简介 Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其基本功能点如下图所示:
Authentication :身份认证 / 登录,验证用户是不是拥有相应的身份;
Authorization :授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager :会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
Cryptography :加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support :Web 支持,可以非常容易的集成到 Web 环境;
Caching :缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
Concurrency :shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing :提供测试支持;
Run As :允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me :记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给 Shiro 即可。
接下来我们分别从外部和内部来看看 Shiro 的架构,对于一个好的框架,从外部来看应该具有非常简单易于使用的 API,且 API 契约明确;从内部来看的话,其应该有一个可扩展的架构,即非常容易插入用户自定义实现,因为任何框架都不能满足所有需求。
Subject :主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面;SecurityManager 才是实际的执行者;
SecurityManager :安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行交互,如果学习过 SpringMVC,你可以把它看成 DispatcherServlet 前端控制器;
Realm :域,Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。
也就是说对于我们而言,最简单的一个 Shiro 应用:
应用代码通过 Subject 来进行认证和授权,而 Subject 又委托给 SecurityManager;
我们需要给 Shiro 的 SecurityManager 注入 Realm,从而让 SecurityManager 能得到合法的用户及其权限进行判断。
从以上也可以看出,Shiro 不提供维护用户 / 权限,而是通过 Realm 让开发人员自己注入。
Subject :主体,可以看到主体可以是任何可以与应用交互的 “用户”;
SecurityManager :相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher;是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
Authenticator :认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
Authrizer :授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
Realm :可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是 JDBC 实现,也可以是 LDAP 实现,或者内存实现等等;由用户提供;注意:Shiro 不知道你的用户 / 权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的 Realm;
SessionManager :如果写过 Servlet 就应该知道 Session 的概念,Session 呢需要有人去管理它的生命周期,这个组件就是 SessionManager;而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境、EJB 等环境;所有呢,Shiro 就抽象了一个自己的 Session 来管理主体与应用之间交互的数据;这样的话,比如我们在 Web 环境用,刚开始是一台 Web 服务器;接着又上了台 EJB 服务器;这时想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到 Memcached 服务器);
SessionDAO :DAO 大家都用过,数据访问对象,用于会话的 CRUD,比如我们想把 Session 保存到数据库,那么可以实现自己的 SessionDAO,通过如 JDBC 写到数据库;比如想把 Session 放到 Memcached 中,可以实现自己的 Memcached SessionDAO;另外 SessionDAO 中可以使用 Cache 进行缓存,以提高性能;
CacheManager :缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能
Cryptography :密码模块,Shiro 提高了一些常见的加密组件用于如密码加密 / 解密的。
10分钟快速入门 ##环境准备
首先准备Maven环境依赖:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version> </dependency> <!-- configure logging --> <dependency> <groupId>org.slf4j</groupId> <artifactId>jcl-over-slf4j</artifactId> <scope>runtime</scope> <version>1.7.21</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-log4j12</artifactId> <scope>runtime</scope> <version>1.7.21</version> </dependency> <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> </dependencies>
##登录 / 退出
1、首先准备一些用户身份 / 凭据(shiro.ini)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 [users] # user 'root' with password 'secret' and the 'admin' role root = secret, admin # user 'guest' with the password 'guest' and the 'guest' role guest = guest, guest # user 'presidentskroob' with password '12345' ("That's the same combination on # my luggage!!!" ;)), and role 'president' presidentskroob = 12345, president # user 'darkhelmet' with password 'ludicrousspeed' and roles 'darklord' and 'schwartz' darkhelmet = ludicrousspeed, darklord, schwartz # user 'lonestarr' with password 'vespa' and roles 'goodguy' and 'schwartz' lonestarr = vespa, goodguy, schwartz # ----------------------------------------------------------------------------- # Roles with assigned permissions # # Each line conforms to the format defined in the # org.apache.shiro.realm.text.TextConfigurationRealm#setRoleDefinitions JavaDoc # ----------------------------------------------------------------------------- [roles] # 'admin' role has all permissions, indicated by the wildcard '*' admin = * # The 'schwartz' role can do anything (*) with any lightsaber: schwartz = lightsaber:* # The 'goodguy' role is allowed to 'drive' (action) the winnebago (type) with # license plate 'eagle5' (instance specific id) goodguy = winnebago:drive:eagle5
log4j.properties
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 log4j.rootLogger=INFO, stdout log4j.appender.stdout=org.apache.log4j.ConsoleAppender log4j.appender.stdout.layout=org.apache.log4j.PatternLayout log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n # General Apache libraries log4j.logger.org.apache=WARN # Spring log4j.logger.org.springframework=WARN # Default Shiro logging log4j.logger.org.apache.shiro=INFO # Disable verbose logging log4j.logger.org.apache.shiro.util.ThreadContext=WARN log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN
测试用例 Quickstart.java
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 public class Quickstart { private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class); public static void main(String[] args) { //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); SecurityManager securityManager = factory.getInstance(); //2、得到SecurityManager实例 并绑定给SecurityUtils SecurityUtils.setSecurityManager(securityManager); //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证) Subject currentUser = SecurityUtils.getSubject(); //通过当前用户拿到session Session session = currentUser.getSession(); session.setAttribute("someKey", "aValue"); String value = (String) session.getAttribute("someKey"); if (value.equals("aValue")) { log.info("Retrieved the correct value! [" + value + "]"); } //判断当前用户是否被认证 if (!currentUser.isAuthenticated()) { //令牌 token UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa"); token.setRememberMe(true); try { //4、登录,即身份验证 currentUser.login(token); } catch (UnknownAccountException uae) { //5、身份验证失败 log.info("There is no user with username of " + token.getPrincipal()); } catch (IncorrectCredentialsException ice) { log.info("Password for account " + token.getPrincipal() + " was incorrect!"); } catch (LockedAccountException lae) { log.info("The account for username " + token.getPrincipal() + " is locked. " + "Please contact your administrator to unlock it."); } // ... catch more exceptions here (maybe custom ones specific to your application? catch (AuthenticationException ae) { //unexpected condition? error? } } //say who they are: //print their identifying principal (in this case, a username): log.info("User [" + currentUser.getPrincipal() + "] logged in successfully."); //test a role: 测试角色 if (currentUser.hasRole("schwartz")) { log.info("May the Schwartz be with you!"); } else { log.info("Hello, mere mortal."); } //权限 //test a typed permission (not instance-level) if (currentUser.isPermitted("lightsaber:wield")) { log.info("You may use a lightsaber ring. Use it wisely."); } else { log.info("Sorry, lightsaber rings are for schwartz masters only."); } //a (very powerful) Instance Level permission: if (currentUser.isPermitted("winnebago:drive:eagle5")) { log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'. " + "Here are the keys - have fun!"); } else { log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!"); } //6、退出 //all done - log out! currentUser.logout(); System.exit(0); } }
首先通过 new IniSecurityManagerFactory 并指定一个 ini 配置文件来创建一个 SecurityManager 工厂;
接着获取 SecurityManager 并绑定到SecurityUtils,这是一个全局设置,设置一次即可;
通过 SecurityUtils 得到Subject,其会自动绑定到当前线程;如果在 web 环境在请求结束时需要解除绑定;然后获取身份验证的 Token,如用户名 / 密码;
调用 subject.login 方法进行登录,其会自动委托给 SecurityManager.login 方法进行登录;
如果身份验证失败请捕获 AuthenticationException 或其子类,常见的如: DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如 “用户名 / 密码错误” 而不是 “用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;
最后可以调用 subject.logout 退出,其会自动委托给 SecurityManager.logout 方法退出。
从如上代码可总结出身份验证的步骤:
收集用户身份 / 凭证,即如用户名 / 密码;
调用 Subject.login 进行登录,如果失败将得到相应的 AuthenticationException 异常,根据异常提示用户错误信息;否则登录成功;
最后调用 Subject.logout 进行退出操作。
Shiro 身份认证和授权 ##Shiro 身份验证
###身份验证
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。
在shiro 中,用户需要提供principals (身份)和 credentials(证明)给shiro,从而应用能验证用户身份:
principals: 身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名 / 密码 / 手机号。
credentials: 证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等。
最常见的 principals 和 credentials 组合就是用户名 / 密码了。接下来先进行一个基本的身份认证。
另外两个相关的概念是之前提到的 Subject 及 Realm,分别是主体及验证主体的数据源。
身份认证流程
流程如下:
首先调用 Subject.login(token) 进行登录,其会自动委托给 Security Manager,调用之前必须通过 SecurityUtils.setSecurityManager() 设置;
SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回 / 抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。
##Realm
Realm: 域,Shiro 从Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。
Shiro 默认提供的 Realm
般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了CachingRealm(带有缓存实现)。其中主要默认实现如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 public class UserRealm extends AuthorizingRealm { @Autowired private UserService userService; //授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { System.out.println("执行了==>授权doGetAuthorizationInfo"); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); //info.addStringPermission("user:add"); //拿到当前登录的对象 Subject subject = SecurityUtils.getSubject(); User userPrincipal = (User) subject.getPrincipal(); //拿到User对象 info.addStringPermission(userPrincipal.getPerms()); //设置当前用户的权限 subject.logout(); return info; } //认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { System.out.println("执行了==>认证doGetAuthenticationInfo"); //用户名, 密码 数据库中取 // String name = "root"; // String pwd = "123456"; UsernamePasswordToken userToken = (UsernamePasswordToken)token; //连接数据库 User user = userService.findUserById(userToken.getUsername()); if (user==null){ return null; } //MD5加密: //密码认证,shiro //用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: return new SimpleAuthenticationInfo(user,user.getPassword(),""); } }
Springboot整合Shiro ##pom
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 <dependencies> <!--数据库驱动,连接真实数据库--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency> <!--数据源--> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>1.1.10</version> </dependency> <!--mybatis--> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.2</version> </dependency> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <version>1.16.20</version> </dependency> <!-- Subject 用户 SecurityManager 管理所有用户 Realm 连接数据 --> <!--Shiro start--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency> <!--Shiro end--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> <exclusions> <exclusion> <groupId>org.junit.vintage</groupId> <artifactId>junit-vintage-engine</artifactId> </exclusion> </exclusions> </dependency> </dependencies>
##application.yml
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 spring: thymeleaf: cache: false datasource: url: jdbc:mysql://localhost:3306/dbshiro?useUnicode=true&characterEncoding=utf-8&useSSL=false username: root password: 123456 type: com.alibaba.druid.pool.DruidDataSource initial-size: 1 min-idle: 1 max-active: 20 test-on-borrow: true # MySQL 8.x: com.mysql.cj.jdbc.Driver driver-class-name: com.mysql.jdbc.Driver mybatis: type-aliases-package: cn.panyucable.shrio_springboot.entity mapper-locations: classpath:mapper/*.xml server: port: 9090
##启动类
1 2 3 4 5 6 7 8 @SpringBootApplication() public class ShrioSpringbootApplication { public static void main(String[] args) { SpringApplication.run(ShrioSpringbootApplication.class, args); } }
##业务操作
###entity
1 2 3 4 5 6 7 8 9 @Data @AllArgsConstructor @NoArgsConstructor public class User implements Serializable { private Long id; private String username; private String password; private String perms; }
###mapper
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 UserMapper.java @Repository @Mapper public interface UserMapper { User findUserById(String username); } UserMapper.xml <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="cn.panyucable.shrio_springboot.mapper.UserMapper"> <select id="findUserById" resultType="User"> select * from dbshiro.user where username=#{username}; </select> </mapper>
###Service
1 2 3 4 5 6 7 8 9 10 11 12 13 14 public interface UserService { User findUserById(String username); } @Service public class UserServiceImpl implements UserService{ @Autowired private UserMapper userMapper; @Override public User findUserById(String username) { return userMapper.findUserById(username); } }
###Controller
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 @Controller public class IndexController { @Autowired private UserService userService; @GetMapping({"/","/index"}) public String index(Model model){ model.addAttribute("msg","Shrio Hello world!"); return "index"; } @GetMapping("/user/add") public String add(Model model){ return "user/add"; } @GetMapping("/logout") public String logout(Model model){ Subject currentUser = SecurityUtils.getSubject(); System.out.println(currentUser.getPrincipal()); currentUser.logout(); return "index"; } @GetMapping("/user/update") public String update(Model model){ return "user/update"; } @GetMapping("/tologin") public String tologin(Model model){ return "login"; } @PostMapping("/login") public String login(String username ,String password,Model model){ //获取当前用户 Subject subject = SecurityUtils.getSubject(); //封装用户的登录数据 UsernamePasswordToken token = new UsernamePasswordToken(username,password); try{ subject.login(token);//执行登录方法.如果没有异常就说明成功了 return "index"; }catch (UnknownAccountException e){//用户名不存在 model.addAttribute("msg","用户名错误"); return "login"; }catch (IncorrectCredentialsException e){//密码不存在 model.addAttribute("msg","用户名错误"); return "login"; } } @GetMapping("/uazd") @ResponseBody public String Unauthorized(Model model){ return "未授权"; } }
Config 首先要配置的是 ShiroConfig 类,Apache Shiro 核心通过 Filter 来实现,就好像 SpringMvc 通过 DispachServlet 来主控制一样。 既然是使用 Filter 一般也就能猜到,是通过 URL 规则来进行过滤和权限校验,所以我们需要定义一系列关于 URL 的规则和访问权限。
容器启动@Configuration注解下的类会被加载到spring容器中,完成初始化操作如下:
Realm:获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份DefaultWebSecurityManager: 关联UserRealm,defaultWebSecurityManager.setRealm(userRealm);ShiroFilterFactoryBean: 设置安全管理器,添加shiro的内置过滤器
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 @Configuration public class ShiroConfig { //ShiroFilterFatoryBean @Bean public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){ ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean(); //设置安全管理器 bean.setSecurityManager(defaultWebSecurityManager); //添加shiro的内置过滤器 /* anon:无需认证就可以访问 authc:必须认证了才能访问 user:必须拥有记住我 功能才能用 perms: 拥有对某个资源的权限才能访问 role: 拥有某个角色权限才能访问 * */ //登录拦截 Map<String, String> filterMap = new LinkedHashMap<>(); // filterMap.put("/user/*","authc"); //授权,正常的情况下,没有授权会跳转到未授权页面 filterMap.put("/user/add","perms[user:add]"); filterMap.put("/user/update","perms[user:update]"); bean.setFilterChainDefinitionMap(filterMap); //添加未认证访问 bean.setLoginUrl("/tologin"); //添加未授权访问 bean.setUnauthorizedUrl("/uazd"); return bean; } //DefaultWebSecurityManager:2 @Bean public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){ DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager(); //关联UserRealm defaultWebSecurityManager.setRealm(userRealm); return defaultWebSecurityManager; } //创建realm对象 需要自定义类:1 @Bean public UserRealm userRealm(){ return new UserRealm(); } }
Filter Chain 定义说明:
一个URL可以配置多个 Filter,使用逗号分隔
当设置多个过滤器时,全部验证通过,才视为通过
部分过滤器可指定参数,如 perms,roles
Realm Realm: 域,Shiro 从Realm获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限 进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。可以说,Realm 是专用于安全框架的DAO.
Shiro 默认提供的 Realm
一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了CachingRealm(带有缓存实现)。其中主要默认实现如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 public class UserRealm extends AuthorizingRealm { @Autowired private UserService userService; //授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { System.out.println("执行了==>授权doGetAuthorizationInfo"); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); //info.addStringPermission("user:add"); //拿到当前登录的对象 Subject subject = SecurityUtils.getSubject(); User userPrincipal = (User) subject.getPrincipal(); //拿到User对象 info.addStringPermission(userPrincipal.getPerms()); //设置当前用户的权限 return info; } //认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { System.out.println("执行了==>认证doGetAuthenticationInfo"); //用户名, 密码 数据库中取 // String name = "root"; // String pwd = "123456"; UsernamePasswordToken userToken = (UsernamePasswordToken)token; //连接数据库 //通过username从数据库中查找 User对象 //实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法 User user = userService.findUserById(userToken.getUsername()); if (user==null){ return null; } //MD5加密: //密码认证,shiro //用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: // principals: 身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 //Primaryprincipals,一般是用户名 / 密码 / 手机号。 //credentials: 证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等。 //最常见的 principals 和 credentials 组合就是用户名 / 密码了。接下来先进行一个基本的身份认证。 return new SimpleAuthenticationInfo(user,user.getPassword(),""); } }
登录认证实现 在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在 Shiro 中,最终是通过 Realm 来获取应用程序中的用户、角色及权限信息的。通常情况下,在 Realm 中会直接从我们的数据源中获取 Shiro 需要的验证信息。可以说,Realm 是专用于安全框架的 DAO.Shiro 的认证过程最终会交由 Realm 执行,这时会调用 Realm 的getAuthenticationInfo(token)方法。
该方法(doGetAuthenticationInfo)主要执行以下操作:
检查提交的进行认证的令牌信息
根据令牌信息从数据源(通常为数据库)中获取用户信息
对用户信息进行匹配验证。
验证通过将返回一个封装了用户信息的AuthenticationInfo实例。
验证失败则抛出AuthenticationException异常信息。
授权的实现 Shiro 的权限授权是通过继承AuthorizingRealm抽象类,重载doGetAuthorizationInfo();当访问到页面的时候,链接配置了相应的权限或者 Shiro 标签才会执行此方法否则不会执行,所以如果只是简单的身份认证没有权限的控制的话,那么这个方法可以不进行实现,直接返回 null 即可。在这个方法中主要是使用类:SimpleAuthorizationInfo进行角色的添加和权限的添加。因为一个主体可以有多个 principals,但只有一个 Primaryprincipals,一般是用户名 / 密码 / 手机号。我们还可以用
1 2 3 4 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); //拿到当前登录的对象 User principal = (User)principalCollection.getPrimaryPrincipal(); info.addStringPermission(userPrincipal.getPerms()); //设置当前用户的权限
原理初探
默认首页
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"> <title>首页</title> </head> <body> <h1>首页</h1> <span th:text="${msg}">小明</span> <a th:href="@{/logout}">注销</a> <hr/> <a th:href="@{/user/add}">add</a> | <a th:href="@{/user/update}">update</a> </body> </html>
点击add连接,因为在ShiroConfig类ShiroFilterFactoryBean方法中配置了授权认证,未认证的非法用户无法访问,需跳转到登入页面
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"> <title>登录</title> </head> <body> <h1>登录</h1> <hr> <span th:text="${msg}" style="color: red"></span> <form th:action="@{/login}" method="post"> 用户名:<input type="text" name="username" placeholder="用户名"><br> 密码:<input type="password" name="password" placeholder="密码"><br> <input type="submit"> </form> </body> </html>
输入正确的用户名,密码,可以发现请求到了controller,主要功能
获取当前用户
封装用户的登录数据
执行登录方法.如果没有异常就说明成功了
单步调试,当执行登入方法时,请求到了UserRealm类中的doGetAuthenticationInfo方法也就是认证方法,
这里我从以前的硬编码到后来模拟真实环境去数据库中根据用户名查询是否存在该用户,主要功能
如果返回的user对象为空及该用户为非法用户,抛出异常UnknownAccountException
若user不为空,提供 principals(身份)和credentials(证明,密码)给shiro,从而应用能验证用户身份,密码认证可以进行加密操作
如果密码错误,返回IncorrectCredentialsException错误的凭据异常,controller接受并返回给前台
若用户名,密码与数据库匹配成功,证明该用户为合法用户,跳转到主页
再次点击add连接,因为登入的是合法用户,所以会判断该用户是否具有相应的权限,请求到了UserRealm类中的doGetAuthorizationInfo方法也就授权方法
通过断点可以观察到,该用户只有update的权限,所以点击add会跳转到未授权页面
点击update连接,正常访问
原因 : 因为我们在ShiroConfig配置类中的getShiroFilterFactoryBean方法中配置了未授权请求bean.setUnauthorizedUrl("/uazd");
注销操作 只需要在注销的请求中获取当前用户及Subject对象,调用logout()
1 2 3 4 5 6 7 @GetMapping("/logout") public String logout(Model model){ Subject currentUser = SecurityUtils.getSubject(); System.out.println(currentUser.getPrincipal()); currentUser.logout(); return "index"; }
总结:一开始我们需要初始化一下关于安全数据源的信息UserRealm,SecurityManager 管理所有用户,ShiroFilterFatoryBean配置认证拦截,授权操作,请求到拦截的请求先到认证方法,判断是否为合法用户,是,则放行,否,则抛出相应的异常,发送到前台,若为合法判断操作是否具有相应的权限,若有,则放行,若没有,则抛出异常,或者跳转到相应的未授权友好页面
授权方式 Shiro 支持三种方式的授权:
编程式:通过写 if/else 授权代码块完成:
1 2 3 4 5 6 Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 }
注解式:通过在执行的 Java 方法上放置相应的注解完成:
1 2 3 4 @RequiresRoles("admin") public void hello() { //有权限 }
没有权限将抛出相应的异常;
JSP/GSP 标签:在 JSP/GSP 页面通过相应的标签完成:
1 2 3 <shiro:hasRole name="admin"> <!— 有权限 —> </shiro:hasRole>
Shiro异常类型1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 <!-- 身份认证异常 --> <!-- 身份令牌异常,不支持的身份令牌 --> org.apache.shiro.authc.pam.UnsupportedTokenException <!-- 未知账户/没找到帐号,登录失败 --> org.apache.shiro.authc.UnknownAccountException <!-- 帐号锁定 --> org.apache.shiro.authc.LockedAccountException <!-- 用户禁用 --> org.apache.shiro.authc.DisabledAccountException <!-- 登录重试次数,超限。只允许在一段时间内允许有一定数量的认证尝试 --> org.apache.shiro.authc.ExcessiveAttemptsException <!-- 一个用户多次登录异常:不允许多次登录,只能登录一次 。即不允许多处登录--> org.apache.shiro.authc.ConcurrentAccessException <!-- 账户异常 --> org.apache.shiro.authc.AccountException <!-- 过期的凭据异常 --> org.apache.shiro.authc.ExpiredCredentialsException <!-- 错误的凭据异常 --> org.apache.shiro.authc.IncorrectCredentialsException <!-- 凭据异常 --> org.apache.shiro.authc.CredentialsException org.apache.shiro.authc.AuthenticationException <!-- 权限异常 --> <!-- 没有访问权限,访问异常 --> org.apache.shiro.authz.HostUnauthorizedException org.apache.shiro.authz.UnauthorizedException <!-- 授权异常 --> org.apache.shiro.authz.UnauthenticatedException org.apache.shiro.authz.AuthorizationException <!-- shiro全局异常 --> org.apache.shiro.ShiroException
