摘要:当前可以是身份,不需要经过认证或者在原先的中存在记录。当前必须拥有所有指定的角色时,才能访问被该注解标注的方法。
关于 Apache Shiro 概念基本都粘自官网 http://shiro.apache.org/Shiro 简介
详细中文博客 http://wiki.jikexueyuan.com/p...
与SpringBoot整合 https://segmentfault.com/a/11...
Apache Shiro是一个功能强大且灵活的开源安全框架,可以清晰地处理身份验证,授权,企业会话管理和加密。
以下是Apache Shiro可以做的一些事情:
验证用户以验证其身份
为用户执行访问控制
在任何环境中使用Session API,即使没有Web容器或EJB容器也是如此。
......
功能简介Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境,也可以是 Web 环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web 支持,可以非常容易的集成到Web 环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:Shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能
把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了
Shiro 详细的架构可以参考官方文档:http://shiro.apache.org/archi...
Shiro web工程搭建 1.Maven 架包依赖缓存架包先用 ehcache
2.ehcache 缓存xml文件配置org.apache.shiro shiro-all 1.3.2 net.sf.ehcache ehcache 2.10.6
3.web.xml中shiro拦截器配置
4.spring文件配置 4.1基本配置shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle true shiroFilter /*
4.2拦截规则附解/admin/userlist*=roles[user] /admin/adduser*=roles[user,admin] /admin/editRPRelation*=roles[admin],perms[user:insert,user:update,user:select,user:delete] /admin/editURRelation*=perms[user:select] /admin/**=authc /**=anon
拦截器 shiroFilter 的基本数据
securityManager:这个属性是必须的
loginUrl:表示登录成功后跳转的页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面
successUrl:登录成功默认跳转页面,不配置则跳转至”/”
unauthorizedUrl:没有权限默认跳转的页面
filterChainDefinitions:指定过滤规则
关于过滤器可以参考shiro提供的枚举类 org.apache.shiro.web.filter.mgt.DefaultFilter
url 模式使用 Ant 风格模式
Ant 路径通配符支持?、、,注意通配符匹配不包括目录分隔符 “/”:
?:匹配一个字符,如”/admin?” 将匹配 / admin1,但不匹配 / admin 或 / admin2;
:匹配零个或多个字符串,如 / admin * 将匹配 / admin、/admin123,但不匹配 / admin/1;
:匹配路径中的零个或多个路径,如 / admin/ 将匹配 / admin/a 或 / admin/a/b。
public class MyShiroRealm extends AuthorizingRealm {
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("********************* 进行登录认证 *********************");
String username = (String) authenticationToken.getPrincipal(); //获取提交的用户名
User user = userRepository.findByUsername(username);
if (user == null) throw new UnknownAccountException("用户不存在, 请先注册然后再来登录");
if (user.getState() == 1) throw new LockedAccountException("该用户已经被管理员禁用, 请换个账号登录");
//接下来进行密码的比对逻辑
//参数 principal 作为下面授权部分参数集合里面的一部分
//参数 credentials 作为后面与token里面密码比对基础
//返回值 info 作为下面自定义密码匹类里面比对方法的参数
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), getName());
return info;
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("********************* 进行授权认证 *********************");
User user = (User) principalCollection.asList().get(0);
//得到该用户的所有角色和权限
Set roles = new HashSet<>();
Set permissions = new HashSet<>();
user.getRoles().forEach(role -> {
roles.add(role.getRoleName());
role.getPermissions().forEach(permission -> {
permissions.add(permission.getPermissionName());
});
});
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setRoles(roles);
info.setStringPermissions(permissions);
return info;
}
@Autowired
private UserRepository userRepository;
}
6.自定义密码匹对方案
前端密码加密规则:ciphertext_pwd = AES.encrypt(MD5(password))
后端解密密码规则:md5_password = AES.desEncrypt(ciphertext_pwd)
后端匹对密码规则:(md5_password + 用户名做盐值) 进行 1024 次 MD5 转换,然后与数据库取出密码做比对
public class MyCredentialsMatcher implements CredentialsMatcher {
@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
String tokenCredentials = new String((char[])token.getCredentials()); //前端传过来的密码
String accountCredentials = (String) info.getCredentials(); //数据库查询到的密码
//首先对前端传过来的密码进行AES解密 -> 清空 session 里面的key
Session session = SecurityUtils.getSubject().getSession();
String key = (String) session.getAttribute("AESKey");
try {
tokenCredentials = AesEncryptUtil.desEncrypt(tokenCredentials, key, key);
} catch (Exception e) {
throw new IncorrectCredentialsException("可能受到重放攻击, AES 解密失败");
}
session.removeAttribute("AESKey");
//加密方式 待加密数据 加密盐值 加密次数
SimpleHash simpleHash = new SimpleHash("MD5", tokenCredentials, token.getPrincipal(), 1024);
tokenCredentials = simpleHash.toString();
return accountCredentials.equals(tokenCredentials);
}
}
7.登录和注册接口的调用
@Service("userService")
public class UserServiceImpl implements UserService {
@Override
public void registerUser(User user) {
if (userRepository.existsByUsername(user.getUsername())) {
throw new RuntimeException("用户名已经被注册, 请换个用户名");
}
user.setState((byte) 0);
//密码进行加密
SimpleHash simpleHash = new SimpleHash("MD5", user.getPassword(), user.getUsername(), 1024);
user.setPassword(simpleHash.toString());
userRepository.save(user);
}
@Override
public void login(User user) {
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.isAuthenticated() == false) { //没有登录过需要进行登录验证
UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword(), false);
currentUser.login(token);
}
}
@Autowired
private UserRepository userRepository;
}
8.多角色/权限匹对规则
从上面我们可以看到url地址规则匹配可以配置多角色和多权限,当对应多个角色和权限时中间用 “,” 隔开。
以对应多角色为例
/admin/userlist*=roles[user] /admin/adduser*=roles[user,admin]
当访问第二个 /admin/adduser* 时需要同时拥有 user 和 admin 角色,但是有时我们需要他们之间是或者的关系,这个时候我们就需要自定义对应的过滤器。
以自定角色过滤器为例
... /admin/userlist*=roles[user] /admin/adduser*=roles[user,admin] ...
public class MyRolesAuthorizationFilter extends AuthorizationFilter {
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
Subject subject = this.getSubject(request, response);
String[] rolesArray = (String[])((String[])mappedValue);
if (rolesArray != null && rolesArray.length != 0) {
for (String role : rolesArray) {
if (subject.hasRole(role)) return true;
}
}
return false;
}
}
启动web项目看下自定义过滤器有没有加进去
9.shiro注解实现权限控制在有些方法多,但是权限分的细的地方用注解要比用配置的方案来的方便
使用注解首先要在spring-mvc.xml配置文件中加入以下配置
在spring.xml配置文件对于过滤器的配置就简单多了
没有那些繁杂的配置规则和跳转页面
5个权限注解
RequiresAuthentication:当前Subject必须在当前session中已经过认证。
RequiresGuest:当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。
RequiresPermissions:当前Subject需要拥有某些特定的权限时,才能执行被该注解标注的方法。
RequiresRoles:当前Subject必须拥有所有指定的角色时,才能访问被该注解标注的方法。
RequiresUser:当前Subject必须是应用的用户,才能访问或调用被该注解标注的类,实例,方法。
上面所有要求的权限和认证没有时就会抛出对应的异常,只需在SpringMVC中写好对应的异常截获方法即可
示例
//表示需要认证
@RequiresAuthentication
//表示在需要认证的基础上要同时拥有 user 和 admin 角色
@RequiresRoles(value = {"user", "admin"})
//同上
@RequiresRoles(value = {"user", "admin"}, logical = Logical.AND)
//表示在需要认证的基础上拥有 user 或 admin 角色
@RequiresRoles(value = {"user", "admin"}, logical = Logical.OR)
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/73694.html
摘要:细粒度权限管理就是数据级别的权限管理。张三只能查看行政部的用户信息,李四只能查看开发部门的用户信息。比如通过的拦截器实现授权。 前言 本文主要讲解的知识点有以下: 权限管理的基础知识 模型 粗粒度和细粒度的概念 回顾URL拦截的实现 Shiro的介绍与简单入门 一、Shiro基础知识 在学习Shiro这个框架之前,首先我们要先了解Shiro需要的基础知识:权限管理 1.1什...
摘要:安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证授权加密和会话管理等功能。本质上是一个特定安全的。当配置时,必须指定至少一个用来进行身份验证和或授权。提供了多种可用的来获取安全相关的数据。 web开发安全框架中的Apache Shiro的应用前阶段就hadoop的分享了一些内容,希望对新手入门的朋友有点帮助吧!对于hadoop新手入门的,还是比较推荐大快搜索...
摘要:我认为无论是也好,还是其他安全框架也好,其功能主要就分为三部分认证授权加密。的认证授权管理,都需要由负责。构建环境主体提交认证请求认证创建环境,我们这里使用的是。最后我们使用进行认证。认证我们先说这么多,下节我们来说说的简单授权。 showImg(https://segmentfault.com/img/bV8VRT?w=800&h=119); 时隔这么久终于有时间更新了,今天和大家分...
摘要:前言由于写的文章已经是有点多了,为了自己和大家的检索方便,于是我就做了这么一个博客导航。 前言 由于写的文章已经是有点多了,为了自己和大家的检索方便,于是我就做了这么一个博客导航。 由于更新比较频繁,因此隔一段时间才会更新目录导航哦~想要获取最新原创的技术文章欢迎关注我的公众号:Java3y Java3y文章目录导航 Java基础 泛型就这么简单 注解就这么简单 Druid数据库连接池...
摘要:框架具有轻便,开源的优点,所以本译见构建用户管理微服务五使用令牌和来实现身份验证往期译见系列文章在账号分享中持续连载,敬请查看在往期译见系列的文章中,我们已经建立了业务逻辑数据访问层和前端控制器但是忽略了对身份进行验证。 重拾后端之Spring Boot(四):使用JWT和Spring Security保护REST API 重拾后端之Spring Boot(一):REST API的搭建...
阅读 1071·2021-11-24 09:39
阅读 2720·2021-09-22 10:02
阅读 1236·2021-09-07 09:59
阅读 3307·2019-08-30 15:54
阅读 2368·2019-08-30 11:00
阅读 2567·2019-08-29 15:06
阅读 2052·2019-08-26 13:52
阅读 301·2019-08-26 13:24
