shiro簡單配置
注:這裡只介紹spring配置模式。
因為官方例子雖然中有更加簡潔的ini配置形式,但是使用ini配置無法與spring整合。而且兩種配置方法一樣,只是格式不一樣。
涉及的jar包
Jar包名稱 |
版本 |
核心包shiro-core |
1.2.0 |
Web相關包shiro-web |
1.2.0 |
快取包shiro-ehcache |
1.2.0 |
與spring整合包shiro-spring |
1.2.0 |
Ehcache快取核心包ehcache-core |
2.5.3 |
Shiro自身日誌包slf4j-jdk14 |
1.6.4 |
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.2.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version>1.2.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.2.0</version> </dependency> <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache-core</artifactId> <version>2.5.3</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-jdk14</artifactId> <version>1.6.4</version> </dependency>
Spring整合配置
1.在web.xml中配置shiro的過濾器
<!-- Shiro filter--> <filter> <filter-name>shiroFilter</filter-name> <filter-class> org.springframework.web.filter.DelegatingFilterProxy </filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
2.在Spring的applicationContext.xml中新增shiro配置
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/login" />
<property name="successUrl" value="/login/loginSuccessFull" />
<property name="unauthorizedUrl" value="/login/unauthorized" />
<property name="filterChainDefinitions">
<value>
/home* = anon
/ = anon
/logout = logout
/role/** = roles[admin]
/permission/** = perms[permssion:look]
/** = authc
</value>
</property>
</bean>
securityManager:這個屬性是必須的。
loginUrl:沒有登入的使用者請求需要登入的頁面時自動跳轉到登入頁面,不是必須的屬性,不輸入地址的話會自動尋找專案web專案的根目錄下的”/login.jsp”頁面。
successUrl:登入成功預設跳轉頁面,不配置則跳轉至”/”。如果登陸前點選的一個需要登入的頁面,則在登入自動跳轉到那個需要登入的頁面。不跳轉到此。
unauthorizedUrl:沒有許可權預設跳轉的頁面。
過濾器簡稱 過濾器簡稱 |
對應的java類 |
anon |
org.apache.shiro.web.filter.authc.AnonymousFilter |
authc |
org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
authcBasic |
org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter |
perms |
org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
port |
org.apache.shiro.web.filter.authz.PortFilter |
rest |
org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter |
roles |
org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
ssl |
org.apache.shiro.web.filter.authz.SslFilter |
user |
org.apache.shiro.web.filter.authc.UserFilter |
logout |
org.apache.shiro.web.filter.authc.LogoutFilter |
anon:例子/admins/**=anon 沒有引數,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要認證(登入)才能使用,沒有引數
roles:例子/admins/user/**=roles[admin],引數可以寫多個,多個時必須加上引號,並且引數之間用逗號分割,當有多個引數時,例如admins/user/**=roles["admin,guest"],每個引數通過才算通過,相當於hasAllRoles()方法。
perms:例子/admins/user/**=perms[user:add:*],引數可以寫多個,多個時必須加上引號,並且引數之間用逗號分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],當有多個引數時必須每個引數都通過才通過,想當於isPermitedAll()方法。
rest:例子/admins/user/**=rest[user],根據請求的方法,相當於/admins/user/**=perms[user:method] ,其中method為post,get,delete等。
port:例子/admins/user/**=port[8081],當請求的url的埠不是8081是跳轉到schemal://serverName:8081?queryString,其中schmal是協議http或https等,serverName是你訪問的host,8081是url配置裡port的埠,queryString
是你訪問的url裡的?後面的引數。
authcBasic:例如/admins/user/**=authcBasic沒有引數表示httpBasic認證
ssl:例子/admins/user/**=ssl沒有引數,表示安全的url請求,協議為https
user:例如/admins/user/**=user沒有引數表示必須存在使用者,當登入操作時不做檢查
注:anon,authcBasic,auchc,user是認證過濾器,
perms,roles,ssl,rest,port是授權過濾器
3.在applicationContext.xml中新增securityManagerper配置<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 單realm應用。如果有多個realm,使用‘realms’屬性代替 -->
<property name="realm" ref="sampleRealm" />
<property name="cacheManager" ref="cacheManager" />
</bean>
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager" />
4.配置jdbcRealm
<bean id="sampleRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
<property name="dataSource" ref="dataSource" />
<property name="authenticationQuery"
value="select t.password from my_user t where t.username = ?" />
<property name="userRolesQuery"
value="select a.rolename from my_user_role t left join my_role a on t.roleid = a.id where t.username = ? " />
<property name="permissionsQuery"
value="SELECT B.PERMISSION FROM MY_ROLE T LEFT JOIN MY_ROLE_PERMISSION A ON T.ID = A.ROLE_ID LEFT JOIN MY_PERMISSION B ON A.PERMISSION = B.ID WHERE T.ROLENAME = ? " />
<property name="permissionsLookupEnabled" value="true" />
<property name="saltStyle" value="NO_SALT" />
<property name="credentialsMatcher" ref="hashedCredentialsMatcher" />
</bean>
dataSource資料來源,配置不說了。
authenticationQuery登入認證使用者的查詢SQL,需要用登入使用者名稱作為條件,查詢密碼欄位。
userRolesQuery使用者角色查詢SQL,需要通過登入使用者名稱去查詢。查詢角色欄位
permissionsQuery使用者的許可權資源查詢SQL,需要用單一角色查詢角色下的許可權資源,如果存在多個角色,則是遍歷每個角色,分別查詢出許可權資源並新增到集合中。
permissionsLookupEnabled預設false。False時不會使用permissionsQuery的SQL去查詢許可權資源。設定為true才會去執行。
saltStyle密碼是否加鹽,預設是NO_SALT不加鹽。加鹽有三種選擇CRYPT,COLUMN,EXTERNAL。詳細可以去看文件。這裡按照不加鹽處理。
credentialsMatcher密碼匹配規則。下面簡單介紹。
<bean id="hashedCredentialsMatcher"
class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="MD5" />
<property name="storedCredentialsHexEncoded" value="true" />
<property name="hashIterations" value="1" />
</bean>
hashAlgorithmName必須的,沒有預設值。可以有MD5或者SHA-1,如果對密碼安全有更高要求可以用SHA-256或者更高。這裡使用MD5
storedCredentialsHexEncoded預設是true,此時用的是密碼加密用的是Hex編碼;false時用Base64編碼
hashIterations迭代次數,預設值是1。
登入JSP頁面
<form action="login" method="post">
<td>使用者名稱:</td>
<td><input type="text" name="username"></input></td>
<td>密碼:</td>
<td><input type="password" name="password"></input></td>
<td>記住我</td>
<td><input type="checkbox" name="rememberMe" /></td>
注:登入JSP,表單action與提交方式固定,使用者名稱與密碼的name也是固定。
5.配置shiro註解模式<!-- 開啟Shiro註解的Spring配置方式的beans。在lifecycleBeanPostProcessor之後執行 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor" />
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
注意:在與springMVC整合時必須放在springMVC的配置檔案中。
Shiro在註解模式下,登入失敗,與沒有許可權均是通過丟擲異常。並且預設並沒有去處理或者捕獲這些異常。在springMVC下需要配置捕獲相應異常來通知使用者資訊,如果不配置異常會丟擲到頁面
<bean
class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
<property name="exceptionMappings">
<props>
<prop key="org.apache.shiro.authz.UnauthorizedException">
/unauthorized
</prop>
<prop key="org.apache.shiro.authz.UnauthenticatedException">
/unauthenticated
</prop>
</props>
</property>
</bean>
@RequiresAuthentication
驗證使用者是否登入,等同於方法subject.isAuthenticated()結果為true時。
@RequiresUser
驗證使用者是否被記憶,user有兩種含義:
一種是成功登入的(subject.isAuthenticated()結果為true);
另外一種是被記憶的(subject.isRemembered()結果為true)。
@RequiresGuest
驗證是否是一個guest的請求,與@RequiresUser完全相反。
換言之,RequiresUser== !RequiresGuest。
此時subject.getPrincipal() 結果為null.
@RequiresRoles
例如:@RequiresRoles("aRoleName");
void someMethod();
如果subject中有aRoleName角色才可以訪問方法someMethod。如果沒有這個許可權則會丟擲異常。
@RequiresPermissions
例如: @RequiresPermissions({"file:read", "write:aFile.txt"} )
void someMethod();
要求subject中必須同時含有file:read和write:aFile.txt的許可權才能執行方法someMethod()。否則丟擲異常。
三.簡單擴充套件
<!--自定義的myRealm 繼承自AuthorizingRealm,也可以選擇shiro提供的 -->
<bean id="myRealm" class="com.yada.shiro.MyReam"></bean>
//這是授權方法
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String userName = (String) getAvailablePrincipal(principals);
//TODO 通過使用者名稱獲得使用者的所有資源,並把資源存入info中
…………………….
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setStringPermissions(set集合);
info.setRoles(set集合);
info.setObjectPermissions(set集合);
return info;
}
//這是認證方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//token中儲存著輸入的使用者名稱和密碼
UsernamePasswordToken upToken = (UsernamePasswordToken)token;
//獲得使用者名稱與密碼
String username = upToken.getUsername();
String password = String.valueOf(upToken.getPassword());
//TODO 與資料庫中使用者名稱和密碼進行比對。比對成功則返回info,比對失敗則丟擲對應資訊的異常AuthenticationException
…………………..
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCharArray(),getName());
return info;
}
2.自定義登入
//建立使用者名稱和密碼的令牌
UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getPassWord());
//記錄該令牌,如果不記錄則類似購物車功能不能使用。
token.setRememberMe(true);
//subject理解成許可權物件。類似user
Subject subject = SecurityUtils.getSubject();
try {
subject.login(token);
} catch (UnknownAccountException ex) {//使用者名稱沒有找到。
} catch (IncorrectCredentialsException ex) {//使用者名稱密碼不匹配。
}catch (AuthenticationException e) {//其他的登入錯誤
}
//驗證是否成功登入的方法
if (subject.isAuthenticated()) {
}
3.自定義登出
Subject subject = SecurityUtils.getSubject();
subject.logout();
4.基於編碼的角色授權實現
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.hasRole("administrator")) {
//擁有角色administrator
} else {
//沒有角色處理
}
斷言方式控制
Subject currentUser = SecurityUtils.getSubject();
//如果沒有角色admin,則會丟擲異常,someMethod()也不會被執行
currentUser.checkRole(“admin");
someMethod();
5.基於編碼的資源授權實現
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.isPermitted("permssion:look")) {
//有資源許可權
} else {
//沒有許可權
}
斷言方式控制
Subject currentUser = SecurityUtils.getSubject();
//如果沒有資源許可權則會丟擲異常。
currentUser.checkPermission("permssion:look");
someMethod();
6.在JSP上的TAG實現
標籤名稱 |
標籤條件(均是顯示標籤內容) |
<shiro:authenticated> |
登入之後 |
<shiro:notAuthenticated> |
不在登入狀態時 |
<shiro:guest> |
使用者在沒有RememberMe時 |
<shiro:user> |
使用者在RememberMe時 |
<shiro:hasAnyRoles name="abc,123" > |
在有abc或者123角色時 |
<shiro:hasRole name="abc"> |
擁有角色abc |
<shiro:lacksRole name="abc"> |
沒有角色abc |
<shiro:hasPermission name="abc"> |
擁有許可權資源abc |
<shiro:lacksPermission name="abc"> |
沒有abc許可權資源 |
<shiro:principal> |
預設顯示使用者名稱稱 |
7.
預設,新增或刪除使用者的角色 或資源 ,系統不需要重啟,但是需要使用者重新登入。
即使用者的授權是首次登入後第一次訪問需要許可權頁面時進行載入。
但是需要進行控制的許可權資源,是在啟動時就進行載入,如果要新增一個許可權資源需要重啟系統。
8.
Springsecurity 與apache shiro差別:
a)shiro配置更加容易理解,容易上手;security配置相對比較難懂。 b)在spring的環境下,security整合性更好。Shiro對很多其他的框架相容性更好,號稱是無縫整合。 c)shiro不僅僅可以使用在web中,它可以工作在任何應用環境中。 d)在叢集會話時Shiro最重要的一個好處或許就是它的會話是獨立於容器的。 e)Shiro提供的密碼加密使用起來非常方便。9.
控制精度:
註解方式控制權限只能是在方法上控制,無法控制類級別訪問。
過濾器方式控制是根據訪問的URL進行控制。允許使用*匹配URL,所以可以進行粗粒度,也可以進行細粒度控制。