版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、Shiro入門學(xué)習(xí)手冊,簡單的介紹,簡單的配置,簡單的擴(kuò)展By jfm,一,shiro簡介,Apache Shiro是一個(gè)強(qiáng)大而靈活的開源安全框架,它能夠干凈利落地處理身份認(rèn)證,授權(quán),企業(yè)會話管理和加密。以下是你可以用 Apache Shiro所做的事情: ? 驗(yàn)證用戶? 對用戶執(zhí)行訪問控制,如: ? 判斷用戶是否擁有角色admin。 判斷用戶是否擁有訪問的權(quán)限? 在任何環(huán)境下使用 Session AP
2、I。例如CS程序。? 可以使用多個(gè)用戶數(shù)據(jù)源。例如一個(gè)是oracle用戶庫,另外一個(gè)是mysql用戶庫。? 單點(diǎn)登錄(SSO)功能。 ? “Remember Me”服務(wù) ,類似購物車的功能,shiro官方建議開啟。,Shiro的4大部分——身份驗(yàn)證,授權(quán),會話管理和加密 ? Authentication:身份驗(yàn)證,簡稱“登錄”。? Authorization:授權(quán),給用戶分配角色或者權(quán)限資源? Session M
3、anagement:用戶session管理器,可以讓CS程序也使用session來控制權(quán)限? Cryptography:把JDK中復(fù)雜的密碼加密方式進(jìn)行封裝。,除了以上功能,shiro還提供很多擴(kuò)展 ? Web Support:主要針對web應(yīng)用提供一些常用功能。 ? Caching:緩存可以使應(yīng)用程序運(yùn)行更有效率。 ? Concurrency:多線程相關(guān)功能。? Testing:幫助我們進(jìn)行測試相關(guān)功能 ? &
4、quot;Run As":一個(gè)允許用戶假設(shè)為另一個(gè)用戶身份(如果允許)的功能,有時(shí)候在管理腳本很有用。 ? “Remember Me”:記住用戶身份,提供類似購物車功能。,Subject 是與程序進(jìn)行交互的對象,可以是人也可以是服務(wù)或者其他,通常就理解為用戶。所有Subject 實(shí)例都必須綁定到一個(gè)SecurityManager上。我們與一個(gè) Subject 交互,運(yùn)行時(shí)shiro會自動(dòng)轉(zhuǎn)化為與 SecurityMana
5、ger交互的特定 subject的交互。,Subject:,SecurityManager 是 Shiro的核心,初始化時(shí)協(xié)調(diào)各個(gè)模塊運(yùn)行。然而,一旦 SecurityManager協(xié)調(diào)完畢,SecurityManager 會被單獨(dú)留下,且我們只需要去操作Subject即可,無需操作SecurityManager 。 但是我們得知道,當(dāng)我們正與一個(gè) Subject 進(jìn)行交互時(shí),實(shí)質(zhì)上是 SecurityManager在處理 Subjec
6、t 安全操作。,SecurityManager:,Realms:,Realms在 Shiro中作為應(yīng)用程序和安全數(shù)據(jù)之間的“橋梁”或“連接器”。他獲取安全數(shù)據(jù)來判斷subject是否能夠登錄,subject擁有什么權(quán)限。他有點(diǎn)類似DAO。在配置realms時(shí),需要至少一個(gè)realm。而且Shiro提供了一些常用的 Realms來連接數(shù)據(jù)源,如LDAP數(shù)據(jù)源的JndiLdapRealm,JDBC數(shù)據(jù)源的JdbcRealm,ini文件數(shù)據(jù)源
7、的IniRealm,properties文件數(shù)據(jù)源的PropertiesRealm,等等。我們也可以插入自己的 Realm實(shí)現(xiàn)來代表自定義的數(shù)據(jù)源。 像其他組件一樣,Realms也是由SecurityManager控制,小結(jié):,1.Subject(org.apache.shiro.subject.Subject):簡稱用戶,2.SecurityManager(org.apache.shiro.mgt.SecurityManager)
8、如上所述,SecurityManager是shiro的核心,協(xié)調(diào)shiro的各個(gè)組件,3.Authenticator(org.apache.shiro.authc.Authenticator): 登錄控制,注:Authentication Strategy(org.apache.shiro.authc.pam.AuthenticationStrategy) 如果存在多個(gè)realm,則接口AuthenticationStrateg
9、y會確定什么樣算是登錄成功(例如,如果一個(gè)Realm成功,而其他的均失敗,是否登錄成功?)。,4.Authorizer(org.apache.shiro.authz.Authorizer) :決定subject能擁有什么樣角色或者權(quán)限。,5.SessionManager(org.apache.shiro.session.SessionManager) :創(chuàng)建和管理用戶session。通過設(shè)置這個(gè)管理器,shiro可以在任何環(huán)境下使用
10、session。,6.CacheManager(org.apahce.shiro.cache.CacheManager) :緩存管理器,可以減少不必要的后臺訪問。提高應(yīng)用效率,增加用戶體驗(yàn)。,7.Cryptography(org.apache.shiro.crypto.*) :Shiro的api大幅度簡化java api中繁瑣的密碼加密。,8.Realms(org.apache.shiro.realm.Realm) :程序與安全數(shù)
11、據(jù)的橋梁,二,簡單配置,注:這里只介紹spring配置模式。因?yàn)楣俜嚼与m然中有更加簡潔的ini配置形式,但是使用ini配置無法與spring整合。而且兩種配置方法一樣,只是格式不一樣。,涉及的jar包,使用maven時(shí),在pom中添加依賴包,org.apache.shiroshiro-core1.2.0org.apache.shiroshiro-web1.2.0org.apache.shiro
12、shiro-ehcache1.2.0,org.apache.shiroshiro-spring1.2.0net.sf.ehcacheehcache-core2.5.3org.slf4jslf4j-jdk141.6.4,Spring整合配置,1.在web.xml中配置shiro的過濾器, shiroFilter or
13、g.springframework.web.filter.DelegatingFilterProxy shiroFilter /* ,2.在Spring的applicationContext.xml中添加shiro配置,/home* =
14、 anon/ = anon/logout = logout/role/** = roles[admin]/permission/** = perms[permssion:look]/** = authc,securityManager:這個(gè)屬性是必須的。,loginUrl :沒有登錄的用戶請求需要登錄的頁面時(shí)自動(dòng)跳轉(zhuǎn)到登錄頁面,不是必須的屬性,不輸入地址的話會自動(dòng)尋找項(xiàng)
15、目web項(xiàng)目的根目錄下的”/login.jsp”頁面。,successUrl :登錄成功默認(rèn)跳轉(zhuǎn)頁面,不配置則跳轉(zhuǎn)至”/”。如果登陸前點(diǎn)擊的一個(gè)需要登錄的頁面,則在登錄自動(dòng)跳轉(zhuǎn)到那個(gè)需要登錄的頁面。不跳轉(zhuǎn)到此。,unauthorizedUrl :沒有權(quán)限默認(rèn)跳轉(zhuǎn)的頁面。,anon:例子/admins/**=anon 沒有參數(shù),表示可以匿名使用。,authc:例如/admins/user/**=authc表示需要認(rèn)證(登錄)才能使用,沒有
16、參數(shù),roles:例子/admins/user/**=roles[admin],參數(shù)可以寫多個(gè),多個(gè)時(shí)必須加上引號,并且參數(shù)之間用逗號分割,當(dāng)有多個(gè)參數(shù)時(shí),例如admins/user/**=roles["admin,guest"],每個(gè)參數(shù)通過才算通過,相當(dāng)于hasAllRoles()方法。,perms:例子/admins/user/**=perms[user:add:*],參數(shù)可以寫多個(gè),多個(gè)時(shí)必須加上引號,并且參
17、數(shù)之間用逗號分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],當(dāng)有多個(gè)參數(shù)時(shí)必須每個(gè)參數(shù)都通過才通過,想當(dāng)于isPermitedAll()方法。,rest:例子/admins/user/**=rest[user],根據(jù)請求的方法,相當(dāng)于/admins/user/**=perms[user:method] ,其中method為post,get,delete等。
18、,port:例子/admins/user/**=port[8081],當(dāng)請求的url的端口不是8081是跳轉(zhuǎn)到schemal://serverName:8081?queryString,其中schmal是協(xié)議http或https等,serverName是你訪問的host,8081是url配置里port的端口,queryString是你訪問的url里的?后面的參數(shù)。,authcBasic:例如/admins/user/**=authcB
19、asic沒有參數(shù)表示httpBasic認(rèn)證,ssl:例子/admins/user/**=ssl沒有參數(shù),表示安全的url請求,協(xié)議為https,user:例如/admins/user/**=user沒有參數(shù)表示必須存在用戶,當(dāng)?shù)侨氩僮鲿r(shí)不做檢查,注:anon,authcBasic,auchc,user是認(rèn)證過濾器,perms,roles,ssl,rest,port是授權(quán)過濾器,3. 在applicationContext.xml中添加
20、securityManagerper配置,,,4.配置jdbcRealm,,dataSource 數(shù)據(jù)源,配置不說了。authenticationQuery 登錄認(rèn)證用戶的查詢SQL,需要用登錄用戶名作為條件,查詢密碼字段。userRolesQuery 用戶角色查詢SQL,需要通過登錄用戶名去查詢。查詢角色字段permissionsQuery 用戶的權(quán)限資源查詢SQL,需要用單一角色查詢角色下
21、的權(quán)限資源,如果存在多個(gè)角色,則是遍歷每個(gè)角色,分別查詢出權(quán)限資源并添加到集合中。permissionsLookupEnabled 默認(rèn)false。False時(shí)不會使用permissionsQuery的SQL去查詢權(quán)限資源。設(shè)置為true才會去執(zhí)行。saltStyle 密碼是否加鹽,默認(rèn)是NO_SALT不加鹽。加鹽有三種選擇CRYPT,COLUMN,EXTERNAL。詳細(xì)可以去看文檔。這里按照不加鹽處理。credentialsMa
22、tcher 密碼匹配規(guī)則。下面簡單介紹。,,hashAlgorithmName 必須的,沒有默認(rèn)值??梢杂蠱D5或者SHA-1,如果對密碼安全有更高要求可以用SHA-256或者更高。這里使用MD5,storedCredentialsHexEncoded 默認(rèn)是true,此時(shí)用的是密碼加密用的是Hex編碼;false時(shí)用Base64編碼,hashIterations 迭代次數(shù),默認(rèn)值是1。,,用戶名:,密碼:,記住
23、我,注:登錄JSP,表單action與提交方式固定,用戶名與密碼的name也是固定。,登錄JSP頁面,5.配置shiro注解模式,,注意:在與springMVC整合時(shí)必須放在springMVC的配置文件中。Shiro在注解模式下,登錄失敗,與沒有權(quán)限均是通過拋出異常。并且默認(rèn)并沒有去處理或者捕獲這些異常。在springMVC下需要配置捕獲相應(yīng)異常來通知用戶信息,如果不配置異常會拋出到頁面,
24、/unauthorized/unauthenticated,@RequiresAuthentication,驗(yàn)證用戶是否登錄,等同于方法subject.isAuthenticated() 結(jié)果為true時(shí)。,@ RequiresUser,驗(yàn)證用戶是否被記憶,user有兩種含義:一種是成功登錄的(subject.isAuthenticated() 結(jié)果為true);另
25、外一種是被記憶的( subject.isRemembered()結(jié)果為true)。,@ RequiresGuest,驗(yàn)證是否是一個(gè)guest的請求,與@ RequiresUser完全相反。 換言之,RequiresUser == ! RequiresGuest 。此時(shí)subject.getPrincipal() 結(jié)果為null.,@ RequiresRoles,例如:@RequiresRoles("aRoleName&q
26、uot;);void someMethod();如果subject中有aRoleName角色才可以訪問方法someMethod。如果沒有這個(gè)權(quán)限則會拋出異常AuthorizationException。,@RequiresPermissions,例如: @RequiresPermissions( {"file:read", "write:aFile.txt"} )void someMet
27、hod();要求subject中必須同時(shí)含有file:read和write:aFile.txt的權(quán)限才能執(zhí)行方法someMethod()。否則拋出異常AuthorizationException。,三.簡單擴(kuò)展,自定義realm:,,//這是授權(quán)方法protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {String
28、 userName = (String) getAvailablePrincipal(principals);//TODO 通過用戶名獲得用戶的所有資源,并把資源存入info中…………………….SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();info.setStringPermissions(set集合);info.setRoles(set集合
29、);info.setObjectPermissions(set集合);return info;},//這是認(rèn)證方法protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//token中儲存著輸入的用戶名和密碼UsernamePasswordToken
30、 upToken = (UsernamePasswordToken)token;//獲得用戶名與密碼String username = upToken.getUsername();String password = String.valueOf(upToken.getPassword());//TODO 與數(shù)據(jù)庫中用戶名和密碼進(jìn)行比對。比對成功則返回info,比對失敗則拋出對應(yīng)信息的異常AuthenticationExc
31、eption…………………..SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCharArray(),getName());return info;},自定義登錄,//創(chuàng)建用戶名和密碼的令牌UsernamePasswordToken token = new UsernamePasswordToken(us
32、er.getUserName(),user.getPassWord());//記錄該令牌,如果不記錄則類似購物車功能不能使用。token.setRememberMe(true);//subject理解成權(quán)限對象。類似userSubject subject = SecurityUtils.getSubject();try {subject.login(token);} catch (UnknownAccountExcepti
33、on ex) {//用戶名沒有找到。} catch (IncorrectCredentialsException ex) {//用戶名密碼不匹配。}catch (AuthenticationException e) {//其他的登錄錯(cuò)誤}//驗(yàn)證是否成功登錄的方法if (subject.isAuthenticated()) {},Subject subject = SecurityUtils.getSubject();su
34、bject.logout();,自定義登出,基于編碼的角色授權(quán)實(shí)現(xiàn),Subject currentUser = SecurityUtils.getSubject(); if (currentUser.hasRole("administrator")) { //擁有角色adm
35、inistrator} else { //沒有角色處理},Subject currentUser = SecurityUtils.getSubject(); //如果沒有角色admin,則會拋出異常,someMethod()也不會被執(zhí)行currentUser.checkRole(“adm
36、in"); someMethod();,斷言方式控制,基于編碼的資源授權(quán)實(shí)現(xiàn),Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isPermitted("permssion:look")) {
37、 //有資源權(quán)限} else { //沒有權(quán)限},斷言方式控制,Subject currentUser = SecurityUtils.getSubject(); //如果沒有資源權(quán)限則會拋出異常。currentUser.checkPermission(
38、"permssion:look"); someMethod();,在JSP上的TAG實(shí)現(xiàn),7.默認(rèn),添加或刪除用戶的角色 或資源 ,系統(tǒng)不需要重啟,但是需要用戶重新登錄。即用戶的授權(quán)是首次登錄后第一次訪問需要權(quán)限頁面時(shí)進(jìn)行加載。但是需要進(jìn)行控制的權(quán)限資源,是在啟動(dòng)時(shí)就進(jìn)行加載,如果要新增一個(gè)權(quán)限資源需要重啟系統(tǒng)。,8.Spring security 與。Shiro對很多其他的框架兼容性
39、更好,號稱是無縫集成。apache shiro 差別:shiro配置更加容易理解,容易上手;security配置相對比較難懂。在spring的環(huán)境下,security整合性更好shiro 不僅僅可以使用在web中,它可以工作在任何應(yīng)用環(huán)境中。在集群會話時(shí)Shiro最重要的一個(gè)好處或許就是它的會話是獨(dú)立于容器的。Shiro提供的密碼加密使用起來非常方便。,9.控制精度:注解方式控制權(quán)限只能是在方法上控制,無法控制類級別訪問。
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- abaqus教材學(xué)習(xí)入門手冊
- contiki入門手冊
- flexsche入門手冊
- eplan入門手冊
- flexsche入門手冊
- 可轉(zhuǎn)債入門小手冊
- 港股投資入門手冊
- hadoop入門實(shí)戰(zhàn)手冊
- 漢服入門速成手冊
- freertos入門手冊_中文
- 攝影入門知識學(xué)習(xí)入門(經(jīng)典學(xué)習(xí)入門級教學(xué)教材)
- 期貨倉單入門手冊
- 閱讀引導(dǎo)員入門手冊
- 麥當(dāng)勞營運(yùn)手冊--訓(xùn)練入門
- 拼音入門學(xué)習(xí)
- 母嬰店開店入門手冊
- 期貨新手入門手冊
- twincat3.1 入門手冊
- 麥當(dāng)勞營運(yùn)手冊--訓(xùn)練入門
- 商道入門培訓(xùn)手冊
評論
0/150
提交評論