shiro安全框架的开发与应用---认证、授权
概述
Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。
shiro的整体架构
Subject:
认证主体,通常包含两个信息。Principals:身份。可以是用户名,邮件,手机号码等等,用来标识一个登录主体身份;
Credentials:凭证。常见有密码,数字证书等等。
在Shiro中可以在.ini文件中指定一个认证主体,也可以从数据库中取。.ini文件的格式如下:
#定义用户
[users]
#用户名 cheng 密码是 123, 角色是 admin
cheng = 123,admin
#定义角色
[roles]
#角色admin对资源user拥有user:delete、update权限
admin = user:delete,user:update
SecurityManager:
Shiro的核心组件。
Authenticator:
认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
Authorizer:
授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
Realm:
域,Shiro从Realm获取安全数据(如用户、角色、权限)。可以有1个或多个Realm,可以认为是安全实体数据源。
SessionManager:
如果写过Servlet就应该知道Session的概念,Session需要有人去管理它的生命周期,这个组件就是SessionManager;而Shiro并不仅仅可以用在Web环境,也可以用在如普通的JavaSE环境、EJB等环境;所以,Shiro 就抽象了一个自己的Session来管理主体与应用之间交互的数据。
CacheManager:
缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能。
Cryptography:
密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。
SessionDAO:
DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;比如想把Session放到Memcached中,可以实现自己的Memcached SessionDAO;另外SessionDAO中可以使用Cache进行缓存,以提高性能。
一、shiro的认证过程(Authentication Sequence)
先上图,
如图中所示, 认证过程大致可以分为四步:
Step 1:收集并提交主体(Subject)提交的身份和凭证。用户主体(Subject)发送登录请求, 会把用户信息和凭证信息生成一个AuthenticationToken(身份验证令牌)实例,交由SecurityManager去进一步验证;
Step 2:SecurityManager会把主体传递过来的AuthenticationToken委托认证器Autenticator进行认证;
Step 3:认证器Autenticator首先会去获取realm,即从数据库或者配置文件中得到数据源(所以图中第5步是发生在第3步中的),正确数据和待验证的身份信息数据都准备好了之后,进行真正的认证过程;
Step 4:获取认证策略信息Authentication Stratege,进行认证,认证过程结束。
实际中的开发步骤是跟上述流程是相反的,来看下栗子:
package com.imo.code.shiro;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
public class IniRealmTest {
//获取realm身份信息数据源
IniRealm iniRealm = new IniRealm("classpath:resources/shiro/user.ini");
@Test
public void testAuthentication() {
//构建shiro核心组件,安全管理器SecurityManager
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
//绑定SecurityManager的realm
defaultSecurityManager.setRealm(iniRealm);
SecurityUtils.setSecurityManager(defaultSecurityManager);
//生成主体
Subject subject = SecurityUtils.getSubject();
//生成AuthenticationToken实例
UsernamePasswordToken token = new UsernamePasswordToken("cheng", "123");
//提交登录请求
subject.login(token);
System.out.println("============ isAuthenticated: " + subject.isAuthenticated());
//校验角色信息
subject.checkRole("admin");
//校验该用户是否有以下权限
subject.checkPermission("user:delete");
subject.checkPermission("user:update");
}
}