shiro
一)shiro简介
基于java的开源安全管理框架(其实就是RBAC框架),可以完成认证,授权,会话管理,加密,缓存等功能;
相同的还有Spring security,但是security依赖spring。shiro可以在java se和java ee中使用,独立性强。
记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过 相应的接口注入给 Shiro 即可。
Authentication:
身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:
授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用 户是否能做事情,常见的如:验证某个用户是否拥有某个角色。
或者细粒度的验证某个用 户对某个资源是否具有某个权限;
Session Manager:
会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信 息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
Cryptography:
加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:
Web 支持,可以非常容易的集成到 Web 环境;
Caching:
缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:
shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:
提供测试支持;
Run As:
允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:
记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录 了。
二):shiro架构
(一)从外部看架构
API:
应用代码直接交互的对象是Subject,也就是说Shiro 的对外API核心就是Subject; 其每个 API 的含义:
Subject:
主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互 的任何东西都是 Subject,如网络爬虫,机器人等;
即一个抽象概念;所有 Subject 都绑定 到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;
可以把 Subject 认 为是一个门面;SecurityManager 才是实际的执行者;
SecurityManager:
安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互; 且它管理着所有 Subject;
可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行 交互,如果学习过 SpringMVC,你可以把它看成 DispatcherServlet 前端控制器;
Realm:
域,Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager要验证用户身份,
那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作;
可以把 Realm 看成 DataSource,即安全数据源。
(二)从内部看shiro
Subject:
主体,可以看到主体可以是任何可以与应用交互的“用户”;
SecurityManager :
相 当 于 SpringMVC 中 的 DispatcherServlet 或 者 Struts2 中 的 FilterDispatcher;是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;
它管 理着所有 Subject、且负责进行认证和
授权、及会话、缓存的管理。
Authenticator:
认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的 不好,可以自定义实现;
其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
Authrizer:
授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制 着用户能访问应用中的哪些功能;
Realm:
可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的; 可以是 JDBC 实现,也可以是 LDAP 实现,或者内存实现等等;
由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己 的 Realm;
SessionManager:
如果写过 Servlet 就应该知道 Session 的概念,Session 呢需要有人去管理 它的生命周期,这个组件就是 SessionManager;
而 Shiro 并不仅仅可以用在 Web 环境,也 可以用在如普通的 JavaSE 环境、EJB 等环境;
所有呢,Shiro 就抽象了一个自己的 Session 来管理主体与应用之间交互的数据;
这样的话,比如我们在 Web 环境用,刚开始是一台 Web 服务器;接着又上了台 EJB 服务器;
这时想把两台服务器的会话数据放到一个地方, 这个时候就可以实现自己的分布式会话(如把数据放到 Memcached 服务器)
SessionDAO:
DAO 大家都用过,数据访问对象,用于会话的 CRUD,比如我们想把 Session 保存到数据库,那么可以实现自己的 SessionDAO,通过如JDBC 写到数据库;
比如想把Session到 Memcached 中,可以实现自己的 Memcached SessionDAO;另外 SessionDAO中可以使用 Cache 进行缓存,以提高性能;
CacheManager:
缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本 上很少去改变,放到缓存中后可以提高访问的性能
Cryptography:
密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密的
(三)简单的一个 Shiro 应用流程:
1、 应用代码通过 Subject 来进行认证和授权,而 Subject 又委托给 SecurityManager;
2、 我们需要给 Shiro 的 SecurityManager 注入 Realm,从而让 SecurityManager 能得到合法的用户及其权限进行判断。
Shiro 不提供维护用户/权限,而是通过 Realm 让开发人员自己注入。
二:身份验证
身份验证:
即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。
在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份:
principals:身份,
用户的身份信息,是Subject的标识属性,能够唯一标识Subject。
即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。
一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名/密码/手机号。
credentials:证明/凭证,
即只有主体知道的安全值,如密码/数字证书等。
最常见的 principals 和 credentials 组合就是用户名/密码了。
Subject:主体
Realm:验证主体的数据源。
流程:
代码实现
数据库表:
(java se *.ini为数据源)
shiro.ini
[users]
zhangsan=111
lisi=222
pom.xml <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.3</version> </dependency>
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.UnknownAccountException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下因为java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; public class AuthenticationDemo { public static void main(String[] args) { // 1.创建SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.通过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来需要验证的 // 而ini文件中存放username和pwd相当于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("li三", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } subject.logout(); } }
流程:
代码分析:
2.1、首先通过 new IniSecurityManagerFactory 并指定一个 ini 配置文件来创建一个SecurityManager 工厂;
2.2、接着获取 SecurityManager 并绑定到 SecurityUtils,这是一个全局设置,设置一次即可;
2.3、通过 SecurityUtils 得到 Subject,其会自动绑定到当前线程;如果在 web 环境在请求结束时需要解除绑定;然后获取身份验证的 Token,如用户名/密码;
2.4、调用 subject.login 方法进行登录,其会自动委托给 SecurityManager.login 方法进行登录;
2.5、如 果 身份验证失败请捕 获 AuthenticationException 或 其 子 类 , 常 见 的 如 :
DisabledAccountException(禁用的帐号)、
LockedAccountException(锁定的帐号)、
UnknownAccountException(错误的帐号)、
ExcessiveAttemptsException(登录失败次数过多)、
IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)等
对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;
2.6、最后可以调用 subject.logout 退出,其会自动委托给 SecurityManager.logout 方法退出。
从如上代码可总结出身份验证的步骤
1、收集用户身份/凭证,即如用户名/密码;
2、调用 Subject.login 进行登录,如果失败将得到相应的 AuthenticationException 异常,根据异常提示用户错误信息;否则登录成功;
3、最后调用 Subject.logout 进行退出操作。
流程如下:
1、首先调用 Subject.login(token)进行登录,其会自动委托给 Security Manager,调用之前必须通过 SecurityUtils. setSecurityManager()设置;
2、SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
3、Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
4、Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
5、Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。
(java se *.ini jdbcRalm)
<dependencies> <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>1.1.10</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.20</version> </dependency> <dependency> <groupId>com.mchange</groupId> <artifactId>mchange-commons-java</artifactId> <version>0.2.3.4</version> </dependency> </dependencies> </project>
[main]
#采用第三方JdbcRealm连接数据库
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
#实例化数据源
dataSource=com.alibaba.druid.pool.DruidDataSource
#设置参数
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/test
dataSource.username=root
dataSource.password=root
#将数据源设置到realm中
jdbcRealm.dataSource=$dataSource
jdbcRealm.permissionsLookupEnabled=true
securityManager.realms=$jdbcRealm
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.UnknownAccountException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下因为java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; public class AuthenticationDemo { public static void main(String[] args) { // 1.创建SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.通过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来需要验证的 // 而ini文件中存放username和pwd相当于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("li三", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } subject.logout(); } }
认证策略:Authentication Strategy
有三种策略:
(1)FirstSuccessfulStrategy:
只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略。
(2)AtLeatOneSuccessfulStrategy:
只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,将返回所有Realm身份校验成功的认证信息。
(3)AllSuccessfulStrategy:
所有Realm验证成功才算成功,且返回所有Realm身份认证成功的认证信息,如果有一个失败就失败了。
ModularRealmAuthenticator默认是AtLeatOneSuccessfulStrategy
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.xpl</groupId> <artifactId>shiroDemo</artifactId> <version>1.0-SNAPSHOT</version> <dependencies> <dependency> <groupId>commons-beanutils</groupId> <artifactId>commons-beanutils</artifactId> <version>1.9.2</version> </dependency> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.2</version> </dependency> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.10</version> </dependency> <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>1.7.7</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-log4j12</artifactId> <version>1.7.5</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>1.1.10</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.20</version> </dependency> <dependency> <groupId>com.mchange</groupId> <artifactId>mchange-commons-java</artifactId> <version>0.2.3.4</version> </dependency> </dependencies> </project>
[main]
#采用第三方JdbcRealm连接数据库
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
#实例化数据源
dataSource=com.alibaba.druid.pool.DruidDataSource
#设置参数
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/test
dataSource.username=root
dataSource.password=root
#将数据源设置到realm中
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm
#设置验证器(验证策略)
authenticationStrategy= org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$authenticationStrategy
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.UnknownAccountException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下因为java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; public class AuthenticationDemo { public static void main(String[] args) { // 1.创建SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.通过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来需要验证的 // 而ini文件中存放username和pwd相当于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("li三", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } subject.logout(); } }
自定义Readlm
jdbcRealm已经实现从数据库中获取用户信息并验证的能力,但其灵活性差,如果需要实现特殊需求时将不能支持,此时可通过自定义Realm来实现身份认证;
Realm是一个接口,其中定义了根据token获取认证信息的方法。比如:AuthenticatingRealm实现了获取身份信息的功能,AuthorizingRealm实现了获取权限i信息的功能。
自定义Realm需要继承AuthorizingRealm,这样既提供了身份认证的自定义方法,也可以实现授权的自定义方法;
package com.xpl; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; public class AuthenticationDemo extends AuthorizingRealm { @Override public String getName() { return "myRealm"; } //授权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } //验证 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取输入的用户名 String username = (String) token.getPrincipal(); // 这里省略根据上边获取的用户名查询数据库步骤而直接使用变量模拟 String pwd="admin"; // 将用户信息封装到simpleAuthenticationInfo中并返回 SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, pwd, getName()); return simpleAuthenticationInfo; } }
[main]
#这个名字无所谓随便起
myrealm= com.xpl.AuthenticationDemo
securityManager.realm=$myrealm
三:授权
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。
在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
主体
主体,即访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。
资源
在应用中用户可以访问的任何东西,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
权限
安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:
访问用户列表页面
查看/新增/修改/删除用户数据(即很多时候都是 CRUD(增查改删)式权限控制)
打印文档等等。。。
如上可以看出,权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许,不反映谁去执行这个操作。所以后续还需要把权限赋予给用户,即定义哪个用户
允许在某个资源上做什么操作(权限),Shiro 不会去做这件事情,而是由实现人员提供。
Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的),后续部分介绍。
角色
角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术
总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。
隐式角色:
即直接通过角色来验证用户有没有操作权限,如在应用中 CTO、技术总监、开发工程师可以使用打印机,假设某天不允许开发工程师使用打印机,此时需要从应用中删除相
应代码;再如在应用中 CTO、技术总监可以查看用户、查看权限;突然有一天不允许技术总监查看用户、查看权限了,需要在相关代码中把技术总监角色从判断逻辑中删除
掉;即粒度是以角色为单位进行访问控制的,粒度较粗;如果进行修改可能造成多处代码修改。
显示角色:
在程序中通过权限控制谁能访问某个资源,角色聚合一组权限集合;这样假设哪个角色不能访问某个资源,只需要从角色代表的权限集合中移除即可;无须修改多处代码;
即粒度是以资源/实例为单位的;粒度较细。
请 google 搜索“RBAC”和“RBAC 新解”分别了解“基于角色的访问控制”“基于资源的访问控制(Resource-Based Access Control)”。
基于角色的访问控制(隐式角色)
[users]
zhangsan=admin,role1
lisi=admin,role2
[rolers]
roler1=user:add
roler2=user:*
roler3=user:update,user:delete
package com.xpl; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.util.ByteSource; public class AuthenticationDemo extends AuthorizingRealm { @Override public String getName() { return "myRealm"; } //授权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } //验证 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取输入的用户名 String username = (String) token.getPrincipal(); // 这里省略根据上边获取的用户名查询数据库步骤而直接使用变量模拟 System.out.println(username); String pwd="admin"; String salt="xpl"; // 将用户信息封装到simpleAuthenticationInfo中并返回 SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, pwd, getName()); return simpleAuthenticationInfo; } }
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.authz.UnauthorizedException; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下因为java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; import org.junit.Assert; import java.sql.SQLOutput; import java.util.ArrayList; import java.util.Arrays; import java.util.List; public class Test { public static void main(String[] args) { // 1.创建SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.通过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来需要验证的 // 而ini文件中存放username和pwd相当于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } try { // 此基于角色的访问控制(即隐式角色) // 基于角色的两种方式:区别在于checkRole会抛出异常而hasRole不会 // //判断拥有角色:role1 // Assert.assertTrue(subject.hasRole("role1")); // //判断拥有角色:role1 and role2 // Assert.assertTrue(subject.hasAllRoles(Arrays.asList("role1", "role2"))); // //判断拥有角色:role1 and role2 and !role3 // boolean[] result = subject.hasRoles(Arrays.asList("role1", "role2", "role3")); // Assert.assertEquals(true, result[0]); // Assert.assertEquals(true, result[1]); // Assert.assertEquals(false, result[2]); //断言拥有角色:role1 // subject().checkRole("role1"); //断言拥有角色:role1 and role3 失败抛出异常 // subject().checkRoles("role1", "role3"); }catch (UnauthorizedException e){ System.out.println("授权失败!!!"); } // subject.logout(); } }
这种方式的缺点就是如果很多地方进行了角色判断,但是有一天不需要了那么就需要修改相应代码把所有相关的地方进行删除;这就是粗粒度造成的问题。
基于资源的访问控制(显示角色)
package com.xpl; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.util.ByteSource; public class AuthenticationDemo extends AuthorizingRealm { @Override public String getName() { return "myRealm"; } //授权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } //验证 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取输入的用户名 String username = (String) token.getPrincipal(); // 这里省略根据上边获取的用户名查询数据库步骤而直接使用变量模拟 System.out.println(username); String pwd="admin"; String salt="xpl"; // 将用户信息封装到simpleAuthenticationInfo中并返回 SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, pwd, getName()); return simpleAuthenticationInfo; } }
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.authz.UnauthorizedException; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下因为java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; import org.junit.Assert; import java.sql.SQLOutput; import java.util.ArrayList; import java.util.Arrays; import java.util.List; public class Test { public static void main(String[] args) { // 1.创建SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.通过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来需要验证的 // 而ini文件中存放username和pwd相当于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } try { // 此基于资源的访问控制(即显示角色) //判断拥有权限:user:create Assert.assertTrue(subject.isPermitted("user:create")); //判断拥有权限:user:update and user:delete Assert.assertTrue(subject.isPermittedAll("user:update", "user:delete")); //判断没有权限:user:view Assert.assertFalse(subject.isPermitted("user:view")); //断言拥有权限:user:create subject.checkPermission("user:create"); //断言拥有权限:user:delete and user:update subject.checkPermissions("user:delete", "user:update"); //断言拥有权限:user:view 失败抛出异常 subject.checkPermissions("user:view"); }catch (UnauthorizedException e){ System.out.println("授权失败!!!"); } // subject.logout(); } }
也可以叫基于权限的访问控制,这种方式的一般规则是“资源标识符:操作”,即是资源级别的粒度;这种方式的好处就是如果要修改基本都是一个资源级别的修改,不会对其他模块代码产生影响,粒度小。但是实
现起来可能稍微复杂点,需要维护“用户——角色,角色——权限(资源:操作)”之间的关系。
四:ini配置
五:编码/加密
在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。
编码/解码
Shiro 提供了 base64 和 16 进制字符串编码/解码的 API 支持,方便一些编码解码操作。Shiro内部的一些数据的存储/表示都使用了 base64 和 16 进制字符串。
↓base64 编码/解码操作
String str = "hello"; String base64Encoded = Base64.encodeToString(str.getBytes()); String str2 = Base64.decodeToString(base64Encoded); Assert.assertEquals(str, str2);
↓16 进制字符串编码/解码操作
String str = "hello"; String base64Encoded = Hex.encodeToString(str.getBytes()); String str2 = new String(Hex.decode(base64Encoded.getBytes())); Assert.assertEquals(str, str2);
还有一个可能经常用到的类 CodecSupport,提供了 toBytes(str, "utf-8") / toString(bytes, "utf-8")用于在 byte 数组/String 之间转换。
散列算法
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如 MD5、SHA 等。一般进行散列时最好提供一个 salt(盐),比如加
密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些 md5 解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相对来说破
解更容易,此时我们可以加一些只有系统知道的干扰数据,如用户名和 ID(即盐);这样散列的对象是“密码+用户名+ID”,这样生成的散列值相对来说更难破解。
[main]
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
credentialsMatcher.hashAlgorithmName=md5
credentialsMatcher.hashIterations=1
#这个名字无所谓随便起
myrealm= com.xpl.AuthenticationDemo
myrealm.credentialsMatcher=$credentialsMatcher
securityManager.realm=$myrealm
package com.xpl; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.util.ByteSource; public class AuthenticationDemo extends AuthorizingRealm { @Override public String getName() { return "myRealm"; } //授权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } //验证 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取输入的用户名 String username = (String) token.getPrincipal(); // 这里省略根据上边获取的用户名查询数据库步骤而直接使用变量模拟 System.out.println(username); String pwd="a092bbb2935adc0661da625dd17ad2a5"; String salt="xpl"; // 将用户信息封装到simpleAuthenticationInfo中并返回 SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, pwd, ByteSource.Util.bytes(salt), getName()); return simpleAuthenticationInfo; } }
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下因为java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; public class Test { public static void main(String[] args) { // 1.创建SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.通过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来需要验证的 // 而ini文件中存放username和pwd相当于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("li三", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } subject.logout(); } }
六:Realm及相关对象
七:集成Web
八:拦截器机制
九:JSP标签
十:会话管理
十一:缓存机制
十二:与Spring整合
十三:RememberMe
十四:SSL
十五:单点登录
十六:综合实例
十七:OAuth2集成
十八:并发登录人数控制
十九动态URL权限控制
二十:无状态Web应用集成
二十一:授予身份及切换身份
二十二:集成验证码
二十三:多项目集中权限管理及分布式会话
二十四:在线会话管理
