diskStore path="${user.home}/Downloads/ehcache" />
<!-- 默认缓存配置 没有特别指定就用这个配置 -->
<defaultCache maxElementsInMemory="10000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="3600"
overflowToDisk="true"
maxElementsOnDisk="10000000"
diskPersistent="false"
memoryStoreEvictionPolicy="LRU"
diskExpiryThreadIntervalSeconds="120" />
</ehcache>3.web.xml中shiro拦截器配置
<!-- 1. 配置 shiro 拦截器 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>4.spring文件配置
4.1基本配置
<!-- 2. 配置shiro的核心组件 SecurityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 配置缓存 -->
<property name="cacheManager" ref="cacheManager" />
<!-- 自定义的 realm -->
<property name="realm">
<bean class="com.ogemray.shiro.MyShiroRealm">
<!-- 自定义 realm 里面的的密码匹对器 -->
<property name="credentialsMatcher">
<bean class="com.ogemray.shiro.MyCredentialsMatcher"/>
</property>
</bean>
</property>
</bean>
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>
</bean>
<!-- 3. 配置shiroFilter,配置shiro的一些基本规则信息,id必须和web.xml中配置的拦截器名字一样(DelegatingFilterProxy 通过名字去spring容器中找注入的拦截器) -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.html"/> <!-- loginUrl 表示登录页面地址 -->
<property name="successUrl" value="/admin/main.html"/> <!-- successUrl 表示登录成功后跳转的页面 -->
<property name="unauthorizedUrl" value="/unauthorized.html"/> <!-- 配置没有授权跳转页面 -->
<property name="filterChainDefinitions">
<value>
<!--/logout.action=logout --> <!-- logout 表示登出, 清空session, 这里不需要了, 因为已经在登出对象的方法里手动清空了 [ SecurityUtils.getSubject().logout() ] -->
/admin/userlist*=roles[user]
/admin/adduser*=roles[user,admin] <!-- 表示拥有 user 角色 并且 拥有 admin 角色 -->
/admin/editRPRelation*=roles[admin],perms[user:insert,user:update,user:select,user:delete]
/admin/editURRelation*=perms[user:select]
/admin/**=authc
/**=anon
</value>
</property>
</bean>4.2拦截规则附解
拦截器 shiroFilter 的基本数据
- securityManager:这个属性是必须的
- loginUrl:表示登录成功后跳转的页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面
- successUrl:登录成功默认跳转页面,不配置则跳转至”/”
- unauthorizedUrl:没有权限默认跳转的页面
- filterChainDefinitions:指定过滤规则
关于过滤器可以参考shiro提供的枚举类 org.apache.shiro.web.filter.mgt.DefaultFilter
url 模式使用 Ant 风格模式
Ant 路径通配符支持?、、,注意通配符匹配不包括目录分隔符 “/”:
?:匹配一个字符,如”/admin?” 将匹配 / admin1,但不匹配 / admin 或 / admin2;
:匹配零个或多个字符串,如 / admin * 将匹配 / admin、/admin123,但不匹配 / admin/1;
:匹配路径中的零个或多个路径,如 / admin/ 将匹配 / admin/a 或 / admin/a/b。
5.自定义realm
public class MyShiroRealm extends AuthorizingRealm {
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("********************* 进行登录认证 *********************");
String username = (String) authenticationToken.getPrincipal(); //获取提交的用户名
User user = userRepository.findByUsername(username);
if (user == null) throw new UnknownAccountException("用户不存在, 请先注册然后再来登录");
if (user.getState() == 1) throw new LockedAccountException("该用户已经被管理员禁用, 请换个账号登录");
//接下来进行密码的比对逻辑
//参数 principal 作为下面授权部分参数集合里面的一部分
//参数 credentials 作为后面与token里面密码比对基础
//返回值 info 作为下面自定义密码匹类里面比对方法的参数
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), getName());
return info;
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("********************* 进行授权认证 *********************");
User user = (User) principalCollection.asList().get(0);
//得到该用户的所有角色和权限
Set<String> roles = new HashSet<>();
Set<String> permissions = new HashSet<>();
user.getRoles().forEach(role -> {
roles.add(role.getRoleName());
role.getPermissions().forEach(permission -> {
permissions.add(permission.getPermissionName());
});
});
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setRoles(roles);
info.setStringPermissions(permissions);
return info;
}
@Autowired
private UserRepository userRepository;
}6.自定义密码匹对方案
前端密码加密规则:ciphertext_pwd = AES.encrypt(MD5(password))
后端解密密码规则:md5_password = AES.desEncrypt(ciphertext_pwd)
后端匹对密码规则:(md5_password + 用户名做盐值) 进行 1024 次 MD5 转换,然后与数据库取出密码做比对
public class MyCredentialsMatcher implements CredentialsMatcher {
@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
String tokenCredentials = new String((char[])token.getCredentials()); //前端传过来的密码
String accountCredentials = (String) info.getCredentials(); //数据库查询到的密码
//首先对前端传过来的密码进行AES解密 -> 清空 session 里面的key
Session session = SecurityUtils.getSubject().getSession();
String key = (String) session.getAttribute("AESKey");
try {
tokenCredentials = AesEncryptUtil.desEncrypt(tokenCredentials, key, key);
} catch (Exception e) {
throw new IncorrectCredentialsException("可能受到重放攻击, AES 解密失败");
}
session.removeAttribute("AESKey");
//加密方式 待加密数据 加密盐值 加密次数
SimpleHash simpleHash = new SimpleHash("MD5", tokenCredentials, token.getPrincipal(), 1024);
tokenCredentials = simpleHash.toString();
return accountCredentials.equals(tokenCredentials);
}
}7.登录和注册接口的调用
@Service("userService")
public class UserServiceImpl implements UserService {
@Override
public void registerUser(User user) {
if (userRepository.existsByUsername(user.getUsername())) {
throw new RuntimeException("用户名已经被注册, 请换个用户名");
}
user.setState((byte) 0);
//密码进行加密
SimpleHash simpleHash = new SimpleHash("MD5", user.getPassword(), user.getUsername(), 1024);
user.setPassword(simpleHash.toString());
userRepository.save(user);
}
@Override
public void login(User user) {
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.isAuthenticated() == false) { //没有登录过需要进行登录验证
UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword(), false);
currentUser.login(token);
}
}
@Autowired
private UserRepository userRepository;
}8.多角色/权限匹对规则
从上面我们可以看到url地址规则匹配可以配置多角色和多权限,当对应多个角色和权限时中间用 “,” 隔开。
以对应多角色为例
/admin/userlist*=roles[user]
/admin/adduser*=roles[user,admin]当访问第二个 /admin/adduser* 时需要同时拥有 user 和 admin 角色,但是有时我们需要他们之间是或者的关系,这个时候我们就需要自定义对应的过滤器。
以自定角色过滤器为例
<!-- 配置shiroFilter,配置shiro的一些基本规则信息 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.html"/>
<property name="successUrl" value="/admin/main.html"/>
<property name="unauthorizedUrl" value="/unauthorized.html"/>
<property name="filterChainDefinitions">
<value>
...
/admin/userlist*=roles[user]
/admin/adduser*=roles[user,admin]
...
</value>
</property>
<property name="filters">
<map>
<entry key="perms">
<bean class="com.ogemray.shiro.MyRolesAuthorizationFilter"></bean>
</entry>
</map>
</property>
</bean>public class MyRolesAuthorizationFilter extends AuthorizationFilter {
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
Subject subject = this.getSubject(request, response);
String[] rolesArray = (String[])((String[])mappedValue);
if (rolesArray != null && rolesArray.length != 0) {
for (String role : rolesArray) {
if (subject.hasRole(role)) return true;
}
}
return false;
}
}启动web项目看下自定义过滤器有没有加进去
9.shiro注解实现权限控制
在有些方法多,但是权限分的细的地方用注解要比用配置的方案来的方便
使用注解首先要在spring-mvc.xml配置文件中加入以下配置
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>
<!-- 开启shiro的注解支持 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
<!-- 必须改为true,即使用cglib方式为Action创建代理对象。默认值为false,使用JDK创建代理对象,会造成问题 -->
<property name="proxyTargetClass" value="true"/>
</bean>
<!-- 使用shiro框架提供的切面类,用于创建代理对象 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"></property>
</bean>在spring.xml配置文件对于过滤器的配置就简单多了
没有那些繁杂的配置规则和跳转页面
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
</bean>5个权限注解
- RequiresAuthentication:当前Subject必须在当前session中已经过认证。
- RequiresGuest:当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。
- RequiresPermissions:当前Subject需要拥有某些特定的权限时,才能执行被该注解标注的方法。
- RequiresRoles:当前Subject必须拥有所有指定的角色时,才能访问被该注解标注的方法。
- RequiresUser:当前Subject必须是应用的用户,才能访问或调用被该注解标注的类,实例,方法。
上面所有要求的权限和认证没有时就会抛出对应的异常,只需在SpringMVC中写好对应的异常截获方法即可
示例
//表示需要认证
@RequiresAuthentication
//表示在需要认证的基础上要同时拥有 user 和 admin 角色
@RequiresRoles(value = {"user", "admin"})
//同上
@RequiresRoles(value = {"user", "admin"}, logical = Logical.AND)
//表示在需要认证的基础上拥有 user 或 admin 角色
@RequiresRoles(value = {"user", "admin"}, logical = Logical.OR)
java
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。