2. 程式人生 > >淺析shiro框架的認證和授權

淺析shiro框架的認證和授權

阿新 發佈:2018-12-11

shiro安全框架

1.1.Shiro 概述

Shiro是apache旗下一個開源安全框架,它將軟體系統的安全認證相關的功能抽取出來,實現使用者身份認證,許可權授權、加密、會話管理等功能,組成了一個通用的安全認證框架,使用shiro就可以非常快速的完成認證、授權等功能的開發,降低系統成本。
課後瞭解:Spring security 安全框架

1.2.Shiro 概要架構

在概念層,Shiro 架構包含三個主要的理念:Subject,SecurityManager和 Realm。

1.3shiro的構件

1)Subject(主體):與軟體互動的一個特定的實體(使用者、第三方服務等)。
2)SecurityManager(安全管理器) :Shiro 的核心,用來協調管理元件工作。
3)Authenticator(認證管理器):負責執行認證操作
4)Authorizer(授權管理器):負責授權檢測
5)SessionManager(會話管理):負責建立並管理使用者 Session 生命週期,提供一個強有力的 Session 體驗。
6)SessionDAO:代表 SessionManager 執行 Session 持久(CRUD)動作,它允許任何儲存的資料掛接到 session 管理基礎上。
7)CacheManager(快取管理器):提供建立快取例項和管理快取生命週期的功能
8)Cryptography(加密管理器):提供了加密方式的設計及管理。
9)Realms(領域物件):是shiro和你的應用程式安全資料之間的橋樑。

2.1Shiro 認證

簡述:
1)系統呼叫subject的login方法將使用者資訊提交給SecurityManager
2)SecurityManager將認證操作委託給認證器物件Authenticator
3)Authenticator將身份資訊傳遞給Realm。
4)Realm訪問資料庫獲取使用者資訊然後對資訊進行封裝並返回。
5)Authenticator 對realm返回的資訊進行身份認證。

詳述:
使用者名稱密碼驗證為例,當瀏覽器客戶端向伺服器傳送AJAX非同步請求,請求伺服器處理驗證使用者輸入的使用者名稱和密碼,
當請求傳入Tomcat,通過Tomcat的過濾器****到達前端控制器

的時候,前端控制器擷取請求的url,在HandlerMapping裡找對應的map集合中的entry元素,找到後穿過springMVC的攔截器到達後端控制器Controller,在Controller裡使用SecorityUtils獲取一個Subject,subject裡面有一個login方法,但是呼叫login方法必須傳入一個token型別的引數,這時候我們想到AJAX裡面傳過來的username和password正好可以封裝在一個UsernamePasswordtoken裡面,所以我們這樣寫

UsernamePasswordToken tokensubjec = new UsernamePasswordToken(username,password);
Subject subject = SecurityUtils.Subject();
subject.login(token);

當我們寫完這句subject.login(token);
系統底層會幫我們從配置檔案讀取我們配置的SecurityManager以及相關配置,並將token傳過去,會找到anthenticator(認證管理器),anthenticator根據SecurityManager裡面配置的realm,找到realm。我們要做的就是在這之前一定要確保該realm已經存在,否則會找不到,在realm中我們將傳過來token進行向下造型回usernamepasswordtoken,
然後將裡面的username取出來傳遞到資料層,讓資料層根據username從使用者名稱中查詢具體使用者所有資訊,查詢完畢我們使用一個SimpleAuthenticationInfo進行資訊封裝,new一個該物件的時候我們要傳入四個引數第一個是身份資訊,我們一般傳入從dao資料層查到的使用者資訊,但是要注意這裡寫入的型別和授權的時候取資料的型別要對應,如果只寫使用者名稱則取資料的時候用字串接收,第二個引數是加密後的密碼,我們已經查到,第三個引數是指定型別的salt,其實和我們通過資料層查到的salt是一樣的只不過需要的型別不一致,需要做一步轉型即可,第四個引數是realm的名字,表示本類直接用this.getName();然後將我們new出來的SimpleAuthenticationInfo物件的例項返回給認證管理器,認證管理器會自動幫我們認證。
如下圖所示在這裡插入圖片描述

2.2Shiro的授權

概述:
1)系統呼叫subject相關方法將使用者資訊(例如isPermitted)遞交給SecurityManager
2)SecurityManager將許可權檢測操作委託給Authorizer物件
3)Authorizer將使用者資訊委託給realm.
4)Realm訪問資料庫獲取使用者許可權資訊並封裝。
5) Authorizer對使用者授權資訊進行判定。

3.基於註解的方式配置Shiro元件

@Bean("securityManager")
public DefaultWebSecurityManager  newDefaultWebSecurityManager(
			AuthorizingRealm userRealm){
		DefaultWebSecurityManager sManager=
		new DefaultWebSecurityManager();
		//此時必須保證realm物件已經存在了
		sManager.setRealm(userRealm);
		return sManager;
}


@Bean("shiroFilterFactoryBean")
public ShiroFilterFactoryBean newShiroFilterFactoryBean(
			SecurityManager securityManager){//shiro 包
		ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
		bean.setSecurityManager(securityManager);
	    //當此使用者是一個非認證使用者,需要先登陸進行認證
		bean.setLoginUrl("/doLoginUI.do");
		LinkedHashMap<String,String> fcMap=
		new LinkedHashMap<>();
		fcMap.put("/bower_components/**","anon");//anon表示允許匿名訪問
		fcMap.put("/build/**", "anon");
		fcMap.put("/dist/**","anon");
		fcMap.put("/plugins/**","anon");
		fcMap.put("/doLogin.do","anon");
		fcMap.put("/doLogout.do","logout");
		fcMap.put("/**", "authc");//必須授權才能訪問
		bean.setFilterChainDefinitionMap(fcMap);
		return bean;
}


@Bean("lifecycleBeanPostProcessor")
public LifecycleBeanPostProcessor newLifecycleBeanPostProcessor(){
		return new LifecycleBeanPostProcessor();
}


@DependsOn(value="lifecycleBeanPostProcessor")
@Bean
public DefaultAdvisorAutoProxyCreator newDefaultAdvisorAutoProxyCreator(){
		return new DefaultAdvisorAutoProxyCreator();
}


@Bean
public AuthorizationAttributeSourceAdvisor newAuthorizationAttributeSourceAdvisor(
			SecurityManager securityManager){
		    AuthorizationAttributeSourceAdvisor bean=
			new AuthorizationAttributeSourceAdvisor();
		    bean.setSecurityManager(securityManager);
		return bean;
	}


3.3.Shiro 核心過濾器配置
在註解啟動類中,重寫onStartup方法,完成過濾器的註冊
	@Override
	public void onStartup(ServletContext servletContext) 
throws ServletException {
		System.out.println("onStartup");
		//super.onStartup(servletContext);
		registerContextLoaderListener(servletContext);
		registerFilter(servletContext);
		registerDispatcherServlet(servletContext);
	}

	private void registerFilter(ServletContext servletContext) {
		//註冊Filter物件
		//專案沒有web.xml並且此filter不是自己寫的,所以需要用這種配置方式
		FilterRegistration.Dynamic dy=
		servletContext.addFilter("filterProxy",
				DelegatingFilterProxy.class);
		dy.setInitParameter("targetBeanName","shiroFilterFactoryBean");
		dy.addMappingForUrlPatterns(
				null,//EnumSet<DispatcherType>
				false,"/*");//url-pattern
	}

4.基於xml方式配置Shiro元件

<?xml version="1.0" encoding="UTF-8"?>
<beans default-lazy-init="true"
	xmlns="http://www.springframework.org/schema/beans" xmlns:p="http://www.springframework.org/schema/p"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
	xmlns:tx="http://www.springframework.org/schema/tx" xmlns:aop="http://www.springframework.org/schema/aop"
	xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:util="http://www.springframework.org/schema/util"
	xmlns:jpa="http://www.springframework.org/schema/data/jpa"
	xsi:schemaLocation="  
       http://www.springframework.org/schema/beans   
       http://www.springframework.org/schema/beans/spring-beans-4.3.xsd  
       http://www.springframework.org/schema/mvc   
       http://www.springframework.org/schema/mvc/spring-mvc-4.3.xsd   
       http://www.springframework.org/schema/tx   
       http://www.springframework.org/schema/tx/spring-tx-4.3.xsd   
       http://www.springframework.org/schema/aop 
       http://www.springframework.org/schema/aop/spring-aop-4.3.xsd
       http://www.springframework.org/schema/util 
       http://www.springframework.org/schema/util/spring-util-4.3.xsd
       http://www.springframework.org/schema/data/jpa 
       http://www.springframework.org/schema/data/jpa/spring-jpa-1.3.xsd
       http://www.springframework.org/schema/context
       http://www.springframework.org/schema/context/spring-context-4.3.xsd">

	<!-- 配置securityManager -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<!-- 配置Realm -->
		<property name="Realms" ref="shiroUserRealm"></property>
		
	</bean>
	<!-- 生命週期管理器 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor">
	</bean>
	<!--設定自動代理Service實現類-->
	<bean id="defaultAdvisorAutoProxyCreator"
		class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		depends-on="lifecycleBeanPostProcessor">
	</bean>
	<!-- 配置授權屬性 -->
	<bean  class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor" >
		<property name="SecurityManager" ref="securityManager"></property>
	</bean>

	<!-- 配置shiro的shiroFilterFactoryBean -->
	<!-- 目的:讓使用者先進行登入認證 -->
	<bean id="shiroFilterFactory" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="SecurityManager" ref="securityManager"></property>
		<property name="LoginUrl" value="/doLoginUI.do"></property>
		<!-- 設定請求過濾規則 -->
		<property name="FilterChainDefinitionMap">
			<map>
				<entry key="/bower_components/**" value="anon"></entry>
				<entry key="/build/**" value="anon"></entry>
				<entry key="/dist/**" value="anon"></entry>
				<entry key="/plugins/**" value="anon"></entry>
				<entry key="/user/doLogin.do" value="anon"></entry>
				<entry key="/doLogout.do" value="logout"></entry>
				<!-- 除了以上的資源,其他資源都需要登入認證 -->
				<entry key="/**" value="authc"></entry>
			</map>
		</property>
	</bean>
</beans>

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">
  <display-name>CGB-JT-SYS-V1.01</display-name>
  <!-- Shiro中的核心過濾器(負責攔截請求) -->
  <filter>
     <filter-name>shiroFilter</filter-name>
     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
     <init-param>
        <param-name>targetBeanName</param-name>
        <param-value>shiroFilterFactory</param-value>
     </init-param>
  </filter>
  <filter-mapping>
     <filter-name>shiroFilter</filter-name>
     <url-pattern>/*</url-pattern>
  </filter-mapping>
  
  <!-- 配置Spring MVC 前端控制器 -->
  <!-- 註冊前端控制器 -->
  <servlet>
       <servlet-name>frontController</servlet-name>
       <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
       <init-param>
          <param-name>contextConfigLocation</param-name><!-- 這個名字不能隨意寫 -->
          <param-value>classpath:spring-configs.xml</param-value>
       </init-param> 
       <!--配置servlet在伺服器啟動時載入(數字越小優先順序越高) 
                       配置如下選項以後,tomcat啟動時就會初始化這個servlet,
                       這個servlet在初始化時會讀取contextConfigLocation
                       引數對應的配置檔案.
        -->
       <load-on-startup>1</load-on-startup>
 </servlet>
 <!-- 配置前端控制器對映 -->
 <servlet-mapping>
      <servlet-name>frontController</servlet-name>
      <url-pattern>*.do</url-pattern>
 </servlet-mapping>
 
</web-app>

相關推薦

Shiro許可權框架認證授權原理介紹

1、簡介shiro是一個安全框架,是Apache的一個子專案。shiro提供了:認證、授權、加密、會話管理、與web整合、快取等模組。   1.1、模組介紹Authentication:使用者身份識別,可以認為是登入;Authorization:授權,即許可權驗證,驗證某個已

shiro 許可權框架認證授權原理

Shiro是一個安全框架,是Apache 的一個子專案。Shiro提供了:認證、授權、加密、會話管理、與Web整合、快取等模組。

SpringBoot整合Shiro登入認證授權(附demo)

SpringBoot整合Shiro登入認證和授權 廢話不多說,直接上程式碼: 程式碼有點多,想直接拿demo的直接拉到底 ps:demo忘了在哪拿的了,在他的基礎上改了一些 步驟一:pom.xml匯入依賴jar包 <dependencies

淺析shiro框架認證授權

shiro安全框架 1.1.Shiro 概述 Shiro是apache旗下一個開源安全框架,它將軟體系統的安全認證相關的功能抽取出來,實現使用者身份認證,許可權授權、加密、會話管理等功能,組成了一個通用的安全認證框架,使用shiro就可以非常快速的完成認證、授權

BOS項目 第7天(shiro權限框架進行認證授權)

ebs setattr not action 錯誤信息 add 流程圖 元素 錯誤提示 BOS項目筆記 第7天 今天內容安排: 1、權限概述(認證、授權) 2、常見的權限控制的方式(URL攔截權限控制、方法註解權限控制) 3、權限數據模型(權限表、角色表、用戶表、角色權

Shiro安全框架第三篇| Shiro認證授權

  Shiro的認證 接下來是在IDEA進行Shiro的學習,新建一個Springboot工程,除了一些預設的依賴,這裡需要引入apache.shiro安全框架依賴,以及做單元測試的依賴。 1<dependencies> 2   &

Shiro使用者認證使用者授權流程

有時候覺得‘如約而至’是個多麼美好的詞,等的很辛苦,卻不辜負。——《匿名》 1、引言 傳統許可權管理使用基於url攔截的許可權管理方式,實現起來比較簡單,不依賴框架,使用web提供filter就可以實現。但是這種方式存在問題,需要將將所有的url全部

spring整合shiro認證授權

第一步:引入shiro框架相關的jar <!-- 引入shiro框架的依賴 --> <dependency> <groupId>org.apache.s

Maven專案中shiro框架認證授權的應用(一)

<!-- 配置shiro框架的過濾器工廠物件 --><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><!-- 注入安全管理器物件 --><propert

【Spring-Security】【1】認證授權

部分 完整 業務 代碼 參數 web 用戶訪問 設置 管理權限 【認證】 憑據為基礎的認證: 當你登錄 e-mail 賬號時,你可能提供你的用戶名和密碼。E-mail的提供商會將你的用戶名與數據中的記錄進行匹配,並驗證你提供的密碼與對應的記錄是不是匹配。這些憑證(用戶名和

OAuth2.0認證授權原理

avi b2c 用戶授權 服務商 包括 facebook 自己的 borde 技術分享 什麽是OAuth授權? 一、什麽是OAuth協議 OAuth(開放授權)是一個開放標準。 允許第三方網站在用戶授權的前提下訪問在用戶在服務商那裏存儲的各種信息。 而這種授權無需將用

關於認證授權

html open ber sdn framework images fis 關於 .com 這裏設計的內容比較多; cookie, form認證,request,response,IPriciple,Identity,menberhsip,claim,owin,middl

asp.net core認證授權的初始認識--claim、claimsidentity、claimsprincipal

brush AD cookie PE 身份證號 oat 初始 name IV Claim表示一個聲明單元,它用來組成ClaimsIdentity。ClaimsIdentity表示一個證件,例如身份證,身份證上面的名字表示一個Claim,身份證號也表示一個Claim,所有

shiro認證授權

失敗 ole info 是否 eal ipa 認證 三種方式 nlog 1,什麽是shiro Shiro是apache旗下一個開源框架,它將軟件系統的安全認證相關的功能抽取出來,實現用戶身份認證,權限授權、加密、會話管理等功能,組成了一個通用的安全認證框架。 shiro

用戶認證授權

csr 接收 也會 指定 才會 接口 截取 swa 認證服務器 概述 因為做的項目涉及到用戶認證和授權,所以好好總結了一下這塊。 認證和授權 一般我們說的認證主要指的是用戶登錄認證;一般我們說的授權主要是第三方授權。 用戶登錄認證主要有2種方法,一種是基於session-i

5.1基於JWT的認證授權「深入淺出ASP.NET Core系列」

希望給你3-5分鐘的碎片化學習,可能是坐地鐵、等公交,積少成多,水滴石穿,碼字辛苦,如果你吃了蛋覺得味道不錯,希望點個贊,謝謝關注。 Cookie-Based認證 認證流程   我們先看下傳統Web端的認證流程:      以上流程很簡單,有過mvc開發經驗的都瞭如指掌,一圖勝千言就不展開

ASP.NET Core WebAPI中使用JWT Bearer認證授權

目錄 為什麼是 JWT Bearer 什麼是 JWT JWT 的優缺點 在 WebAPI 中使用 JWT 認證 重新整理 Token 使用授權 簡單授權 基於固定角色的授權 基於策略的授權 自定義策略授權 基於資源的授權 原

shrio 認證授權的執行時機

1.doGetAuthenticationInfo執行時機如下 當呼叫Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorization

Kubernetes(k8s)1.5新特性:Kubelet API增加認證授權能力_Kubernetes中文社群

一、背景介紹 在Kubernetes1.5中,對於kubelet新增加了幾個同認證/授權相關的幾個啟動引數,分別是: 認證相關引數: •       anonymous-auth引數:是否啟用匿名訪問,可以選擇true或者false,預設是true,表示啟用匿名訪問。 •       auth

rabbitmq基於http的認證授權

關於使用者的登入。user_login_authentication(Username, AuthProps) -> case http_req(p(user_path), q([{username, Username}|AuthProps])) of