- 权限概述(认证、授权)
- 系统提供了很多功能,并不是所有的用户登录系统都可以操作这些功能。我们需要对用户的访问进行控制。
- 登录用户-【超级管理员】-【客服】-【快递员】-【人事】- 【财务】-角色
- 认证:系统提供的用于识别用户身份的功能(通常是登录功能)-----让系统知道你是谁
- 授权:系统提供的赋予用户访问某个功能的能力-----让系统知道你能做什么
- 常见的权限控制的方式
- 第一种:URL拦截权限控制(基于过滤器或者拦截器)
- 第二种:方法注解权限控制(基于代理技术)
- 权限模块数据模型
- 权限的表设计
- 用户表:t_user
- 用户角色关系表:user_role
- 角色表:auth_role
- 角色权限关系表:role_function
- 权限表:auth_function
- apache shiro
- Apache Shiro简介
- 是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。
- 使用 Shiro,您就能够为您的应用程序提供安全性而又无需从头编写所有代码。
- 官网:http://shiro.apache.org/
- 提供的功能
-
- Apache Shiro能做的事情
- 验证用户
- 对用户执行访问控制,如:
判断用户是否拥有角色admin。
判断用户是否拥有访问的权限
- 在任何环境下使用 Session API。例如CS程序。
- 可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。
- 单点登录(SSO)功能。
- “Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。
-
- 单点登录(SSO)【了解】
- 单点登录(Single Sign On)简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。
- SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
- 举例:登录了淘宝,不用登录也可以天猫
-
- Shiro的4大功能
- Authentication:身份验证,简称“登录”。
- Authorization:授权,给用户分配角色或者权限资源
- Session Management:用户session管理器,可以让CS程序也使用session来控制权限
- Cryptography:把JDK中复杂的密码加密方式进行封装。
-
- Shiro其它扩展功能
- Web Support:主要针对web应用提供一些常用功能。
- Caching:缓存可以使应用程序运行更有效率。
- Concurrency:多线程相关功能。
- Testing:帮助我们进行测试相关功能
- "Run As":一个允许用户假设为另一个用户身份(如果允许)的功能,有时候在管理脚本很有用。
- “Remember Me”:记住用户身份,提供类似购物车功能。
- Shiro的下载
- 访问官网下载shiro-all-1.3.2.jar即可
- 源码下载:https://github.com/apache/shiro
- shiro-cas:用于单点登录
- shiro-quartz:用于定时任务调度
-
- Shiro的的包结构
-
- Shiro的工作原理图
-
- Shiro的Subject
- Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。
- 所有Subject 实例都必须绑定到一个SecurityManager上。
- 我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。
-
- Shiro的SecurityManager
- SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。
- 然而,一旦 SecurityManager协调完毕,SecurityManager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。
- 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作。
-
- Shiro的Realm
- Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。
- 他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。
- 在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如
- LDAP数据源的JndiLdapRealm,
- JDBC数据源的JdbcRealm,
- ini文件数据源的IniRealm,
- properties文件数据源的PropertiesRealm,等等。
- 我们也可以插入自己的 Realm实现来代表自定义的数据源。
- 像其他组件一样,Realms也是由SecurityManager控制
-
- Shiro的知识总结图
-
- Shiro的过滤器、拦截器
- Shiro提供了很多过滤器
- anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
- authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
- roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,
例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
- perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割
例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
- rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
- port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,
其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
- authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
- ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
- user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
- 注:anon,authcBasic,auchc,user是认证过滤器,perms,roles,ssl,rest,port是授权过滤器
- Shiro与Spring的整合(shiro的认证功能)
以前使用struts的拦截器Interceptor实现【干掉】
- 实现shiro的认证功能
- 步骤:
- 第一步:
- 导入shiro-all-1.3.2.jar包
- 第二步:
- 在web.xml配置一个过滤器代理,(这个代理是属于spring-web.jar里的 )
<filter> <filter-name>shiroFilterfilter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxyfilter-class> filter> <filter-mapping> <filter-name>shiroFilterfilter-name> <url-pattern>/*url-pattern> filter-mapping> |
- 配置完后,直接运行会有正面的错误,需要在spring中配置一个过滤器
-
- 第三步:
- 配置shiro的一个过滤器bean
- Shiro提供了一个ShiroFilterFactoryBean 工厂Bean
- 这个工厂Bean有一些属性要设置
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager">property>
<property name="loginUrl" value="/login.jsp"/>
<property name="successUrl" value="/index.jsp">property>
<property name="unauthorizedUrl" value="/unauthorize.jsp">property>
<property name="filterChainDefinitions"> <value> /validatecode.jsp* = anon /userAction_login = anon /* = authc value> property> bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
bean> |
-
- 第四步:
- 修改Action的登录逻辑
public String login(){ HttpServletRequest request = ServletActionContext.getRequest();
String checkCodeInSession = (String) request.getSession().getAttribute("key"); if(StringUtils.isNotBlank(checkCodeInSession) && checkCodeInSession.equals(this.checkcode)){ //1.返回当前的用户,未认证状态 Subject subject = SecurityUtils.getSubject();
//2.构造一个用户令牌 String pwd = MD5Utils.md5(model.getPassword()); String name = model.getUsername(); AuthenticationToken token = new UsernamePasswordToken(name,pwd);
try { //登录验证 subject.login(token); //登录失败会抛出异常 } catch (AuthenticationException e) { //UnknownAccountException this.addActionError("用户名密码不正确"); return "loginfailure"; } User user = (User) subject.getPrincipal(); ServletActionContext.getRequest().getSession().setAttribute("loginUser", user); return "home"; }else{ this.addActionError("验证码不正确"); return "loginfailure"; }
} |
-
- 第五步:
- 自定义一个Rleam,然后在spring的DefaultWebSecurityManager中注入Realm
public class BOSRealm extends AuthorizingRealm{ @Autowired private IUserDao userDao;
//认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // TODO Auto-generated method stub // TODO Auto-generated method stub UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); User user = userDao.findByUsername(username); if(user == null){ //用户不存在 }else{ //获取密码 String pwd = user.getPassword(); /*返回简单认证信息对象 * principal the 'primary' principal associated with the specified realm * .credentials the credentials that verify the given principal * .realmName the realm from where the principal and credentials were acquired * 参数1:与指定realm关联的主体(用户) * 参数2:密码 * 参数3:当前类名 * */ SimpleAuthenticationInfo info = new SimpleAuthenticationInfo (user, pwd, this.getClass().getSimpleName()); return info;//返回后,由安全管理器比较密码是否正确 } System.out.println("AuthenticatingRealm-doGetAuthenticationInfo"); return null; }
//授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
return null; } } |
-
- 第六步:
在securityMananger中配置一个realm
- Shiro的授权功能初次体验
- 步骤:
- 第一步:
- 在spring的filterChainDefinitions多配置一个路径的访问权限
- page_base_staff = perms["staff"]
- 第二步:
- 在BosRealm中的授权方法中,进行授权
//授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.addStringPermission("staff"); return info; } |
-
- 第三步:
- 在配置成page_base_staff = roles["staff"]
- 不改代码情况下,page_base_staff会没有权限访问,需要在第二步中添加角色
- Shiro提供权限的控制方式
- URL拦截权限控制
- 方法注解权限控制
步骤
-
-
- 第一步:
-
- 在spring中配置shiro注解
<bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<property name="proxyTargetClass" value="true">property> bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/> |
-
-
- 第二步:
-
- 在Action的方法上使用shiro的注解描述执行当前方法需要具有的权限
- 这里给StaffAction的save方法添加一个staff权限
@RequiresPermissions(value="staff") public String save(){
return "list"; } |
https://www.cnblogs.com/ToddleLobster/articles/7941624.html
http://www.iteye.com/problems/94322
第三步
- 在spring中配置一个staffAction的Bean
- 在Action中无法注入Service的情况,手动创建一个action的bean即可,这个具体原因还没研究透
-
-
- 第五步:
-
配置一个全局的权限url
-
-
- 第六步:
-
- 在BOSRealm添加授权staff的权限
-
- 页面标签权限控制
第一步:在jsp页面中引入shiro的标签
第二步:使用shiro的标签根据当前用户拥有的权限动态展示页面元素
<shiro:hasPermission name="staff"> <a id="save" icon="icon-save" href="#" class="easyui-linkbutton" plain="true" >保存a> shiro:hasPermission> |
-
- 代码级别控制
使用ehcache缓存权限数据
第一步:导入ehcache的jar包项目中
第二步:提供ehcache的xml配置文件(可以从jar包中获得)
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">
<diskStore path="java.io.tmpdir"/> <defaultCache maxElementsInMemory="10000" eternal="false" timeToIdleSeconds="120" timeToLiveSeconds="120" overflowToDisk="true" maxElementsOnDisk="10000000" diskPersistent="false" diskExpiryThreadIntervalSeconds="120" memoryStoreEvictionPolicy="LRU" /> ehcache>
|
第三步:在spring配置文件中添加授权缓存策略
<bean id="realm" class="com.gyf.bos.web.shiro.BOSRealm">bean>
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="realm">property>
<property name="cacheManager" ref="cacheManager"/> bean> |