Shiro框架理解:身份验证(Authentication)及授权(Authorization)

已于 2024-12-03 15:28:08 修改
阅读量1k 收藏 23
点赞数 14
分类专栏: 爪哇开发 文章标签: 服务器 java 安全
于 2024-12-03 15:26:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_67177419/article/details/144205429
版权

目录

 

一、介绍:

执行流程:

1. Shiro的核心组件

2. Shiro 的核心安全管理器 SecurityManager

二、验证(Authentication):

OAuth2Filter extends AuthenticatingFilter:

1. 拦截请求

  2. 验证token是否有效

 executeLogin 方法:

 3. 调用 Realm 进行认证(OAuth2Realm)

三、授权(Authorization)与鉴权:

        1. 在Shiro配置类当中配置权限注解支持:

四、配置过滤器链 

一、介绍:

        shiro框架有身份验证授权会话管理以及加密等功能。

        下面是我对身份验证(Authentication) 和授权(Authorization)功能的解析。如有错误还大家评论区斧正。

执行流程:

 

1. Shiro的核心组件

  1. Subject:代表当前用户,可以是用户、程序或第三方服务。
  2. SecurityManager:整个Shiro框架的核心,用于管理所有安全操作。
  3. Realm:数据源,负责连接实际的数据存储(如数据库、LDAP)以验证和获取用户的权限数据。

2. Shiro 的核心安全管理器 SecurityManager

@Bean("securityManager")
    public SecurityManager securityManager(OAuth2Realm oAuth2Realm) {
        // 使用默认的 Web 安全管理器
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置自定义的 Realm,用于身份验证和授权
        securityManager.setRealm(oAuth2Realm);
        // 禁用 RememberMe 功能
        securityManager.setRememberMeManager(null);
        return securityManager; // 返回安全管理器
    }

二、验证(Authentication):

        Shiro 框架实现了基于 OAuth2 和 JWT 的身份验证流程,主要包括OAuth2TokenOAuth2RealmOAuth2FilterShiroConfigThreadLocalToken等组件。

OAuth2Filter extends AuthenticatingFilter:

1. 拦截请求

        获取请求中的token,如果token为空则返回null,否则返回一个 OAuth2Token对象。 

        createToken():

@Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        String requestToken = getRequestToken(req);
        if (StringUtils.isBlank(requestToken)){
            return null;
        }
        return new OAuth2Token(requestToken);
    }

         OAuth2Token:

public class OAuth2Token implements AuthenticationToken {

    private String token;

    public OAuth2Token(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

  2. 验证token是否有效

         如果token不存在,直接返回401。如果令牌过期,则到Redis当中查看是否存在令牌(这里包含令牌刷新功能,在创建token时,同时将token保存到JWT和Redis当中,并设置Redis中的token过期时间为JWT中的两倍,如果用户在JTW中token未过期时间里登录则会校验JWT中的token,如果超过这个时间就会去Redis当中查找token,如果token存在则刷新令牌,否则需要用户重新进行登录)。

        如果 Token 合法,调用 executeLogin() 方法,将 Token 提交到 Shiro 的安全管理器

        onAccessDenied :

@Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;

        resp.setHeader("Content-type","text/html;charset=UTF-8");
        //允许跨域请求
        resp.setHeader("Access-Control-Allow-Origin", resp.getHeader("Origin"));
        resp.setHeader("Access-Control-Allow-Credentials", "true");

        //获取请求token,如果请求里没有token,直接返回401
        String token = getRequestToken(req);
        try {
            jwtUtil.verifyToken(token); //检查令牌是否过期
        }catch (TokenExpiredException e){ //如果令牌过期,检查Redis中是否有令牌,如果存在,就重新生产一个令牌给客户端
            if (redisTemplate.hasKey("token")){ //Redis中有令牌,更新令牌
                redisTemplate.delete(token);//删除Redis令牌
                int userId = jwtUtil.getUserId(token);
                String newToken = jwtUtil.createToken(userId);//生成新的Redis令牌
                redisTemplate.opsForValue().set("token", newToken);//将新令牌保存到Redis中
                threadLocalToken.setToken(newToken);//将新令牌保存到Threadlocal中
            }else {//Redis中没有令牌
                resp.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                resp.getWriter().print("令牌已过期");
                return false;
            }
        }catch (Exception e){//如果Redis不存在令牌,让用户重新登录
            resp.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            resp.getWriter().print("无效令牌");
            return false;
        }
        boolean bool = executeLogin(request, response);
        return bool;
    }
 executeLogin 方法:
  •         executeLogin 会尝试创建认证令牌(通过 createToken 方法)并交给 Shiro 的 SecurityManager 进行认证。
  •         如果认证成功,doGetAuthenticationInfo 方法会被调用以完成认证。
  •         如果认证失败,executeLogin 会捕获认证异常,然后触发 onLoginFailure 方法。

         onLoginFailure:

@Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        resp.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        resp.setHeader("Content-type","text/html;charset=UTF-8");
        //允许跨域请求
        resp.setHeader("Access-Control-Allow-Origin", resp.getHeader("Origin"));
        resp.setHeader("Access-Control-Allow-Credentials", "true");
        try {
            resp.getWriter().print(e.getMessage());
        } catch (IOException ex) {

        }
        return false;
    }

 3. 调用 Realm 进行认证(OAuth2Realm)

        如果用户信息有效,则返回SimpleAuthenticationInfo对象,包含用户信息和token。返回的认证信息有效,Shiro 将认证视为成功。

@Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken Token) throws AuthenticationException {
        //从令牌中获取用户userId,检测用户是否被冻结
        String accessToken = (String) Token.getPrincipal();
        int userId = jwtUtil.getUserId(accessToken);
        TbUser tbUser = userService.selectById(userId);
        if (tbUser == null) {
            throw new LockedAccountException("账号已被锁定,请联系管理员");
        }
        // 将token信息,用户信息加入到info当中
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(tbUser, accessToken, this.getName());
        return info;
    }

         这里有一个需要注意的点,校验完token后,通过executeLogin()将OAth2Token交给SecurityManager管理,这是SecurityManager会自动调用认证模块(触发绑定到SecurityManager的Realm,也就是OAuth2Realm,并调用其 doGetAuthenticationInfo() 方法)完成具体的认证逻辑。

三、授权(Authorization)与鉴权:

        1. 在Shiro配置类当中配置权限注解支持:

@Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        // 设置安全管理器,用于注解支持
        advisor.setSecurityManager(securityManager);
        return advisor; // 返回配置好的 Advisor
    }

        配置好以后,当存在 @RequiresRoles、@RequiresPermissions时,就会对用户的权限进行校验,查看是否有权限使用该方法:

        例:

@RequiresPermissions("user:add")
public void addUser() {
    // ......
}

         SecurityManager交给Realm处理,会自动调用OAuth2Realm中的doGetAuthorizationInfo()方法,获取用户的权限并返回,最终与请求的的权限进行比对。

@Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection Collection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //查询用户权限列表
        TbUser user = (TbUser) Collection.getPrimaryPrincipal();
        Set<String> permissions = userService.searchUserPermissions(user.getId());
        //把用户权限加入到info当中
        info.setStringPermissions(permissions);
        return info;
    }

         上面写的是关于后端的鉴权,前端的鉴权可以参考我的另一篇博客 点击前往

四、配置过滤器链 

配置 Shiro 的核心过滤器工厂,用于定义过滤规则

@Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager, OAuth2Filter oAuth2Filter) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        // 设置安全管理器
        shiroFilter.setSecurityManager(securityManager);

        // 配置自定义的 OAuth2 过滤器
        Map<String, Filter> filters = new HashMap<>();
        filters.put("oauth2", oAuth2Filter); // 定义 oauth2 过滤器
        shiroFilter.setFilters(filters);

        // 配置过滤链,定义访问权限
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/druid/**", "anon");
        filterMap.put("/app/**", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/user/register", "anon");
        filterMap.put("/user/login", "anon");
        //filterMap.put("/test/**", "anon");
        filterMap.put("/**", "oauth2");
        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter; // 返回配置好的过滤器工厂
    }

         其中配置为“anon”的代表可以匿名访问,“oauth2”的必须经过 oAuth2Filter 处理才能访问。

        具体代码实现可参考点击前往

Shiro --- shiro认证-SSM
ty0714的博客
04-18 395
重要: 在 shiro 中,用户需要提供principals (身份)和credentials(凭证)给shiro,从而应用能验证用户身份-------------------------即 帐号 / 密码 1.导入基于Shiro的数据库脚本 t_sys_user:用户信息表,例如:zs/ls/ww t_sys_role:用户角色表,例如:管理员/普通员工/部门经理/技术总监/CEO t_sys_permission:权限信...
权限验证框架Shiro
小明同学的博客
08-21 894
总结起来,Realm、AuthenticationFilter和AuthorizationFilter需要进行定义或配置,并由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
Shiro | 实现权限验证完整版
冯文议技术博客
10-22 8019
写在前面的话 提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。 Shiro框架 1、Shiro是基于Apache开源的强大灵活的开源安全框架。 2、Shiro提供了 认证,授权,企业会话管理、安全加密、缓存管理。 3、Shiro与Security对比 4、Shiro整体架构 5、特性 6、认证流程 认证 当我们理解Shi...
聊一聊接口测试如何处理鉴权
最新发布
奇峰卧虎
05-01 848
在接口测试中,鉴权(Authorization)是验证请求方是否有权限访问特定资源的关键步骤。鉴权主要是验证用户是否有权限访问某个接口,确保安全性,因为很多接口都需要验证用户的身份和权限,否则会有安全风险。常见的鉴权方式有哪些,可能包括Basic Auth、Token、OAuth、JWT、API Key、HMAC,还有签名验证这些,鉴权方法时需要注意哪些点,比如参数的位置是否正确,Token是否过期,还有权限控制是否严格,这些都是测试过程中容易出问题的地方。
Shiro笔记五:Shiro内置Filter过滤器
公子&小白的博客
05-10 1805
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
Apache Shiro框架教程:身份验证授权与会话管理
1. **身份验证Authentication)**:Shiro可以处理用户的身份验证,也就是确认用户是谁的过程。它允许用户提供用户名和密码,并通过相应的用户存储来验证它们的真实性。 2. **授权Authorization)**:一旦用户...
Apache Shiro安全框架身份验证授权指南
Apache Shiro是一个全面且强大的Java安全框架,致力于简化身份验证授权、会话管理和加密等安全性相关的任务。它的设计目标是易用性和直观性,使得开发者能够更轻松地构建安全的应用程序,无论这些应用的规模和复杂...
Apache Shiro安全框架详解:身份验证授权
"Apache Shiro 是一个全面的开源安全框架,专注于身份验证授权、会话管理和加密。它设计简洁易用,适用于各种应用程序环境,包括命令行、轻量级和大型企业应用,无需依赖特定的框架服务器Shiro 的核心特性包括...
shiro整理2-----介绍Shiro 身份验证
m0_67391401的博客
03-28 517
一、shiro身份验证的基本概念: (1)身份验证: 这就不多说了,给shiro传递【身份+证明】,就可以进行验证。 (2)身份 粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。 准确的说,相当于身份。 shiro中把这个封装成了【principals】 (3)证明 证明其实就是密码。 shiro中把这个封装成了【credentials】 二、实例使用 接下来,看看如何使用shiro进行身份验证。 (1)环境准备 maven引入,这个不解释了。 <dependency>
shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBoot ,Shiro 密码加密,登录验证,权限控制demo
Shiro-权限认证(授权)-编程式授权
weixin_30520015的博客
03-21 101
权限认证 权限认证也就是访问控制,即在应用中控制谁能访问哪些资源 权限认证核心要素 权限 :即操作资源的权利,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利 角色 :是权限的集合,一种角色可以包含多种权限 用户 :Shiro 中,代表访问系统的用户,即Subject 授权方式 编程式授权 基于角色的访问控制 基于权限的访问控制 ...
shiro权限验证
我_在路上的博客
01-14 1482
上次介绍了shiro的一些理论知识,这次用一些代码来具体实现角色验证与登录验证 首先介绍一下使用的环境: SpringBoot + Mybatis + Shiro 添加的类 ShiroRealm 继承了AuthorizingRealm类,实现两个方法,分别为登录权限验证,以及角色权限验证的功能。(注释已经很详细了,详细了解请看
shiro学习24-shiro提供的filter-AuthenticationFilter
iteye_14612的博客
02-19 3133
AuthenticationFilter是个抽象类,需要当前用户必须登录。我们看一下他的isAccessAllowed方法: protectedboolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { Subject subject = ge...
使用Shiro实现权限验证
m0_61083409的博客
08-28 2112
@Override//根据自己的需求编写获取授权信息,这里简化代码获取了用户对应的所有权限= null) {if (perms!= null &&!//将权限资源添加到用户信息中}}}}@Override// 通过表单接收的用户名,调用currentUser.login的时候执行= null &&!//查询密码= null) {}}}}...
项目总结--Shiro权限验证
颜小小的博客
12-19 286
1. Shiro简介 Shiro是Apache强大灵活的开源的安全框架,有认证、授权、企业会话管理、安全加密、缓存管理等功能。 Shiro和Spring Security相比较;Shiro更加简单方便、并且可脱离Spring,Spring Security比较笨重复杂,不可脱离Spring。 2. 原理: 1、 应用代码通过 Subject 来进行认证和授权,而 Subject 又委托给 安全管理器; 2、 我们需要给 Shiro安全管理器 注入 域,从而让 安全管理器 能得到合法 的用户及其权限进行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值