Apache Shiro学习(1)

本文介绍了Apache Shiro安全框架的基本功能与应用场景,包括认证、授权、会话管理等功能,并详细阐述了如何与Spring框架集成,实现用户权限管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

在项目中难免要考虑到安全问题,哪些用户可以访问,哪些用户不能访问,可以访问的用户具体可以访问哪些资源等等问题。这些功能Apache Shiro都考虑到了,作为基于java的一款安全框架,同其他的安全框架进行比较(例如Spring Security),其具有简单易上手等优点,虽然不如Spring Security强大,但在一般的项目中使用已经够了

基本功能

Shiro不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。它可以完成认证、授权、加密、会话管理、与 Web 集成、缓存等工作,从而减轻了工作量。下面通过一张图了解shiro的基本功能(以下部分参考自: http://wiki.jikexueyuan.com/project/shiro/overview.html)

这里写图片描述

下面逐个介绍每个功能模块具体的作用:

Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,从而判断用户能否执行某项操作或者对能否访问进行某项资源。
Session Manager:会话管理,用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
Cryptography:加密,保护数据的安全性。如密码加密存储到数据库,而不是明文存储;
Web Support:Web 支持,可以非常容易的集成到 Web 环境;
Caching:缓存。比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户用另一个用户(如果他们允许)的身份进行访问;
Remember Me:一次登录后,下次再来的话不用登录了。

需要注意的是shiro本身并没有提供用户权限等的信息,所以需要我们自己去创建表,定义角色和权限,以及进行权限的分配。在需要时需要手工将相关信息查询出来并交给Shiro。

外部执行过程

下面介绍一下shiro进行认证的过程:

这里写图片描述

先来说说这几部分的作用:

Subject是应用与shiro交互的接口,其代表当前用户,但是这个用户并不仅仅限于具体的人,任何与应用交互的实体都可以称为Subject,并且subject会绑定到SecurityManager上,这样与Subject的交互就会委托给SecurityManager。

SecurityManager:安全管理器,所有与安全有关的操作都会由 SecurityManager 完成。
Realm: 这部分有两个作用:
1. securityManager 要验证用户身份,需要从 Realm 获取相应的用户身份信息
2. Realm提供用户的角色和权限信息以确保对资源访问的控制

与Spring集成

文件配置

以下只讲与Spring集成的过程,这部分的讲解会通过一个具体的demo进行。不会说明需要哪些jar包,包括下面的实例中涉及到的数据库部分的集成也不会涉及到,关于这部分需要读者自行学习。

用户认证检查和权限管理应该是贯穿了整个web应用,即每一个请求都需要判断该用户是否合法,明显这种操作是由过滤器来完成的,所以需要在web.xml中配置过滤器

 <!--shiro 过滤器-->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <!-- 该值缺省为false,表示声明周期由SpringApplicationContext管理,设置为true表示ServletContainer管理 -->
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

注意这里配置的Filter只不过是起到一个代理的作用,它会根据targetBeanName去容器中获取bean(这个bean是实现了Filter接口的),其中的targetBeanName就是bean的名称,如果没有设置的话,那么就使用默认Filter名称。,为了方便起见我们需要在Spring配置文件中添加filter对应的bean

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager"></property>
        <!-- 要求登录时的链接(登录页面地址),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->
        <property name="loginUrl" value="/login"></property>
        <!-- 登录成功后要跳转的连接(本例中此属性用不到,因为登录成功后的处理逻辑在LoginController里硬编码) -->
        <!-- <property name="successUrl" value="/" ></property> -->
        <!-- 用户访问未对其授权的资源时,所显示的连接 -->
        <property name="unauthorizedUrl" value="/unauth"></property>
        <property name="filterChainDefinitions">
            <value>
                /static/*=anon
                /ftl/*=authc
            </value>
        </property>
    </bean>

这里涉及到的几个配置如下:

  1. SecurityManager配置,设置shiro使用的securitymanager对象
  2. FilterChainDefinition用来指定对应的资源所需要的权限

对应的SecurityManager定义如下:

<!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- 注入自定义Realm -->
        <property name="realm" ref="authenticationRealm" />
        <!-- 注入缓存管理器 -->
        <property name="cacheManager" ref="cacheManager"/>
    </bean>

可以看到这里需要注入两个属性,分别是realm和cachemanager
其中realm对应的类是我们自己定义的,这部分将会在后面具体讲到,而cachemanager则用来进行缓存处理。我们先来看看这两部分的配置:

对于cachemanager:

 <!-- 缓存管理器 使用Ehcache实现 -->
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml" />
    </bean>

这里需要指定其配置属性,具体配置如下:

<?xml version="1.0" encoding="UTF-8"?>
<ehcache updateCheck="false"  name="shirocache">
    <diskStore path="java.io.tmpdir"/>
    <defaultCache
            maxElementsInMemory="10000"
            maxElementsOnDisk="0"
            eternal="true"
            overflowToDisk="true"
            diskPersistent="false"
            timeToIdleSeconds="0"
            timeToLiveSeconds="0"
            diskSpoolBufferSizeMB="50"
            diskExpiryThreadIntervalSeconds="120"
            memoryStoreEvictionPolicy="LFU"
    />
    <!-- 登录记录缓存 锁定10分钟 -->
    <cache name="passwordRetryCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>
    <cache name="authorizationCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>
    <cache name="authenticationCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>
    <cache name="shiro-activeSessionCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>
    <cache name="shiro_cache"
           maxElementsInMemory="2000"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="0"
           timeToLiveSeconds="0"
           maxElementsOnDisk="0"
           overflowToDisk="true"
           memoryStoreEvictionPolicy="FIFO"
           statistics="true">
    </cache>
</ehcache>

而对于realm,其配置比较简单,我们需要做的主体工作就是自定义一个继承了AuthorizingRealm类的对象,然后覆盖其方法即可.

  <!-- Realm实现 -->
    <bean id="authenticationRealm" class="com.baseframe.platform.security.CustomizedAuthenticationRealm">
        <!--<property name="credentialsMatcher" ref="credentialsMatcher" />-->
    </bean>

    <!-- 数据库保存的密码是使用MD5算法加密的,所以这里需要配置一个密码匹配对象 -->
    <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.Md5CredentialsMatcher"></bean>

代码实现

Step1:

初次请求时直接在浏览器导航栏请求login,其对应的controller如下:

这里写图片描述

这个方法将直接跳转到login表单界面。

Step2:

填写表单并提交,依旧是login请求,只不过这次请求是post方式发起的,其Controller如下:

这里写图片描述

Step3:

执行login()后面几步是有SecurityManager完成的,具体过程是不可见的,我们只需要关注数据来源部分,即自定义的Ream。以下是其实现:

这里写图片描述

然后需要重写下面的两个方法

  1. 验证方法
    这里写图片描述

  2. 授权方法
    这里写图片描述

Step4:

现在权限有了,用户有了,那么怎样用权限控制用户可以访问的资源和其能进行的操作呢?

主要有两种方式进行控制:

  1. 请求层面的控制
    这里写图片描述

通过注解的方式控制用户的权限,如果没有该权限则无法执行该操作。例如图中使用的是@requirePermission注解。,如果用户没有“user:edit”这个权限则将跳转回编辑界面,无法保存。

2 .界面层面的控制

这里写图片描述

通过jsp标签对资源进行控制,如果没有权限则不会显示该部分内容。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值