ApacheShiro 是功能强大并且容易集成的开源权限框架,它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 Shiro 的一系列特征及优点,很多文章已有列举,这里不再逐一赘述,本文重点介绍 Shiro 在 Web Application 中如何实现验证码认证以及如何实现单点登录。
在揭开Shiro 面纱之前,我们需要认知用户权限模型。本文所提到用户权限模型,指的是用来表达用户信息及用户权限信息的数据模型。即能证明“你是谁?”、“你能访问多少 受保护资源?”。为实现一个较为灵活的用户权限数据模型,通常把用户信息单独用一个实体表示,用户权限信息用两个实体表示。
图 1. 用户权限模型
认证与授权
Shiro 认证与授权处理过程
在Shiro 认证与授权处理过程中,提及到 Realm。Realm 可以理解为读取用户信息、角色及权限的 DAO。由于大多 Web 应用程序使用了关系数据库,因此实现 JDBC Realm 是常用的做法,后面会提到 CAS Realm,另一个 Realm 的实现。
清单 1. 实现自己的 JDBC Realm
public class MyShiroRealm extendsAuthorizingRealm{ // 用于获取用户信息及用户权限信息的业务接口 private BusinessManagerbusinessManager; // 获取授权信息 protected AuthorizationInfodoGetAuthorizationInfo( PrincipalCollection principals) { String username = (String)principals.fromRealm( getName()).iterator().next(); if( username != null ){ // 查询用户授权信息 Collection<String>pers=businessManager.queryPermissions(username); if( pers != null &&!pers.isEmpty() ){ SimpleAuthorizationInfo info= new SimpleAuthorizationInfo(); for( String each:pers ) info.addStringPermissions(each ); return info; } } return null; } // 获取认证信息 protected AuthenticationInfodoGetAuthenticationInfo( AuthenticationToken authcToken )throws AuthenticationException { UsernamePasswordToken token =(UsernamePasswordToken) authcToken; // 通过表单接收的用户名 String username =token.getUsername(); if( username != null &&!"".equals(username) ){ LoginAccount account =businessManager.get( username ); if( account != null ){ return newSimpleAuthenticationInfo( account.getLoginName(),account.getPassword(),getName() ); } } return null; } }
代码说明:
或许有人要问,我一直在使用Spring,应用程序的安全组件早已选择了 Spring Security,为什么还需要 Shiro ?当然,不可否认 SpringSecurity 也是一款优秀的安全控制组件。本文的初衷不是让您必须选择 Shiro 以及必须放弃 Spring Security,秉承客观的态度,下面对两者略微比较:
在 Java WebApplication 开发中,Spring 得到了广泛使用;与 EJB 相比较,可以说 Spring 是主流。Shiro 自身提供了与 Spring的良好支持,在应用程序中集成 Spring 十分容易。
有了前面提到的用户权限数据模型,并且实现了自己的Realm,我们就可以开始集成 Shiro 为应用程序服务了。
Shiro 的安装
Shiro 的安装非常简单,在 Shiro官网下载shiro-all-1.2.0.jar、shiro-cas-1.2.0.jar(单点登录需要),及 SLF4J 官网下载 Shiro 依赖的日志组件slf4j-api-1.6.1.jar。Spring 相关的 JAR 包这里不作列举。这些 JAR 包需要放置到 Web 工程 /WEB-INF/lib/ 目录。至此,剩下的就是配置了。
配置过滤器
首先,配置过滤器让请求资源经过Shiro 的过滤处理,这与其它过滤器的使用类似。
清单 2. web.xml 配置
<filter> <filter-name>shiroFilter</filter-name> <filter-class> org.springframework.web.filter.DelegatingFilterProxy </filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
接下来仅仅配置一系列由 Spring容器管理的 Bean,集成大功告成。各个 Bean 的功能见代码说明。
清单 3. Spring 配置
<bean id="shiroFilter"class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <propertyname="securityManager" ref="securityManager"/> <property name="loginUrl"value="/login.do"/> <propertyname="successUrl" value="/welcome.do"/> <propertyname="unauthorizedUrl" value="/403.do"/> <propertyname="filters"> <util:map> <entry key="authc"value-ref="formAuthenticationFilter"/> </util:map> </property> <propertyname="filterChainDefinitions"> <value> /=anon /login.do*=authc /logout.do*=anon # 权限配置示例 /security/account/view.do=authc,perms[SECURITY_ACCOUNT_VIEW] /** = authc </value> </property> </bean> <beanid="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm"ref="myShiroRealm"/> </bean> <beanid="myShiroRealm" class="xxx.packagename.MyShiroRealm"> <!-- businessManager 用来实现用户名密码的查询--> <propertyname="businessManager" ref="businessManager"/> <propertyname="cacheManager" ref="shiroCacheManager"/> </bean> <beanid="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <beanid="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> <propertyname="cacheManager" ref="cacheManager"/> </bean> <beanid="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"/>
代码说明:
验证码是有效防止暴力破解的一种手段,常用做法是在服务端产生一串随机字符串与当前用户会话关联(我们通常说的放入Session),然后向终端用户展现一张经过“扰乱”的图片,只有当用户输入的内容与服务端产生的内容相同时才允许进行下一步操作。
产生验证码
作为演示,我们选择开源的验证码组件kaptcha。这样,我们只需要简单配置一个 Servlet,页面通过 IMG 标签就可以展现图形验证码。
清单 4. web.xml 配置
<!-- captcha servlet--> <servlet> <servlet-name>kaptcha</servlet-name> <servlet-class> com.google.code.kaptcha.servlet.KaptchaServlet </servlet-class> </servlet> <servlet-mapping> <servlet-name>kaptcha</servlet-name> <url-pattern>/images/kaptcha.jpg</url-pattern> </servlet-mapping>
Shiro表单认证,页面提交的用户名密码等信息,用 UsernamePasswordToken 类来接收,很容易想到,要接收页面验证码的输入,我们需要扩展此类:
清单 5. CaptchaUsernamePasswordToken
public class CaptchaUsernamePasswordTokenextends UsernamePasswordToken{ private Stringcaptcha; // 省略 getter 和setter 方法 publicCaptchaUsernamePasswordToken(String username, char[] password, boolean rememberMe, String host,Stringcaptcha) { super(username, password, rememberMe,host); this.captcha = captcha; } }
接下来我们 扩展FormAuthenticationFilter 类,首先覆盖 createToken 方法,以便获取 CaptchaUsernamePasswordToken 实例;然后增加验证码校验方法doCaptchaValidate;最后覆盖 Shiro 的认证方法 executeLogin,在原表单认证逻辑处理之前进行验证码校验。
清单 6. CaptchaUsernamePasswordToken
public class CaptchaFormAuthenticationFilterextends FormAuthenticationFilter{ publicstatic final String DEFAULT_CAPTCHA_PARAM = "captcha"; private String captchaParam =DEFAULT_CAPTCHA_PARAM; public String getCaptchaParam() { return captchaParam; } public void setCaptchaParam(StringcaptchaParam) { this.captchaParam = captchaParam; } protected StringgetCaptcha(ServletRequest request) { return WebUtils.getCleanParam(request,getCaptchaParam()); } // 创建 Token protected CaptchaUsernamePasswordTokencreateToken( ServletRequest request,ServletResponse response) { String username =getUsername(request); String password =getPassword(request); String captcha =getCaptcha(request); boolean rememberMe =isRememberMe(request); String host = getHost(request); return newCaptchaUsernamePasswordToken( username, password, rememberMe,host,captcha); } // 验证码校验 protected void doCaptchaValidate(HttpServletRequest request ,CaptchaUsernamePasswordToken token){ Stringcaptcha = (String)request.getSession().getAttribute( com.google.code.kaptcha.Constants.KAPTCHA_SESSION_KEY); if( captcha!=null && !captcha.equalsIgnoreCase(token.getCaptcha()) ){ throw new IncorrectCaptchaException("验证码错误!"); } } // 认证 protected booleanexecuteLogin(ServletRequest request, ServletResponse response) throwsException { CaptchaUsernamePasswordToken token= createToken(request, response); try { doCaptchaValidate( (HttpServletRequest)request,token); Subject subject =getSubject(request, response); subject.login(token); return onLoginSuccess(token,subject, request, response); } catch (AuthenticationException e){ return onLoginFailure(token, e,request, response); } } }
代码说明:
前面验证码校验不通过,我们抛出一个异常IncorrectCaptchaException,此类继承AuthenticationException,之所以需要扩展一个新的异常类,为的是在页面能更精准显示错误提示信息。
清单 7. IncorrectCaptchaException
public class IncorrectCaptchaException extendsAuthenticationException{ public IncorrectCaptchaException() { super(); } publicIncorrectCaptchaException(String message, Throwable cause) { super(message, cause); } public IncorrectCaptchaException(Stringmessage) { super(message); } public IncorrectCaptchaException(Throwablecause) { super(cause); } }
清单 8. 页面认证错误信息展示
Object obj=request.getAttribute( org.apache.shiro.web.filter.authc.FormAuthenticationFilter .DEFAULT_ERROR_KEY_ATTRIBUTE_NAME); AuthenticationException authExp =(AuthenticationException)obj; if( authExp != null ){ String expMsg=""; if(authExp instanceofUnknownAccountException || authExp instanceofIncorrectCredentialsException){ expMsg="错误的用户账号或密码!"; }else if( authExp instanceofIncorrectCaptchaException){ expMsg="验证码错误!"; }else{ expMsg="登录异常:"+authExp.getMessage() ; } out.print("<divclass=\"error\">"+expMsg+"</div>"); }
前面章节,我们认识了Shiro 的认证与授权,并结合 Spring 作了集成实现。现实中,有这样一个场景,我们拥有很多业务系统,按照前面的思路,如果访问每个业务系统,都要进行认证,这样是否有点难让人授受。有没有一 种机制,让我们只认证一次,就可以任意访问目标系统呢?
上面的场景,就是我们常提到的单点登录SSO。Shiro 从 1.2 版本开始对 CAS 进行支持,CAS 就是单点登录的一种实现。
Shiro CAS 认证流程
Shiro 提供了一个名为CasRealm 的类,与前面提到的 JDBC Realm 相似,该类同样包括认证和授权两部分功能。认证就是校验从 CAS 服务端返回的 ticket是否有效;授权还是获取用户权限信息。
实现单点登录功能,需要扩展CasRealm 类。
清单 9. Shiro CAS Realm
public class MyCasRealm extends CasRealm{ // 获取授权信息 protected AuthorizationInfodoGetAuthorizationInfo( PrincipalCollection principals) { //... 与前面MyShiroRealm 相同 } public String getCasServerUrlPrefix(){ return "http://casserver/login"; } public String getCasService() { return "http://casclient/shiro-cas"; } 16 }
代码说明:
实现单点登录的 Spring 配置与前面类似,不同之处参见代码说明。
清单 10. Shiro CAS Spring 配置
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <propertyname="securityManager" ref="securityManager"/> <property name="loginUrl" value="http://casserver/login?service=http://casclient/shiro-cas"/> <propertyname="successUrl" value="/welcome.do"/> <propertyname="unauthorizedUrl" value="/403.do"/> <propertyname="filters"> <util:map> <entry key="authc"value-ref="formAuthenticationFilter"/> <entry key="cas"value-ref="casFilter"/> </util:map> </property> <propertyname="filterChainDefinitions"> <value> /shiro-cas*=cas /logout.do*=anon /casticketerror.do*=anon # 权限配置示例 /security/account/view.do=authc,perms[SECURITY_ACCOUNT_VIEW] /** = authc </value> </property> </bean> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm"ref="myShiroRealm"/> </bean> <beanid="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <!-- CAS Realm--> <bean id="myShiroRealm"class="xxx.packagename.MyCasRealm"> <propertyname="cacheManager" ref="shiroCacheManager"/> </bean> <beanid="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> <propertyname="cacheManager" ref="cacheManager"/> </bean> <beanid="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"/> <!-- CAS Filter--> <bean id="casFilter"class="org.apache.shiro.cas.CasFilter"> <propertyname="failureUrl" value="casticketerror.do"/> </bean>
代码说明:
源文档 <http://www.ibm.com/developerworks/cn/java/j-lo-shiro/>