Shiro使用笔记
来源:互联网 发布:流行的网络歌手 编辑:程序博客网 时间:2024/06/07 10:02
0 本文主要涉及
shiro在基于Spring和SpringMVC的前后端分离的JavaWeb项目中认证和授权授权功能的使用
1 shiro简介
shiro是Apache提供的开源的基于Java实现的安全框架
官网:http://shiro.apache.org/index.html
优点:配套功能完善,接口易于使用
主要功能:身份验证,权限验证,会话管理、加密等等
基本架构:
Subject :实体,代表当前用户,方便交互,实际功能逻辑是由SecurityManager实现
SecurityManager : 安全管理器,负责所有与安全相关的操作,是Shiro的核心,负责与Shiro的其他组件进行交互
Realm : Shiro从Realm获取安全数据(如用户,角色,权限),数据源,需要我们自己实现并提供给框架
Authenticator : 负责身份验证,提供接口,需要我们自己实现并提供给框架
Authorizer :负责权限验证,提供接口,需要我们自己实现并提供给框架
SessionManager 会话管理器,不仅仅可以在Web环境中使用,也可以在普通javaSE中使用
SessionDAO:所有会话的CRUD功能
CacheManager:缓存控制器,来管理用户,角色,权限等的缓存
Cryptography : 密码模块,提供了一些常见的加密组件用于加密和解密
2 shiro配置集成
0 依赖配置
使用了Maven进行项目依赖管理,JavaWeb基础的依赖这里就不多说了,Shiro相关的如下
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version></dependency><dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.4.0</version></dependency><dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version></dependency><dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version>1.4.0</version></dependency><dependency> <groupId>de.svenkubiak</groupId> <artifactId>jBCrypt</artifactId> <version>0.4.1</version></dependency><dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache</artifactId> <version>2.10.2</version></dependency>
1 继承实现一个Realm,实现认证和授权的接口
Shiro框架不会去维护用户、角色和权限,需要我们自己去设计/提供,然后通过相应的接口注入给Shiro使用。
具体的,首先设计用户 角色和权限的表(简单的就三个表,一个用户有一种角色,每种角色有多种权限,复杂的可以建中间表实现多对多的映射关系)
然后实现一个基本的认证和鉴权所需的DAO,大概需要根据用户名获取用户,根据用户名获取角色集合,根据用户名获取权限集合(不一定是这样的,可以根据自己Realm的实现所需提供对应的DAO方法)
继承AuthorizingRealm实现一个自己的Realm,在Realm中主要工作就是实现doGetAuthorizationInfo(认证),doGetAuthenticationInfo(鉴权)两个方法,代码如下(代码中使用了BCrypt一种更方便的加盐hash方案,还带有重复登录限制逻辑)
具体的,首先设计用户 角色和权限的表(简单的就三个表,一个用户有一种角色,每种角色有多种权限,复杂的可以建中间表实现多对多的映射关系)
然后实现一个基本的认证和鉴权所需的DAO,大概需要根据用户名获取用户,根据用户名获取角色集合,根据用户名获取权限集合(不一定是这样的,可以根据自己Realm的实现所需提供对应的DAO方法)
继承AuthorizingRealm实现一个自己的Realm,在Realm中主要工作就是实现doGetAuthorizationInfo(认证),doGetAuthenticationInfo(鉴权)两个方法,代码如下(代码中使用了BCrypt一种更方便的加盐hash方案,还带有重复登录限制逻辑)
public class MyRealm extends AuthorizingRealm{ @Autowired private AuthorityService authorityService;//底层调用了上面所说的DAO public MyRealm() { super(); //BcryptPasswordMatcher setCredentialsMatcher(new CredentialsMatcher() { @Override public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) { UsernamePasswordToken userToken = (UsernamePasswordToken) token; String name = userToken.getUsername(); String password = new String(userToken.getPassword()); String hashed = info.getCredentials().toString(); //重复登陆限制 Cache<Object, Object> passwordRetryCache = getCacheManager().getCache("passwordRetryCache"); Integer count = (Integer) passwordRetryCache.get(name); if(count == null) { passwordRetryCache.put(name, 1); } else { passwordRetryCache.put(name, count++); if(count > 5) { throw new ExcessiveAttemptsException(); } } boolean matches = BCrypt.checkpw(password, hashed); if(matches) { passwordRetryCache.remove(name); } return matches; } }); } /** * 用于的权限的认证。 * * @param principalCollection * @return */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String username = principalCollection.getPrimaryPrincipal().toString(); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); //用户角色(role)放入到Authorization里。 Set<String> roleName = authorityService.getRoles(username); info.setRoles(roleName); //用户权限(permission)放入到Authorization里。 Set<String> permissions = authorityService.getPermissions(username); info.setStringPermissions(permissions); return info; } /** * 首先执行这个登录验证 * * @param authenticationToken * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { //UsernamePasswordToken对象用来存放提交的登录信息 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; //获取用户账号 String username = token.getUsername(); //查出是否有此用户 UserEntity user = authorityService.getUserByUsername(username); if(user != null) { //若存在,将用户账号和密码存放到 authenticationInfo用于后面的权限判断。第三个参数传入realName。 return new SimpleAuthenticationInfo(user.getName(), user.getPassword(), user.getRealName()); } else { // 用户名不存在抛出异常 throw new UnknownAccountException(); } }}
2 配置缓存
缓存通过EhCache实现
在缓存的SpringBean中写入shiroEncacheManager
1 配置自定义Realm
在缓存的SpringBean中写入shiroEncacheManager
<!--shiro缓存管理--><bean id="shiroEncacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager" p:cache-manager-ref="ehcache"/>具体缓存申明如下
<ehcache> <!-- 指定一个文件目录,当EhCache把数据写到硬盘上时,将把数据写到这个文件目录下 --> <diskStore path="java.io.tmpdir"/> <!-- 缓存配置 name:缓存名称。 maxElementsInMemory:缓存最大个数。 eternal:对象是否永久有效,一但设置了,timeout将不起作用。 timeToIdleSeconds:设置对象在失效前的允许闲置时间(单位:秒)。仅当eternal=false对象不是永久有效时使用,可选属性,默认值是0,也就是可闲置时间无穷大。 timeToLiveSeconds:设置对象在失效前允许存活时间(单位:秒)。最大时间介于创建时间和失效时间之间。仅当eternal=false对象不是永久有效时使用,默认是0.,也就是对象存活时间无穷大。 overflowToDisk:当内存中对象数量达到maxElementsInMemory时,Ehcache将会对象写到磁盘中。 diskSpoolBufferSizeMB:这个参数设置DiskStore(磁盘缓存)的缓存区大小。默认是30MB。每个Cache都应该有自己的一个缓冲区。 maxElementsOnDisk:硬盘最大缓存个数。 diskPersistent:是否缓存虚拟机重启期数据 Whether the disk store persists between restarts of the Virtual Machine. The default value is false. diskExpiryThreadIntervalSeconds:磁盘失效线程运行时间间隔,默认是120秒。 memoryStoreEvictionPolicy:当达到maxElementsInMemory限制时,Ehcache将会根据指定的策略去清理内存。默认策略是LRU(最近最少使用)。你可以设置为FIFO(先进先出)或是LFU(较少使用)。 clearOnFlush:内存数量最大时是否清除。 maxBytesLocalHeap是用来限制缓存所能使用的堆内存的最大字节数的,其单位可以是K、M或G,不区分大小写。默认是0,表示不限制 maxBytesLocalOffHeap是用来限制缓存所能使用的非堆内存的最大字节数,其单位也可以是K、M或G。默认是0,表示不限制。 maxBytesLocalDisk是用来限制缓存所能使用的磁盘的最大字节数的,其单位可以是K、M或G。默认是0,表示不限制。只有在单机环境下才可以使用本地磁盘 maxEntriesLocalHeap是用来限制当前缓存在堆内存上所能保存的最大元素数量的 --> <defaultCache maxElementsInMemory="10000" eternal="false" timeToIdleSeconds="120" timeToLiveSeconds="120" overflowToDisk="true"/> <cache name="authorizationCache" maxElementsInMemory="2000" eternal="false" timeToIdleSeconds="3600" timeToLiveSeconds="0" overflowToDisk="false" statistics="true"> </cache> <cache name="authenticationCache" maxElementsInMemory="2000" eternal="false" timeToIdleSeconds="3600" timeToLiveSeconds="0" overflowToDisk="false" statistics="true"> </cache> <cache name="shiro-activeSessionCache" maxElementsInMemory="2000" eternal="false" timeToIdleSeconds="3600" timeToLiveSeconds="0" overflowToDisk="false" statistics="true"> </cache> <!-- 登录记录缓存 锁定10分钟 --> <cache name="passwordRetryCache" maxElementsInMemory="2000" eternal="false" timeToIdleSeconds="3600" timeToLiveSeconds="0" overflowToDisk="false" statistics="true"> </cache></ehcache>
3 在web.xml中配置shiro的过滤器
<!-- shiro过滤器定义 --><filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 --> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param></filter><filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping>
4 定义Shiro的SpringBean
1 配置自定义Realm
<!-- 保证实现了Shiro内部lifecycle函数的bean执行 --><bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/><!-- 配置自定义Realm --><bean id="myRealm" class="com.cetiti.application.modules.authority.MyRealm"> <property name="cachingEnabled" value="true"/> <property name="authenticationCachingEnabled" value="true"/><!-- 启用身份验证缓存,即缓存AuthenticationInfo信息,默认false --> <property name="authenticationCacheName" value="authenticationCache"/><!-- 缓存AuthenticationInfo信息的缓存名称 --> <property name="authorizationCachingEnabled" value="true"/><!-- 启用授权缓存,即缓存AuthorizationInfo信息,默认false --> <property name="authorizationCacheName" value="authorizationCache"/><!-- 缓存AuthorizationInfo信息的缓存名称 --></bean>
2 配置安全管理器
<!-- rememberMe管理器相关 --><!-- rememberMe Cookie模板--><bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie"> <constructor-arg value="rememberMe"/><!--名称--> <property name="httpOnly" value="true"/> <property name="maxAge" value="2592000"/><!-- 30天(单位:秒) --></bean><bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager"> <!-- rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)--> <!-- cipherKey是加密rememberMe Cookie的密钥;默认AES算法 --> <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}"/> <property name="cookie" ref="rememberMeCookie"/></bean><!-- 会话管理器相关 --><!-- 会话Cookie模板--><bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie"> <constructor-arg value="sessionId"/> <property name="httpOnly" value="true"/> <property name="maxAge" value="-1"/><!--maxAge=-1表示浏览器关闭时失效此Cookie--></bean><!-- 会话ID生成器 --><bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"/><!-- 会话DAO --><bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO"> <!-- 设置Session缓存名字,默认就是shiro-activeSessionCache --> <property name="activeSessionsCacheName" value="shiro-activeSessionCache"/> <property name="sessionIdGenerator" ref="sessionIdGenerator"/></bean><!-- 会话验证调度器 --><bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler"> <property name="sessionValidationInterval" value="1800000"/><!--设置调度时间间隔 半小时 默认值为1小时--> <property name="sessionManager" ref="sessionManager"/></bean><bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name="globalSessionTimeout" value="1800000"/> <!-- 设置全局会话超时时间 半小时 --> <property name="deleteInvalidSessions" value="true"/> <!-- 删除过期的会话 --> <property name="sessionValidationSchedulerEnabled" value="true"/> <!-- 是否开启会话验证器 默认开启 --> <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/> <!-- 设置会话调度器 --> <property name="sessionDAO" ref="sessionDAO"/> <!-- 是否启用Session Id Cookie,默认是启动;如果是禁用则默认使用servlet容器的 JSESSIONID --> <property name="sessionIdCookieEnabled" value="true"/> <property name="sessionIdCookie" ref="sessionIdCookie"/></bean><!-- 配置安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myRealm"/> <property name="cacheManager" ref="shiroEncacheManager"/> <property name="rememberMeManager" ref="rememberMeManager"/> <property name="sessionManager" ref="sessionManager"/><!--会话管理--></bean><!-- 静态注入,相当于调用SecurityUtils.setSecurityManager(securityManager) --><bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean"> <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/> <property name="arguments" ref="securityManager"/></bean>
3 设置Shiro过滤器
注意:有顺序优先级,匿名的url配置要放在有登录或者用户限制的前面
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- Shiro的核心安全接口,这个属性是必须的 --> <property name="securityManager" ref="securityManager"/> <!-- 身份认证失败,则跳转到登录页面的配置 --> <!--<property name="loginUrl" value="/jsp/login.jsp"/>--> <property name="loginUrl" value="/authority/notLogin"/> <!-- 权限认证失败,则跳转到指定页面 --> <!--<property name="unauthorizedUrl" value="/jsp/noAccess.jsp"/>--> <property name="unauthorizedUrl" value="/authority/noAccess"/> <!-- Shiro连接约束配置,即过滤链的定义 --> <property name="filterChainDefinitions"> <!--过滤定义,从上而下,蒋匿名的anon放最下面,小心配置,否则容易出现页面重定向死循环--> <value> <!--anon 表示匿名访问,不需要认证以及授权--> <!--静态资源--> /js/**=anon /css/**=anon /img/**=anon /lib/**=anon <!--登录注册入口--> /authority/signup*=anon /jsp/login*=anon /authority/login*=anon /authority/notLogin*=anon /authority/noAccess*=anon <!--authc表示需要认证 没有进行身份认证是不能进行访问的--> <!--/** = authc--> <!--用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc--> /jsp/dict*=roles[admin] <!--/user/add=roles[manager]--> <!--/user/del/**=roles[admin]--> <!--/user/edit/**=roles[manager]--> <!--/user=perms[user:del]--> <!--/student=roles[teacher]--> <!--/teacher=perms["user:create"]--> /** = user </value> </property></bean>
4 在springmvcbean中配置拦截器和开启注解功能
<!-- 开启Shiro URL权限控制 注解 --><bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true"/></bean><bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/></bean>
3 shiro常用示例
1 登录
Subject subject = SecurityUtils.getSubject();//err.println(LogUtils.format(BCrypt.hashpw(user.getPassword(), BCrypt.gensalt())));UsernamePasswordToken token = new UsernamePasswordToken(user.getName(), user.getPassword(), rememberMe);//设置是否保持登录try{ subject.login(token); AuthorityHelper.setCurrentUserEntity(authorityService.getUserByUsername(SecurityUtils.getSubject().getPrincipal().toString()));//自定义工具方法保存当前用户DO //if(WebUtils.getSavedRequest(request) != null) //{ // //配合前端实现登陆前页面跳转 // return WebUtils.getAndClearSavedRequest(request).getRequestUrl(); //} //else //{ return "登录成功!"; //}}catch(UnknownAccountException e){ e.printStackTrace(); throw new RuntimeException("用户名不存在!");}catch(ExcessiveAttemptsException e){ e.printStackTrace(); throw new RuntimeException("登录失败次数过多!10分钟后重试");}catch(IncorrectCredentialsException e){ e.printStackTrace(); throw new RuntimeException("密码错误!");}catch(AuthenticationException e){ e.printStackTrace(); throw new RuntimeException("登录出错!");}
2 Shiro注解使用
常用注解
一般Authentication或者User(这两个区别是是否通过通过“记住我”登录)会在过滤器的url中统一限制
- @RequiresAuthentication : 表示当前Subject已经通过Login进行身份验证
- @RequiresUser : 表示当前Subject已经身份验证或者通过记住我登录
- @RequiresGuest : 表示当前Subject已经没有身份验证或通过记住我登录,即是游客身份
- @RequiresRoles(value={"admin", "user"}, Logical.AND) : 表示当前Subject需要admin和user角色
- @RequiresPermissions(value={"user:a", "user:b"}) : 表示当前Subject需要权限user:a或user:b
一般Authentication或者User(这两个区别是是否通过通过“记住我”登录)会在过滤器的url中统一限制
关于如何限制权限,简单的直接通过RequiresRoles批量限制,如果是具体某个权限则通过RequiresPermissions来限制
理论上最好的方式是面向资源进行权限限制(即使用RequiresPermissions给不同资源设置权限)然后根据角色分配资源(设置权限),这样便于动态控制(用户表,角色表,资源权限表,角色资源权限表),参考http://globeeip.iteye.com/blog/1236167
3会话管理
当前会话Subject.getSession();//获取会话,默认为Subject.getSession(true)即当前没有创建Session则会创建, Subject.getSession(false)即当前没有Session返回NULLsession.getId(); //获取当前会话的唯一标示session.getHost(); //获取当前Subject的主机地址session.getTimeout() & session.setTimeout(毫秒); //获取/设置当前Session的过期时间session.getStartTimestamp() & session.getListAccessTime(); //获取会话的启动时间以及最后访问时间,如果是JavaSE应用需要手动定期调用session.touch去更新最后访问时间, 如果是Web应用每次进入ShiroFIlter会自动调用session.touch()进行更新最后访问时间所有会话DAO在配置中配置过org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO即可在代码中获取使用enterpriseCacheSessionDAO.delete(enterpriseCacheSessionDAO.readSession(sessionId))
4 区分url访问和ajax请求
返回不同的登录失败或无授权结果(页面或者json数据)
需要真shiro 的springBean中注册过滤器
//身份验证过滤器,区分ajax请求(返回json数据)
<bean id="authenticationFilter" class="com.cetiti.common.web.MyShiroAuthenticationFilter"/>
并在shiro过滤器中配入
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="filters"> <util:map> <entry key="user" value-ref="authenticationFilter"/> </util:map> </property> <!--其他配置这里省略--></bean>MyShiroAuthenticationFilter具体实现如下
主要重写了
onAccessDenied方法,增加了是否是ajax请求的判断逻辑并返回不同结果
public class MyShiroAuthenticationFilter extends UserFilter{ @Data @AllArgsConstructor class UnauthenticatedExceptionInfoType { //返回json数据的格式 int statusCode; Date dateTime; String message; } private ObjectMapper objectMapper = new MyJacksonObjectMapper(); @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { if(isAjax(request)) { ((HttpServletResponse) response).setHeader("Content-Type", "application/json;charset=utf-8"); response.getWriter().print(objectMapper.writeValueAsString(new UnauthenticatedExceptionInfoType(HttpStatus.UNAUTHORIZED.value(), new Date(), "未登录!"))); } else { saveRequestAndRedirectToLogin(request, response); } return false; } public static boolean isAjax(ServletRequest request) { String header = ((HttpServletRequest) request).getHeader("X-Requested-With"); if("XMLHttpRequest".equalsIgnoreCase(header)) { return Boolean.TRUE; } return Boolean.FALSE; }}
阅读全文
0 0
- Shiro使用笔记
- SpringBoot使用Shiro验证登录笔记
- shiro笔记
- shiro笔记
- Shiro笔记
- 【shiro】shiro学习笔记1-shiro初识
- [shiro学习笔记]第一节 使用eclipse/myeclipse搭建一个shiro程序
- [shiro学习笔记]第三节 使用myeclipse导入apache shiro中的QuikStart example例子
- [shiro学习笔记]第四节 使用源代码生成Shiro的CHM格式的API文档
- 安全验证框架使用笔记001---Shiro简介
- apache-shiro 学习笔记
- shiro笔记(一)
- apache-shiro 学习笔记
- shiro学习笔记
- shiro的学习笔记
- shiro安全框架笔记
- Shiro整合Web笔记
- shiro学习笔记-1
- 畅通工程
- spring启动过程
- Maven系列--"maven-compiler-plugin"的使用
- LeetCode 214. Shortest Palindrome
- JavaScript基本概念
- Shiro使用笔记
- Myeclipse 2014 blue 破解
- 移动架构04_设计模式一:工厂模式
- 幸运大转盘-jQuery+PHP实现的抽奖程序
- mybaties拦截器设计思想--举例由浅入深分析
- 关于jquery $符号在IE下无效的解决办法
- MYSQL(单表)
- 图片预览
- bzoj5048: 塌陷的牧场