Shiro入門學(xué)習(xí)手冊PPT課件

1、Shiro入門學(xué)習(xí)手冊簡單的介紹，簡單的配置，簡單的擴(kuò)展By jfm一，shiro簡介Apache Shiro是一個(gè)強(qiáng)大而靈活的開源安全框架，它能夠干凈利落地處理身份認(rèn)證，授權(quán)，企業(yè)會(huì)話管理和加密。以下是你可以用 Apache Shiro所做的事情： 1. 驗(yàn)證用戶2. 對(duì)用戶執(zhí)行訪問控制，如： 判斷用戶是否擁有角色admin。 判斷用戶是否擁有訪問的權(quán)限3. 在任何環(huán)境下使用 Session API。例如CS程序。4. 可以使用多個(gè)用戶數(shù)據(jù)源。例如一個(gè)是oracle用戶庫，另外一個(gè)是mysql用戶庫。5. 單點(diǎn)登錄（SSO）功能。 6. “Remember Me”服務(wù) ，類似購物車的功能，s

2、hiro官方建議開啟。Shiro的4大部分身份驗(yàn)證，授權(quán)，會(huì)話管理和加密 Authentication：身份驗(yàn)證，簡稱“登錄”。 Authorization：授權(quán)，給用戶分配角色或者權(quán)限資源 Session Management：用戶session管理器，可以讓CS程序也使用session來控制權(quán)限 Cryptography：把JDK中復(fù)雜的密碼加密方式進(jìn)行封裝。除了以上功能，shiro還提供很多擴(kuò)展 Web Support：主要針對(duì)web應(yīng)用提供一些常用功能。 Caching：緩存可以使應(yīng)用程序運(yùn)行更有效率。 Concurrency：多線程相關(guān)功能。 Testing：幫助我們進(jìn)行測試相關(guān)功能

3、 Run As：一個(gè)允許用戶假設(shè)為另一個(gè)用戶身份（如果允許）的功能，有時(shí)候在管理腳本很有用。 “Remember Me”：記住用戶身份，提供類似購物車功能。Subject 是與程序進(jìn)行交互的對(duì)象，可以是人也可以是服務(wù)或者其他，通常就理解為用戶。所有Subject 實(shí)例都必須綁定到一個(gè)SecurityManager上。我們與一個(gè) Subject 交互，運(yùn)行時(shí)shiro會(huì)自動(dòng)轉(zhuǎn)化為與 SecurityManager交互的特定 subject的交互。Subject：SecurityManager 是 Shiro的核心，初始化時(shí)協(xié)調(diào)各個(gè)模塊運(yùn)行。然而，一旦 SecurityManager協(xié)調(diào)完畢，Se

4、curityManager 會(huì)被單獨(dú)留下，且我們只需要去操作Subject即可，無需操作SecurityManager 。 但是我們得知道，當(dāng)我們正與一個(gè) Subject 進(jìn)行交互時(shí)，實(shí)質(zhì)上是 SecurityManager在處理 Subject 安全操作。SecurityManager：Realms：Realms在 Shiro中作為應(yīng)用程序和安全數(shù)據(jù)之間的“橋梁”或“連接器”。他獲取安全數(shù)據(jù)來判斷subject是否能夠登錄，subject擁有什么權(quán)限。他有點(diǎn)類似DAO。在配置realms時(shí)，需要至少一個(gè)realm。而且Shiro提供了一些常用的 Realms來連接數(shù)據(jù)源，如LDAP數(shù)據(jù)源的J

5、ndiLdapRealm，JDBC數(shù)據(jù)源的JdbcRealm，ini文件數(shù)據(jù)源的IniRealm，properties文件數(shù)據(jù)源的PropertiesRealm，等等。我們也可以插入自己的 Realm實(shí)現(xiàn)來代表自定義的數(shù)據(jù)源。 像其他組件一樣，Realms也是由SecurityManager控制小結(jié)：1.Subject(org.apache.shiro.subject.Subject):簡稱用戶2.SecurityManager(org.apache.shiro.mgt.SecurityManager) 如上所述，SecurityManager是shiro的核心，協(xié)調(diào)shiro的各個(gè)組件3.A

6、uthenticator(org.apache.shiro.authc.Authenticator)： 登錄控制注：Authentication Strategy(org.apache.shiro.authc.pam.AuthenticationStrategy) 如果存在多個(gè)realm，則接口AuthenticationStrategy會(huì)確定什么樣算是登錄成功（例如，如果一個(gè)Realm成功，而其他的均失敗，是否登錄成功？）。 4.Authorizer(org.apache.shiro.authz.Authorizer) ：決定subject能擁有什么樣角色或者權(quán)限。5.SessionMana

7、ger(org.apache.shiro.session.SessionManager) ：創(chuàng)建和管理用戶session。通過設(shè)置這個(gè)管理器，shiro可以在任何環(huán)境下使用session。6.CacheManager(org.apahce.shiro.cache.CacheManager) ：緩存管理器，可以減少不必要的后臺(tái)訪問。提高應(yīng)用效率，增加用戶體驗(yàn)。7.Cryptography(org.apache.shiro.crypto.*) :Shiro的api大幅度簡化java api中繁瑣的密碼加密。8.Realms(org.apache.shiro.realm.Realm) ：程序與安全數(shù)

8、據(jù)的橋梁二，簡單配置注：這里只介紹spring配置模式。因?yàn)楣俜嚼与m然中有更加簡潔的ini配置形式，但是使用ini配置無法與spring整合。而且兩種配置方法一樣，只是格式不一樣。涉及的jar包Jar包名稱包名稱版本版本核心包shiro-core1.2.0Web相關(guān)包shiro-web1.2.0緩存包shiro-ehcache1.2.0與spring整合包shiro-spring1.2.0Ehcache緩存核心包ehcache-core2.5.3Shiro自身日志包slf4j-jdk141.6.4使用maven時(shí)，在pom中添加依賴包org.apache.shiroshiro-core1.2

9、.0org.apache.shiroshiro-web1.2.0org.apache.shiroshiro-ehcache1.2.0org.apache.shiroshiro-spring1.2.0net.sf.ehcacheehcache-core2.5.3org.slf4jslf4j-jdk141.6.4Spring整合配置1.在web.xml中配置shiro的過濾器 shiroFilter org.springframework.web.filter.DelegatingFilterProxy shiroFilter /* 2.在在Spring的的applicationContext.x

10、ml中添加中添加shiro配置配置/home* = anon/ = anon/logout = logout/role/* = rolesadmin/permission/* = permspermssion:look/* = authcsecurityManager：這個(gè)屬性是必須的。loginUrl ：沒有登錄的用戶請求需要登錄的頁面時(shí)自動(dòng)跳轉(zhuǎn)到登錄頁面，不是必須的屬性，不輸入地址的話會(huì)自動(dòng)尋找項(xiàng)目web項(xiàng)目的根目錄下的”/login.jsp”頁面。successUrl ：登錄成功默認(rèn)跳轉(zhuǎn)頁面，不配置則跳轉(zhuǎn)至”/”。如果登陸前點(diǎn)擊的一個(gè)需要登錄的頁面，則在登錄自動(dòng)跳轉(zhuǎn)到那個(gè)需要登錄的頁面。

11、不跳轉(zhuǎn)到此。unauthorizedUrl ：沒有權(quán)限默認(rèn)跳轉(zhuǎn)的頁面。過濾器簡稱過濾器簡稱對(duì)應(yīng)的對(duì)應(yīng)的java類類anonorg.apache.shiro.web.filter.authc.AnonymousFilterauthcorg.apache.shiro.web.filter.authc.FormAuthenticationFilterauthcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilterpermsorg.apache.shiro.web.filter.authz.PermissionsAuth

12、orizationFilterportorg.apache.shiro.web.filter.authz.PortFilterrestorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilterrolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFiltersslorg.apache.shiro.web.filter.authz.SslFilteruserorg.apache.shiro.web.filter.authc.UserFilterlogoutorg.apache

13、.shiro.web.filter.authc.LogoutFilteranon:例子/admins/*=anon 沒有參數(shù)，表示可以匿名使用。authc:例如/admins/user/*=authc表示需要認(rèn)證(登錄)才能使用，沒有參數(shù)roles：例子/admins/user/*=rolesadmin,參數(shù)可以寫多個(gè)，多個(gè)時(shí)必須加上引號(hào)，并且參數(shù)之間用逗號(hào)分割，當(dāng)有多個(gè)參數(shù)時(shí)，例如admins/user/*=rolesadmin,guest,每個(gè)參數(shù)通過才算通過，相當(dāng)于hasAllRoles()方法。perms：例子/admins/user/*=permsuser:add:*,參數(shù)可以寫多個(gè)

14、，多個(gè)時(shí)必須加上引號(hào)，并且參數(shù)之間用逗號(hào)分割，例如/admins/user/*=permsuser:add:*,user:modify:*，當(dāng)有多個(gè)參數(shù)時(shí)必須每個(gè)參數(shù)都通過才通過，想當(dāng)于isPermitedAll()方法。rest：例子/admins/user/*=restuser,根據(jù)請求的方法，相當(dāng)于/admins/user/*=permsuser:method ,其中method為post，get，delete等。port：例子/admins/user/*=port8081,當(dāng)請求的url的端口不是8081是跳轉(zhuǎn)到schemal:/serverName:8081?queryString,

15、其中schmal是協(xié)議http或https等，serverName是你訪問的host,8081是url配置里port的端口，queryString是你訪問的url里的？后面的參數(shù)。authcBasic：例如/admins/user/*=authcBasic沒有參數(shù)表示httpBasic認(rèn)證ssl:例子/admins/user/*=ssl沒有參數(shù)，表示安全的url請求，協(xié)議為httpsuser:例如/admins/user/*=user沒有參數(shù)表示必須存在用戶，當(dāng)?shù)侨氩僮鲿r(shí)不做檢查注：anon，authcBasic，auchc，user是認(rèn)證過濾器，perms，roles，ssl，rest，po

16、rt是授權(quán)過濾器3.在在applicationContext.xml中添加中添加securityManagerper配置4.配置jdbcRealmdataSource 數(shù)據(jù)源，配置不說了。authenticationQuery 登錄認(rèn)證用戶的查詢SQL，需要用登錄用戶名作為條件，查詢密碼字段。userRolesQuery 用戶角色查詢SQL，需要通過登錄用戶名去查詢。查詢角色字段permissionsQuery 用戶的權(quán)限資源查詢SQL，需要用單一角色查詢角色下的權(quán)限資源，如果存在多個(gè)角色，則是遍歷每個(gè)角色，分別查詢出權(quán)限資源并添加到集合中。permissionsLookupEnabled 默

17、認(rèn)false。False時(shí)不會(huì)使用permissionsQuery的SQL去查詢權(quán)限資源。設(shè)置為true才會(huì)去執(zhí)行。saltStyle 密碼是否加鹽，默認(rèn)是NO_SALT不加鹽。加鹽有三種選擇CRYPT,COLUMN,EXTERNAL。詳細(xì)可以去看文檔。這里按照不加鹽處理。credentialsMatcher 密碼匹配規(guī)則。下面簡單介紹。hashAlgorithmName 必須的，沒有默認(rèn)值?？梢杂蠱D5或者SHA-1，如果對(duì)密碼安全有更高要求可以用SHA-256或者更高。這里使用MD5storedCredentialsHexEncoded 默認(rèn)是true，此時(shí)用的是密碼加密用的是Hex編碼；

18、false時(shí)用Base64編碼hashIterations 迭代次數(shù)，默認(rèn)值是1。用戶名：密碼：記住我注：登錄JSP，表單action與提交方式固定，用戶名與密碼的name也是固定。登錄JSP頁面5.配置shiro注解模式注意：在與springMVC整合時(shí)必須放在springMVC的配置文件中。Shiro在注解模式下，登錄失敗，與沒有權(quán)限均是通過拋出異常。并且默認(rèn)并沒有去處理或者捕獲這些異常。在springMVC下需要配置捕獲相應(yīng)異常來通知用戶信息，如果不配置異常會(huì)拋出到頁面/unauthorized/unauthenticatedRequiresAuthentication驗(yàn)證用戶是否登錄，

19、等同于方法subject.isAuthenticated() 結(jié)果為true時(shí)。 RequiresUser驗(yàn)證用戶是否被記憶，user有兩種含義：一種是成功登錄的（subject.isAuthenticated() 結(jié)果為true）；另外一種是被記憶的（ subject.isRemembered()結(jié)果為true）。 RequiresGuest驗(yàn)證是否是一個(gè)guest的請求，與 RequiresUser完全相反。 換言之，RequiresUser = ! RequiresGuest 。此時(shí)subject.getPrincipal() 結(jié)果為null. RequiresRoles例如：Requi

20、resRoles(aRoleName);void someMethod();如果subject中有aRoleName角色才可以訪問方法someMethod。如果沒有這個(gè)權(quán)限則會(huì)拋出異常AuthorizationException。RequiresPermissions例如： RequiresPermissions( file:read, write:aFile.txt )void someMethod();要求subject中必須同時(shí)含有file:read和write:aFile.txt的權(quán)限才能執(zhí)行方法someMethod()。否則拋出異常AuthorizationException。三.簡

21、單擴(kuò)展1.自定義realm：/這是授權(quán)方法這是授權(quán)方法protectedAuthorizationInfodoGetAuthorizationInfo(PrincipalCollection principals) String userName = (String) getAvailablePrincipal(principals);/TODO通過用戶名獲得用戶的所有資源，并把資源存入通過用戶名獲得用戶的所有資源，并把資源存入info中中.SimpleAuthorizationInfo info = newSimpleAuthorizationInfo();info.setStringPer

22、missions(set集合);info.setRoles(set集合);info.setObjectPermissions(set集合);returninfo;/這是認(rèn)證方法這是認(rèn)證方法protectedAuthenticationInfodoGetAuthenticationInfo(AuthenticationToken token) throwsAuthenticationException/token中儲(chǔ)存著輸入的用戶名和密碼中儲(chǔ)存著輸入的用戶名和密碼UsernamePasswordToken upToken = (UsernamePasswordToken)token;/獲得用戶名

23、與密碼獲得用戶名與密碼String username = upToken.getUsername();String password = String.valueOf(upToken.getPassword();/TODO與數(shù)據(jù)庫中用戶名和密碼進(jìn)行比對(duì)。比對(duì)成功則返回與數(shù)據(jù)庫中用戶名和密碼進(jìn)行比對(duì)。比對(duì)成功則返回info，比對(duì)失敗，比對(duì)失敗則拋出對(duì)應(yīng)信息的異常則拋出對(duì)應(yīng)信息的異常AuthenticationException.SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCh

24、arArray(),getName();returninfo;2.自定義登錄/創(chuàng)建用戶名和密碼的令牌創(chuàng)建用戶名和密碼的令牌UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getPassWord();/記錄該令牌，如果不記錄則類似購物車功能不能使用。記錄該令牌，如果不記錄則類似購物車功能不能使用。token.setRememberMe(true);/subject理解成權(quán)限對(duì)象。類似理解成權(quán)限對(duì)象。類似userSubject subject = SecurityUtils.getSub

25、ject();try subject.login(token); catch (UnknownAccountException ex) /用戶名沒有找到。用戶名沒有找到。 catch (IncorrectCredentialsException ex) /用戶名密碼不匹配。用戶名密碼不匹配。catch (AuthenticationException e) /其他的登錄錯(cuò)誤其他的登錄錯(cuò)誤/驗(yàn)證是否成功登錄的方法驗(yàn)證是否成功登錄的方法if (subject.isAuthenticated() Subject subject = SecurityUtils.getSubject();subject.logout();3.自定義登出4.基于編碼的角色授權(quán)實(shí)現(xiàn)Subject currentUser = SecurityUtils.getSubject(); if (currentUser.hasRole(administrator) /擁有角色administrator else /沒有角色處理 Subject currentUser = SecurityUtils.getSubject(); /如果沒有角色admin，則會(huì)拋出異常，someMethod()也不會(huì)被執(zhí)行currentUser.check