shiro入門學(xué)習(xí)手冊_第1頁
已閱讀1頁,還剩34頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、Shiro入門學(xué)習(xí)手冊,簡單的介紹,簡單的配置,簡單的擴(kuò)展By jfm,一,shiro簡介,Apache Shiro是一個強(qiáng)大而靈活的開源安全框架,它能夠干凈利落地處理身份認(rèn)證,授權(quán),企業(yè)會話管理和加密。以下是你可以用 Apache Shiro所做的事情: ? 驗(yàn)證用戶? 對用戶執(zhí)行訪問控制,如: ? 判斷用戶是否擁有角色admin。 判斷用戶是否擁有訪問的權(quán)限? 在任何環(huán)境下使用 Session AP

2、I。例如CS程序。? 可以使用多個用戶數(shù)據(jù)源。例如一個是oracle用戶庫,另外一個是mysql用戶庫。? 單點(diǎn)登錄(SSO)功能。 ? “Remember Me”服務(wù) ,類似購物車的功能,shiro官方建議開啟。,Shiro的4大部分——身份驗(yàn)證,授權(quán),會話管理和加密 ? Authentication:身份驗(yàn)證,簡稱“登錄”。? Authorization:授權(quán),給用戶分配角色或者權(quán)限資源? Session M

3、anagement:用戶session管理器,可以讓CS程序也使用session來控制權(quán)限? Cryptography:把JDK中復(fù)雜的密碼加密方式進(jìn)行封裝。,除了以上功能,shiro還提供很多擴(kuò)展 ? Web Support:主要針對web應(yīng)用提供一些常用功能。 ? Caching:緩存可以使應(yīng)用程序運(yùn)行更有效率。 ? Concurrency:多線程相關(guān)功能。? Testing:幫助我們進(jìn)行測試相關(guān)功能 ? &

4、quot;Run As":一個允許用戶假設(shè)為另一個用戶身份(如果允許)的功能,有時候在管理腳本很有用。 ? “Remember Me”:記住用戶身份,提供類似購物車功能。,Subject 是與程序進(jìn)行交互的對象,可以是人也可以是服務(wù)或者其他,通常就理解為用戶。所有Subject 實(shí)例都必須綁定到一個SecurityManager上。我們與一個 Subject 交互,運(yùn)行時shiro會自動轉(zhuǎn)化為與 SecurityMana

5、ger交互的特定 subject的交互。,Subject:,SecurityManager 是 Shiro的核心,初始化時協(xié)調(diào)各個模塊運(yùn)行。然而,一旦 SecurityManager協(xié)調(diào)完畢,SecurityManager 會被單獨(dú)留下,且我們只需要去操作Subject即可,無需操作SecurityManager 。 但是我們得知道,當(dāng)我們正與一個 Subject 進(jìn)行交互時,實(shí)質(zhì)上是 SecurityManager在處理 Subjec

6、t 安全操作。,SecurityManager:,Realms:,Realms在 Shiro中作為應(yīng)用程序和安全數(shù)據(jù)之間的“橋梁”或“連接器”。他獲取安全數(shù)據(jù)來判斷subject是否能夠登錄,subject擁有什么權(quán)限。他有點(diǎn)類似DAO。在配置realms時,需要至少一個realm。而且Shiro提供了一些常用的 Realms來連接數(shù)據(jù)源,如LDAP數(shù)據(jù)源的JndiLdapRealm,JDBC數(shù)據(jù)源的JdbcRealm,ini文件數(shù)據(jù)源

7、的IniRealm,properties文件數(shù)據(jù)源的PropertiesRealm,等等。我們也可以插入自己的 Realm實(shí)現(xiàn)來代表自定義的數(shù)據(jù)源。 像其他組件一樣,Realms也是由SecurityManager控制,小結(jié):,1.Subject(org.apache.shiro.subject.Subject):簡稱用戶,2.SecurityManager(org.apache.shiro.mgt.SecurityManager)

8、如上所述,SecurityManager是shiro的核心,協(xié)調(diào)shiro的各個組件,3.Authenticator(org.apache.shiro.authc.Authenticator): 登錄控制,注:Authentication Strategy(org.apache.shiro.authc.pam.AuthenticationStrategy) 如果存在多個realm,則接口AuthenticationStrateg

9、y會確定什么樣算是登錄成功(例如,如果一個Realm成功,而其他的均失敗,是否登錄成功?)。,4.Authorizer(org.apache.shiro.authz.Authorizer) :決定subject能擁有什么樣角色或者權(quán)限。,5.SessionManager(org.apache.shiro.session.SessionManager) :創(chuàng)建和管理用戶session。通過設(shè)置這個管理器,shiro可以在任何環(huán)境下使用

10、session。,6.CacheManager(org.apahce.shiro.cache.CacheManager) :緩存管理器,可以減少不必要的后臺訪問。提高應(yīng)用效率,增加用戶體驗(yàn)。,7.Cryptography(org.apache.shiro.crypto.*) :Shiro的api大幅度簡化java api中繁瑣的密碼加密。,8.Realms(org.apache.shiro.realm.Realm) :程序與安全數(shù)

11、據(jù)的橋梁,二,簡單配置,注:這里只介紹spring配置模式。因?yàn)楣俜嚼与m然中有更加簡潔的ini配置形式,但是使用ini配置無法與spring整合。而且兩種配置方法一樣,只是格式不一樣。,涉及的jar包,使用maven時,在pom中添加依賴包,org.apache.shiroshiro-core1.2.0org.apache.shiroshiro-web1.2.0org.apache.shiro

12、shiro-ehcache1.2.0,org.apache.shiroshiro-spring1.2.0net.sf.ehcacheehcache-core2.5.3org.slf4jslf4j-jdk141.6.4,Spring整合配置,1.在web.xml中配置shiro的過濾器,   shiroFilter  or

13、g.springframework.web.filter.DelegatingFilterProxy        shiroFilter  /*  ,2.在Spring的applicationContext.xml中添加shiro配置,/home* =

14、 anon/ = anon/logout = logout/role/** = roles[admin]/permission/** = perms[permssion:look]/** = authc,securityManager:這個屬性是必須的。,loginUrl :沒有登錄的用戶請求需要登錄的頁面時自動跳轉(zhuǎn)到登錄頁面,不是必須的屬性,不輸入地址的話會自動尋找項(xiàng)

15、目web項(xiàng)目的根目錄下的”/login.jsp”頁面。,successUrl :登錄成功默認(rèn)跳轉(zhuǎn)頁面,不配置則跳轉(zhuǎn)至”/”。如果登陸前點(diǎn)擊的一個需要登錄的頁面,則在登錄自動跳轉(zhuǎn)到那個需要登錄的頁面。不跳轉(zhuǎn)到此。,unauthorizedUrl :沒有權(quán)限默認(rèn)跳轉(zhuǎn)的頁面。,anon:例子/admins/**=anon 沒有參數(shù),表示可以匿名使用。,authc:例如/admins/user/**=authc表示需要認(rèn)證(登錄)才能使用,沒有

16、參數(shù),roles:例子/admins/user/**=roles[admin],參數(shù)可以寫多個,多個時必須加上引號,并且參數(shù)之間用逗號分割,當(dāng)有多個參數(shù)時,例如admins/user/**=roles["admin,guest"],每個參數(shù)通過才算通過,相當(dāng)于hasAllRoles()方法。,perms:例子/admins/user/**=perms[user:add:*],參數(shù)可以寫多個,多個時必須加上引號,并且參

17、數(shù)之間用逗號分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],當(dāng)有多個參數(shù)時必須每個參數(shù)都通過才通過,想當(dāng)于isPermitedAll()方法。,rest:例子/admins/user/**=rest[user],根據(jù)請求的方法,相當(dāng)于/admins/user/**=perms[user:method] ,其中method為post,get,delete等。

18、,port:例子/admins/user/**=port[8081],當(dāng)請求的url的端口不是8081是跳轉(zhuǎn)到schemal://serverName:8081?queryString,其中schmal是協(xié)議http或https等,serverName是你訪問的host,8081是url配置里port的端口,queryString是你訪問的url里的?后面的參數(shù)。,authcBasic:例如/admins/user/**=authcB

19、asic沒有參數(shù)表示httpBasic認(rèn)證,ssl:例子/admins/user/**=ssl沒有參數(shù),表示安全的url請求,協(xié)議為https,user:例如/admins/user/**=user沒有參數(shù)表示必須存在用戶,當(dāng)?shù)侨氩僮鲿r不做檢查,注:anon,authcBasic,auchc,user是認(rèn)證過濾器,perms,roles,ssl,rest,port是授權(quán)過濾器,3. 在applicationContext.xml中添加

20、securityManagerper配置,,,4.配置jdbcRealm,,dataSource 數(shù)據(jù)源,配置不說了。authenticationQuery 登錄認(rèn)證用戶的查詢SQL,需要用登錄用戶名作為條件,查詢密碼字段。userRolesQuery 用戶角色查詢SQL,需要通過登錄用戶名去查詢。查詢角色字段permissionsQuery 用戶的權(quán)限資源查詢SQL,需要用單一角色查詢角色下

21、的權(quán)限資源,如果存在多個角色,則是遍歷每個角色,分別查詢出權(quán)限資源并添加到集合中。permissionsLookupEnabled 默認(rèn)false。False時不會使用permissionsQuery的SQL去查詢權(quán)限資源。設(shè)置為true才會去執(zhí)行。saltStyle 密碼是否加鹽,默認(rèn)是NO_SALT不加鹽。加鹽有三種選擇CRYPT,COLUMN,EXTERNAL。詳細(xì)可以去看文檔。這里按照不加鹽處理。credentialsMa

22、tcher 密碼匹配規(guī)則。下面簡單介紹。,,hashAlgorithmName 必須的,沒有默認(rèn)值??梢杂蠱D5或者SHA-1,如果對密碼安全有更高要求可以用SHA-256或者更高。這里使用MD5,storedCredentialsHexEncoded 默認(rèn)是true,此時用的是密碼加密用的是Hex編碼;false時用Base64編碼,hashIterations 迭代次數(shù),默認(rèn)值是1。,,用戶名:,密碼:,記住

23、我,注:登錄JSP,表單action與提交方式固定,用戶名與密碼的name也是固定。,登錄JSP頁面,5.配置shiro注解模式,,注意:在與springMVC整合時必須放在springMVC的配置文件中。Shiro在注解模式下,登錄失敗,與沒有權(quán)限均是通過拋出異常。并且默認(rèn)并沒有去處理或者捕獲這些異常。在springMVC下需要配置捕獲相應(yīng)異常來通知用戶信息,如果不配置異常會拋出到頁面,

24、/unauthorized/unauthenticated,@RequiresAuthentication,驗(yàn)證用戶是否登錄,等同于方法subject.isAuthenticated() 結(jié)果為true時。,@ RequiresUser,驗(yàn)證用戶是否被記憶,user有兩種含義:一種是成功登錄的(subject.isAuthenticated() 結(jié)果為true);另

25、外一種是被記憶的( subject.isRemembered()結(jié)果為true)。,@ RequiresGuest,驗(yàn)證是否是一個guest的請求,與@ RequiresUser完全相反。 換言之,RequiresUser == ! RequiresGuest 。此時subject.getPrincipal() 結(jié)果為null.,@ RequiresRoles,例如:@RequiresRoles("aRoleName&q

26、uot;);void someMethod();如果subject中有aRoleName角色才可以訪問方法someMethod。如果沒有這個權(quán)限則會拋出異常AuthorizationException。,@RequiresPermissions,例如: @RequiresPermissions( {"file:read", "write:aFile.txt"} )void someMet

27、hod();要求subject中必須同時含有file:read和write:aFile.txt的權(quán)限才能執(zhí)行方法someMethod()。否則拋出異常AuthorizationException。,三.簡單擴(kuò)展,自定義realm:,,//這是授權(quán)方法protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String

28、 userName = (String) getAvailablePrincipal(principals);//TODO 通過用戶名獲得用戶的所有資源,并把資源存入info中…………………….SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();info.setStringPermissions(set集合);info.setRoles(set集合

29、);info.setObjectPermissions(set集合);return info;},//這是認(rèn)證方法protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//token中儲存著輸入的用戶名和密碼UsernamePasswordToken

30、 upToken = (UsernamePasswordToken)token;//獲得用戶名與密碼String username = upToken.getUsername();String password = String.valueOf(upToken.getPassword());//TODO 與數(shù)據(jù)庫中用戶名和密碼進(jìn)行比對。比對成功則返回info,比對失敗則拋出對應(yīng)信息的異常AuthenticationExc

31、eption…………………..SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCharArray(),getName());return info;},自定義登錄,//創(chuàng)建用戶名和密碼的令牌UsernamePasswordToken token = new UsernamePasswordToken(us

32、er.getUserName(),user.getPassWord());//記錄該令牌,如果不記錄則類似購物車功能不能使用。token.setRememberMe(true);//subject理解成權(quán)限對象。類似userSubject subject = SecurityUtils.getSubject();try {subject.login(token);} catch (UnknownAccountExcepti

33、on ex) {//用戶名沒有找到。} catch (IncorrectCredentialsException ex) {//用戶名密碼不匹配。}catch (AuthenticationException e) {//其他的登錄錯誤}//驗(yàn)證是否成功登錄的方法if (subject.isAuthenticated()) {},Subject subject = SecurityUtils.getSubject();su

34、bject.logout();,自定義登出,基于編碼的角色授權(quán)實(shí)現(xiàn),Subject currentUser = SecurityUtils.getSubject();  if (currentUser.hasRole("administrator")) {      //擁有角色adm

35、inistrator} else {      //沒有角色處理},Subject currentUser = SecurityUtils.getSubject();  //如果沒有角色admin,則會拋出異常,someMethod()也不會被執(zhí)行currentUser.checkRole(“adm

36、in");  someMethod();,斷言方式控制,基于編碼的資源授權(quán)實(shí)現(xiàn),Subject currentUser = SecurityUtils.getSubject();  if (currentUser.isPermitted("permssion:look")) {   

37、   //有資源權(quán)限} else {      //沒有權(quán)限},斷言方式控制,Subject currentUser = SecurityUtils.getSubject();  //如果沒有資源權(quán)限則會拋出異常。currentUser.checkPermission(

38、"permssion:look");  someMethod();,在JSP上的TAG實(shí)現(xiàn),7.默認(rèn),添加或刪除用戶的角色 或資源 ,系統(tǒng)不需要重啟,但是需要用戶重新登錄。即用戶的授權(quán)是首次登錄后第一次訪問需要權(quán)限頁面時進(jìn)行加載。但是需要進(jìn)行控制的權(quán)限資源,是在啟動時就進(jìn)行加載,如果要新增一個權(quán)限資源需要重啟系統(tǒng)。,8.Spring security 與。Shiro對很多其他的框架兼容性

39、更好,號稱是無縫集成。apache shiro 差別:shiro配置更加容易理解,容易上手;security配置相對比較難懂。在spring的環(huán)境下,security整合性更好shiro 不僅僅可以使用在web中,它可以工作在任何應(yīng)用環(huán)境中。在集群會話時Shiro最重要的一個好處或許就是它的會話是獨(dú)立于容器的。Shiro提供的密碼加密使用起來非常方便。,9.控制精度:注解方式控制權(quán)限只能是在方法上控制,無法控制類級別訪問。

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論