在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份:
• 身份验证:一般需要提供如身份 ID 等一些标识信息来表明登录者的身 份,如提供 email,用户名/密码来证明。
在 shiro 中,用户需要提供 principals (身份)和 credentials(证 明)给 shiro,从而应用能验证用户身份:
• principals:身份,即主体的标识属性,可以是任何属性,如用户名、 邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名/邮箱/手机号。
• credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证 书等。
• 最常见的 principals 和 credentials 组合就是用户名/密码了,外两个相关的概念是之前提到的 Subject 及 Realm,分别是主体及验证主体的数据源
授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限 (Permission)、角色(Role)。
1、 主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权 后才允许访问相应的资源。
2、 资源(Resource):在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
3、 权限(Permission):安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。
4、 角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有 一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等 都是角色,不同的角色拥有一组不同的权限。
– 这种情况通常会使用三个部件:域、操作、被付诸实的实例。如:user:edit:manager
– 也可以使用通配符来定义,如:user:edit:*、user:*:*、 user:*:manager
– 部分省略通配符:缺少的部件意味着用户可以访问所 有与之匹配的值,比如:user:edit 等价于 user:edit :*、 user 等价于 user:*:*
– 注意:通配符只能从字符串的结尾处省略部件,也就是说 user:edit 并不等价于 user:*:edit
1、编程式:通过写if/else 授权代码块完成
//是否有lightsaber:weild的权限(测试用户是否有什么行为)
if (currentUser.isPermitted("lightsaber:weild")) {
log.info("----> You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
if (currentUser.isPermitted("user:delete:zhangsan")) {
log.info("----> You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'. " +"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
2、注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
1、@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即 Subject. isAuthenticated() 返回 true
2、@RequiresUser:表示当前 Subject 已经身份验证或者通过记住我登录的。
3、@RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND):表示当前 Subject 需要角色admin和user
4、@RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR):表示当前 Subject 需要权限 user:a 或user:b。
@Controller
@RequestMapping("/shiro")
public class ShiroHandler {
@Autowired
private ShiroService shiroService;
@RequestMapping("/testShiroAnnotation")
@RequiresRoles(value = {"admin","user"},logical = Logical.OR) //拥有admin或者user角色才能访问
public String testShiroAnnotation(HttpSession session){
session.setAttribute("key", "value12345");
shiroService.testMethod();
return "redirect:/list.jsp";
}
}
3、shiro标签:在JSP/GSP 页面通过相应的标签完成,提供了 JSTL 标签用于在 JSP 页面进行权限控制,如根据登录用户显示相应的页面按钮。
1、guest 标签:用户没有身份验证时显示相应信息,即游客访问信息:
欢迎访问,<登录
2、user 标签:用户已经经过认证/记住我登录后显示相应的信息。
欢迎【 】登录,<退出
3、authenticated 标签:用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的
用户【 】已经身份验证通过
4、 notAuthenticated 标签:用户未进行身份验证,即没有调用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证。
未身份验证(包括记住我)
5、hasRole 标签:如果当前 Subject 有角色将显示 body 体内容
用户【 】前往admin管理页面 Admin Page
6、hasAnyRoles 标签:如果当前Subject有任意一个角色(或的关系)将显示body体内容。
用户【 】拥有admin角色或者uer角色
7、lacksRole:如果当前 Subject 没有角色将显示 body 体内容
用户【 】没有admin角色
8、hasPermission:如果当前 Subject 有权限将显示 body 体内容
用户【 】拥有权限user:create
9、lacksPermission:如果当前Subject没有权限将显示body体内容。
用户【 】没有权限user:create
记住我(RememberMe)概述
Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝 等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁, 下次访问时无需再登录即可访问,基本流程如下:
1、首先在登录页面选中RememberMe登录成功,若是浏览器登录一般会把 RememberMe的Cookie写到客户端并保存下来
2、关闭浏览器再重新打开;会发现浏览器还是记住你的;
3、访问一般的网页服务器端还是知道你是谁,且能正常访问;
4、但是我们访问淘宝,如果要查看我的订单或进行支付时,此时还是需要再进行身份认证的,以确保当前用户还是你。
subject.isAuthenticated() :true 表示用户进行了身份验证登录的, 即使有 Subject.login 进行了登录;
subject.isRemembered():true 表示用户是通过记住我登录的,此时可能并不是真正的你(如你的朋友使用你的电脑,或者
你的cookie 被窃取)在访问的
• 两者二选一,即 subject.isAuthenticated()==true,则 subject.isRemembered()==false;反之一样。
认证和记住我使用建议:
访问一般网页:如个人在主页之类的,我们使用user 拦截 器即可,user 拦截器只要用户登录(isRemembered()||isAuthenticated())过即可访问成功;
访问特殊网页:如我的订单,提交订单页面,我们使用 authc 拦截器即可,authc 拦截器会判断用户是否是通过Subject.login(isAuthenticated()==true)登录的,如果是才放行,否则会跳转到登录页面叫你重新登录。
/user.jsp = authc,roles[user]
/admin.jsp = authc,roles[admin]
/list.jsp=user