登入認證及授權詳解
阿新 • • 發佈:2019-02-07
Apache Shiro 是一個強大而靈活的開源安全框架,它乾淨利落地處理身份認證,授權,企業會話管理和加密。
Apache Shiro 的首要目標是易於使用和理解。安全有時候是很複雜的,甚至是痛苦的,但它沒有必要這樣。框架應該儘可能掩蓋複雜的地方,露出一個乾淨而直觀的 API,來簡化開發人員在使他們的應用程式安全上的努力。
以下是你可以用 Apache Shiro 所做的事情:
驗證使用者來核實他們的身份
對使用者執行訪問控制,如:
判斷使用者是否被分配了一個確定的安全形色。
判斷使用者是否被允許做某事。
在任何環境下使用 Session API,即使沒有 Web 或 EJB 容器。
在身份驗證,訪問控制期間或在會話的生命週期,對事件作出反應。
聚集一個或多個使用者安全資料的資料來源,並作為一個單一的複合使用者“檢視”。
…
Apache Shiro 的首要目標是易於使用和理解。安全有時候是很複雜的,甚至是痛苦的,但它沒有必要這樣。框架應該儘可能掩蓋複雜的地方,露出一個乾淨而直觀的 API,來簡化開發人員在使他們的應用程式安全上的努力。
以下是你可以用 Apache Shiro 所做的事情:
驗證使用者來核實他們的身份
對使用者執行訪問控制,如:
判斷使用者是否被分配了一個確定的安全形色。
判斷使用者是否被允許做某事。
在任何環境下使用 Session API,即使沒有 Web 或 EJB 容器。
在身份驗證,訪問控制期間或在會話的生命週期,對事件作出反應。
聚集一個或多個使用者安全資料的資料來源,並作為一個單一的複合使用者“檢視”。
啟用單點登入(SSO)功能。
併發登入管理(一個賬號多人登入作踢人操作)。
…
以及更多——全部整合到緊密結合的易於使用的 API 中。
目前Java領域主流的安全框架有SpringSecurity和Shiro,相比於SpringSecurity,Shiro輕量化,簡單容易上手,且不侷限於Java和Spring;SpringSecurity太笨重了,難以上手,且只能在Spring裡用,所以博主極力推薦Shiro。
spring整合shiro要用到shiro-all.jar
<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-all --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.4.0</version> <type>pom</type> </dependency>
第一步:配置shiro.xml檔案
shiro.xml配置檔案程式碼:
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:tx="http://www.springframework.org/schema/tx" xmlns:context="http://www.springframework.org/schema/context" xmlns:mvc="http://www.springframework.org/schema/mvc" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.2.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-4.2.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.2.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-4.2.xsd"> <!-- Shiro Filter 攔截器相關配置 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- securityManager --> <property name="securityManager" ref="securityManager" /> <!-- 登入路徑 --> <property name="loginUrl" value="/toLogin" /> <!-- 使用者訪問無許可權的連結時跳轉此頁面 --> <property name="unauthorizedUrl" value="/unauthorizedUrl.jsp" /> <!-- 過濾鏈定義 --> <property name="filterChainDefinitions"> <value> /loginin=anon /toLogin=anon /css/**=anon /html/**=anon /images/**=anon /js/**=anon /upload/**=anon <!-- /userList=roles[admin] --> /userList=authc,perms[/userList] /toDeleteUser=authc,perms[/toDeleteUser] /** = authc </value> </property> </bean> <!-- securityManager --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myRealm" /> </bean> <!-- 自定義Realm實現 --> <bean id="myRealm" class="com.core.shiro.realm.CustomRealm" /> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver"> <property name="prefix" value="/"/> <property name="suffix" value=".jsp"></property> </bean> </beans>
anno代表不需要授權即可訪問,對於靜態資源,訪問許可權都設定為anno
authc表示需要登入才可訪問
/userList=roles[admin]的含義是要訪問/userList需要有admin這個角色,如果沒有此角色訪問此URL會返回無授權頁面
/userList=authc,perms[/userList]的含義是要訪問/userList需要有/userList的許可權,要是沒分配此許可權訪問此URL會返回無授權頁面
<bean id="myRealm" class="com.core.shiro.realm.CustomRealm" />
第二步:在web.xml檔案里加載shiro.xml,和載入其他配置檔案是一樣的,就不多說了
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
classpath*:/spring/spring-common.xml,
classpath*:/spring/shiro.xml
</param-value>
</context-param>
第三步:配置shiroFilter,所有請求都要先進shiro的代理類
<!--
DelegatingFilterProxy類是一個代理類,所有的請求都會首先發到這個filter代理
然後再按照"filter-name"委派到spring中的這個bean。
在Spring中配置的bean的name要和web.xml中的<filter-name>一樣.
targetFilterLifecycle,是否由spring來管理bean的生命週期,設定為true有個好處,可以呼叫spring後續的bean
-->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>
org.springframework.web.filter.DelegatingFilterProxy
</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
第四步:自定義realm
package com.core.shiro.realm;
import java.util.List;
import javax.annotation.Resource;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.util.StringUtils;
import com.core.shiro.dao.IPermissionDao;
import com.core.shiro.dao.IRoleDao;
import com.core.shiro.dao.IUserDao;
import com.core.shiro.entity.Permission;
import com.core.shiro.entity.Role;
import com.core.shiro.entity.User;
public class CustomRealm extends AuthorizingRealm{
@Resource
private IUserDao userDao;
@Resource
private IPermissionDao permissionDao;
@Resource
private IRoleDao roleDao;
/**
* 新增角色
* @param username
* @param info
*/
private void addRole(String username, SimpleAuthorizationInfo info) {
List<Role> roles = roleDao.findByUser(username);
if(roles!=null&&roles.size()>0){
for (Role role : roles) {
info.addRole(role.getRoleName());
}
}
}
/**
* 新增許可權
* @param username
* @param info
* @return
*/
private SimpleAuthorizationInfo addPermission(String username,SimpleAuthorizationInfo info) {
List<Permission> permissions = permissionDao.findPermissionByName(username);
for (Permission permission : permissions) {
info.addStringPermission(permission.getUrl());//新增許可權
}
return info;
}
/**
* 獲取授權資訊
*/
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//使用者名稱
String username = (String) principals.fromRealm(getName()).iterator().next();
//根據使用者名稱來新增相應的許可權和角色
if(!StringUtils.isEmpty(username)){
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
addPermission(username,info);
addRole(username, info);
return info;
}
return null;
}
/**
* 登入驗證
*/
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken ) throws AuthenticationException {
//令牌——基於使用者名稱和密碼的令牌
UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
//令牌中可以取出使用者名稱
String accountName = token.getUsername();
//讓shiro框架去驗證賬號密碼
if(!StringUtils.isEmpty(accountName)){
User user = userDao.findUser(accountName);
if(user != null){
return new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), getName());
}
}
return null;
}
}
第五步:控制層程式碼
package com.core.shiro.controller;
import javax.servlet.http.HttpServletRequest;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller
public class ShiroAction {
@RequestMapping("loginin")
public String login(HttpServletRequest request){
//當前Subject
Subject currentUser = SecurityUtils.getSubject();
//加密(md5+鹽),返回一個32位的字串小寫
String salt="("+request.getParameter("username")+")";
String md5Pwd=new Md5Hash(request.getParameter("password"),salt).toString();
//傳遞token給shiro的realm
UsernamePasswordToken token = new UsernamePasswordToken(request.getParameter("username"),md5Pwd);
try {
currentUser.login(token);
return "welcome";
} catch (AuthenticationException e) {//登入失敗
request.setAttribute("msg", "使用者名稱和密碼錯誤");
}
return "login";
}
@RequestMapping("toLogin")
public String toLogin(){
return "login";
}
}
第六步:login頁面 略
login請求呼叫currentUser.login之後,shiro會將token傳遞給自定義realm,此時realm會先呼叫doGetAuthenticationInfo(AuthenticationToken authcToken )登入驗證的方法,驗證通過後會接著呼叫 doGetAuthorizationInfo(PrincipalCollection principals)獲取角色和許可權的方法(授權),最後返回檢視。
當其他請求進入shiro時,shiro會呼叫doGetAuthorizationInfo(PrincipalCollection principals)去獲取授權資訊,若是沒有許可權或角色,會跳轉到未授權頁面,若有許可權或角色,shiro會放行,ok,此時進入真正的請求方法……
到此shiro的認證及授權便完成了。