共计 6227 个字符,预计需要花费 16 分钟才能阅读完成。
关于 Apache Shiro 概念基本都粘自官网 http://shiro.apache.org/
Shiro 简介
Apache Shiro 是一个功能强大且灵活的开源安全框架,可以清晰地处理身份验证,授权,企业会话管理和加密。
以下是 Apache Shiro 可以做的一些事情:
验证用户以验证其身份
为用户执行访问控制
在任何环境中使用 Session API,即使没有 Web 容器或 EJB 容器也是如此。
……
功能简介
Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境,也可以是 Web 环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web 支持,可以非常容易的集成到 Web 环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
Concurrency:Shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能
把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了
Shiro 详细的架构
可以参考官方文档:http://shiro.apache.org/archi…
Shiro web 工程搭建
1.Maven 架包依赖
缓存架包先用 ehcache
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.3.2</version>
</dependency>
<dependency>
<groupId>net.sf.ehcache</groupId>
<artifactId>ehcache</artifactId>
<version>2.10.6</version>
</dependency>
2.ehcache 缓存 xml 文件配置
<?xml version=”1.0″ encoding=”UTF-8″?>
<ehcache>
<!– mac 电脑, 跟 win 设置路径有点不一样 示例: path=”d:/ehcache/” –>
<diskStore path=”${user.home}/Downloads/ehcache” />
<!– 默认缓存配置 没有特别指定就用这个配置 –>
<defaultCache maxElementsInMemory=”10000″
eternal=”false”
timeToIdleSeconds=”3600″
timeToLiveSeconds=”3600″
overflowToDisk=”true”
maxElementsOnDisk=”10000000″
diskPersistent=”false”
memoryStoreEvictionPolicy=”LRU”
diskExpiryThreadIntervalSeconds=”120″ />
</ehcache>
3.web.xml 中 shiro 拦截器配置
<!– 1. 配置 shiro 拦截器 –>
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
4.spring 文件配置
<!– 2. 配置 shiro 的核心组件 SecurityManager –>
<bean id=”securityManager” class=”org.apache.shiro.web.mgt.DefaultWebSecurityManager”>
<!– 配置缓存 –>
<property name=”cacheManager” ref=”cacheManager” />
<property name=”realm” ref=”realm” />
</bean>
<bean id=”cacheManager” class=”org.apache.shiro.cache.ehcache.EhCacheManager”>
<property name=”cacheManagerConfigFile” value=”classpath:ehcache.xml”></property>
</bean>
<bean id=”realm” class=”com.ogemray.shiro.MyShiroRealm”>
<property name=”credentialsMatcher”>
<bean class=”com.ogemray.shiro.MyCredentialsMatcher”></bean>
</property>
</bean>
<!– 3. 配置 shiroFilter,配置 shiro 的一些基本规则信息,id 必须和 web.xml 中配置的拦截器名字一样 (DelegatingFilterProxy 通过名字去 spring 容器中找注入的拦截器) –>
<bean id=”shiroFilter” class=”org.apache.shiro.spring.web.ShiroFilterFactoryBean”>
<property name=”securityManager” ref=”securityManager”/>
<property name=”loginUrl” value=”/login.html”/> <!– loginUrl 表示登录页面地址 –>
<property name=”successUrl” value=”/admin/main.html”/> <!– successUrl 表示登录成功后跳转的页面 –>
<property name=”unauthorizedUrl” value=”/unauthorized.html”></property> <!– 配置没有授权跳转页面 –>
<property name=”filterChainDefinitions”>
<value>
<!–/logout.action=logout –> <!– logout 表示登出, 清空 session, 这里不需要了, 因为已经在登出对象的方法里手动清空了 [SecurityUtils.getSubject().logout()] –>
/admin/userlist*=roles[user]
/admin/adduser*=roles[“user,admin”] <!– 表示拥有 user 角色 并且 拥有 admin 角色 –>
/admin/editRPRelation*=roles[admin],perms[user:insert,user:update,user:select,user:delete]
/admin/editURRelation*=perms[user:select]
/admin/**=authc
/**=anon
</value>
</property>
</bean>
5. 自定义 realm
public class MyShiroRealm extends AuthorizingRealm {
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println(“********************* 进行登录认证 *********************”);
String username = (String) authenticationToken.getPrincipal(); // 获取提交的用户名
User user = userRepository.findByUsername(username);
if (user == null) throw new UnknownAccountException(“ 用户不存在, 请先注册然后再来登录 ”);
if (user.getState() == 1) throw new LockedAccountException(“ 该用户已经被管理员禁用, 请换个账号登录 ”);
// 接下来进行密码的比对
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), getName());
return info;
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println(“********************* 进行授权认证 *********************”);
User user = (User) principalCollection.asList().get(0);
Set<String> roles = new HashSet<>();
Set<String> permissions = new HashSet<>();
user.getRoles().forEach(role -> {
roles.add(role.getRoleName());
role.getPermissions().forEach(permission -> {
permissions.add(permission.getPermissionName());
});
});
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setRoles(roles);
info.setStringPermissions(permissions);
return info;
}
@Autowired
private UserRepository userRepository;
}
6. 自定义密码匹对方案
前端密码加密规则:ciphertext_pwd = AES.encrypt(MD5(password)) 后端解密密码规则:md5_password = AES.desEncrypt(ciphertext_pwd) 后端匹对密码规则:(md5_password + 用户名做盐值) 进行 1024 次 MD5 转换,然后与数据库取出密码做比对
public class MyCredentialsMatcher implements CredentialsMatcher {
@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
String tokenCredentials = Arrays.toString((char[]) token.getCredentials()); // 前端传过来的密码
String accountCredentials = (String) info.getCredentials(); // 数据库查询到的密码
// 首先对前端传过来的密码进行 AES 解密 -> 清空 session 里面的 key
Session session = SecurityUtils.getSubject().getSession();
String key = (String) session.getAttribute(“AESKey”);
try {
tokenCredentials = AesEncryptUtil.desEncrypt(tokenCredentials, key, key);
} catch (Exception e) {
throw new IncorrectCredentialsException(“ 可能受到重放攻击, AES 解密失败 ”);
}
session.removeAttribute(“AESKey”);
// 加密方式 待加密数据 加密盐值 加密次数
SimpleHash simpleHash = new SimpleHash(“MD5”, tokenCredentials, token.getPrincipal(), 1024);
return simpleHash.toString().equals(accountCredentials);
}
}
7. 登录和注册接口的调用
@Service(“userService”)
public class UserServiceImpl implements UserService {
@Override
public void registerUser(User user) {
if (userRepository.existsByUsername(user.getUsername())) {
throw new RuntimeException(“ 用户名已经被注册, 请换个用户名 ”);
}
user.setState((byte) 0);
// 密码进行加密
SimpleHash simpleHash = new SimpleHash(“MD5”, user.getPassword(), user.getUsername(), 1024);
user.setPassword(simpleHash.toString());
userRepository.save(user);
}
@Override
public void login(User user) {
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.isAuthenticated() == false) {// 没有登录过需要进行登录验证
UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword(), false);
currentUser.login(token);
}
}
@Autowired
private UserRepository userRepository;
}
