乐趣区

关于shiro:9月18号笔记Shiro安全框架

1. Shiro 概述

-------Shiro 是 apache 旗下一个开源平安框架(http://shiro.apache.org/),它将软件系统的平安认证相干的性能抽取进去,实现用户身份认证,权限受权、加密、会话治理等性能,组成了一个通用的平安认证框架。应用 shiro 就能够十分疾速的实现认证、受权等性能的开发,升高零碎老本。
如图:

1.1 2. Shiro 概要架构

---------

留神:

1).Subject 主体对象,负责提交用户认证和受权信息;
2).SecuritvManager: 平安管理器,负责认证,受权等业务实现;
3).Realm: 畛域,负责从数据层获取业务数据;

1.1.3 1. Shiro 具体架构

hiro 框架进行权限治理时, 要波及到的一些外围对象, 次要包含: 认证治理对象, 受权治理对象, 会话治理对象, 缓存治理对象, 加密治理对象以及 Realm 治理对象 (畛域对象: 负责解决认证和受权畛域的数据访问题) 等,其具体架构如图 - 3 所示:

2.2. Shiro 框架认证拦挡实现(filter)

2.2.2 步骤实现:

1. 增加依赖:

<dependency>

 <groupId>org.apache.shiro</groupId>

 <artifactId>shiro-spring</artifactId>

 <version>1.5.3</version>

</dependency>

2.2. Shiro 外围对象配置
2.2.1 第一步:创立 SpringShiroConfig 类。要害代码如下:

package com.cy.pj.common.config;

/**@Configuration 注解形容的类为一个配置对象,

 * 此对象也会交给 spring 治理

 */

@Configuration

public class SpringShiroConfig {}

第二步:在 Shiro 配置类中增加 SecurityManager 配置(这里肯定要应用 org.apache.shiro.mgt.SecurityManager 这个接口对象),要害代码如下:

@Bean

public SecurityManager securityManager() {

 DefaultWebSecurityManager sManager=

 new DefaultWebSecurityManager();

 return sManager;

}

第三步: 在 Shiro 配置类中增加 ShiroFilterFactoryBean 对象的配置。通过此对象设置资源匿名拜访、认证拜访。要害代码如下:

@Bean

public ShiroFilterFactoryBean shiroFilterFactory (SecurityManager securityManager) {

 ShiroFilterFactoryBean sfBean=

 new ShiroFilterFactoryBean();

 sfBean.setSecurityManager(securityManager);

 // 定义 map 指定申请过滤规定(哪些资源容许匿名拜访, 哪些必须认证拜访)

 LinkedHashMap<String,String> map= new LinkedHashMap<>();

 // 动态资源容许匿名拜访:"anon"

 map.put("/bower_components/**","anon");

 map.put("/build/**","anon");

 map.put("/dist/**","anon");

 map.put("/plugins/**","anon");

 // 除了匿名拜访的资源, 其它都要认证 ("authc") 后拜访

 map.put("/**","authc");

 sfBean.setFilterChainDefinitionMap(map);

 return sfBean;

 }

第四步:在 PageController 中增加一个出现登录页面的办法, 要害代码如下:

@RequestMapping("doLoginUI")

public String doLoginUI(){return "login";}

第五步:在第三步下面增加这句拜访地址的权限:
sfBean.setLoginUrl(“/doLoginUI”)
如下:

@Bean

public ShiroFilterFactoryBean shiroFilterFactory (SecurityManager securityManager) {

 ShiroFilterFactoryBean sfBean=

 new ShiroFilterFactoryBean();

 sfBean.setSecurityManager(securityManager);

 sfBean.setLoginUrl("/doLoginUI");

// 定义 map 指定申请过滤规定(哪些资源容许匿名拜访,

哪些必须认证拜访)

 LinkedHashMap<String,String> map=

 new LinkedHashMap<>();

 // 动态资源容许匿名拜访:"anon"

 map.put("/bower_components/**","anon");

 map.put("/modules/**","anon");

 map.put("/dist/**","anon");

 map.put("/plugins/**","anon");

 // 除了匿名拜访的资源, 其它都要认证 ("authc") 后拜访

 map.put("/**","authc");

 sfBean.setFilterChainDefinitionMap(map);

 return sfBean;

}

3.3. Shiro 框架认证业务实现

3.3.1 实现步骤

1. 在 SysUserDao 接口中,增加依据用户名获取用户对象的办法,要害代码如下:

SysUser findUserByUserName(String username)

2. 在 mapper.xml 文件中增加 sql 语句:

 <select id="findUserByUserName"

 resultType="com.cy.pj.sys.entity.SysUser">

 select *

 from sys_users 

 where username=#{username}

 </select>

3. 间接创立一个 ShiroUserRealm 类来继承 AuthorizingRealm,耦合于 Dao 接口:代码如下:

package com.cy.pj.sys.service.realm;

@Service

public class ShiroUserRealm extends AuthorizingRealm {

 @Autowired

 private SysUserDao sysUserDao;

 /**

 * 设置凭证匹配器(与用户增加操作应用雷同的加密算法)

 */

 @Override

 public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

 // 构建凭证匹配对象

 HashedCredentialsMatcher cMatcher=

 new HashedCredentialsMatcher();

 // 设置加密算法

 cMatcher.setHashAlgorithmName("MD5");

 // 设置加密次数

 cMatcher.setHashIterations(1);

 super.setCredentialsMatcher(cMatcher);

 }

 /**

 * 通过此办法实现认证数据的获取及封装, 零碎

 * 底层会将认证数据传递认证管理器,由认证

 * 管理器实现认证操作。*/

 @Override

 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)

 throws AuthenticationException {//1. 获取用户名(用户页面输出)

 UsernamePasswordToken upToken=

 (UsernamePasswordToken)token;

 String username=upToken.getUsername();

 //2. 基于用户名查问用户信息

 SysUser user=

 sysUserDao.findUserByUserName(username);

 //3. 断定用户是否存在

 if(user==null)

 throw new UnknownAccountException();

 //4. 断定用户是否已被禁用。if(user.getValid()==0)

 throw new LockedAccountException();

 //5. 封装用户信息

 ByteSource credentialsSalt=

 ByteSource.Util.bytes(user.getSalt());

 // 记住:构建什么对象要看办法的返回值

 SimpleAuthenticationInfo info=

 new SimpleAuthenticationInfo(user,//principal (身份)

 user.getPassword(),//hashedCredentials

 credentialsSalt, //credentialsSalt

 getName());//realName

 //6. 返回封装后果

 return info;// 返回值会传递给认证管理器(后续

 // 认证管理器会通过此信息实现认证操作)

 }

 ....

}

4. 对此 realm,须要在 SpringShiroConfig 配置类中,注入给 SecurityManager 对象, 批改 securityManager 办法,见黄色背景局部,例如:(在拦挡的第二步下面增加两个配置)如下图黄色局部:

5.Controller 类实现:

 @RequestMapping("doLogin")

 public JsonResult doLogin(String username,String password){

 //1. 获取 Subject 对象

 Subject subject=SecurityUtils.getSubject();

 //2. 通过 Subject 提交用户信息, 交给 shiro 框架进行认证操作

 //2.1 对用户进行封装

 UsernamePasswordToken token=

 new UsernamePasswordToken(

 username,// 身份信息

 password);// 凭证信息

 //2.2 对用户信息进行身份认证

 subject.login(token);

 // 剖析:

 //1)token 会传给 shiro 的 SecurityManager

 //2)SecurityManager 将 token 传递给认证管理器

 //3)认证管理器会将 token 传递给 realm

 return new JsonResult("login ok");

6. 第二步:批改 shiroFilterFactory 的配置,对 /user/doLogin 这个门路进行匿名拜访的配置,查看如下黄色标记局部的代码:
在拦挡的第三步增加:map.put(“/user/doLogin”,”anon”);

@Bean

public ShiroFilterFactoryBean shiroFilterFactory (SecurityManager securityManager) {

 ShiroFilterFactoryBean sfBean=

 new ShiroFilterFactoryBean();

 sfBean.setSecurityManager(securityManager);

 // 如果没有认证申请先拜访此认证的 url

 sfBean.setLoginUrl("/doLoginUI");

 // 定义 map 指定申请过滤规定(哪些资源容许匿名拜访, 哪些必须认证拜访)

 LinkedHashMap<String,String> map=

 new LinkedHashMap<>();

 // 动态资源容许匿名拜访:"anon"

 map.put("/bower_components/**","anon");

 map.put("/build/**","anon");

 map.put("/dist/**","anon");

 map.put("/plugins/**","anon");

** map.put("/user/doLogin","anon"); //authc 示意,除了匿名拜访的资源, 其它都要认证 ("authc") 后能力拜访拜访 **

 map.put("/**","authc");

 sfBean.setFilterChainDefinitionMap(map);

 return sfBean;

 }

第七步:第三步:当咱们在执行登录操作时, 为了进步用户体验, 可对系统中的异样信息进行解决, 例如, 在对立异样解决类中增加如下办法:

onseBody

 public JsonResult doHandleShiroException(ShiroException e) {JsonResult r=new JsonResult();

 r.setState(0);

 if(e instanceof UnknownAccountException) {r.setMessage("账户不存在");

 }else if(e instanceof LockedAccountException) {r.setMessage("账户已被禁用");

 }else if(e instanceof IncorrectCredentialsException) {r.setMessage("明码不正确");

 }else if(e instanceof AuthorizationException) {r.setMessage("没有此操作权限");

 }else {r.setMessage("系统维护中");

 }

 e.printStackTrace();

 return r;

 }
退出移动版