浅析shiro框架的认证和授权
shiro安全框架
1.1.Shiro 概述
Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。
课后了解:Spring security 安全框架
1.2.Shiro 概要架构
在概念层,Shiro 架构包含三个主要的理念:Subject,SecurityManager和 Realm。
1.3shiro的构件
1)Subject(主体):与软件交互的一个特定的实体(用户、第三方服务等)。
2)SecurityManager(安全管理器) :Shiro 的核心,用来协调管理组件工作。
3)Authenticator(认证管理器):负责执行认证操作
4)Authorizer(授权管理器):负责授权检测
5)SessionManager(会话管理):负责创建并管理用户 Session 生命周期,提供一个强有力的 Session 体验。
6)SessionDAO:代表 SessionManager 执行 Session 持久(CRUD)动作,它允许任何存储的数据挂接到 session 管理基础上。
7)CacheManager(缓存管理器):提供创建缓存实例和管理缓存生命周期的功能
8)Cryptography(加密管理器):提供了加密方式的设计及管理。
9)Realms(领域对象):是shiro和你的应用程序安全数据之间的桥梁。
2.1Shiro 认证
简述:
1)系统调用subject的login方法将用户信息提交给SecurityManager
2)SecurityManager将认证操作委托给认证器对象Authenticator
3)Authenticator将身份信息传递给Realm。
4)Realm访问数据库获取用户信息然后对信息进行封装并返回。
5)Authenticator 对realm返回的信息进行身份认证。
详述:
以用户名密码验证为例,当浏览器客户端向服务器发送AJAX异步请求,请求服务器处理验证用户输入的用户名和密码,
当请求传入Tomcat,通过Tomcat的过滤器****到达前端控制器的时候,前端控制器截取请求的url,在HandlerMapping里找对应的map集合中的entry元素,找到后穿过springMVC的拦截器到达后端控制器Controller,在Controller里使用SecorityUtils获取一个Subject,subject里面有一个login方法,但是调用login方法必须传入一个token类型的参数,这时候我们想到AJAX里面传过来的username和password正好可以封装在一个UsernamePasswordtoken里面,所以我们这样写
UsernamePasswordToken tokensubjec = new UsernamePasswordToken(username,password);
Subject subject = SecurityUtils.Subject();
subject.login(token);
当我们写完这句subject.login(token);
系统底层会帮我们从配置文件读取我们配置的SecurityManager以及相关配置,并将token传过去,会找到anthenticator(认证管理器),anthenticator根据SecurityManager里面配置的realm,找到realm。我们要做的就是在这之前一定要确保该realm已经存在,否则会找不到,在realm中我们将传过来token进行向下造型回usernamepasswordtoken,
然后将里面的username取出来,传递到数据层,让数据层根据username从用户名中查询具体用户所有信息,查询完毕我们使用一个SimpleAuthenticationInfo进行信息封装,new一个该对象的时候我们要传入四个参数,第一个是身份信息,我们一般传入从dao数据层查到的用户信息,但是要注意这里写入的类型和授权的时候取数据的类型要对应,如果只写用户名则取数据的时候用字符串接收,第二个参数是加密后的密码,我们已经查到,第三个参数是指定类型的salt,其实和我们通过数据层查到的salt是一样的只不过需要的类型不一致,需要做一步转型即可,第四个参数是realm的名字,表示本类直接用this.getName();然后将我们new出来的SimpleAuthenticationInfo对象的实例返回给认证管理器,认证管理器会自动帮我们认证。
如下图所示
2.2Shiro的授权
概述:
1)系统调用subject相关方法将用户信息(例如isPermitted)递交给SecurityManager
2)SecurityManager将权限检测操作委托给Authorizer对象
3)Authorizer将用户信息委托给realm.
4)Realm访问数据库获取用户权限信息并封装。
5) Authorizer对用户授权信息进行判定。
3.基于注解的方式配置Shiro组件
@Bean("securityManager")
public DefaultWebSecurityManager newDefaultWebSecurityManager(
AuthorizingRealm userRealm){
DefaultWebSecurityManager sManager=
new DefaultWebSecurityManager();
//此时必须保证realm对象已经存在了
sManager.setRealm(userRealm);
return sManager;
}
@Bean("shiroFilterFactoryBean")
public ShiroFilterFactoryBean newShiroFilterFactoryBean(
SecurityManager securityManager){//shiro 包
ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
bean.setSecurityManager(securityManager);
//当此用户是一个非认证用户,需要先登陆进行认证
bean.setLoginUrl("/doLoginUI.do");
LinkedHashMap fcMap=
new LinkedHashMap<>();
fcMap.put("/bower_components/**","anon");//anon表示允许匿名访问
fcMap.put("/build/**", "anon");
fcMap.put("/dist/**","anon");
fcMap.put("/plugins/**","anon");
fcMap.put("/doLogin.do","anon");
fcMap.put("/doLogout.do","logout");
fcMap.put("/**", "authc");//必须授权才能访问
bean.setFilterChainDefinitionMap(fcMap);
return bean;
}
@Bean("lifecycleBeanPostProcessor")
public LifecycleBeanPostProcessor newLifecycleBeanPostProcessor(){
return new LifecycleBeanPostProcessor();
}
@DependsOn(value="lifecycleBeanPostProcessor")
@Bean
public DefaultAdvisorAutoProxyCreator newDefaultAdvisorAutoProxyCreator(){
return new DefaultAdvisorAutoProxyCreator();
}
@Bean
public AuthorizationAttributeSourceAdvisor newAuthorizationAttributeSourceAdvisor(
SecurityManager securityManager){
AuthorizationAttributeSourceAdvisor bean=
new AuthorizationAttributeSourceAdvisor();
bean.setSecurityManager(securityManager);
return bean;
}
3.3.Shiro 核心过滤器配置
在注解启动类中,重写onStartup方法,完成过滤器的注册
@Override
public void onStartup(ServletContext servletContext)
throws ServletException {
System.out.println("onStartup");
//super.onStartup(servletContext);
registerContextLoaderListener(servletContext);
registerFilter(servletContext);
registerDispatcherServlet(servletContext);
}
private void registerFilter(ServletContext servletContext) {
//注册Filter对象
//项目没有web.xml并且此filter不是自己写的,所以需要用这种配置方式
FilterRegistration.Dynamic dy=
servletContext.addFilter("filterProxy",
DelegatingFilterProxy.class);
dy.setInitParameter("targetBeanName","shiroFilterFactoryBean");
dy.addMappingForUrlPatterns(
null,//EnumSet
false,"/*");//url-pattern
}
4.基于xml方式配置Shiro组件
web.xml
CGB-JT-SYS-V1.01
shiroFilter
org.springframework.web.filter.DelegatingFilterProxy
targetBeanName
shiroFilterFactory
shiroFilter
/*
frontController
org.springframework.web.servlet.DispatcherServlet
contextConfigLocation
classpath:spring-configs.xml
1
frontController
*.do