Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情:
验证用户对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限在任何环境下使用 Session API。例如CS程序。可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。单点登录(SSO)功能。 “Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。Shiro的4大部分——身份验证,授权,会话管理和加密
Authentication:身份验证,简称“登录”。Authorization:授权,给用户分配角色或者权限资源Session Management:用户session管理器,可以让CS程序也使用session来控制权限Cryptography:把JDK中复杂的密码加密方式进行封装。Shiro的认证流程如下:
Subject Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。SecurityManager SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。然而,一旦 SecurityManager协调完毕,SecurityManager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作。Realms Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如LDAP数据源的JndiLdapRealm,JDBC数据源的JdbcRealm,ini文件数据源的IniRealm,properties文件数据源的PropertiesRealm,等等。我们也可以插入自己的 Realm实现来代表自定义的数据源。 像其他组件一样,Realms也是由SecurityManager控制。首先在使用Shiro的时候我们要考虑在什么样的环境下使用:
登录的验证对指定角色的验证对URL的验证基本上我们也就这三个需求,所以同时我们也需要三个方法: - findUserByUserName(String username)根据username查询用户,之后Shiro会根据查询出来的User的密码来和提交上来的密码进行比对。 - findRoles(String username)根据username查询该用户的所有角色,用于角色验证。 - findPermissions(String username)根据username查询他所拥有的权限信息,用于权限判断。 下面是Mybatis的mapper代码。
<?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" > <mapper namespace="com.crossoverJie.dao.T_userDao" > <resultMap id="BaseResultMap" type="com.crossoverJie.pojo.T_user" > <result property="id" column="id"/> <result property="userName" column="userName"/> <result property="password" column="password"/> <result property="roleId" column="roleId"/> </resultMap> <sql id="Base_Column_List" > id, username, password,roleId </sql> <select id="findUserByUsername" parameterType="String" resultMap="BaseResultMap"> select <include refid="Base_Column_List"/> from t_user where userName=#{userName} </select> <select id="findRoles" parameterType="String" resultType="String"> select r.roleName from t_user u,t_role r where u.roleId=r.id and u.userName=#{userName} </select> <select id="findPermissions" parameterType="String" resultType="String"> select p.permissionName from t_user u,t_role r,t_permission p where u.roleId=r.id and p.roleId=r.id and u.userName=#{userName} </select> </mapper>现在就需要创建自定义的MyRealm类,这个还是比较重要的。继承至Shiro的AuthorizingRealm类,用于处理自己的验证逻辑
public class MyRealm extends AuthorizingRealm { @Resource private T_userService t_userService; /** * 用于的权限的认证。 * @param principalCollection * @return */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String username = principalCollection.getPrimaryPrincipal().toString() ; SimpleAuthorizationInfo info = new SimpleAuthorizationInfo() ; Set<String> roleName = t_userService.findRoles(username) ; Set<String> permissions = t_userService.findPermissions(username) ; info.setRoles(roleName); info.setStringPermissions(permissions); return info; } /** * 首先执行这个登录验证 * @param token * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取用户账号 String username = token.getPrincipal().toString() ; T_user user = t_userService.findUserByUsername(username) ; if (user != null){ //将查询到的用户账号和密码存放到 authenticationInfo用于后面的权限判断。第三个参数传入realName。 AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUserName(),user.getPassword(), "a") ; return authenticationInfo ; }else{ return null ; } } }继承AuthorizingRealm类之后就需要覆写它的两个方法,doGetAuthorizationInfo,doGetAuthenticationInfo,这两个方法的作用我都有写注释,逻辑也比较简单。 doGetAuthenticationInfo是用于登录验证的,在登录的时候需要将数据封装到Shiro的一个token中,执行shiro的login()方法,之后只要我们将MyRealm这个类配置到Spring中,登录的时候Shiro就会自动的调用doGetAuthenticationInfo()方法进行验证。
登录的Controller如下:
@Controller @RequestMapping("/") public class T_userController { @Resource private T_userService t_userService ; @RequestMapping("/loginAdmin") public String login(T_user user, Model model){ Subject subject = SecurityUtils.getSubject() ; UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getPassword()) ; try { subject.login(token); return "admin" ; }catch (Exception e){ //这里将异常打印关闭是因为如果登录失败的话会自动抛异常 // e.printStackTrace(); model.addAttribute("error","用户名或密码错误") ; return "../../login" ; } } @RequestMapping("/admin") public String admin(){ return "admin"; } @RequestMapping("/student") public String student(){ return "admin" ; } @RequestMapping("/teacher") public String teacher(){ return "admin" ; } }主要就是login()方法。逻辑比较简单,只是登录验证的时候不是像之前那样直接查询数据库然后返回是否有用户了,而是调用subject的login()方法,就是我上面提到的,调用login()方法时Shiro会自动调用我们自定义的MyRealm类中的doGetAuthenticationInfo()方法进行验证的,验证逻辑是先根据用户名查询用户,如果查询到的话再将查询到的用户名和密码放到SimpleAuthenticationInfo对象中,Shiro会自动根据用户输入的密码和查询到的密码进行匹配,如果匹配不上就会抛出异常,匹配上之后就会执行doGetAuthorizationInfo()进行相应的权限验证。 doGetAuthorizationInfo()方法的处理逻辑也比较简单,根据用户名获取到他所拥有的角色以及权限,然后赋值到SimpleAuthorizationInfo对象中即可,Shiro就会按照我们配置的XX角色对应XX权限来进行判断,这个配置在下面的整合中会讲到。
首先我们需要在web.xml进行配置Shiro的过滤器。
<!-- shiro过滤器定义 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 --> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>配置还是比较简单的,这样会过滤所有的请求。 之后我们还需要在Spring中配置一个shiroFilter的bean。
spring-shiro.xml配置
<!-- 配置自定义Realm --> <bean id="myRealm" class="com.kang.shiro.MyRealm"/> <!-- 安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myRealm"/> </bean> <!-- Shiro过滤器 核心--> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- Shiro的核心安全接口,这个属性是必须的 --> <property name="securityManager" ref="securityManager"/> <!-- 身份认证失败,则跳转到登录页面的配置 --> <property name="loginUrl" value="/login.jsp"/> <!-- 权限认证失败,则跳转到指定页面 --> <property name="unauthorizedUrl" value="/nopower.jsp"/> <!-- Shiro连接约束配置,即过滤链的定义 --> <property name="filterChainDefinitions"> <value> <!--anon 表示匿名访问,不需要认证以及授权--> /loginAdmin=anon <!--authc表示需要认证 没有进行身份认证是不能进行访问的--> /admin*=authc /student=roles[teacher] /teacher=perms["user:create"] </value> </property> </bean> <!-- 保证实现了Shiro内部lifecycle函数的bean执行 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <!-- 开启Shiro注解 --> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean>在这里我们配置了上文中所提到的自定义myRealm,这样Shiro就可以按照我们自定义的逻辑来进行权限验证了。其余的都比较简单,看注释应该都能明白。 着重讲解一下:
<property name="filterChainDefinitions"> <value> <!--anon 表示匿名访问,不需要认证以及授权--> /loginAdmin=anon <!--authc表示需要认证 没有进行身份认证是不能进行访问的--> /admin*=authc /student=roles[teacher] /teacher=perms["user:create"] </value> </property>/loginAdmin=anon的意思的意思是,发起/loginAdmin这个请求是不需要进行身份认证的,这个请求在项目中是一个登录请求,一般对于这样的请求都是不需要身份认证的。 /admin*=authc表示 /admin,/admin1,/admin2这样的请求都是需要进行身份认证的,不然是不能访问的。 /student=roles[teacher]表示访问/student请求的用户必须是teacher角色,不然是不能进行访问的。 /teacher=perms["user:create"]表示访问/teacher请求是需要当前用户具有user:create权限才能进行访问的。
Shiro还有着强大标签库,可以在前端帮我获取信息和做判断。 这里登录完成之后显示的界面:
<%@ page contentType="text/html;charset=UTF-8" language="java" %> <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %> <html> <head> <title>后台</title> </head> <body> <shiro:hasRole name="admin"> 这是admin角色登录:<shiro:principal></shiro:principal> </shiro:hasRole> <shiro:hasPermission name="user:create"> 有user:create权限信息 </shiro:hasPermission> <br> 登录成功 </body> </html>要想使用Shiro标签,只需要引入一下标签即可:
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>下面我大概介绍下一些标签的用法:
<shiro:hasRole name="admin">具有admin角色才会显示标签内的信息。 <shiro:principal></shiro:principal>获取用户信息。默认调用Subject.getPrincipal()获取,即 Primary Principal。 <shiro:hasPermission name="user:create"> 用户拥有user:create这个权限才回显示标签内的信息。
