本文共 14487 字,大约阅读时间需要 48 分钟。
Shiro概述
Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/),它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。
用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示:
Shiro概要架构
在概念层面,Shiro 架构包含三个主要的理念,如图-所示:
其中:
- Subject :主体对象,负责提交用户认证和授权信息。
- SecurityManager:安全管理器,负责认证,授权等业务实现。
- Realm:领域对象,负责从数据层获取业务数据。
Shiro详细架构
Shiro框架进行权限管理时,要涉及到的一些核心对象,主要包括:认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象以及Realm管理对象(领域对象:负责处理认证和授权领域的数据访问题)等,其具体架构如图-3所示
其中:
- Subject(主体):与软件交互的一个特定的实体(用户、第三方服务等)。
- SecurityManager(安全管理器) :Shiro 的核心,用来协调管理组件工作
- Authenticator(认证管理器):负责执行认证操作。
- Authorizer(授权管理器):负责授权检测。
- SessionManager(会话管理):负责创建并管理用户 Session生命周期,提供一个强有力的 Session 体验。
- SessionDAO:代表 SessionManager 执行 Session持久(CRUD)动作,它允许任何存储的数据挂接到 session 管理基础上。
- CacheManager(缓存管理器):提供创建缓存实例和管理缓存生命周期的功能。
- Cryptography(加密管理器):提供了加密方式的设计及管理。
- Realms(领域对象):是shiro和你的应用程序安全数据之间的桥梁。
Shiro基本环境配置
添加shiro依赖
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version></dependency>Shiro核心对象配置
基于SpringBoot 实现的项目中,没有提供shiro的自动化配置,需要我们自己配置。
第一步:创建SpringShiroConfig类。关键代码如下:
package com.cy.pj.common.config;@Configurationpublic class SpringShiroConfig { }@Configuration 注解描述的类为一个配置对象,此对象也会交给spring管理
@Bean 描述的方法其返回值会交给spring管理,spring管理这个bean默认bean名字为方法名
SecurityManager配置
第二步:在Shiro配置类中添加SecurityManager配置(这里一定要使用org.apache.shiro.mgt.SecurityManager这个接口对象),关键代码如下:
@Beanpublic SecurityManager securityManager() { DefaultWebSecurityManager sManager= new DefaultWebSecurityManager(); return sManager;}配置认证拦截实现(filter)
在Shiro配置类中添加ShiroFilterFactoryBean对象的配置。通过此对象设置资源匿名访问、认证访问。关键代码如下:
@Beanpublic ShiroFilterFactoryBean shiroFilterFactory ( SecurityManager securityManager) { ShiroFilterFactoryBean sfBean=new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问) LinkedHashMap<String,String> map= new LinkedHashMap<>(); //静态资源允许匿名访问:"anon" map.put("/bower_components/**","anon"); map.put("/build/**","anon"); map.put("/dist/**","anon"); map.put("/plugins/**","anon"); //除了匿名访问的资源,其它都要认证("authc")后访问 map.put("/**","authc"); sfBean.setFilterChainDefinitionMap(map); return sfBean; }Shiro登陆页面呈现
业务描述及设计实现。
在/templates/pages/添加一个login.html页面,然后将项目部署到web服务器,并启动测试运行.
- 第一步:在PageController中添加一个呈现登录页面的方法,关键代码如下:
@RequestMapping("doLoginUI")public String doLoginUI(){ return "login";}- 第二步:修改SpringShiroConfig类中shiroFilterFactorybean的配置,添加登陆url的设置。关键代码见sfBean.setLoginUrl("/doLoginUI")部分
@Beanpublic ShiroFilterFactoryBean shiroFilterFactory (SecurityManager securityManager) { ShiroFilterFactoryBean sfBean=new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); sfBean.setLoginUrl("/doLoginUI");//定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问) LinkedHashMap<String,String> map=new LinkedHashMap<>(); //静态资源允许匿名访问:"anon" map.put("/bower_components/**","anon"); map.put("/modules/**","anon"); map.put("/dist/**","anon"); map.put("/plugins/**","anon"); //除了匿名访问的资源,其它都要认证("authc")后访问 map.put("/**","authc"); sfBean.setFilterChainDefinitionMap(map); return sfBean;}Shiro框架认证
认证流程分析
身份认证即判定用户是否是系统的合法用户,用户访问系统资源时的认证(对用户身份信息的认证)流程图所示:
其中认证流程分析如下:
- 系统调用subject的login方法将用户信息提交给SecurityManager
- SecurityManager将认证操作委托给认证器对象Authenticator
- Authenticator将用户输入的身份信息传递给Realm。
- Realm访问数据库获取用户信息然后对信息进行封装并返回。
- Authenticator 对realm返回的信息进行身份认证。
认证服务端实现
实际案例
SysUserDao
SysUser findUserByUserName(String username)。SysUserMapper
<select id="findUserByUserName" resultType="com.cy.pj.sys.entity.SysUser"> select * from sys_users where username=#{ username} </select>Service接口及实现
本模块的业务在Realm类型的对象中进行实现,我们编写realm时,要继承
AuthorizingRealm并重写相关方法,完成认证及授权业务数据的获取及封装
shiroUserRealm
package com.cy.pj.sys.service.realm;@Servicepublic class ShiroUserRealm extends AuthorizingRealm { @Autowired private SysUserDao sysUserDao; // 设置凭证匹配器(与用户添加操作使用相同的加密算法) @Override public void setCredentialsMatcher( CredentialsMatcher credentialsMatcher) { //构建凭证匹配对象 HashedCredentialsMatcher cMatcher= new HashedCredentialsMatcher(); //设置加密算法 cMatcher.setHashAlgorithmName("MD5"); //设置加密次数 cMatcher.setHashIterations(1); super.setCredentialsMatcher(cMatcher); } /** * 通过此方法完成认证数据的获取及封装,系统 * 底层会将认证数据传递认证管理器,由认证管理器完成认证操作。 */ @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken token) throws AuthenticationException { //1.获取用户名(用户页面输入) UsernamePasswordToken upToken= (UsernamePasswordToken)token; String username=upToken.getUsername(); //2.基于用户名查询用户信息 SysUser user=sysUserDao.findUserByUserName(username); //3.判定用户是否存在 if(user==null)throw new UnknownAccountException(); //4.判定用户是否已被禁用。 if(user.getValid()==0) throw new LockedAccountException(); //5.封装用户信息 ByteSource credentialsSalt= ByteSource.Util.bytes(user.getSalt()); //记住:构建什么对象要看方法的返回值 SimpleAuthenticationInfo info= new SimpleAuthenticationInfo( user,//principal (身份) user.getPassword(),//hashedCredentials credentialsSalt, //credentialsSalt getName());//realName //6.返回封装结果 return info;//返回值会传递给认证管理器(后续 //认证管理器会通过此信息完成认证操作) } ....}重写 setCredentialsMatcher 方法-------- 设置凭证匹配器 重写
重写 doGetAuthenticationInfo 方法 -------- 完成认证数据的获取及封装
第二步:对此realm,需要在SpringShiroConfig配置类中,注入给SecurityManager对象,修改securityManager方法,见黄色背景部分
SpringShiroConfig
Controller 类实现
SysUserController
@RequestMapping("doLogin") public JsonResult doLogin(String username,String password){ //1.获取Subject对象 Subject subject=SecurityUtils.getSubject(); //2.通过Subject提交用户信息,交给shiro框架进行认证操作 //2.1对用户进行封装 UsernamePasswordToken token= new UsernamePasswordToken(username,//身份信息password);//凭证信息 //2.2对用户信息进行身份认证 subject.login(token); //分析: //1)token会传给shiro的SecurityManager //2)SecurityManager将token传递给认证管理器 //3)认证管理器会将token传递给realm return new JsonResult("login ok"); }第二步:修改shiroFilterFactory的配置,对/user/doLogin这个路径进行匿名访问的配置,查看如下黄色标记部分的代码:
SpringShiroConfig
第三步:当我们在执行登录操作时,为了提高用户体验,可对系统中的异常信息进行处理,例如,在统一异常处理类中添加如下方法:
@ExceptionHandler(ShiroException.class) @ResponseBody public JsonResult doHandleShiroException( ShiroException e) { JsonResult r=new JsonResult(); r.setState(0); if(e instanceof UnknownAccountException) { r.setMessage("账户不存在"); }else if(e instanceof LockedAccountException) { r.setMessage("账户已被禁用"); }else if(e instanceof IncorrectCredentialsException) { r.setMessage("密码不正确"); }else if(e instanceof AuthorizationException) { r.setMessage("没有此操作权限"); }else { r.setMessage("系统维护中"); } e.printStackTrace(); return r; }认证客户端实现
在/templates/pages/目录下添加登陆页面(login.html)。
点击登录操作时,将输入的用户名,密码异步提交到服务端。
$(function () { $(".login-box-body").on("click",".btn",doLogin); }); function doLogin(){ var params={ username:$("#usernameId").val(), password:$("#passwordId").val() } var url="user/doLogin"; $.post(url,params,function(result){ if(result.state==1){ //跳转到indexUI对应的页面 location.href="doIndexUI?t="+Math.random(); }else{ $(".login-box-msg").html(result.message); } }); }退出操作配置实现
在SpringShiroConfig配置类中,修改过滤规则,添加黄色标记部分代码的配置,请看如下代码:
Shiro框架授权过程实现
授权即对用户资源访问的授权(是否允许用户访问此资源),用户访问系统资源时的授权流程如图
其中授权流程分析如下:
- 系统调用subject相关方法将用户信息(例如isPermitted)递交给SecurityManager。
- SecurityManager将权限检测操作委托给Authorizer对象。
- Authorizer将用户信息委托给realm。
- Realm访问数据库获取用户权限信息并封装。
- Authorizer对用户授权信息进行判定。
添加授权配置
配置advisor对象,shiro框架底层会通过此对象的matchs方法返回值(类似切入点)决定是否创建代理对象,进行权限控制。
SpringShiroConfig
这个advisor会告诉spring框架谁是切入点方法,(详情见AOP原生处理方法)
@Beanpublic AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor (SecurityManager securityManager) { AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); return advisor;}授权服务端实现
Dao实现
业务描述及设计实现。
基于登陆用户ID,认证信息获取登陆用户的权限信息,并进行封装。
关键代码分析及实现。
Mapper实现
第一步:在SysUserRoleMapper中定义findRoleIdsByUserId元素。关键代码如下
<select id="findRoleIdsByUserId" resultType="int"> select role_id from sys_user_roles where user_id=#{ userId} </select>第二步:在SysRoleMenuMapper中定义findMenuIdsByRoleIds元素。关键代码如下:
<select id="findMenuIdsByRoleIds" resultType="int"> select menu_id from sys_role_menus where role_id in <foreach collection="roleIds" open="(" close=")" separator="," item="item"> #{ item} </foreach></select>第三步:在SysMenuMapper中定义findPermissions元素,关键代码如下:
<select id="findPermissions" resultType="string"> select permission <!-- sys:user:update --> from sys_menus where id in <foreach collection="menuIds" open="(" close=")" separator="," item="item"> #{ item} </foreach> </select>Service实现
在ShiroUserReam类中,重写对象realm的doGetAuthorizationInfo方法,并完成用户权限信息的获取以及封装,最后将信息传递给授权管理器完成授权操作。
ShiroUserRealm
@Servicepublic class ShiroUserRealm extends AuthorizingRealm { @Autowired private SysUserDao sysUserDao; @Autowired private SysUserRoleDao sysUserRoleDao; @Autowired private SysRoleMenuDao sysRoleMenuDao; @Autowired private SysMenuDao sysMenuDao; /**通过此方法完成授权信息的获取及封装*/ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { //1.获取登录用户信息,例如用户id SysUser user=(SysUser)principals.getPrimaryPrincipal(); Integer userId=user.getId(); //2.基于用户id获取用户拥有的角色(sys_user_roles) List<Integer> roleIds=sysUserRoleDao.findRoleIdsByUserId(userId); if(roleIds==null||roleIds.size()==0) throw new AuthorizationException(); //3.基于角色id获取菜单id(sys_role_menus) List<Integer> menuIds=sysRoleMenuDao.findMenuIdsByRoleIds(roleIds); if(menuIds==null||menuIds.size()==0) throw new AuthorizationException(); //4.基于菜单id获取权限标识(sys_menus) List<String> permissions= sysMenuDao.findPermissions(menuIds); //5.对权限标识信息进行封装并返回 Set<String> set=new HashSet<>(); for(String per:permissions){ if(!StringUtils.isEmpty(per)){ set.add(per); } } SimpleAuthorizationInfo info=new SimpleAuthorizationInfo(); info.setStringPermissions(set); return info;//返回给授权管理器 } 。。。。}授权访问实描述现
授权访问实描述现
在需要进行授权访问的业务层(Service)方法上,添加执行此方法需要的权限标识,参考代码@RequiresPermissions(“sys:user:update”)
说明:此要注解一定要添加到业务层方法上。
Shiro缓存配置
当我们进行授权操作时,每次都会从数据库查询用户权限信息,为了提高授权性能,可以将用户权限信息查询出来以后进行缓存,下次授权时从缓存取数据即可。
第一步:在SpringShiroConfig中配置缓存Bean对象(Shiro框架提供)。
SpringShiroConfig
@Beanpublic CacheManager shiroCacheManager(){ return new MemoryConstrainedCacheManager();}说明:这个CacheManager对象的名字不能写cacheManager,因为spring容器中已经存在一个名字为cacheManager的对象了
第二步:修改securityManager的配置,将缓存对象注入给SecurityManager对象.
说明:对于shiro框架而言,还可以借助第三方的缓存产品(例如redis)对用户的权限信息进行cache操作.
Shiro记住我
记住我功能是要在用户登录成功以后,假如关闭浏览器,下次再访问系统资源(例如首页doIndexUI)时,无需再执行登录操作。
客户端业务实现
在页面上选中记住我,然后执行提交操作,将用户名,密码,记住我对应的值提交到控制层,如图-所示:
其客户端login.html中关键JS实现:
服务端业务实现
服务端业务实现的具体步骤如下:
第一步:在SysUserController中的doLogin方法中基于是否选中记住我,设置token的setRememberMe方法。
第二步:在SpringShiroConfig配置类中添加记住我配置,关键代码如下:
二步:在SpringShiroConfig配置类中添加记住我配置,关键代码如下: @Bean public RememberMeManager rememberMeManager() { CookieRememberMeManager cManager= new CookieRememberMeManager(); SimpleCookie cookie=new SimpleCookie("rememberMe"); cookie.setMaxAge(7*24*60*60); cManager.setCookie(cookie); return cManager; }第三步:在SpringShiroConfig中修改securityManager的配置,为securityManager注入rememberManager对象。参考黄色部分代码。
第四步:修改shiro的过滤认证级别,将/=author修改为/=user,查看黄色背景部分。
Shiro会话时长配置
使用shiro框架实现认证操作,用户登录成功会将用户信息写入到会话对象中,其默认时长为30分钟,假如需要对此进行配置,可参考如下配置:
第一步:在SpringShiroConfig类中,添加会话管理器配置。关键代码如下:
@Bean public SessionManager sessionManager() { DefaultWebSessionManager sManager= new DefaultWebSessionManager(); sManager.setGlobalSessionTimeout(60*60*1000); return sManager;}第二步:在SpringShiroConfig配置类中,对安全管理器 securityManager 增加 sessionManager值的注入,关键代码如下:
获取用户登陆信息,并将登陆用户名呈现在系统主页(starter.html)上
第一步:定义一个工具类(ShiroUtils),获取用户登陆信息.
package com.cy.pj.common.util;import org.apache.shiro.SecurityUtils;import com.cy.pj.sys.entity.SysUser;public class ShiroUtils { public static String getUsername() { return getUser().getUsername(); } public static SysUser getUser() { return (SysUser) SecurityUtils.getSubject().getPrincipal(); }}第二步:修改PageController中的doIndexUI方法,代码如下
第三步:借助thymeleaf中的表达式直接在页面上(starter.html)获取登陆用户信息
发表评论
最新留言
关于作者
