Shiro入门(1)

=============基本概念===================

什么是Apache Shiro?

  Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。

  Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API:

  •   认证 - 用户身份识别,常被称为用户“登录”;

  •   授权 - 访问控制;

  •   密码加密 - 保护或隐藏数据防止被偷窥;

  •   会话管理 - 每用户相关的时间敏感的状态。

  Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在强化了上面提到的四个要素。

核心概念:Subject,SecurityManager和Realms

Subject

  在考虑应用安全时,你最常问的问题可能是“当前用户是谁?”或“当前用户允许做X吗?”。当我们写代码或设计用户界面时,问自己这些问题很平常:应用通常都是基于用户故事构建的,并且你希望功能描述(和安全)是基于每个用户的。所以,对于我们而言,考虑应用安全的最自然方式就是基于当前用户。Shiro的API用它的Subject概念从根本上体现了这种思考方式。

  Subject一词是一个安全术语,其基本意思是“当前的操作用户”。称之为“用户”并不准确,因为“用户”一词通常跟人相关。在安全领域,术语“Subject”可以是人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。

SecurityManager

  Subject的“幕后”推手是SecurityManager。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。它是Shiro框架的核心,充当“保护伞”,引用了多个内部嵌套安全组件,它们形成了对象图。但是,一旦SecurityManager及其内部对象图配置好,它就会退居幕后,应用开发人员几乎把他们的所有时间都花在Subject API调用上。

那么,如何设置SecurityManager呢?嗯,这要看应用的环境。例如,Web应用通常会在Web.xml中指定一个Shiro Servlet Filter,这会创建SecurityManager实例,如果你运行的是一个独立应用,你需要用其他配置方式,但有很多配置选项。

  一个应用几乎总是只有一个SecurityManager实例。它实际是应用的Singleton(尽管不必是一个静态Singleton)。跟Shiro里的几乎所有组件一样,SecurityManager的缺省实现是POJO,而且可用POJO兼容的任何配置机制进行配置 - 普通的Java代码、Spring XML、YAML、.properties和.ini文件等。基本来讲,能够实例化类和调用JavaBean兼容方法的任何配置形式都可使用。

Realms

  Shiro的第三个也是最后一个概念是Realm。Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当切实与像用户帐户这类安全相关数据进行交互,执行认证(登录)和授权(访问控制)时,Shiro会从应用配置的Realm中查找很多内容。

  从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。


=======配合Spring的webApp安全管理实验===========

1、创建web工程,导入相应jar包

另外就是spring的包

2、修改web.xml

	
		contextConfigLocation
		
		classpath*:applicationContext.xml
	

	
		org.springframework.web.context.ContextLoaderListener
	
	
		shiroFilter
		
			org.springframework.web.filter.DelegatingFilterProxy
		
	
	
		shiroFilter
		/*
	



3、spring配置文件





	
	
		
		
		
		
		
		
		
		
		
		
			
				/login.jsp* = anon
				/login.do* = anon
				/pages/* = authc
				/index.jsp* = authc
                               
                        
		
	

	
	
		
	
	
	

过滤链配置了哪些url应该被怎样处理。Shiro内置了不少有用的过滤器:

Anon:不指定过滤器,不错是这个过滤器是空的,什么都没做,跟没有一样。Authc:验证,这些页面必须验证后才能访问,也就是我们说的登录后才能访问。这里还有其他的过滤器,我没用,比如说授权,这个比较重要,但是这个过滤器有个不好的地方,就是要带一个参数,所以如果配在这里就不是很合适,因为每个页面,或是.do的权限不一样,而我们也没法事先知道他需要什么权限。所以这里不配,我们在代码中再授权。这里.do和.jsp后面的*表示参数,比如login.jsp?main这种,是为了匹配这种。

过滤器也可以直接配置,而不使用spring为其提供参数,


    ShiroFilter
    
         org.apache.shiro.web.servlet.IniShiroFilter
    
    


    ShiroFilter
    /*
 


4、Realm的实现


package javacommon.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class CustomRealm extends AuthorizingRealm{
	/**
	 * 回调函数,提取当事人的角色和权限
	 * principals  当事人
	 */
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
    	//用户名
        String username = (String) principals.fromRealm(
                getName()).iterator().next();
       
        /*这些代码应该是动态从数据库中取出的,此处写死*/
        if(username!=null&&username.equals("admin")){
        	SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        	info.addRole("admin");//添加一个角色,不是配置意义上的添加,而是证明该用户拥有admin角色
        	info.addStringPermission("admin:manage");//添加权限
        	return info;
        }
        return null;
    }

   /**
    * 登录验证
    */
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authcToken ) throws AuthenticationException {
    	//令牌——基于用户名和密码的令牌
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        //令牌中可以取出用户名密码
        String accountName = token.getUsername();
        
       /*此处无需比对,比对的逻辑Shiro会做,我们只需返回一个和令牌相关的正确的验证信息,因此在随后的登录页面上只有admin/admin123才能通过验证*/
        return new SimpleAuthenticationInfo("admin","admin123",getName());
    }

}

5、处理登录

/login.jsp:


	

${msg }


用户帐号:
登录密码:

LoginServlet代码片段:

	protected void doPost(HttpServletRequest request,
			HttpServletResponse response) throws ServletException, IOException {
		//当前Subject
		Subject currentUser = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(
				request.getParameter("username"),
				request.getParameter("password"));
		token.setRememberMe(true);
		try {
			/*
			 * 在调用了login方法后,SecurityManager会收到AuthenticationToken,并将其发送给已配置的Realm
			 * ,执行必须的认证检查。每个Realm都能在必要时对提交的AuthenticationTokens作出反应。
			 * 但是如果登录失败了会发生什么?如果用户提供了错误密码又会发生什么?通过对Shiro的运行时AuthenticationException做出反应
			 * ,你可以控制失败
			 */
			currentUser.login(token);
			request.getRequestDispatcher("/index.jsp").forward(request,
					response);
		} catch (AuthenticationException e) {//登录失败
			e.printStackTrace();
			request.setAttribute("msg", "不匹配的用户名和密码");
			request.getRequestDispatcher("/login.jsp").forward(request,
					response);
		}
	}


6、测试

直接访问/pages/**.jsp,因为这个是需要认证才能访问的页面,所以,直接访问会被转发到登录页面。

登录页面输入正确的用户名/密码,将按照LoginServlet的流程来走。

登录成功后,同一个会话再去访问那些被保护的页面或资源不需重复登录。



待解决问题:

权限的判断;

加密;




你可能感兴趣的:(shiro,安全,应用,密码)