Security - 轻量级Java身份认证、访问控制安全框架
前言
此框架由小菜独立开发,并且已经在生产环境中运行大约一年时间。
也就是说,Security 框架写出来有一段时间了,但是一直没有公布、开源,经过不断迭代完善,终于算是拿得出手啦~
Security 框架存在的意义并不是为了替代 Shiro 或 Spring Security ,而且提供另一种选择。
当读者因为现有安全框架的复杂繁琐而苦恼时,为什么不尝试一下 Security 呢?
请原谅小菜在本文直接照搬 GitHub 的 README,以后小菜会陆续完善使用教程和相关 Demo ,敬请关注~
最后希望读者能给出宝贵意见、及时反馈问题,来帮助小菜继续完善框架。
README
简介
本框架基于Spring MVC
开发,是一款轻量级的安全认证框架。
抛弃Shiro
、Spring Security
等安全框架繁琐的配置,改为注解实现权限管理,配合Spring MVC
的RequestMapping
注解,完美实现细粒度的权限控制。
本框架以Redis
作为持久化数据库,Ehcache
作为内存级缓存,满足高性能需求。
本框架删繁就简,以角色作为权限认证的唯一标准,并非传统的RBAC
权限模型,在这里没有权限的概念,只有角色,角色就是权限,权限就是角色,因此本框架适合应用于互联网项目,尤其适合前后端分离模式下的后端接口。
特性
- 高性能(设计简洁、内置缓存)
- 基于注解
- 安全的密码加密机制
- 灵活的配置项
- 易于集成、扩展
- Session共享
- 分布式部署
- 实现匿名认证、基础的登陆认证、基于角色的权限管理、基于范围表达式的权限管理、HTTP Basic Authentication
- 并发登录控制
- 基础的在线会话管理
- 验证码框架封装
- 第三方登录集成
主要依赖
- Spring MVC,基础依赖
- Httpclient,第三方登陆依赖
- FastJson,序列化依赖
- Ehcache,缓存依赖
- Redis,持久化依赖
集成
添加Maven项目依赖
<!-- security frame work --> <dependency> <groupId>org.yangyuan</groupId> <artifactId>security</artifactId> <version>0.0.1</version> </dependency>
与Spring MVC集成
<!-- 扫描spring注解 --> <context:component-scan base-package="com.yourself, org.yangyuan.security" /> <!-- 身份认证拦截器 --> <mvc:interceptors> <bean class="org.yangyuan.security.servlet.SecurityInterceptor"></bean> </mvc:interceptors>
添加配置文件
将本项目中的security.properties
文件拷贝到真实项目resources
根目录下,与log4j.properties
位置相同,即保证编译后这个文件在classes
目录下。
security.properties说明
#Session有效期 #这是一个相对值,相对于用户最后一次访问的时间 #也就是说,只有当用户超过此时间不活跃,Session才会失效 #单位秒(s) session.expiresMilliseconds=2592000000 #是否启用Session垃圾回收器 session.gc.open=true #Session垃圾回收器Lua脚本 session.gc.script=for i=48,83,1 do local partition if(i > 57) then partition = string.char(i + 39) else partition = string.char(i) end local setkey = 'security:session:set:'..partition local principals = redis.call('ZRANGEBYSCORE', setkey, '-inf', ARGV[1]) redis.call('ZREMRANGEBYSCORE', setkey, '-inf', ARGV[1]) if(principals and (table.maxn(principals) > 0)) then for ii,vv in ipairs(principals) do local hashkey = 'security:session:hash:'..partition redis.call('HDEL', hashkey, vv) end end end #Session垃圾回收器执行时间间隔 #单位秒(s) session.gc.gcDelaySecond=86400 #cookie名称 cookie.name=sid #cookie域名 cookie.domain=.cospace.xyz #cookie路径 cookie.path=/ #此配置为true时,cookie无法通过js脚本操作 cookie.http_only=true #是否启用HTTPS cookie.secure=true #cookie有效期,一般不需要改动,目前设置的是最大值,相当于永不过期 #因为cookie的生命周期由服务器端维护,所以客户端不需要关心过期时间 cookie.max_age=315360000 #Redis客户端连接工厂 #负责提供Redis客户端连接 common.redisResourceFactory=cc.cospace.web.security.dao.DefaultRedisResourceFactory #安全管理器实现 core.securityManager=org.yangyuan.security.core.DefaultSecurityManager #安全唯一标识生成器实现 core.principalFactory=org.yangyuan.security.core.DefaultPrincipalFactory #缓存管理器实现 core.cacheManager=org.yangyuan.security.core.DefaultCacheManager #是否复用客户端subject #如果设为true,客户端登陆时如果携带有subject信息,那么复用此subject,不再创建新的subject #如果设为false,则登录时忽略客户端携带的subject信息,总是创建新的subject core.useClientSubjectLogin=false #并发主题控制器 #[org.yangyuan.security.core.MultiportConcurrentSubjectControl]允许同一个账号同时在不同客户端登陆 #[org.yangyuan.security.core.SingleConcurrentSubjectControl]同一个账号同一时刻只能在一个客户端登陆,如果之前在其他客户端登陆过,那么之前的登陆将失效 #[org.yangyuan.security.core.RefuseConcurrentSubjectControl]同一个账号同一时刻只能在一个客户端登陆,如果之前在其他客户端登陆过,那么本次登陆将会失败,除非其他客户端主动退出登陆 core.concurrentSubjectControl=org.yangyuan.security.core.MultiportConcurrentSubjectControl #认证回调 #此处理器用来响应认证结果(成功、失败、拒绝访问) #具体的响应依赖于具体的业务,框架只负责通知认证结果 core.securityAuthHandler=cc.cospace.web.security.core.DefaultSecurityAuthHandler #ehcache缓存数据访问层(缓存层) dao.ehcacheSessionDao=org.yangyuan.security.dao.EhcacheSessionDao #redis数据访问层(持久化层) dao.redisSessionDao=org.yangyuan.security.dao.RedisSessionDao #持久化数据源(用户名密码模式) dao.jdbcRealm=org.yangyuan.security.realm.jdbc.JdbcRealm #第三方数据源 dao.remoteRealm=org.yangyuan.security.realm.remote.RemoteRealm #本地认证数据访问层(用户名密码模式) dao.jdbcSessionDao=org.yangyuan.security.dao.JdbcSessionDao #第三方登录认证数据访问层 dao.remoteSessionDao=org.yangyuan.security.dao.RemoteSessionDao #用户名密码模式登录适配器 #此适配器实现安全认证与具体项目用户数据存储之间的解耦 dao.jdbcRealmAdaptor=userService #第三方登录适配器 #此适配器实现安全认证与具体项目用户数据存储之间的解耦 dao.remoteRealmAdaptor=userService #cache在内存中最多可以存放的元素的数量。 #0表示没有限制。 #如果放入cache中的元素超过这个数值,有两种可能: #1、若overflowToDisk的属性值为true,会将cache中多出的元素放入磁盘文件中。 #2、若overflowToDisk的属性值为false,会根据memoryStoreEvictionPolicy的策略替换cache中原有的元素。 cache.maxElementsInMemory=10000 #缓存是否永驻内存。 #如果值是true,cache中的元素将一直保存在内存中,不会因为时间超时而丢失。 #因此在这个值为true的时候,timeToIdleSeconds和timeToLiveSeconds两个属性的值就不起作用了。 cache.eternal=false #内存中的元素数量溢出是否写入磁盘。 #系统会根据标签<diskStore path="java.io.tmpdir"/>中path的值查找对应的属性值。 #如果系统的java.io.tmpdir的值是/temp,写入磁盘的文件就会放在这个文件夹下,文件的名称是cache的名称,后缀名为data。 cache.overflowToDisk=false #是否持久化内存中的缓存到磁盘。 #当这个属性的值为true时,系统在初始化的时候会在磁盘中查找文件名为cache名称,后缀名为index的的文件,如CACHE_FUNC.index。 #这个文件中存放了已经持久化在磁盘中的cache的index,找到后把cache加载到内存。 cache.diskPersistent=false #访问cache中元素的最大间隔时间。 #如果超过此时间cache中的某个元素没有任何访问,那么这个元素将被从cache中清除。 cache.timeToIdleSeconds=900 #cache中元素的总生存时间,cache中的某个元素从创建到消亡的时间。 #从创建开始计时,当超过这个时间,这个元素将被从cache中清除,即便是这个元素被频繁访问。 cache.timeToLiveSeconds=7200 #内存存储与释放清理策略 #LRU最近最少使用 #LFU历史访问频率最低 #FIFO先进先出 cache.memoryStoreEvictionPolicy=LRU #普通验证码有效期 #单位s captcha.normal.expireSecond=900 #普通验证码多次发送最短时间间隔 #单位s captcha.normal.minIntervalSecond=50 #图形验证码有效期 #单位s captcha.image.expireSecond=600 #图形验证码错误统计周期 #单位s captcha.image.wrongPeriodSecond=60 #图形验证码统计周期内允许最大错误次数 captcha.image.periodMaxWrongCount=3
具体业务类实现
- common.redisResourceFactory,为框架提供Redis连接,实现
RedisResourceFactory
接口。 - core.securityAuthHandler,自定义认证结果行为,用来处理认证成功、未登录、权限不足的具体业务,实现
SecurityAuthHandler
接口。 - dao.jdbcRealmAdaptor,提供用户名/密码登陆模式必要的数据,具体出参入参参考源码注释,实现
JdbcRealmAdaptor
接口。 - dao.remoteRealmAdaptor,提供第三方登陆模式必要的数据,具体出参入参参考源码注释,实现
RemoteRealmAdaptor
接口。
security.properties
文件中配置的所有类型,可以配置成完整类名(包名+类名),也可以配置成spring IOC
中的Bean
名称,根据业务情况自由选择。
一般来讲,除非需要自己扩展框架,否则只需要实现具体业务类,然后修改一下cookie相关配置即可,其他配置项均可使用默认配置。
验证码模块使用介绍
验证码模块只实现了公共逻辑,并没有实现具体的发送逻辑,目的是留给使用者更多的操作空间,使得框架具有更强的适应性。
如果需要使用验证码模块,最佳实践如下:
- 如果需要使用手机短信、邮箱邮件验证码,则定义一个抽象类,假设名称为
AbstractPhoneEmailSecurityCaptchaService
,继承模块中的AbstractPhoneEmailSecurityCaptcha
,实现newCode
、sendToPhone
、sendToEmail
方法,这三个方法是公共方法,但必须交给使用者实现,因为不同的项目发送短信、邮件的方式不尽相同,生成验证码的规则也不尽相同。然后在项目中以AbstractPhoneEmailSecurityCaptchaService
为基础,派生出具体的业务类,比如发送注册验证码的业务类RegisterCaptchaService
,继承AbstractPhoneEmailSecurityCaptchaService
,然后实现name
、title
、content
方法即可。 - 如果需要使用图形验证码,则定义一个抽象类,假设名称为
AbstractSecurityImageCaptchaService
,继承模块中的AbstractSecurityImageCaptcha
,实现newCode
方法,生成的验证码取决于实际项目中图形生成器的能力,避免生成无法被图形生成器识别的字符,当然,图形生成器您自己实现,看着办。然后在项目中以AbstractSecurityImageCaptchaService
为基础,派生出具体的业务类,比如登陆图形验证码的业务类LoginImageCaptchaService
,继承AbstractSecurityImageCaptchaService
,然后实现name
方法即可。
通过以上描述可以看出,验证码模块只是封装了繁琐的验证码发送标记、验证等操作,并不干预具体的发送实现。
使用者封装好适合自己的抽象基类后,不论任何业务,只需要继承抽象基类即可轻松实现,并天然实现业务之间的隔离。
总结一下,使用者只需要关注发送手机短信、发送邮件、生成验证码文本、生成验证码图片具体实现,然后根据具体业务设定好验证码标题、验证码内容、业务名称(用来隔离业务)即可。
使用
经过前期配置之后,使用就非常简单了!
只需要在Controller
层使用Security
注解即可,Security
注解具体使用方法请参考源码注释。
本框架只关注角色认证,而不关注角色的存储、定义,彻底实现安全认证框架与实际项目之间的解耦。
在定义角色名称时,不应该出现框架已经占用的关键字,包括:[
、]
、{
、}
、>
、<
、,
、:
,否则会引起冲突。
GitHub 项目地址