shiro是流行的权限控制框架,这里参考了官网http://shiro.apache.org/reference.html和springside中的演示https://github.com/springside/springside4/wiki/Shiro-Security,并在此基础上实现自定义shiro输入参数。
最后是一些shiro中的定义,符合权限设计的国际惯例。这些定义可看可不看,有助于理解Shiro。
一. 环境
spring 3.2.6.RELEASE
shiro 1.2.2
ehcache 2.6.6
commons-codec 1.8
shiro和ehcache在maven应该引入的依赖如下
<!-- SECURITY begin --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version>${shiro.version}</version> </dependency> <!-- SECURITY end --> <!-- CACHE begin --> <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache-core</artifactId> <version>${ehcache.version}</version> </dependency> <!-- CACHE end --> <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>${commons-codec.version}</version> </dependency>
二、加密方式
这里对选择的加密方式为,用户的password使用salt并迭代N次的sha-1式加密
salt是一组随机定长的byte数字,一般用byte数组装载
本文中用salt加密1024次,salt数组长度为8
用到了加密和解密,过程中用到了commons-codec,由于比较麻烦,所以借用springside中的utils,内容如下
Digests
import java.io.IOException; import java.io.InputStream; import java.security.GeneralSecurityException; import java.security.MessageDigest; import java.security.SecureRandom; import org.apache.commons.lang3.Validate; import com.gqshao.common.exception.Exceptions; public class Digests { private static final String SHA1 = "SHA-1"; private static final String MD5 = "MD5"; private static SecureRandom random = new SecureRandom(); /** * 对输入字符串进行sha1散列. */ public static byte[] sha1(byte[] input) { return digest(input, SHA1, null, 1); } public static byte[] sha1(byte[] input, byte[] salt) { return digest(input, SHA1, salt, 1); } public static byte[] sha1(byte[] input, byte[] salt, int iterations) { return digest(input, SHA1, salt, iterations); } /** * 对字符串进行散列, 支持md5与sha1算法. */ private static byte[] digest(byte[] input, String algorithm, byte[] salt, int iterations) { try { MessageDigest digest = MessageDigest.getInstance(algorithm); if (salt != null) { digest.update(salt); } byte[] result = digest.digest(input); for (int i = 1; i < iterations; i++) { digest.reset(); result = digest.digest(result); } return result; } catch (GeneralSecurityException e) { throw Exceptions.unchecked(e); } } /** * 生成随机的Byte[]作为salt. * * @param numBytes byte数组的大小 */ public static byte[] generateSalt(int numBytes) { Validate.isTrue(numBytes > 0, "numBytes argument must be a positive integer (1 or larger)", numBytes); byte[] bytes = new byte[numBytes]; random.nextBytes(bytes); return bytes; } /** * 对文件进行md5散列. */ public static byte[] md5(InputStream input) throws IOException { return digest(input, MD5); } /** * 对文件进行sha1散列. */ public static byte[] sha1(InputStream input) throws IOException { return digest(input, SHA1); } private static byte[] digest(InputStream input, String algorithm) throws IOException { try { MessageDigest messageDigest = MessageDigest.getInstance(algorithm); int bufferLength = 8 * 1024; byte[] buffer = new byte[bufferLength]; int read = input.read(buffer, 0, bufferLength); while (read > -1) { messageDigest.update(buffer, 0, read); read = input.read(buffer, 0, bufferLength); } return messageDigest.digest(); } catch (GeneralSecurityException e) { throw Exceptions.unchecked(e); } } }
Encodes
import java.io.UnsupportedEncodingException; import java.net.URLDecoder; import java.net.URLEncoder; import org.apache.commons.codec.DecoderException; import org.apache.commons.codec.binary.Base64; import org.apache.commons.codec.binary.Hex; import org.apache.commons.lang3.StringEscapeUtils; import com.gqshao.common.exception.Exceptions; public class Encodes { private static final String DEFAULT_URL_ENCODING = "UTF-8"; private static final char[] BASE62 = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz" .toCharArray(); /** * Hex编码. */ public static String encodeHex(byte[] input) { return Hex.encodeHexString(input); } /** * Hex解码. */ public static byte[] decodeHex(String input) { try { return Hex.decodeHex(input.toCharArray()); } catch (DecoderException e) { throw Exceptions.unchecked(e); } } /** * Base64编码. */ public static String encodeBase64(byte[] input) { return Base64.encodeBase64String(input); } /** * Base64编码, URL安全(将Base64中的URL非法字符'+'和'/'转为'-'和'_', 见RFC3548). */ public static String encodeUrlSafeBase64(byte[] input) { return Base64.encodeBase64URLSafeString(input); } /** * Base64解码. */ public static byte[] decodeBase64(String input) { return Base64.decodeBase64(input); } /** * Base62编码。 */ public static String encodeBase62(byte[] input) { char[] chars = new char[input.length]; for (int i = 0; i < input.length; i++) { chars[i] = BASE62[((input[i] & 0xFF) % BASE62.length)]; } return new String(chars); } /** * Html 转码. */ public static String escapeHtml(String html) { return StringEscapeUtils.escapeHtml4(html); } /** * Html 解码. */ public static String unescapeHtml(String htmlEscaped) { return StringEscapeUtils.unescapeHtml4(htmlEscaped); } /** * Xml 转码. */ public static String escapeXml(String xml) { return StringEscapeUtils.escapeXml(xml); } /** * Xml 解码. */ public static String unescapeXml(String xmlEscaped) { return StringEscapeUtils.unescapeXml(xmlEscaped); } /** * URL 编码, Encode默认为UTF-8. */ public static String urlEncode(String part) { try { return URLEncoder.encode(part, DEFAULT_URL_ENCODING); } catch (UnsupportedEncodingException e) { throw Exceptions.unchecked(e); } } /** * URL 解码, Encode默认为UTF-8. */ public static String urlDecode(String part) { try { return URLDecoder.decode(part, DEFAULT_URL_ENCODING); } catch (UnsupportedEncodingException e) { throw Exceptions.unchecked(e); } } }
用法如下:
// 得到8位盐 byte[] salts = Digests.generateSalt(SALT_SIZE); // 将8位byte数组装换为spring String salt = Encodes.encodeHex(salts); // 将spring数组转化为8位byte数组 salts = Encodes.decodeHex(salt); // 原密码 String password = "123456"; // 对密码加盐进行1024次SHA1加密 byte[] hashPassword = Digests.sha1(password.getBytes(), salts, 1024); // 将加密后的密码数组转换成字符串 password = Encodes.encodeHex(hashPassword);
简单说一下就是用户输入密码,系统自动生成盐,并对密码加密。然后将盐的字符串跟加密后的密码字符串保存到数据库中。
三、配置
1.web.xml
主要内容如下,其他的如spring和MVC框架等配置自行添加
<context-param> <param-name>spring.profiles.default</param-name> <param-value>development</param-value> </context-param> <context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath*:/applicationContext.xml classpath*:/activiti/applicationContext-security.xml </param-value> </context-param> <!-- Shiro Security filter --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> <dispatcher>FORWARD</dispatcher> </filter-mapping>
可以看到shiro是通过filter进行过滤的,所以如果还有其他filter注意放的位置,比如org.springframework.web.filter.CharacterEncodingFilter要放到前面,com.opensymphony.sitemesh.webapp.SiteMeshFilter这种就要放到它的后面。
2.applicationContext-shiro.xml和ehcache-shiro.xml
这两个配置文件是shiro的主要配置文件
applicationContext-shiro.xml
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:util="http://www.springframework.org/schema/util" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-3.2.xsd" default-lazy-init="true"> <description>Shiro安全配置</description> <!-- Shiro's main business-tier object for web-enabled applications --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="shiroDbRealm" /> <property name="cacheManager" ref="shiroEhcacheManager" /> </bean> <!-- 項目自定义的Realm --> <bean id="shiroDbRealm" class="com.myapp.rbac.authentication.ShiroDbRealm" /> <!-- Shiro Filter --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /> <!-- 用于调用Controller --> <property name="loginUrl" value="/login" /> <property name="successUrl" value="/" /> <!-- 自己实现的formAuthcFilter,加入key type--> <property name="filters"> <util:map> <entry key="authc"> <bean class="com.myapp.rbac.authentication.CustomFormAuthenticationFilter"/> </entry> </util:map> </property> <property name="filterChainDefinitions"> <value> /login = authc /logout = logout /static/** = anon /** = user </value> </property> </bean> <!-- 用户授权信息Cache, 采用EhCache --> <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> <property name="cacheManagerConfigFile" value="classpath:security/ehcache-shiro.xml" /> </bean> <!-- 保证实现了Shiro内部lifecycle函数的bean执行 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> <!-- AOP式方法级权限检查 --> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true" /> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager" /> </bean> </beans>
注意:
1.com.myapp.rbac.authentication.ShiroDbRealm和com.myapp.rbac.authentication.CustomFormAuthenticationFilter是自定义的文件,一会儿有相关说明
2.shiroFilter属性中loginUrl会被ShiroFilter监控起来
3.shiroFilter属性中loginUrl会被successUrl是成功后返回的路径,这里面设置为“ / ”的原因是用的spring mvc
ehcache-shiro.xml
<ehcache updateCheck="false" name="shiroCache"> <defaultCache maxElementsInMemory="10000" eternal="false" timeToIdleSeconds="120" timeToLiveSeconds="120" overflowToDisk="false" diskPersistent="false" diskExpiryThreadIntervalSeconds="120" /> </ehcache>
四.实现类
为了演示自定义,所以从login.jsp(自己实现有个POST方法提交的表单即可)开始都有一个叫"custom"的无意义字段,实际项目中可以按需求选择方案,不一定自定义,直接用UsernamePasswordToken也很好。
1.authcToken及其实现类
用于将前端页面传入的参数封装成Token,传给登陆认证的方法。常用的有org.apache.shiro.authc.UsernamePasswordToken。
这里自己实现了一个类
package com.myapp.rbac.authentication.token; import org.apache.commons.lang3.StringUtils; import org.apache.shiro.authc.HostAuthenticationToken; import org.apache.shiro.authc.RememberMeAuthenticationToken; public class CustomToken implements HostAuthenticationToken, RememberMeAuthenticationToken { private String loginName; private String password; private String host; private boolean rememberMe = false; private String custom; public CustomToken() { } public CustomToken(String loginName, String password) { this(loginName, password, false, null, null); } public CustomToken(String loginName, String password, String host) { this(loginName, password, false, host, null); } public CustomToken(String loginName, String password, boolean rememberMe) { this(loginName, password, rememberMe, null, null); } public CustomToken(String loginName, String password, boolean rememberMe, String host, String custom) { this.loginName = loginName; this.password = password; this.rememberMe = rememberMe; this.host = host; this.custom = custom; } public Object getPrincipal() { return getLoginName(); } public Object getCredentials() { return getPassword(); } public String getHost() { return host; } public boolean isRememberMe() { return rememberMe; } public void clear() { this.loginName = null; this.host = null; this.password = null; this.rememberMe = false; this.custom = null; } public String toString() { StringBuilder sb = new StringBuilder(); sb.append(getClass().getName()); sb.append(" - "); sb.append(loginName); sb.append(", rememberMe=").append(rememberMe); if (StringUtils.isNotBlank(host)) { sb.append(" (").append(host).append(")"); } return sb.toString(); } public String getLoginName() { return loginName; } public void setLoginName(String loginName) { this.loginName = loginName; } public String getPassword() { return password; } public void setPassword(String password) { this.password = password; } public String getCustom() { return custom; } public void setCustom(String custom) { this.custom = custom; } public void setHost(String host) { this.host = host; } public void setRememberMe(boolean rememberMe) { this.rememberMe = rememberMe; } }
2.User/Subject
将一些期望保存的属性属性,封装成一个自定义POJO,会被放到session中
package com.myapp.rbac.authentication.domain; import java.util.List; import com.google.common.base.Objects; import com.gqshao.common.util.Identities; public class ShiroUser implements java.io.Serializable { private static final long serialVersionUID = -2649983064333269618L; private String id; private String loginName; private List<String> roles; private List<String> permissions; private String ip; // 记录额外的一些信息 private String custom; public ShiroUser() { } public ShiroUser(User user) { this.id = Identities.uuid(); this.loginName = user.getLoginName(); } public ShiroUser(String id, String loginName, String ip, String custom) { this.id = id; this.loginName = loginName; this.ip = ip; this.custom = custom; } public String getId() { return id; } public void setId(String id) { this.id = id; } public List<String> getRoles() { return roles; } public void setRoles(List<String> roles) { this.roles = roles; } public List<String> getPermissions() { return permissions; } public void setPermissions(List<String> permissions) { this.permissions = permissions; } public String getIp() { return ip; } public void setIp(String ip) { this.ip = ip; } public String getLoginName() { return loginName; } public void setLoginName(String loginName) { this.loginName = loginName; } @Override public int hashCode() { return Objects.hashCode(id, loginName, custom); } public String toString() { return id + ":" + loginName + "- " + custom; } @Override public boolean equals(Object obj) { if (obj == null) { return false; } else if (this.hashCode() == obj.hashCode()) { return true; } else { return false; } } }
3.AuthenticatingFilter及其实现类
AuthenticatingFilter主要与将前端提交的表单信息封装成Token,与authcToken的实现类要对应起来。比如与org.apache.shiro.authc.UsernamePasswordToken对应的是org.apache.shiro.web.filter.authc.FormAuthenticationFilter。
这里需要自定义一个CustomFormAuthenticationFilter,用于配合CustomToken。
package com.myapp.rbac.authentication.filter; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.subject.Subject; import org.apache.shiro.web.filter.authc.AuthenticatingFilter; import org.apache.shiro.web.util.WebUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; public class CustomFormAuthenticationFilter extends AuthenticatingFilter { private static final Logger log = LoggerFactory.getLogger(CustomFormAuthenticationFilter.class); public static final String DEFAULT_ERROR_KEY_ATTRIBUTE_NAME = "shiroLoginFailure"; public static final String DEFAULT_LOGINNAME_PARAM = "loginName"; public static final String DEFAULT_PASSWORD_PARAM = "password"; public static final String DEFAULT_REMEMBER_ME_PARAM = "rememberMe"; // 自定义的输入字段 public static final String DEFAULT_CUSTOM_PARAM = "custom"; private String loginNameParam = DEFAULT_LOGINNAME_PARAM; private String passwordParam = DEFAULT_PASSWORD_PARAM; private String rememberMeParam = DEFAULT_REMEMBER_ME_PARAM; private String customParam = DEFAULT_CUSTOM_PARAM; private String failureKeyAttribute = DEFAULT_ERROR_KEY_ATTRIBUTE_NAME; public CustomFormAuthenticationFilter() { setLoginUrl(DEFAULT_LOGIN_URL); } @Override public void setLoginUrl(String loginUrl) { String previous = getLoginUrl(); if (previous != null) { this.appliedPaths.remove(previous); } super.setLoginUrl(loginUrl); if (log.isTraceEnabled()) { log.trace("Adding login url to applied paths."); } this.appliedPaths.put(getLoginUrl(), null); } /** * 在访问被拒绝 */ @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { if (isLoginRequest(request, response)) { if (isLoginSubmission(request, response)) { if (log.isTraceEnabled()) { log.trace("Login submission detected. Attempting to execute login."); } return executeLogin(request, response); } else { if (log.isTraceEnabled()) { log.trace("Login page view."); } return true; } } else { if (log.isTraceEnabled()) { log.trace("Attempting to access a path which requires authentication. Forwarding to the " + "Authentication url [" + getLoginUrl() + "]"); } saveRequestAndRedirectToLogin(request, response); return false; } } /** * 创建自定义的令牌 */ @Override protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) { String loginName = getLoginName(request); String password = getPassword(request); boolean rememberMe = isRememberMe(request); String host = getHost(request); String custom = getCustom(request); return new CustomToken(loginName, password, rememberMe, host, custom); } protected boolean isLoginSubmission(ServletRequest request, ServletResponse response) { return (request instanceof HttpServletRequest) && WebUtils.toHttp(request).getMethod().equalsIgnoreCase(POST_METHOD); } protected boolean isRememberMe(ServletRequest request) { return WebUtils.isTrue(request, getRememberMeParam()); } protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response) throws Exception { issueSuccessRedirect(request, response); return false; } protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) { setFailureAttribute(request, e); return true; } protected void setFailureAttribute(ServletRequest request, AuthenticationException ae) { String className = ae.getClass().getName(); request.setAttribute(getFailureKeyAttribute(), className); } protected String getLoginName(ServletRequest request) { return WebUtils.getCleanParam(request, getLoginNameParam()); } protected String getPassword(ServletRequest request) { return WebUtils.getCleanParam(request, getPasswordParam()); } protected String getCustom(ServletRequest request) { return WebUtils.getCleanParam(request, getCustomParam()); } public String getLoginNameParam() { return loginNameParam; } public void setLoginNameParam(String loginNameParam) { this.loginNameParam = loginNameParam; } public String getPasswordParam() { return passwordParam; } public void setPasswordParam(String passwordParam) { this.passwordParam = passwordParam; } public String getRememberMeParam() { return rememberMeParam; } public void setRememberMeParam(String rememberMeParam) { this.rememberMeParam = rememberMeParam; } public String getCustomParam() { return customParam; } public void setCustomParam(String customParam) { this.customParam = customParam; } public String getFailureKeyAttribute() { return failureKeyAttribute; } public void setFailureKeyAttribute(String failureKeyAttribute) { this.failureKeyAttribute = failureKeyAttribute; } }
4.Realm实现
Realm用于登陆认证和权限的鉴权工作
package com.myapp.rbac.authentication.realm; import java.util.ArrayList; import java.util.List; import javax.annotation.PostConstruct; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authc.credential.HashedCredentialsMatcher; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.util.ByteSource; import org.springframework.beans.factory.annotation.Autowired; import com.myapp.rbac.authentication..domain.ShiroUser; import com.genertech.commons.core.utils.Encodes; import com.myapp.rbac.authentication.token.CustomToken; import com.myapp.rbac.domain.Permission; import com.myapp.rbac.domain.Role; import com.myapp.rbac.domain.User; import com.myapp.rbac.service.PermissionService; import com.myapp.rbac.service.RoleService; import com.myapp.rbac.service.UserService; public class ShiroDbRealm extends AuthorizingRealm { public static final String HASH_ALGORITHM = "SHA-1"; public static final int SALT_SIZE = 8; public static final int HASH_INTERATIONS = 1024; @Autowired private UserService userService; @Autowired protected PermissionService permissionService; @Autowired protected RoleService roleService; public ShiroDbRealm() { super(); setAuthenticationTokenClass(CustomToken.class); } /** * 认证回调函数,登录时调用. */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken){ CustomToken token = (CustomToken) authcToken; String loginName = token.getLoginName(); String host = token.getHost(); User user = userService.getUserByLoginName(loginName); if (user != null) { ShiroUser root = new ShiroUser(user.getId(), loginName, user.getName(), user.getIsAdmin() == 1 ? true : false, host); byte[] salt = Encodes.decodeHex(user.getSalt()); return new SimpleAuthenticationInfo(root, user.getPassword(), ByteSource.Util.bytes(salt), getName()); } else { return null; } } /** * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用. */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { ShiroUser shiroUser = (ShiroUser) principals.getPrimaryPrincipal(); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); List<Role> roleList = null;// 角色集合// List<String> pList = new ArrayList<String>(); List<Permission> listP = null;// 权限集合// if (shiroUser.isAdmin()) { // 超级管理员获取所有角色// roleList = roleService.getAll(); // 超级管理员获取所有权限// listP = permissionService.getAllPermissions(); } else { roleList = roleService.getRolesByUserId(shiroUser.getId()); listP = permissionService.getByUserId(shiroUser.getId()); } // 遍历角色// for (Role role : roleList) { info.addRole(role.getName()); } // 遍历权限// for (Permission per : listP) { if (per != null) { String[] ps = per.getCode().split(";"); for (int i = 0; i < ps.length; i++) { pList.add(ps[i]); } } } if (shiroUser.isAdmin()) { pList.add("permissionmgt:administrator"); } // 基于Permission的权限信息// info.addStringPermissions(pList); return info; } /** * 设定Password校验的Hash算法与迭代次数. */ @PostConstruct public void initCredentialsMatcher() { HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(HASH_ALGORITHM); matcher.setHashIterations(HASH_INTERATIONS); setCredentialsMatcher(matcher); } }
注意
1.实现登陆的前提是通过POST方法,提交到 loginUrl 配置的路径上。
2.doGetAuthenticationInfo完成登陆的认证工作。Shiro通过return的SimpleAuthenticationInfo中的参数,自动判断password是否正确。再次提醒,user保存在数据库中的password是通过salt加密过的密码;
3.认证的方法通过initCredentialsMatcher设置;
4.doGetAuthorizationInfo方法完成的是鉴权工作,这里需要注意的事情是,由于权限和角色都是通过整合Ehcache,缓存起来,所以当缓存失效的时候,会再次鉴权。
5.注意权限定义中 : 号有特殊用途,不要随便使用。
5.控制器
最后完成一个控制器,用于登陆跳转到登陆页面,或登陆失败后的页面调整
这里用的是spring mvc
@Controller public class LoginController { Logger logger = LoggerFactory.getLogger(LoginController.class); @RequestMapping(value = "/login", method = RequestMethod.GET) public String login(Model model) { return "common/login"; } @RequestMapping(value = "/login", method = RequestMethod.POST) public String fail(@RequestParam(CustomFormAuthenticationFilter.DEFAULT_LOGINNAME_PARAM) String userName, Model model) { model.addAttribute(CustomFormAuthenticationFilter.DEFAULT_LOGINNAME_PARAM, userName); return "common/login"; } }
五.使用
JSP内容控制
页面部分可以通过导入 <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %> 使用标签
常用的有hasPermission、hasAnyRole等,参考http://shiro.apache.org/web.html#Web-taglibrary
方法级控制
@RequiresPermissions("User:Edit")
@RequiresRoles(value = { "Admin", "User" }, logical = Logical.OR)等等
可以参考http://shiro.apache.org/authorization.html#Authorization-ProgrammaticAuthorization
通过Shiro保存到Session中的对象可以通过以下方法得到
Subject shiroUser = SecurityUtils.getSubject();
六. 概念
。
· Authentication
身份验证是验证Subject 身份的过程——实质上是证明某些人是否真的是他们所说的他们是谁。当认证尝试成
功后,应用程序能够相信该subject 被保证是其所期望的。
· Authorization
授权,又称为访问控制,是决定一个user/Subject 是否被允许做某事的过程。它通常是通过检查和解释。
· Subject
的角色和权限(见下文),然后允许或拒绝到一个请求的资源或功能来完成的。
· Cipher
密码是进行加密或解密的一种算法。该算法一般依赖于一块被称为key 的信息。基于不同的key 的加密算法
也是不一样的,所有解密没有它是非常困难的。
密码有不同的表现形式。分组密码致力于符号块,通常是固定大小的,而流密码致力于连续的符号流。对称
性密码加密和解密使用相同的密钥(key),而非对称性加密使用不同的密钥。如果非对称性加密的密钥不能
从其他地方得到,那么可以创建公钥/私钥对公开共享。
· Credential
凭证是一块信息,用来验证user/Subject 的身份。在认证尝试期间,一个(或多个)凭证与Principals(s)被一
同提交,来验证user/Subject 所提交的确实是所关联的用户。证书通常是非常秘密的东西,只有特定的
user/Subject 才知道,如密码或PGP 密钥或生物属性或类似的机制。
这个想法是为principal 设置的,只有一个人会知道正确的证书来“匹配”该principal。如果当前user/Subject
提供了正确的凭证匹配了存储在系统中的,那么系统可以假定并信任当前user/Subject 是真的他们所说的他们
是谁。信任度随着更安全的凭证类型加深(如,生物识别签名 > 密码)。
· Cryptography
加密是保护信息不受不希望的访问的习惯做法,通过隐藏信息或将它转化成无意义的东西,这样没人可以理
解它。Shiro 致力于加密的两个核心要素:加密数据的密码,如使用公钥或私钥的邮件,以及散列表(也称消
息摘要),它对数据进行不可逆的加密,如密码。
· Hash
散列函数是单向的,不可逆转的输入源,有时也被称为消息,在一个编码的哈希值内部,有时也被称为消息
摘要。它通常用于密码,数字指纹,或以字节数组为基础的数据。
· Permission
权限,至少按照Shiro 的解释,是在应用程序中描述原始功能的一份声明并没有更多的功能。权限是在安全策
略中最低级别的概念。它们仅定义了应用程序能够做“什么”。它们没有说明“谁”能够执行这些操作。权
限只是行为的声明,仅此而已。
一些权限的例子:
· 打开文件
· 浏览'/user/list'页面
· 打印文档
· 删除'jsmith'用户
· Principal
Principal 是一个应用程序用户(Subject)的任何标志属性。“标志属性”可以是任何对你应用程序有意义的东
西——用户名,姓,名,社会安全号码,用户ID 等。这就是它——没什么古怪的。
Shiro 也引用一些我们称之为Subject 的primary principal 的东西。一个primary principal 是在整个应用程序中唯
一标识Subject 的principal。理想的primary principal 是用户名或RDBMS 用户表主键——用户ID。对于在应用
程序中的用户(Subject)来说,只有一个primary principal
· Realm
Realm 是一个能够访问应用程序特定的安全数据(如用户,角色和权限)的组件。它可以被看作是一个特定
安全的DAO(Data Access Object)。Realm 将这些应用程序特定的数据转换成Shiro 能够理解的格式,这样Shiro
反过来能够提供一个单一的易于理解的Subject 编程API,无论有多少数据源存在或无论你的数据是什么样的
应用程序特定的格式。
Realm 通常和数据源是一对一的对应关系,如关系数据库,LDAP 目录,文件系统,或其他类似资源。因此,
Realm 接口的实现使用数据源特定的API 来展示授权数据(角色,权限等),如JDBC,文件IO,Hibernate 或
JPA,或其他数据访问API。
· Role
基于你对话的对象,一个角色的定义是可以多变的。在许多应用程序中,它充其量是个模糊不清的概念,人
们用它来隐式定义安全策略。Shiro 偏向于把角色简单地解释为一组命名的权限的集合。这就是它——一个应
用程序的唯一名称,聚集一个或多个权限声明。
这是一个比许多应用程序使用的隐式的定义更为具体的定义。如果你选择了你的数据模型反映Shiro 的假设,
你会发现将有更多控制安全策略的权力。
· Session
会话是一个在一段时间内有状态的数据,其上下文与一个单一的与软件系统交互的user/Subject 相关联。当
Subject 使用应用程序时,能够从会话中添加/读取/删除数据,并且应用程序稍后能够在需要的地方使用该数
据。会话会被终止,由于user/Subject 注销或会话不活动而超时。
对于那些熟悉HttpSession 的,Shiro Session 服务于同一目标,除了Shiro 会话能够在任何环境下使用,甚至在
没有Servlet 容器或EJB 容器的环境。
· Subject
Subject 只是一个精挑细选的安全术语,基本上的意思是一个应用程序用户的安全特定的“视图”。然而Subject
不总是需要反映为一个人——它可以代表一个调用你应用程序的外部进程,或许是一个系统帐户的守护进程,
在一段时间内执行一些间歇性的东西(如一个cron job)。它基本上是任何使用应用程序做某事的实体的一个
代表。