序言
本文紧张讲解的知识点有以下:
权限管理的根本知识模型粗粒度和细粒度的观点回顾URL拦截的实现Shiro的先容与大略入门一、Shiro根本知识在学习Shiro这个框架之前,首先我们要先理解Shiro须要的根本知识:权限管理
1.1什么是权限管理?
只要有用户参与的系统一样平常都要有权限管理,权限管理实现对用户访问系统的掌握,按照安全规则或者安全策略掌握用户可以访问而且只能访问自己被授权的资源。
对权限的管理又分为两大种别:
用户认证用户授权1.1.1用户认证
用户认证,用户去访问系统,系统要验证用户身份的合法性
最常用的用户身份验证的方法:1、用户名密码办法、2、指纹打卡机、3、基于证书验证方法。。系统验证用户身份合法,用户方可访问系统的资源。
举个例子:
当我们输入了自己的淘宝的账户和密码,才能打开购物车用户认证的流程:
判断该资源能否不认证就能访问【上岸页面、首页】如果该资源须要认证后才能访问,那么判断该访问者是否认证了如果还没有认证,那么须要返回到【上岸页面】进行认证认证通过后才能访问资源这里写图片描述
从用户认证我们可以抽取出这么几个观点
subject主体:理解为用户,可能是程序,都要去访问系统的资源,系统须要对subject进行身份认证principal身份信息:常日是唯一的,一个主体还有多个身份信息,但是都有一个主身份信息(primary principal)【我们可以选择身份证认证、学生证认证等等都是我们的身份信息】credential凭据信息:可以是密码 、证书、指纹。总结:主体在进行身份认证时须要供应身份信息和凭据信息。
1.1.2用户授权
用户授权,大略理解为访问掌握,在用户认证通过后,系统对用户访问资源进行掌握,用户具有资源的访问权限方可访问。
用户授权的流程
到达了用户授权环节,当然是须要用户认证之后了用户访问资源,系统判断该用户是否有权限去操作该资源如果该用户有权限才能够访问,如果没有权限就不能访问了这里写图片描述
授权的过程可以大略理解为:主体认证之后,系统进行访问掌握
subject必须具备资源的访问权限才可访问该资源..
权限/容许(permission) :针对资源的权限或容许,subject具有permission访问资源,如何访问/操作须要定义permission,权限比如:用户添加、用户修正、商品删除
资源可以分为两种
资源类型:系统的用户信息便是资源类型,相称于java类。资源实例:系统中id为001的用户便是资源实例,相称于new的java工具。1.2权限管理模型
一样平常地,我们可以抽取出这么几个模型:
主体(账号、密码)资源(资源名称、访问地址)权限(权限名称、资源id)角色(角色名称)角色和权限关系(角色id、权限id)主体和角色关系(主体id、角色id)这里写图片描述
常日企业开拓中将资源和权限表合并为一张权限表,如下:
资源(资源名称、访问地址)权限(权限名称、资源id)合并为:
权限(权限名称、资源名称、资源访问地址)这里写图片描述
1.3分配权限
用户须要分配相应的权限才可访问相应的资源。权限是对付资源的操作容许。
常日给用户分配资源权限须要将权限信息持久化,比如存储在关系数据库中。把用户信息、权限管理、用户分配的权限信息写到数据库(权限数据模型)
1.3.1基于角色访问掌握
RBAC(role based access control),基于角色的访问掌握。
//如果该user是部门经理则可以访问if中的代码if(user.hasRole('部门经理')){ //系统资源内容 //用户报表查看}
角色针对人划分的,人作为用户在系统中属于活动内容,如果该 角色可以访问的资源涌现变更,须要修正你的代码了,
if(user.hasRole('部门经理') || user.hasRole('总经理') ){ //系统资源内容 //用户报表查看}
基于角色的访问掌握是不利于系统掩护(可扩展性不强)。
1.3.2基于资源的访问掌握
RBAC(Resource based access control),基于资源的访问掌握。
资源在系统中是不变的,比如资源有:类中的方法,页面中的按钮。
对资源的访问须要具有permission权限,代码可以写为:if(user.hasPermission ('用户报表查看(权限标识符)')){ //系统资源内容 //用户报表查看}
建议利用基于资源的访问掌握实现权限管理。
二、 粗粒度和细粒度权限细粒度权限管理:对资源实例的权限管理。资源实例就资源类型的详细化,比如:用户id为001的修正连接,1110班的用户信息、行政部的员工。细粒度权限管理便是数据级别的权限管理。
粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。部门管理员可以访问用户信息页面包括 页面中所有按钮。
粗粒度和细粒度例子:
系统有一个用户列表查询页面,对用户列表查询分权限,如果粗颗粒管理,张三和李四都有用户列表查询的权限,张三和李四都可以访问用户列表查询。进一步进行细颗粒管理,张三(行政部)和李四(开拓部)只可以查询自己本部门的用户信息。张三只能查看行政部 的用户信息,李四只能查看开拓部门的用户信息。细粒度权限管理便是数据级别的权限管理。
2.1如何实现粗粒度权限管理?
粗粒度权限管理比较随意马虎将权限管理的代码抽取出来在系统架构级别统一处理。比如:通过springmvc的拦截器实现授权。
对细粒度权限管理在数据级别是没有共性可言,针对细粒度权限管理便是系统业务逻辑的一部分,在业务层去处理相比拟较大略
比如:部门经理只查询本部门员工信息,在service接供词给一个部门id的参数,controller中根据当前用户的信息得到该 用户属于哪个部门,调用service时将部门id传入service,实现该用户只查询本部门的员工。
2.1.1基于URL拦截
基于url拦截的办法实现在实际开拓中比较常用的一种办法。
对付web系统,通过filter过虑器实现url拦截,也可以springmvc的拦截器实现基于url的拦截。
2.2.2利用权限管理框架实现
对付粗粒度权限管理,建议利用精良权限管理框架来实现,节省开拓成功,提高开拓效率。
shiro便是一个精良权限管理框架。
三、回顾URL拦截我们在学习的路途上也是利用过几次URL对权限进行拦截的
当时我们做了权限的增删该查的管理系统,但是在权限表中是没有把资源添加进去,我们利用的是Map凑集来进行替代的。
http://blog.csdn.net/hon_3y/article/details/61926175
随后,我们学习了动态代理和表明,我们也做了一个基于表明的拦截
在Controller得到service工具的时候,service工厂返回的是一个动态代理工具回去Controller拿着代理工具去调用方法,代理工具就会去解析该方法上是否有表明如果有表明,那么就须要我们进行判断该主体是否认证了,如果认证了就判断该主体是否有权限当我们解析出该主体的权限和我们表明的权限是同等的时候,才放行!http://blog.csdn.net/hon_3y/article/details/70767050
流程:
这里写图片描述
3.1认证的JavaBean
我们之前认证都是放在默认的Javabean工具上的,现在既然我们准备学Shiro了,我们就得专业一点,弄一个专门存储认证信息的JavaBean
/ 用户身份信息,存入session 由于tomcat将session会序列化在本地硬盘上,以是利用Serializable接口 @author Thinkpad /public class ActiveUser implements java.io.Serializable { private String userid;//用户id(主键) private String usercode;// 用户账号 private String username;// 用户名称 private List<SysPermission> menus;// 菜单 private List<SysPermission> permissions;// 权限 // 省略get和set方法}
认证的做事
@Override public ActiveUser authenticat(String userCode, String password) throws Exception { / 认证过程: 根据用户身份(账号)查询数据库,如果查询不到用户不存在 对输入的密码 和数据库密码 进行比对,如果同等,认证通过 / //根据用户账号查询数据库 SysUser sysUser = this.findSysUserByUserCode(userCode); if(sysUser == null){ //抛出非常 throw new CustomException(\"大众用户账号不存在\"大众); } //数据库密码 (md5密码 ) String password_db = sysUser.getPassword(); //对输入的密码 和数据库密码 进行比对,如果同等,认证通过 //对页面输入的密码 进行md5加密 String password_input_md5 = new MD5().getMD5ofStr(password); if(!password_input_md5.equalsIgnoreCase(password_db)){ //抛出非常 throw new CustomException(\"大众用户名或密码 缺点\"大众); } //得到用户id String userid = sysUser.getId(); //根据用户id查询菜单 List<SysPermission> menus =this.findMenuListByUserId(userid); //根据用户id查询权限url List<SysPermission> permissions = this.findPermissionListByUserId(userid); //认证通过,返回用户身份信息 ActiveUser activeUser = new ActiveUser(); activeUser.setUserid(sysUser.getId()); activeUser.setUsercode(userCode); activeUser.setUsername(sysUser.getUsername());//用户名称 //放入权限范围的菜单和url activeUser.setMenus(menus); activeUser.setPermissions(permissions); return activeUser; }
Controller处理认证,如果身份认证成功,那么把认证信息存储在Session中
@RequestMapping(\公众/login\"大众) public String login(HttpSession session, String randomcode,String usercode,String password)throws Exception{ //校验验证码,防止恶性攻击 //从session获取精确验证码 String validateCode = (String) session.getAttribute(\"大众validateCode\"大众); //输入的验证和session中的验证进行比拟 if(!randomcode.equals(validateCode)){ //抛出非常 throw new CustomException(\"大众验证码输入缺点\"大众); } //调用service校验用户账号和密码的精确性 ActiveUser activeUser = sysService.authenticat(usercode, password); //如果service校验通过,将用户身份记录到session session.setAttribute(\公众activeUser\公众, activeUser); //重定向到商品查询页面 return \"大众redirect:/first.action\"大众; }
身份认证拦截器
//在实行handler之前来实行的 //用于用户认证校验、用户权限校验 @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //得到要求的url String url = request.getRequestURI(); //判断是否是公开 地址 //实际开拓中须要公开 地址配置在配置文件中 //从配置中取逆名访问url List<String> open_urls = ResourcesUtil.gekeyList(\"大众anonymousURL\"大众); //遍历公开 地址,如果是公开 地址则放行 for(String open_url:open_urls){ if(url.indexOf(open_url)>=0){ //如果是公开 地址则放行 return true; } } //判断用户身份在session中是否存在 HttpSession session = request.getSession(); ActiveUser activeUser = (ActiveUser) session.getAttribute(\公众activeUser\公众); //如果用户身份在session中存在放行 if(activeUser!=null){ return true; } //实行到这里拦截,跳转到上岸页面,用户进行身份认证 request.getRequestDispatcher(\"大众/WEB-INF/jsp/login.jsp\公众).forward(request, response); //如果返回false表示拦截不连续实行handler,如果返回true表示放行 return false; }
授权拦截器
//在实行handler之前来实行的 //用于用户认证校验、用户权限校验 @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //得到要求的url String url = request.getRequestURI(); //判断是否是公开 地址 //实际开拓中须要公开 地址配置在配置文件中 //从配置中取逆名访问url List<String> open_urls = ResourcesUtil.gekeyList(\"大众anonymousURL\"大众); //遍历公开 地址,如果是公开 地址则放行 for(String open_url:open_urls){ if(url.indexOf(open_url)>=0){ //如果是公开 地址则放行 return true; } } //从配置文件中获取公共访问地址 List<String> common_urls = ResourcesUtil.gekeyList(\公众commonURL\"大众); //遍历公用 地址,如果是公用 地址则放行 for(String common_url:common_urls){ if(url.indexOf(common_url)>=0){ //如果是公开 地址则放行 return true; } } //获取session HttpSession session = request.getSession(); ActiveUser activeUser = (ActiveUser) session.getAttribute(\"大众activeUser\"大众); //从session中取权限范围的url List<SysPermission> permissions = activeUser.getPermissions(); for(SysPermission sysPermission:permissions){ //权限的url String permission_url = sysPermission.getUrl(); if(url.indexOf(permission_url)>=0){ //如果是权限的url 地址则放行 return true; } } //实行到这里拦截,跳转到无权访问的提示页面 request.getRequestDispatcher(\"大众/WEB-INF/jsp/refuse.jsp\公众).forward(request, response); //如果返回false表示拦截不连续实行handler,如果返回true表示放行 return false; }
拦截器配置:
<!--拦截器 --> <mvc:interceptors> <mvc:interceptor> <!-- 用户认证拦截 --> <mvc:mapping path=\公众/\"大众 /> <bean class=\"大众cn.itcast.ssm.controller.interceptor.LoginInterceptor\公众></bean> </mvc:interceptor> <mvc:interceptor> <!-- 授权拦截 --> <mvc:mapping path=\公众/\"大众 /> <bean class=\"大众cn.itcast.ssm.controller.interceptor.PermissionInterceptor\"大众></bean> </mvc:interceptor> </mvc:interceptors>四、什么是Shiro
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。
spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro利用大略。
shiro不依赖于spring,shiro不仅可以实现 web运用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始利用shiro。
Shiro架构:
这里写图片描述
subject:主体,可以是用户也可以是程序,主体要访问系统,系统须要对主体进行认证、授权。securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。authenticator:认证器,主体进行认证终极通过authenticator进行的。authorizer:授权器,主体进行授权终极通过authorizer进行的。sessionManager:web运用中一样平常是用web容器对session进行管理,shiro也供应一套session管理的办法。SessionDao: 通过SessionDao管理session数据,针对个性化的session数据存储须要利用sessionDao。cache Manager:缓存管理器,紧张对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和ehcache整合对缓存数据进行管理。realm:域,领域,相称于数据源,通过realm存取认证、授权干系数据。cryptography:密码管理,供应了一套加密/解密的组件,方便开拓。比如供应常用的散列、加/解密等功能。
比如md5散列算法。五、为什么利用Shiro我们在利用URL拦截的时候,要将所有的URL都配置起来,繁琐、不易掩护
而我们的Shiro实现系统的权限管理,有效提高开拓效率,从而降落开拓本钱。
六、Shiro认证
6.1导入jar包
我们利用的是Maven的坐标就行了
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-quartz</artifactId> <version>1.2.3</version> </dependency>
当然了,我们也可以把Shiro干系的jar包全部导入进去
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.3</version></dependency>
6.2Shiro认证流程
这里写图片描述
6.2.1通过配置文件创建工厂
这里写图片描述
// 用户上岸和退出 @Test public void testLoginAndLogout() { // 创建securityManager工厂,通过ini配置文件创建securityManager工厂 Factory<SecurityManager> factory = new IniSecurityManagerFactory( \"大众classpath:shiro-first.ini\"大众); // 创建SecurityManager SecurityManager securityManager = factory.getInstance(); // 将securityManager设置当前的运行环境中 SecurityUtils.setSecurityManager(securityManager); // 从SecurityUtils里边创建一个subject Subject subject = SecurityUtils.getSubject(); // 在认证提交前准备token(令牌) // 这里的账号和密码 将来是由用户输入进去 UsernamePasswordToken token = new UsernamePasswordToken(\"大众zhangsan\"大众, \公众111111\"大众); try { // 实行认证提交 subject.login(token); } catch (AuthenticationException e) { // TODO Auto-generated catch block e.printStackTrace(); } // 是否认证通过 boolean isAuthenticated = subject.isAuthenticated(); System.out.println(\"大众是否认证通过:\"大众 + isAuthenticated); // 退出操作 subject.logout(); // 是否认证通过 isAuthenticated = subject.isAuthenticated(); System.out.println(\公众是否认证通过:\"大众 + isAuthenticated); }
这里写图片描述
6.3小结
ModularRealmAuthenticator浸染进行认证,须要调用realm查询用户信息(在数据库中存在用户信息)
ModularRealmAuthenticator进行密码比拟(认证过程)。
realm:须要根据token中的身份信息去查询数据库(入门程序利用ini配置文件),如果查到用户返回认证信息,如果查询不到返回null。
6.4自定义realm
从第一个认证程序我们可以瞥见,我们所说的流程,是认证器去找realm去查询我们相对应的数据。而默认的realm是直接去与配置文件来比对的,一样平常地,我们在开拓中都是让realm去数据库中比对。
因此,我们须要自定义realm
这里写图片描述
public class CustomRealm extends AuthorizingRealm { // 设置realm的名称 @Override public void setName(String name) { super.setName(\"大众customRealm\"大众); } // 用于认证 @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken token) throws AuthenticationException { // token是用户输入的 // 第一步从token中取出身份信息 String userCode = (String) token.getPrincipal(); // 第二步:根据用户输入的userCode从数据库查询 // .... // 如果查询不到返回null //数据库中用户账号是zhangsansan /if(!userCode.equals(\"大众zhangsansan\"大众)){// return null; }/ // 仿照从数据库查询到密码 String password = \"大众111112\"大众; // 如果查询到返回认证信息AuthenticationInfo SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo( userCode, password, this.getName()); return simpleAuthenticationInfo; } // 用于授权 @Override protected AuthorizationInfo doGetAuthorizationInfo( PrincipalCollection principals) { // TODO Auto-generated method stub return null; }}
6.5配置realm
须要在shiro-realm.ini配置realm注入到securityManager中。
这里写图片描述
6.6测试自定义realm
同上边的入门程序,须要变动ini配置文件路径:
同上边的入门程序,须要变动ini配置文件路径:Factory<SecurityManager> factory = new IniSecurityManagerFactory( \"大众classpath:shiro-realm.ini\"大众);
6.7散列算法
我们如果知道md5,我们就会知道md5是不可逆的,但是如果设置了一些安全性比较低的密码:111111…即时是不可逆的,但还是可以通过暴力算法来得到md5对应的明文…
建议对md5进行散列时加salt(盐),进行加密相称 于对原始密码+盐进行散列。\
正常利用时散列方法:
在程序中对原始密码+盐进行散列,将散列值存储到数据库中,并且还要将盐也要存储在数据库中。测试:
public class MD5Test { public static void main(String[] args) { //原始 密码 String source = \"大众111111\"大众; //盐 String salt = \"大众qwerty\公众; //散列次数 int hashIterations = 2; //上边散列1次:f3694f162729b7d0254c6e40260bf15c //上边散列2次:36f2dfa24d0a9fa97276abbe13e596fc //布局方法中: //第一个参数:明文,原始密码 //第二个参数:盐,通过利用随机数 //第三个参数:散列的次数,比如散列两次,相称 于md5(md5('')) Md5Hash md5Hash = new Md5Hash(source, salt, hashIterations); String password_md5 = md5Hash.toString(); System.out.println(password_md5); //第一个参数:散列算法 SimpleHash simpleHash = new SimpleHash(\公众md5\"大众, source, salt, hashIterations); System.out.println(simpleHash.toString()); }}
6.8自定义realm支持md5
自定义realm
public class CustomRealmMd5 extends AuthorizingRealm { // 设置realm的名称 @Override public void setName(String name) { super.setName(\"大众customRealmMd5\公众); } // 用于认证 @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken token) throws AuthenticationException { // token是用户输入的 // 第一步从token中取出身份信息 String userCode = (String) token.getPrincipal(); // 第二步:根据用户输入的userCode从数据库查询 // .... // 如果查询不到返回null // 数据库中用户账号是zhangsansan / if(!userCode.equals(\公众zhangsansan\"大众)){// return null; } / // 仿照从数据库查询到密码,散列值 String password = \"大众f3694f162729b7d0254c6e40260bf15c\"大众; // 从数据库获取salt String salt = \"大众qwerty\"大众; //上边散列值和盐对应的明文:111111 // 如果查询到返回认证信息AuthenticationInfo SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo( userCode, password, ByteSource.Util.bytes(salt), this.getName()); return simpleAuthenticationInfo; } // 用于授权 @Override protected AuthorizationInfo doGetAuthorizationInfo( PrincipalCollection principals) { // TODO Auto-generated method stub return null; }}
配置文件:
这里写图片描述
测试:
// 自定义realm实现散列值匹配 @Test public void testCustomRealmMd5() { // 创建securityManager工厂,通过ini配置文件创建securityManager工厂 Factory<SecurityManager> factory = new IniSecurityManagerFactory( \公众classpath:shiro-realm-md5.ini\"大众); // 创建SecurityManager SecurityManager securityManager = factory.getInstance(); // 将securityManager设置当前的运行环境中 SecurityUtils.setSecurityManager(securityManager); // 从SecurityUtils里边创建一个subject Subject subject = SecurityUtils.getSubject(); // 在认证提交前准备token(令牌) // 这里的账号和密码 将来是由用户输入进去 UsernamePasswordToken token = new UsernamePasswordToken(\"大众zhangsan\"大众, \"大众222222\公众); try { // 实行认证提交 subject.login(token); } catch (AuthenticationException e) { // TODO Auto-generated catch block e.printStackTrace(); } // 是否认证通过 boolean isAuthenticated = subject.isAuthenticated(); System.out.println(\公众是否认证通过:\"大众 + isAuthenticated); }七、总结用户认证和用户授权是Shiro的根本,用户认证实在上便是上岸操作、用户授权实际上便是对资源拦截的操作。权限管理的模型一样平常我们都将资源放在权限表中进行管理起来。我们可以基于角色拦截,也可以基于资源拦截。假如基于角色拦截的话,那么如果角色的权限发生变革了,那就须要修正代码了。推举利用基于资源进行拦截这次URL拦截,我们利用一个JavaBean来封装所有的认证信息。当用户上岸了之后,我们就把用户对菜单栏的访问、对资源的访问权限都封装到该JavaBean中当利用拦截器进行用户认证的时候,我们只要判断Session域有没有JavaBen工具即可了。当时候拦截器进行用户授权的时候,我们要判断JavaBean中的权限是否能够访问该资源。以前URL拦截的办法须要把所有的URL都在数据库进行管理。非常麻烦,不易掩护。我们希望Shiro去认证的时候是通过realm去数据库查询数据的。而我们reaml默认是查询配置文件的数据的。因此,我们须要自定义reaml,使得它是去数据库查询数据。只要继续AuthorizingRealm类就行了。当然了,自定义后的reaml也须要在配置文件中写上我们的自定义reaml的位置的。散列算法便是为了让密码不被别人给破解。我们可对原始的密码加盐再进行散列,这就加大了破解的难度了。自定义的reaml也是支持散列算法的,相同的,还是须要我们在配置文件中配置一下就好了。
作者:Java3y原文:转载自公众年夜众号,Java3y,已获作者授权
