shiro入門(mén)學(xué)習(xí)簡(jiǎn)單的介紹配置擴(kuò)展

1、Shiro入門(mén)學(xué)習(xí)手冊(cè)簡(jiǎn)單的介紹，簡(jiǎn)單的配置，簡(jiǎn)單的擴(kuò)展By jfm一，shiro簡(jiǎn)介Apache Shiro是一個(gè)強(qiáng)大而靈活的開(kāi)源安全框架，它能夠干凈利落地處理身份認(rèn)證，授權(quán)，企業(yè)會(huì)話管理和加密。以下是你可以用 Apache Shiro所做的事情： 驗(yàn)證用戶 對(duì)用戶執(zhí)行訪問(wèn)控制，如： 判斷用戶是否擁有角色admin。 判斷用戶是否擁有訪問(wèn)的權(quán)限 在任何環(huán)境下使用 Session API。例如CS程序。 可以使用多個(gè)用戶數(shù)據(jù)源。例如一個(gè)是oracle用戶庫(kù)，另外一個(gè)是mysql用戶庫(kù)。 單點(diǎn)登錄（SSO）功能。 “Remember Me”服務(wù) ，類似購(gòu)物車(chē)的功能，shiro官方建議開(kāi)啟。Shi

2、ro的4大部分身份驗(yàn)證，授權(quán)，會(huì)話管理和加密 Authentication：身份驗(yàn)證，簡(jiǎn)稱“登錄”。 Authorization：授權(quán)，給用戶分配角色或者權(quán)限資源 Session Management：用戶session管理器，可以讓CS程序也使用session來(lái)控制權(quán)限 Cryptography：把JDK中復(fù)雜的密碼加密方式進(jìn)行封裝。除了以上功能，shiro還提供很多擴(kuò)展 Web Support：主要針對(duì)web應(yīng)用提供一些常用功能。 Caching：緩存可以使應(yīng)用程序運(yùn)行更有效率。 Concurrency：多線程相關(guān)功能。 Testing：幫助我們進(jìn)行測(cè)試相關(guān)功能 Run As：一個(gè)允許用戶

3、假設(shè)為另一個(gè)用戶身份（如果允許）的功能，有時(shí)候在管理腳本很有用。 “Remember Me”：記住用戶身份，提供類似購(gòu)物車(chē)功能。Subject 是與程序進(jìn)行交互的對(duì)象，可以是人也可以是服務(wù)或者其他，通常就理解為用戶。所有Subject 實(shí)例都必須綁定到一個(gè)SecurityManager上。我們與一個(gè) Subject 交互，運(yùn)行時(shí)shiro會(huì)自動(dòng)轉(zhuǎn)化為與 SecurityManager交互的特定 subject的交互。Subject：SecurityManager 是 Shiro的核心，初始化時(shí)協(xié)調(diào)各個(gè)模塊運(yùn)行。然而，一旦 SecurityManager協(xié)調(diào)完畢，SecurityManager

4、會(huì)被單獨(dú)留下，且我們只需要去操作Subject即可，無(wú)需操作SecurityManager 。 但是我們得知道，當(dāng)我們正與一個(gè) Subject 進(jìn)行交互時(shí)，實(shí)質(zhì)上是 SecurityManager在處理 Subject 安全操作。SecurityManager：Realms：Realms在 Shiro中作為應(yīng)用程序和安全數(shù)據(jù)之間的“橋梁”或“連接器”。他獲取安全數(shù)據(jù)來(lái)判斷subject是否能夠登錄，subject擁有什么權(quán)限。他有點(diǎn)類似DAO。在配置realms時(shí)，需要至少一個(gè)realm。而且Shiro提供了一些常用的 Realms來(lái)連接數(shù)據(jù)源，如LDAP數(shù)據(jù)源的JndiLdapRealm，J

5、DBC數(shù)據(jù)源的JdbcRealm，ini文件數(shù)據(jù)源的IniRealm，properties文件數(shù)據(jù)源的PropertiesRealm，等等。我們也可以插入自己的 Realm實(shí)現(xiàn)來(lái)代表自定義的數(shù)據(jù)源。 像其他組件一樣，Realms也是由SecurityManager控制小結(jié)：1.Subject(org.apache.shiro.subject.Subject):簡(jiǎn)稱用戶2.SecurityManager(org.apache.shiro.mgt.SecurityManager) 如上所述，SecurityManager是shiro的核心，協(xié)調(diào)shiro的各個(gè)組件3.Authenticator(o

6、rg.apache.shiro.authc.Authenticator)： 登錄控制注：Authentication Strategy(org.apache.shiro.authc.pam.AuthenticationStrategy) 如果存在多個(gè)realm，則接口AuthenticationStrategy會(huì)確定什么樣算是登錄成功（例如，如果一個(gè)Realm成功，而其他的均失敗，是否登錄成功？）。 4.Authorizer(org.apache.shiro.authz.Authorizer) ：決定subject能擁有什么樣角色或者權(quán)限。5.SessionManager(org.apache

7、.shiro.session.SessionManager) ：創(chuàng)建和管理用戶session。通過(guò)設(shè)置這個(gè)管理器，shiro可以在任何環(huán)境下使用session。6.CacheManager(org.apahce.shiro.cache.CacheManager) ：緩存管理器，可以減少不必要的后臺(tái)訪問(wèn)。提高應(yīng)用效率，增加用戶體驗(yàn)。7.Cryptography(org.apache.shiro.crypto.*) :Shiro的api大幅度簡(jiǎn)化java api中繁瑣的密碼加密。8.Realms(org.apache.shiro.realm.Realm) ：程序與安全數(shù)據(jù)的橋梁二，簡(jiǎn)單配置注：這里

8、只介紹spring配置模式。因?yàn)楣俜嚼与m然中有更加簡(jiǎn)潔的ini配置形式，但是使用ini配置無(wú)法與spring整合。而且兩種配置方法一樣，只是格式不一樣。涉及的jar包Jar包名稱版本核心包shiro-core1.2.0Web相關(guān)包shiro-web1.2.0緩存包shiro-ehcache1.2.0與spring整合包shiro-spring1.2.0Ehcache緩存核心包ehcache-core2.5.3Shiro自身日志包slf4j-jdk141.6.4使用maven時(shí)，在pom中添加依賴包org.apache.shiroshiro-core1.2.0org.apache.shiros

9、hiro-web1.2.0org.apache.shiroshiro-ehcache1.2.0org.apache.shiroshiro-spring1.2.0net.sf.ehcacheehcache-core2.5.3org.slf4jslf4j-jdk141.6.4Spring整合配置1.在web.xml中配置shiro的過(guò)濾器shiroFilterorg.springframework.web.filter.DelegatingFilterProxyshiroFilter/*2.在Spring的applicationContext.xml中添加shiro配置/home* = anon/

10、 = anon/logout = logout/role/* = rolesadmin/permission/* = permspermssion:look/* = authcsecurityManager：這個(gè)屬性是必須的。loginUrl ：沒(méi)有登錄的用戶請(qǐng)求需要登錄的頁(yè)面時(shí)自動(dòng)跳轉(zhuǎn)到登錄頁(yè)面，不是必須的屬性，不輸入地址的話會(huì)自動(dòng)尋找項(xiàng)目web項(xiàng)目的根目錄下的”/login.jsp”頁(yè)面。successUrl ：登錄成功默認(rèn)跳轉(zhuǎn)頁(yè)面，不配置則跳轉(zhuǎn)至”/”。如果登陸前點(diǎn)擊的一個(gè)需要登錄的頁(yè)面，則在登錄自動(dòng)跳轉(zhuǎn)到那個(gè)需要登錄的頁(yè)面。不跳轉(zhuǎn)到此。unauthorizedUrl ：沒(méi)有權(quán)限默認(rèn)跳轉(zhuǎn)

11、的頁(yè)面。過(guò)濾器簡(jiǎn)稱對(duì)應(yīng)的java類anonorg.apache.shiro.web.filter.authc.AnonymousFilterauthcorg.apache.shiro.web.filter.authc.FormAuthenticationFilterauthcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilterpermsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilterportorg.apache.shiro.web.

12、filter.authz.PortFilterrestorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilterrolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFiltersslorg.apache.shiro.web.filter.authz.SslFilteruserorg.apache.shiro.web.filter.authc.UserFilterlogoutorg.apache.shiro.web.filter.authc.LogoutFilteranon

13、:例子/admins/*=anon 沒(méi)有參數(shù)，表示可以匿名使用。authc:例如/admins/user/*=authc表示需要認(rèn)證(登錄)才能使用，沒(méi)有參數(shù)roles：例子/admins/user/*=rolesadmin,參數(shù)可以寫(xiě)多個(gè)，多個(gè)時(shí)必須加上引號(hào)，并且參數(shù)之間用逗號(hào)分割，當(dāng)有多個(gè)參數(shù)時(shí)，例如admins/user/*=rolesadmin,guest,每個(gè)參數(shù)通過(guò)才算通過(guò)，相當(dāng)于hasAllRoles()方法。perms：例子/admins/user/*=permsuser:add:*,參數(shù)可以寫(xiě)多個(gè)，多個(gè)時(shí)必須加上引號(hào)，并且參數(shù)之間用逗號(hào)分割，例如/admins/user/*=

14、permsuser:add:*,user:modify:*，當(dāng)有多個(gè)參數(shù)時(shí)必須每個(gè)參數(shù)都通過(guò)才通過(guò)，想當(dāng)于isPermitedAll()方法。rest：例子/admins/user/*=restuser,根據(jù)請(qǐng)求的方法，相當(dāng)于/admins/user/*=permsuser:method ,其中method為post，get，delete等。port：例子/admins/user/*=port8081,當(dāng)請(qǐng)求的url的端口不是8081是跳轉(zhuǎn)到schemal:/serverName:8081?queryString,其中schmal是協(xié)議http或https等，serverName是你訪問(wèn)的ho

15、st,8081是url配置里port的端口，queryString是你訪問(wèn)的url里的？后面的參數(shù)。authcBasic：例如/admins/user/*=authcBasic沒(méi)有參數(shù)表示httpBasic認(rèn)證ssl:例子/admins/user/*=ssl沒(méi)有參數(shù)，表示安全的url請(qǐng)求，協(xié)議為httpsuser:例如/admins/user/*=user沒(méi)有參數(shù)表示必須存在用戶，當(dāng)?shù)侨氩僮鲿r(shí)不做檢查注：anon，authcBasic，auchc，user是認(rèn)證過(guò)濾器，perms，roles，ssl，rest，port是授權(quán)過(guò)濾器3. 在applicationContext.xml中添加sec

16、urityManagerper配置4.配置jdbcRealmdataSource 數(shù)據(jù)源，配置不說(shuō)了。authenticationQuery 登錄認(rèn)證用戶的查詢SQL，需要用登錄用戶名作為條件，查詢密碼字段。userRolesQuery 用戶角色查詢SQL，需要通過(guò)登錄用戶名去查詢。查詢角色字段permissionsQuery 用戶的權(quán)限資源查詢SQL，需要用單一角色查詢角色下的權(quán)限資源，如果存在多個(gè)角色，則是遍歷每個(gè)角色，分別查詢出權(quán)限資源并添加到集合中。permissionsLookupEnabled 默認(rèn)false。False時(shí)不會(huì)使用permissionsQuery的SQL去查詢權(quán)限資

17、源。設(shè)置為true才會(huì)去執(zhí)行。saltStyle 密碼是否加鹽，默認(rèn)是NO_SALT不加鹽。加鹽有三種選擇CRYPT,COLUMN,EXTERNAL。詳細(xì)可以去看文檔。這里按照不加鹽處理。credentialsMatcher 密碼匹配規(guī)則。下面簡(jiǎn)單介紹。hashAlgorithmName 必須的，沒(méi)有默認(rèn)值?？梢杂蠱D5或者SHA-1，如果對(duì)密碼安全有更高要求可以用SHA-256或者更高。這里使用MD5storedCredentialsHexEncoded 默認(rèn)是true，此時(shí)用的是密碼加密用的是Hex編碼；false時(shí)用Base64編碼hashIterations 迭代次數(shù)，默認(rèn)值是1。用戶

18、名：密碼：記住我注：登錄JSP，表單action與提交方式固定，用戶名與密碼的name也是固定。登錄JSP頁(yè)面5.配置shiro注解模式注意：在與springMVC整合時(shí)必須放在springMVC的配置文件中。Shiro在注解模式下，登錄失敗，與沒(méi)有權(quán)限均是通過(guò)拋出異常。并且默認(rèn)并沒(méi)有去處理或者捕獲這些異常。在springMVC下需要配置捕獲相應(yīng)異常來(lái)通知用戶信息，如果不配置異常會(huì)拋出到頁(yè)面/unauthorized/unauthenticatedRequiresAuthentication驗(yàn)證用戶是否登錄，等同于方法subject.isAuthenticated()結(jié)果為true時(shí)。 Req

19、uiresUser驗(yàn)證用戶是否被記憶，user有兩種含義：一種是成功登錄的（subject.isAuthenticated()結(jié)果為true）；另外一種是被記憶的（ subject.isRemembered()結(jié)果為true）。 RequiresGuest驗(yàn)證是否是一個(gè)guest的請(qǐng)求，與 RequiresUser完全相反。 換言之，RequiresUser = ! RequiresGuest 。此時(shí)subject.getPrincipal() 結(jié)果為null. RequiresRoles例如：RequiresRoles(aRoleName);void someMethod();如果subje

20、ct中有aRoleName角色才可以訪問(wèn)方法someMethod。如果沒(méi)有這個(gè)權(quán)限則會(huì)拋出異常AuthorizationException。RequiresPermissions例如： RequiresPermissions( file:read, write:aFile.txt )void someMethod();要求subject中必須同時(shí)含有file:read和write:aFile.txt的權(quán)限才能執(zhí)行方法someMethod()。否則拋出異常AuthorizationException。三.簡(jiǎn)單擴(kuò)展自定義realm：/這是授權(quán)方法protected AuthorizationInf

21、o doGetAuthorizationInfo(PrincipalCollection principals) String userName = (String) getAvailablePrincipal(principals);/TODO 通過(guò)用戶名獲得用戶的所有資源，并把資源存入info中.SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();info.setStringPermissions(set集合);info.setRoles(set集合);info.setObjectPermissions(set集合);r

22、eturn info;/這是認(rèn)證方法protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException /token中儲(chǔ)存著輸入的用戶名和密碼UsernamePasswordToken upToken = (UsernamePasswordToken)token;/獲得用戶名與密碼String username = upToken.getUsername();String password = String.valueOf(upToken.g

23、etPassword();/TODO 與數(shù)據(jù)庫(kù)中用戶名和密碼進(jìn)行比對(duì)。比對(duì)成功則返回info，比對(duì)失敗則拋出對(duì)應(yīng)信息的異常AuthenticationException.SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCharArray(),getName();return info;自定義登錄/創(chuàng)建用戶名和密碼的令牌UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.g

24、etPassWord();/記錄該令牌，如果不記錄則類似購(gòu)物車(chē)功能不能使用。token.setRememberMe(true);/subject理解成權(quán)限對(duì)象。類似userSubject subject = SecurityUtils.getSubject();try subject.login(token); catch (UnknownAccountException ex) /用戶名沒(méi)有找到。 catch (IncorrectCredentialsException ex) /用戶名密碼不匹配。catch (AuthenticationException e) /其他的登錄錯(cuò)誤/驗(yàn)證是否

25、成功登錄的方法if (subject.isAuthenticated() Subject subject = SecurityUtils.getSubject();subject.logout();自定義登出基于編碼的角色授權(quán)實(shí)現(xiàn)SubjectcurrentUser=SecurityUtils.getSubject();if(currentUser.hasRole(administrator)/擁有角色administratorelse/沒(méi)有角色處理SubjectcurrentUser=SecurityUtils.getSubject();/如果沒(méi)有角色admin，則會(huì)拋出異常，someMetho