Shiro入門學習手冊PPT課件

1、Shiro入門學習手冊簡單的介紹，簡單的配置，簡單的擴展By jfm一，shiro簡介Apache Shiro是一個強大而靈活的開源安全框架，它能夠干凈利落地處理身份認證，授權，企業(yè)會話管理和加密。以下是你可以用 Apache Shiro所做的事情： 1. 驗證用戶2. 對用戶執(zhí)行訪問控制，如： 判斷用戶是否擁有角色admin。 判斷用戶是否擁有訪問的權限3. 在任何環(huán)境下使用 Session API。例如CS程序。4. 可以使用多個用戶數(shù)據(jù)源。例如一個是oracle用戶庫，另外一個是mysql用戶庫。5. 單點登錄（SSO）功能。 6. “Remember Me”服務 ，類似購物車的功能，s

2、hiro官方建議開啟。Shiro的4大部分身份驗證，授權，會話管理和加密 Authentication：身份驗證，簡稱“登錄”。 Authorization：授權，給用戶分配角色或者權限資源 Session Management：用戶session管理器，可以讓CS程序也使用session來控制權限 Cryptography：把JDK中復雜的密碼加密方式進行封裝。除了以上功能，shiro還提供很多擴展 Web Support：主要針對web應用提供一些常用功能。 Caching：緩存可以使應用程序運行更有效率。 Concurrency：多線程相關功能。 Testing：幫助我們進行測試相關功能

3、 Run As：一個允許用戶假設為另一個用戶身份（如果允許）的功能，有時候在管理腳本很有用。 “Remember Me”：記住用戶身份，提供類似購物車功能。Subject 是與程序進行交互的對象，可以是人也可以是服務或者其他，通常就理解為用戶。所有Subject 實例都必須綁定到一個SecurityManager上。我們與一個 Subject 交互，運行時shiro會自動轉化為與 SecurityManager交互的特定 subject的交互。Subject：SecurityManager 是 Shiro的核心，初始化時協(xié)調(diào)各個模塊運行。然而，一旦 SecurityManager協(xié)調(diào)完畢，Se

4、curityManager 會被單獨留下，且我們只需要去操作Subject即可，無需操作SecurityManager 。 但是我們得知道，當我們正與一個 Subject 進行交互時，實質(zhì)上是 SecurityManager在處理 Subject 安全操作。SecurityManager：Realms：Realms在 Shiro中作為應用程序和安全數(shù)據(jù)之間的“橋梁”或“連接器”。他獲取安全數(shù)據(jù)來判斷subject是否能夠登錄，subject擁有什么權限。他有點類似DAO。在配置realms時，需要至少一個realm。而且Shiro提供了一些常用的 Realms來連接數(shù)據(jù)源，如LDAP數(shù)據(jù)源的J

5、ndiLdapRealm，JDBC數(shù)據(jù)源的JdbcRealm，ini文件數(shù)據(jù)源的IniRealm，properties文件數(shù)據(jù)源的PropertiesRealm，等等。我們也可以插入自己的 Realm實現(xiàn)來代表自定義的數(shù)據(jù)源。 像其他組件一樣，Realms也是由SecurityManager控制小結：1.Subject(org.apache.shiro.subject.Subject):簡稱用戶2.SecurityManager(org.apache.shiro.mgt.SecurityManager) 如上所述，SecurityManager是shiro的核心，協(xié)調(diào)shiro的各個組件3.A

6、uthenticator(org.apache.shiro.authc.Authenticator)： 登錄控制注：Authentication Strategy(org.apache.shiro.authc.pam.AuthenticationStrategy) 如果存在多個realm，則接口AuthenticationStrategy會確定什么樣算是登錄成功（例如，如果一個Realm成功，而其他的均失敗，是否登錄成功？）。 4.Authorizer(org.apache.shiro.authz.Authorizer) ：決定subject能擁有什么樣角色或者權限。5.SessionMana

7、ger(org.apache.shiro.session.SessionManager) ：創(chuàng)建和管理用戶session。通過設置這個管理器，shiro可以在任何環(huán)境下使用session。6.CacheManager(org.apahce.shiro.cache.CacheManager) ：緩存管理器，可以減少不必要的后臺訪問。提高應用效率，增加用戶體驗。7.Cryptography(org.apache.shiro.crypto.*) :Shiro的api大幅度簡化java api中繁瑣的密碼加密。8.Realms(org.apache.shiro.realm.Realm) ：程序與安全數(shù)

8、據(jù)的橋梁二，簡單配置注：這里只介紹spring配置模式。因為官方例子雖然中有更加簡潔的ini配置形式，但是使用ini配置無法與spring整合。而且兩種配置方法一樣，只是格式不一樣。涉及的jar包Jar包名稱包名稱版本版本核心包shiro-core1.2.0Web相關包shiro-web1.2.0緩存包shiro-ehcache1.2.0與spring整合包shiro-spring1.2.0Ehcache緩存核心包ehcache-core2.5.3Shiro自身日志包slf4j-jdk141.6.4使用maven時，在pom中添加依賴包org.apache.shiroshiro-core1.2

9、.0org.apache.shiroshiro-web1.2.0org.apache.shiroshiro-ehcache1.2.0org.apache.shiroshiro-spring1.2.0net.sf.ehcacheehcache-core2.5.3org.slf4jslf4j-jdk141.6.4Spring整合配置1.在web.xml中配置shiro的過濾器 shiroFilter org.springframework.web.filter.DelegatingFilterProxy shiroFilter /* 2.在在Spring的的applicationContext.x

10、ml中添加中添加shiro配置配置/home* = anon/ = anon/logout = logout/role/* = rolesadmin/permission/* = permspermssion:look/* = authcsecurityManager：這個屬性是必須的。loginUrl ：沒有登錄的用戶請求需要登錄的頁面時自動跳轉到登錄頁面，不是必須的屬性，不輸入地址的話會自動尋找項目web項目的根目錄下的”/login.jsp”頁面。successUrl ：登錄成功默認跳轉頁面，不配置則跳轉至”/”。如果登陸前點擊的一個需要登錄的頁面，則在登錄自動跳轉到那個需要登錄的頁面。

11、不跳轉到此。unauthorizedUrl ：沒有權限默認跳轉的頁面。過濾器簡稱過濾器簡稱對應的對應的java類類anonorg.apache.shiro.web.filter.authc.AnonymousFilterauthcorg.apache.shiro.web.filter.authc.FormAuthenticationFilterauthcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilterpermsorg.apache.shiro.web.filter.authz.PermissionsAuth

12、orizationFilterportorg.apache.shiro.web.filter.authz.PortFilterrestorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilterrolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFiltersslorg.apache.shiro.web.filter.authz.SslFilteruserorg.apache.shiro.web.filter.authc.UserFilterlogoutorg.apache

13、.shiro.web.filter.authc.LogoutFilteranon:例子/admins/*=anon 沒有參數(shù)，表示可以匿名使用。authc:例如/admins/user/*=authc表示需要認證(登錄)才能使用，沒有參數(shù)roles：例子/admins/user/*=rolesadmin,參數(shù)可以寫多個，多個時必須加上引號，并且參數(shù)之間用逗號分割，當有多個參數(shù)時，例如admins/user/*=rolesadmin,guest,每個參數(shù)通過才算通過，相當于hasAllRoles()方法。perms：例子/admins/user/*=permsuser:add:*,參數(shù)可以寫多個

14、，多個時必須加上引號，并且參數(shù)之間用逗號分割，例如/admins/user/*=permsuser:add:*,user:modify:*，當有多個參數(shù)時必須每個參數(shù)都通過才通過，想當于isPermitedAll()方法。rest：例子/admins/user/*=restuser,根據(jù)請求的方法，相當于/admins/user/*=permsuser:method ,其中method為post，get，delete等。port：例子/admins/user/*=port8081,當請求的url的端口不是8081是跳轉到schemal:/serverName:8081?queryString,

15、其中schmal是協(xié)議http或https等，serverName是你訪問的host,8081是url配置里port的端口，queryString是你訪問的url里的？后面的參數(shù)。authcBasic：例如/admins/user/*=authcBasic沒有參數(shù)表示httpBasic認證ssl:例子/admins/user/*=ssl沒有參數(shù)，表示安全的url請求，協(xié)議為httpsuser:例如/admins/user/*=user沒有參數(shù)表示必須存在用戶，當?shù)侨氩僮鲿r不做檢查注：anon，authcBasic，auchc，user是認證過濾器，perms，roles，ssl，rest，po

16、rt是授權過濾器3.在在applicationContext.xml中添加中添加securityManagerper配置4.配置jdbcRealmdataSource 數(shù)據(jù)源，配置不說了。authenticationQuery 登錄認證用戶的查詢SQL，需要用登錄用戶名作為條件，查詢密碼字段。userRolesQuery 用戶角色查詢SQL，需要通過登錄用戶名去查詢。查詢角色字段permissionsQuery 用戶的權限資源查詢SQL，需要用單一角色查詢角色下的權限資源，如果存在多個角色，則是遍歷每個角色，分別查詢出權限資源并添加到集合中。permissionsLookupEnabled 默

17、認false。False時不會使用permissionsQuery的SQL去查詢權限資源。設置為true才會去執(zhí)行。saltStyle 密碼是否加鹽，默認是NO_SALT不加鹽。加鹽有三種選擇CRYPT,COLUMN,EXTERNAL。詳細可以去看文檔。這里按照不加鹽處理。credentialsMatcher 密碼匹配規(guī)則。下面簡單介紹。hashAlgorithmName 必須的，沒有默認值。可以有MD5或者SHA-1，如果對密碼安全有更高要求可以用SHA-256或者更高。這里使用MD5storedCredentialsHexEncoded 默認是true，此時用的是密碼加密用的是Hex編碼；

18、false時用Base64編碼hashIterations 迭代次數(shù)，默認值是1。用戶名：密碼：記住我注：登錄JSP，表單action與提交方式固定，用戶名與密碼的name也是固定。登錄JSP頁面5.配置shiro注解模式注意：在與springMVC整合時必須放在springMVC的配置文件中。Shiro在注解模式下，登錄失敗，與沒有權限均是通過拋出異常。并且默認并沒有去處理或者捕獲這些異常。在springMVC下需要配置捕獲相應異常來通知用戶信息，如果不配置異常會拋出到頁面/unauthorized/unauthenticatedRequiresAuthentication驗證用戶是否登錄，

19、等同于方法subject.isAuthenticated() 結果為true時。 RequiresUser驗證用戶是否被記憶，user有兩種含義：一種是成功登錄的（subject.isAuthenticated() 結果為true）；另外一種是被記憶的（ subject.isRemembered()結果為true）。 RequiresGuest驗證是否是一個guest的請求，與 RequiresUser完全相反。 換言之，RequiresUser = ! RequiresGuest 。此時subject.getPrincipal() 結果為null. RequiresRoles例如：Requi

20、resRoles(aRoleName);void someMethod();如果subject中有aRoleName角色才可以訪問方法someMethod。如果沒有這個權限則會拋出異常AuthorizationException。RequiresPermissions例如： RequiresPermissions( file:read, write:aFile.txt )void someMethod();要求subject中必須同時含有file:read和write:aFile.txt的權限才能執(zhí)行方法someMethod()。否則拋出異常AuthorizationException。三.簡

21、單擴展1.自定義realm：/這是授權方法這是授權方法protectedAuthorizationInfodoGetAuthorizationInfo(PrincipalCollection principals) String userName = (String) getAvailablePrincipal(principals);/TODO通過用戶名獲得用戶的所有資源，并把資源存入通過用戶名獲得用戶的所有資源，并把資源存入info中中.SimpleAuthorizationInfo info = newSimpleAuthorizationInfo();info.setStringPer

22、missions(set集合);info.setRoles(set集合);info.setObjectPermissions(set集合);returninfo;/這是認證方法這是認證方法protectedAuthenticationInfodoGetAuthenticationInfo(AuthenticationToken token) throwsAuthenticationException/token中儲存著輸入的用戶名和密碼中儲存著輸入的用戶名和密碼UsernamePasswordToken upToken = (UsernamePasswordToken)token;/獲得用戶名

23、與密碼獲得用戶名與密碼String username = upToken.getUsername();String password = String.valueOf(upToken.getPassword();/TODO與數(shù)據(jù)庫中用戶名和密碼進行比對。比對成功則返回與數(shù)據(jù)庫中用戶名和密碼進行比對。比對成功則返回info，比對失敗，比對失敗則拋出對應信息的異常則拋出對應信息的異常AuthenticationException.SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCh

24、arArray(),getName();returninfo;2.自定義登錄/創(chuàng)建用戶名和密碼的令牌創(chuàng)建用戶名和密碼的令牌UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getPassWord();/記錄該令牌，如果不記錄則類似購物車功能不能使用。記錄該令牌，如果不記錄則類似購物車功能不能使用。token.setRememberMe(true);/subject理解成權限對象。類似理解成權限對象。類似userSubject subject = SecurityUtils.getSub

25、ject();try subject.login(token); catch (UnknownAccountException ex) /用戶名沒有找到。用戶名沒有找到。 catch (IncorrectCredentialsException ex) /用戶名密碼不匹配。用戶名密碼不匹配。catch (AuthenticationException e) /其他的登錄錯誤其他的登錄錯誤/驗證是否成功登錄的方法驗證是否成功登錄的方法if (subject.isAuthenticated() Subject subject = SecurityUtils.getSubject();subject.logout();3.自定義登出4.基于編碼的角色授權實現(xiàn)Subject currentUser = SecurityUtils.getSubject(); if (currentUser.hasRole(administrator) /擁有角色administrator else /沒有角色處理 Subject currentUser = SecurityUtils.getSubject(); /如果沒有角色admin，則會拋出異常，someMethod()也不會被執(zhí)行currentUser.check