Shiro入门(1)

=============基本概念===================

什么是Apache Shiro?

  Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。

  Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API:

  •   认证 - 用户身份识别,常被称为用户“登录”;

  •   授权 - 访问控制;

  •   密码加密 - 保护或隐藏数据防止被偷窥;

  •   会话管理 - 每用户相关的时间敏感的状态。

  Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在强化了上面提到的四个要素。

核心概念:Subject,SecurityManager和Realms

Subject

  在考虑应用安全时,你最常问的问题可能是“当前用户是谁?”或“当前用户允许做X吗?”。当我们写代码或设计用户界面时,问自己这些问题很平常:应用通常都是基于用户故事构建的,并且你希望功能描述(和安全)是基于每个用户的。所以,对于我们而言,考虑应用安全的最自然方式就是基于当前用户。Shiro的API用它的Subject概念从根本上体现了这种思考方式。

  Subject一词是一个安全术语,其基本意思是“当前的操作用户”。称之为“用户”并不准确,因为“用户”一词通常跟人相关。在安全领域,术语“Subject”可以是人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。

SecurityManager

  Subject的“幕后”推手是SecurityManager。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。它是Shiro框架的核心,充当“保护伞”,引用了多个内部嵌套安全组件,它们形成了对象图。但是,一旦SecurityManager及其内部对象图配置好,它就会退居幕后,应用开发人员几乎把他们的所有时间都花在Subject API调用上。

那么,如何设置SecurityManager呢?嗯,这要看应用的环境。例如,Web应用通常会在Web.xml中指定一个Shiro Servlet Filter,这会创建SecurityManager实例,如果你运行的是一个独立应用,你需要用其他配置方式,但有很多配置选项。

  一个应用几乎总是只有一个SecurityManager实例。它实际是应用的Singleton(尽管不必是一个静态Singleton)。跟Shiro里的几乎所有组件一样,SecurityManager的缺省实现是POJO,而且可用POJO兼容的任何配置机制进行配置 - 普通的Java代码、Spring XML、YAML、.properties和.ini文件等。基本来讲,能够实例化类和调用JavaBean兼容方法的任何配置形式都可使用。

Realms

  Shiro的第三个也是最后一个概念是Realm。Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当切实与像用户帐户这类安全相关数据进行交互,执行认证(登录)和授权(访问控制)时,Shiro会从应用配置的Realm中查找很多内容。

  从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。


=======配合Spring的webApp安全管理实验===========

1、创建web工程,导入相应jar包

另外就是spring的包

2、修改web.xml

	<context-param>
		<param-name>contextConfigLocation</param-name>
		<!-- Spring配置文件路径 -->
		<param-value>classpath*:applicationContext.xml</param-value>
	</context-param>

	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>
			org.springframework.web.filter.DelegatingFilterProxy
		</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>



3、spring配置文件


<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd">

	<!-- Shiro Filter 拦截器相关配置 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- securityManager -->
		<property name="securityManager" ref="securityManager" />
		<!-- 登录路径 -->
		<property name="loginUrl" value="/login.jsp" />
		<!-- 登录成功后跳转路径 -->
		<property name="successUrl" value="/index.jsp" />
		<!-- 授权失败跳转路径 -->
		<property name="unauthorizedUrl" value="/login.jsp" />
		<!-- 过滤链定义 -->
		<property name="filterChainDefinitions">
			<value>
				/login.jsp* = anon
				/login.do* = anon
				/pages/* = authc
				/index.jsp* = authc
                               <!-- 访问这些路径必须拥有某种权限
                               /role/edit/* = perms[role:edit]  
                               /role/save = perms[role:edit]  
                               /role/list = perms[role:view]  
                               -->
                        </value>
		</property>
	</bean>

	<!-- securityManager -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="myRealm" />
	</bean>
	<!-- 自定义Realm实现 -->
	<bean id="myRealm" class="javacommon.shiro.CustomRealm" />
</beans>

过滤链配置了哪些url应该被怎样处理。Shiro内置了不少有用的过滤器:

Anon:不指定过滤器,不错是这个过滤器是空的,什么都没做,跟没有一样。Authc:验证,这些页面必须验证后才能访问,也就是我们说的登录后才能访问。这里还有其他的过滤器,我没用,比如说授权,这个比较重要,但是这个过滤器有个不好的地方,就是要带一个参数,所以如果配在这里就不是很合适,因为每个页面,或是.do的权限不一样,而我们也没法事先知道他需要什么权限。所以这里不配,我们在代码中再授权。这里.do和.jsp后面的*表示参数,比如login.jsp?main这种,是为了匹配这种。

过滤器也可以直接配置,而不使用spring为其提供参数,

<filter>
    <filter-name>ShiroFilter</filter-name>
    <filter-class>
         org.apache.shiro.web.servlet.IniShiroFilter
    </filter-class>
    <!-- 没有init-param属性就表示从classpath:shiro.ini装入INI配置 -->
</filter>
<filter-mapping>
    <filter-name>ShiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping> 


4、Realm的实现


package javacommon.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class CustomRealm extends AuthorizingRealm{
	/**
	 * 回调函数,提取当事人的角色和权限
	 * principals  当事人
	 */
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
    	//用户名
        String username = (String) principals.fromRealm(
                getName()).iterator().next();
       
        /*这些代码应该是动态从数据库中取出的,此处写死*/
        if(username!=null&&username.equals("admin")){
        	SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        	info.addRole("admin");//添加一个角色,不是配置意义上的添加,而是证明该用户拥有admin角色
        	info.addStringPermission("admin:manage");//添加权限
        	return info;
        }
        return null;
    }

   /**
    * 登录验证
    */
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authcToken ) throws AuthenticationException {
    	//令牌——基于用户名和密码的令牌
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        //令牌中可以取出用户名密码
        String accountName = token.getUsername();
        
       /*此处无需比对,比对的逻辑Shiro会做,我们只需返回一个和令牌相关的正确的验证信息,因此在随后的登录页面上只有admin/admin123才能通过验证*/
        return new SimpleAuthenticationInfo("admin","admin123",getName());
    }

}

5、处理登录

/login.jsp:

<body>
	<h3>${msg }</h3>
	<form action="LoginServlet" method="post">
		<br />用户帐号: <input type="text" name="username" id="username" value="" />
		<br />登录密码: <input type="password" name="password" id="password"
			value="" /> <br />
		<input value="登录" type="submit">
	</form>
</body>

LoginServlet代码片段:

	protected void doPost(HttpServletRequest request,
			HttpServletResponse response) throws ServletException, IOException {
		//当前Subject
		Subject currentUser = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(
				request.getParameter("username"),
				request.getParameter("password"));
		token.setRememberMe(true);
		try {
			/*
			 * 在调用了login方法后,SecurityManager会收到AuthenticationToken,并将其发送给已配置的Realm
			 * ,执行必须的认证检查。每个Realm都能在必要时对提交的AuthenticationTokens作出反应。
			 * 但是如果登录失败了会发生什么?如果用户提供了错误密码又会发生什么?通过对Shiro的运行时AuthenticationException做出反应
			 * ,你可以控制失败
			 */
			currentUser.login(token);
			request.getRequestDispatcher("/index.jsp").forward(request,
					response);
		} catch (AuthenticationException e) {//登录失败
			e.printStackTrace();
			request.setAttribute("msg", "不匹配的用户名和密码");
			request.getRequestDispatcher("/login.jsp").forward(request,
					response);
		}
	}


6、测试

直接访问/pages/**.jsp,因为这个是需要认证才能访问的页面,所以,直接访问会被转发到登录页面。

登录页面输入正确的用户名/密码,将按照LoginServlet的流程来走。

登录成功后,同一个会话再去访问那些被保护的页面或资源不需重复登录。



待解决问题:

权限的判断;

加密;




你可能感兴趣的:(shiro,安全,密码,应用)