apache shiro框架簡介
Apache Shiro是一個強大而靈活的開源安全框架,它能夠干凈利落地處理身份認(rèn)證,授權(quán),企業(yè)會話管理和加密。現(xiàn)在,使用Apache Shiro的人越來越多,因為它相當(dāng)簡單,相比比Spring Security,Shiro可能沒有Spring Security那么多強大的功能,但是在實際工作時可能并不需要那么復(fù)雜的東西,所以使用簡單的Shiro就足夠了。
以下是你可以用 Apache Shiro所做的事情:
Shiro的4大核心部分——身份驗證,授權(quán),會話管理和加密
Authentication:身份驗證,簡稱“登錄”。
Authorization:授權(quán),給用戶分配角色或者權(quán)限資源
Session Management:用戶session管理器,可以讓CS程序也使用session來控制權(quán)限
Cryptography:把JDK中復(fù)雜的密碼加密方式進(jìn)行封裝。
除了以上功能,shiro還提供很多擴展
Web Support:主要針對web應(yīng)用提供一些常用功能。
Caching:緩存可以使應(yīng)用程序運行更有效率。
Concurrency:多線程相關(guān)功能。
Testing:幫助我們進(jìn)行測試相關(guān)功能
Run As:一個允許用戶假設(shè)為另一個用戶身份(如果允許)的功能,有時候在管理腳本很有用。
Remember Me:記住用戶身份,提供類似購物車功能。
shiro框架認(rèn)證流程
Application Code:應(yīng)用程序代碼,由開發(fā)人員負(fù)責(zé)開發(fā)的
Subject:框架提供的接口,是與程序進(jìn)行交互的對象,可以是人也可以是服務(wù)或者其他,通常就理解為用戶。所有Subject 實例都必須綁定到一個SecurityManager上。我們與一個 Subject 交互,運行時shiro會自動轉(zhuǎn)化為與 SecurityManager交互的特定 subject的交互。
SecurityManager:框架提供的接口,是 Shiro的核心,代表安全管理器對象。初始化時協(xié)調(diào)各個模塊運行。然而,一旦 SecurityManager協(xié)調(diào)完畢,SecurityManager 會被單獨留下,且我們只需要去操作Subject即可,無需操作SecurityManager 。 但是我們得知道,當(dāng)我們正與一個 Subject 進(jìn)行交互時,實質(zhì)上是 SecurityManager在處理 Subject 安全操作。
Realm:可以開發(fā)人員編寫,框架也提供一些。Realms在 Shiro中作為應(yīng)用程序和安全數(shù)據(jù)之間的“橋梁”或“連接器”。他獲取安全數(shù)據(jù)來判斷subject是否能夠登錄,subject擁有什么權(quán)限。他有點類似DAO。在配置realms時,需要至少一個realm。而且Shiro提供了一些常用的 Realms來連接數(shù)據(jù)源,如LDAP數(shù)據(jù)源的JndiLdapRealm,JDBC數(shù)據(jù)源的JdbcRealm,ini文件數(shù)據(jù)源的IniRealm,properties文件數(shù)據(jù)源的PropertiesRealm,等等。我們也可以插入自己的 Realm實現(xiàn)來代表自定義的數(shù)據(jù)源。 像其他組件一樣,Realms也是由SecurityManager控制。
更詳細(xì)的圖
下面就開始shiro與SSM工程的整合使用
下載地址:http://shiro.apache.org/download.html
下載下來這兩個個文件,一個jar包,一個源碼文件
首先,第一步,將jar包導(dǎo)入到工程中
然后,第二步,在web.xml中配置spring框架提供的用于整合shiro框架的過濾器(一定要放到springmvc或struts框架過濾器的前面,為了保險起見,放到最上面就好了)
<!--配置過濾器,用于整合Shiro--><filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class></filter><filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping>
第三步,在spring配置文件中配置bean,id為shiroFilter
<!-- 配置shiro框架的過濾器工廠bean --><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/index.jsp"/> <property name="successUrl" value=""/> <property name="unauthorizedUrl" value="/noPrivilegeUI.jsp"/> <!-- 指定URL級別攔截策略 --> <property name="filterChainDefinitions"> <value> /script/** = anon /style/** = anon /index.jsp* = anon /noPrivilegeUI.jsp* = anon /user/login = anon /role/findAllRoleList = perms["角色管理"] /** = authc </value> </property></bean>
securityManager:這個屬性是必須的。
loginUrl :沒有登錄的用戶請求需要登錄的頁面時自動跳轉(zhuǎn)到登錄頁面,不是必須的屬性,不輸入地址的話會自動尋找項目web項目的根目錄下的”/login.jsp”頁面。
successUrl :登錄成功默認(rèn)跳轉(zhuǎn)頁面,可以不配置,不配置則跳轉(zhuǎn)至”/”。如果登陸前點擊的一個需要登錄的頁面,則在登錄自動跳轉(zhuǎn)到那個需要登錄的頁面。不跳轉(zhuǎn)到此。
unauthorizedUrl :沒有權(quán)限默認(rèn)跳轉(zhuǎn)的頁面。
anon: 例子/admins/** = anon 沒有參數(shù),表示可以匿名使用(需要認(rèn)證(登錄))。
authc : 例如/admins/user/** = authc 表示需要認(rèn)證(登錄)才能使用,沒有參數(shù)
roles:例子/admins/user/** = roles[admin], 參數(shù)可以寫多個,多個時必須加上引號,并且參數(shù)之間用逗號分割,當(dāng)有多個參數(shù)時,例如admins/user/** = roles["admin,guest"], 每個參數(shù)通過才算通過,相當(dāng)于hasAllRoles()方法。
perms:例子/admins/user/** = perms[user:add:*], 參數(shù)可以寫多個,多個時必須加上引號,并且參數(shù)之間用逗號分割,例如/admins/user/** = perms["user:add:*,user:modify:*"],當(dāng)有多個參數(shù)時必須每個參數(shù)都通過才通過,想當(dāng)于 isPermitedAll()方法。
Rest:例子/admins/user/** = rest[user];根據(jù)請求的方法,相當(dāng)于/admins/user/** = perms[user:method] ;其中method為post,get,delete等。
port:例子/admins/user/** = port[8081]; 當(dāng)請求的url的端口不是8081是跳轉(zhuǎn)到schemal://serverName:8081?queryString,其中schmal是協(xié)議http或https等,serverName是你訪問的host,8081是url配置里port的端口,queryString
是你訪問的url里的?后面的參數(shù)。
authcBasic:例如/admins/user/** = authcBasic; 沒有參數(shù)表示httpBasic認(rèn)證
ssl:例子/admins/user/** = ssl;沒有參數(shù),表示安全的url請求,協(xié)議為https
user:例如/admins/user/** = user; 沒有參數(shù)表示必須存在用戶,當(dāng)?shù)侨氩僮鲿r不做檢查
注:anon,authcBasic,auchc,user是認(rèn)證過濾器,
perms,roles,ssl,rest,port是授權(quán)過濾器
第四步:配置安全管理器
<!-- 配置安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"/>
第五步:寫一個login方法,使用shiro提供的方式進(jìn)行認(rèn)證操作
這是我之前的login方法,以這種方法,shiro是不知道登錄驗證通過了的,一直不通過,所以我們要以shiro提供的認(rèn)證操作方式進(jìn)行登錄操作
/** * 登錄 */@RequestMapping("/login")public String login(User user, HttpServletRequest request, Model model){ HttpSession session = request.getSession(); User newUser = userService.login(user); if(newUser != null){ session.setAttribute("loginUser",newUser); return "home/home"; } model.addAttribute("errorMessage","用戶名或者密碼不正確!"); return "forward:/index.jsp";}修改后的login方法
/** * 使用Shiro框架提供的方式進(jìn)行認(rèn)證登錄 */@RequestMapping("/login")public String login(User user, HttpServletRequest request, Model model){ HttpSession session = request.getSession(); //使用Shiro框架提供的方式進(jìn)行認(rèn)證 Subject subject = SecurityUtils.getSubject(); //獲得當(dāng)前登錄用戶對象,現(xiàn)在狀態(tài)為 “未認(rèn)證” //用戶名密碼令牌 AuthenticationToken token = new UsernamePasswordToken(user.getLoginName(), MD5Utils.md5(user.getPassword())); try{ subject.login(token); //執(zhí)行你自定義的Realm User user1 = (User) subject.getPrincipal(); session.setAttribute("loginUser",user1); return "home/home"; }catch(UnknownAccountException e){ e.printStackTrace(); model.addAttribute("errorMessage","此用戶名不存在!"); }catch(IncorrectCredentialsException e){ e.printStackTrace(); model.addAttribute("errorMessage","密碼不正確!"); }catch(Exception e){ e.printStackTrace(); } return "forward:/index.jsp";}第六步:自定義realm,并注入給安全管理器
創(chuàng)建一個UserRealm類,繼承AuthorizingRealm這個類
public class UserRealm extends AuthorizingRealm{ @Autowired private UserDao userDao; //認(rèn)證方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { System.out.println("realm中的認(rèn)證方法執(zhí)行了。。。。"); UsernamePasswordToken myToken = (UsernamePasswordToken) token; String loginName = myToken.getUsername(); //根據(jù)用戶名查詢數(shù)據(jù)庫中的用戶,這個方法是自己寫的 User user = userDao.findUserByLoginName(loginName); if(user == null){ //用戶名不存在 return null; } //如果能查詢到,再由框架比對數(shù)據(jù)庫中查詢到的密碼和頁面提交的密碼是否一致 AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName()); return info; } //授權(quán)方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { return null; }}將自定義realm注入給安全管理器
<!-- 配置安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <!-- 注入realm --> <property name="realm" ref="userRealm"/> </bean> <!-- 注冊自定義realm --> <bean id="userRealm" class="com.demo.privilege.service.realm.UserRealm"/>
到這里程序就可以正常運行了,登錄后進(jìn)入首頁
但是點擊角色管理,會進(jìn)入沒有權(quán)限的頁面
這是因為我在spring配置文件中配置了 /role/findAllRoleList = perms["角色管理"],而我還沒有給當(dāng)前用戶授權(quán),所以當(dāng)前用戶沒有權(quán)限訪問此路徑
所以要給該用戶授權(quán),在UserRealm類中,編寫授權(quán)方法
//授權(quán)方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){ SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); User user = (User) principals.getPrimaryPrincipal(); for (Role role : user.getRoles()){ for (Privilege privilege : role.getPrivileges()){ info.addStringPermission(privilege.getName()); } } return info; }這樣,就可以正常訪問了,這個授權(quán)方法是在訪問/role/findAllRoleList這個路徑時,shiro框架自動調(diào)用的
我們之前進(jìn)行權(quán)限控制是在spring配置文件中配置了 /role/findAllRoleList = perms["角色管理"] ,現(xiàn)在介紹另一種方式,也是我比較喜歡的方式, 使用注解方式進(jìn)行權(quán)限控制
使用shiro的方法注解方式權(quán)限控制
第一步:在springmvc配置文件中開啟shiro注解支持(注意:springmvc框架,放到springmvc配置文件中,struts放到spring配置文件中)
<!-- 保證實現(xiàn)了Shiro內(nèi)部lifecycle函數(shù)的bean執(zhí)行 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <!-- 開啟shiro框架注解支持 --> <!-- 自動代理 --> <bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <!-- value必須設(shè)置為true使用cglib方式為對象創(chuàng)建代理對象, 默認(rèn)為false,設(shè)為false,就是使用JDK方式為對象創(chuàng)建代理對象,程序會出錯 --> <property name="proxyTargetClass" value="true"/> </bean> <!-- 配置shiro框架提供的切面類,用于創(chuàng)建代理對象 --> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
第二步:在Controller的方法上使用shiro注解------ @RequiresPermissions("") 執(zhí)行這個方法必須有相應(yīng)的權(quán)限
/** * 查詢崗位列表 */ @RequiresPermissions("角色列表") //執(zhí)行這個方法必須有角色列表這個權(quán)限 @RequestMapping("/findAllRoleList") public String findAllRoleList(Model model){ List<Role> roleList = roleService.findAllRoleList(); model.addAttribute("roleList",roleList); return "role/list"; }@RequiresAuthentication
驗證用戶是否登錄,等同于方法subject.isAuthenticated() 結(jié)果為true時。
@ RequiresUser
驗證用戶是否被記憶,user有兩種含義:
一種是成功登錄的(subject.isAuthenticated() 結(jié)果為true);
另外一種是被記憶的( subject.isRemembered()結(jié)果為true)。
@ RequiresGuest
驗證是否是一個guest的請求,與@ RequiresUser完全相反。
換言之,RequiresUser == ! RequiresGuest 。
此時subject.getPrincipal() 結(jié)果為null.
@ RequiresRoles
例如:
@RequiresRoles("aRoleName"); void someMethod();如果subject中有aRoleName角色才可以訪問方法someMethod。如果沒有這個權(quán)限則會拋出異常AuthorizationException。
@RequiresPermissions
例如:
@RequiresPermissions( {"file:read", "write:aFile.txt"} ) void someMethod();要求subject中必須同時含有file:read和write:aFile.txt的權(quán)限才能執(zhí)行方法someMethod()。否則拋出異常AuthorizationException。
注解方式的權(quán)限控制就完成了,但這種方式?jīng)]有權(quán)限時不會自動跳轉(zhuǎn)到?jīng)]有權(quán)限的頁面,而是直接把異常拋到頁面了,所以我們要配置一個全局的異常處理
第三步:在springmvc配置文件中,進(jìn)行如下配置,配置全局異常捕獲,當(dāng)shiro框架拋出權(quán)限不足異常時,跳轉(zhuǎn)到權(quán)限不足提示頁面
<!-- 全局異常處理 --> <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver"> <property name="exceptionMappings"> <props> <prop key="org.apache.shiro.authz.UnauthorizedException">redirect:/noPrivilegeUI.jsp</prop> </props> </property> </bean>
使用shiro提供的頁面標(biāo)簽方式權(quán)限控制
最后,說一說shiro提供的頁面標(biāo)簽
第一步:在jsp頁面中引入shiro的標(biāo)簽庫
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>
第二步:使用shiro的標(biāo)簽控制頁面元素展示
這樣,一個shiro入門程序就完成了。
總結(jié)
以上所述是小編給大家介紹的Apache shiro的簡單介紹與使用教程(與spring整合使用),希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復(fù)大家的。在此也非常感謝大家對VEVB武林網(wǎng)網(wǎng)站的支持!
新聞熱點
疑難解答
