Apache Shiro学习(1)
简介
在项目中难免要考虑到安全问题,哪些用户可以访问,哪些用户不能访问,可以访问的用户具体可以访问哪些资源等等问题。这些功能Apache Shiro都考虑到了,作为基于java的一款安全框架,同其他的安全框架进行比较(例如Spring Security),其具有简单易上手等优点,虽然不如Spring Security强大,但在一般的项目中使用已经够了
基本功能
Shiro不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。它可以完成认证、授权、加密、会话管理、与 Web 集成、缓存等工作,从而减轻了工作量。下面通过一张图了解shiro的基本功能(以下部分参考自: http://wiki.jikexueyuan.com/project/shiro/overview.html)
下面逐个介绍每个功能模块具体的作用:
Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,从而判断用户能否执行某项操作或者对能否访问进行某项资源。
Session Manager:会话管理,用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
Cryptography:加密,保护数据的安全性。如密码加密存储到数据库,而不是明文存储;
Web Support:Web 支持,可以非常容易的集成到 Web 环境;
Caching:缓存。比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户用另一个用户(如果他们允许)的身份进行访问;
Remember Me:一次登录后,下次再来的话不用登录了。
需要注意的是shiro本身并没有提供用户权限等的信息,所以需要我们自己去创建表,定义角色和权限,以及进行权限的分配。在需要时需要手工将相关信息查询出来并交给Shiro。
外部执行过程
下面介绍一下shiro进行认证的过程:
先来说说这几部分的作用:
Subject是应用与shiro交互的接口,其代表当前用户,但是这个用户并不仅仅限于具体的人,任何与应用交互的实体都可以称为Subject,并且subject会绑定到SecurityManager上,这样与Subject的交互就会委托给SecurityManager。
SecurityManager:安全管理器,所有与安全有关的操作都会由 SecurityManager 完成。
Realm: 这部分有两个作用:
1. securityManager 要验证用户身份,需要从 Realm 获取相应的用户身份信息
2. Realm提供用户的角色和权限信息以确保对资源访问的控制
与Spring集成
文件配置
以下只讲与Spring集成的过程,这部分的讲解会通过一个具体的demo进行。不会说明需要哪些jar包,包括下面的实例中涉及到的数据库部分的集成也不会涉及到,关于这部分需要读者自行学习。
用户认证检查和权限管理应该是贯穿了整个web应用,即每一个请求都需要判断该用户是否合法,明显这种操作是由过滤器来完成的,所以需要在web.xml中配置过滤器
<filter>
<filter-name>shiroFilterfilter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxyfilter-class>
<init-param>
<param-name>targetFilterLifecycleparam-name>
<param-value>trueparam-value>
init-param>
filter>
<filter-mapping>
<filter-name>shiroFilterfilter-name>
<url-pattern>/*url-pattern>
filter-mapping>注意这里配置的Filter只不过是起到一个代理的作用,它会根据targetBeanName去容器中获取bean(这个bean是实现了Filter接口的),其中的targetBeanName就是bean的名称,如果没有设置的话,那么就使用默认Filter名称。,为了方便起见我们需要在Spring配置文件中添加filter对应的bean
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager">property>
<property name="loginUrl" value="/login">property>
<property name="unauthorizedUrl" value="/unauth">property>
<property name="filterChainDefinitions">
<value>
/static/*=anon
/ftl/*=authc
value>
property>
bean>这里涉及到的几个配置如下:
- SecurityManager配置,设置shiro使用的securitymanager对象
- FilterChainDefinition用来指定对应的资源所需要的权限
对应的SecurityManager定义如下:
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="authenticationRealm" />
<property name="cacheManager" ref="cacheManager"/>
bean>可以看到这里需要注入两个属性,分别是realm和cachemanager
其中realm对应的类是我们自己定义的,这部分将会在后面具体讲到,而cachemanager则用来进行缓存处理。我们先来看看这两部分的配置:
对于cachemanager:
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml" />
bean>这里需要指定其配置属性,具体配置如下:
<ehcache updateCheck="false" name="shirocache">
<diskStore path="java.io.tmpdir"/>
<defaultCache
maxElementsInMemory="10000"
maxElementsOnDisk="0"
eternal="true"
overflowToDisk="true"
diskPersistent="false"
timeToIdleSeconds="0"
timeToLiveSeconds="0"
diskSpoolBufferSizeMB="50"
diskExpiryThreadIntervalSeconds="120"
memoryStoreEvictionPolicy="LFU"
/>
<cache name="passwordRetryCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true">
cache>
<cache name="authorizationCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true">
cache>
<cache name="authenticationCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true">
cache>
<cache name="shiro-activeSessionCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true">
cache>
<cache name="shiro_cache"
maxElementsInMemory="2000"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="0"
timeToLiveSeconds="0"
maxElementsOnDisk="0"
overflowToDisk="true"
memoryStoreEvictionPolicy="FIFO"
statistics="true">
cache>
ehcache>而对于realm,其配置比较简单,我们需要做的主体工作就是自定义一个继承了AuthorizingRealm类的对象,然后覆盖其方法即可.
<bean id="authenticationRealm" class="com.baseframe.platform.security.CustomizedAuthenticationRealm">
bean>
<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.Md5CredentialsMatcher">bean>代码实现
Step1:
初次请求时直接在浏览器导航栏请求login,其对应的controller如下:
这个方法将直接跳转到login表单界面。
Step2:
填写表单并提交,依旧是login请求,只不过这次请求是post方式发起的,其Controller如下:
Step3:
执行login()后面几步是有SecurityManager完成的,具体过程是不可见的,我们只需要关注数据来源部分,即自定义的Ream。以下是其实现:
然后需要重写下面的两个方法
验证方法
授权方法
Step4:
现在权限有了,用户有了,那么怎样用权限控制用户可以访问的资源和其能进行的操作呢?
主要有两种方式进行控制:
- 请求层面的控制
通过注解的方式控制用户的权限,如果没有该权限则无法执行该操作。例如图中使用的是@requirePermission注解。,如果用户没有“user:edit”这个权限则将跳转回编辑界面,无法保存。
2 .界面层面的控制
通过jsp标签对资源进行控制,如果没有权限则不会显示该部分内容。