《Shiro入门学习手册PPT课件》由会员分享,可在线阅读,更多相关《Shiro入门学习手册PPT课件(35页珍藏版)》请在金锄头文库上搜索。
1、Shiro入门学习手册简单的介绍,简单的配置,简单的扩展Byjfm一,shiro简介ApacheShiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。以下是你可以用 ApacheShiro所做的事情: 1. 验证用户2. 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限3. 在任何环境下使用 SessionAPI。例如CS程序。4. 可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。5. 单点登录(SSO)功能。 6. “RememberMe”服务 ,类似购物车的功能,shiro官
2、方建议开启。Shiro的4大部分身份验证,授权,会话管理和加密 Authentication:身份验证,简称“登录”。 Authorization:授权,给用户分配角色或者权限资源 SessionManagement:用户session管理器,可以让CS程序也使用session来控制权限 Cryptography:把JDK中复杂的密码加密方式进行封装。除了以上功能,shiro还提供很多扩展 WebSupport:主要针对web应用提供一些常用功能。 Caching:缓存可以使应用程序运行更有效率。 Concurrency:多线程相关功能。 Testing:帮助我们进行测试相关功能 RunAs:
3、一个允许用户假设为另一个用户身份(如果允许)的功能,有时候在管理脚本很有用。 “RememberMe”:记住用户身份,提供类似购物车功能。Subject是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。所有Subject实例都必须绑定到一个SecurityManager上。我们与一个 Subject交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。Subject:SecurityManager是 Shiro的核心,初始化时协调各个模块运行。然而,一旦 SecurityManager协调完毕,SecurityManager
4、会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager。 但是我们得知道,当我们正与一个 Subject进行交互时,实质上是 SecurityManager在处理 Subject安全操作。SecurityManager:Realms:Realms在Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO。在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的Realms来连接数据源,如LDAP数据源的JndiLdapRealm,JDBC数据
5、源的JdbcRealm,ini文件数据源的IniRealm,properties文件数据源的PropertiesRealm,等等。我们也可以插入自己的Realm实现来代表自定义的数据源。像其他组件一样,Realms也是由SecurityManager控制小结:1.Subject(org.apache.shiro.subject.Subject):简称用户2.SecurityManager(org.apache.shiro.mgt.SecurityManager)如上所述,SecurityManager是shiro的核心,协调shiro的各个组件3.Authenticator(org.apach
6、e.shiro.authc.Authenticator):登录控制注:AuthenticationStrategy(org.apache.shiro.authc.pam.AuthenticationStrategy)如果存在多个realm,则接口AuthenticationStrategy会确定什么样算是登录成功(例如,如果一个Realm成功,而其他的均失败,是否登录成功?)。4.Authorizer(org.apache.shiro.authz.Authorizer):决定subject能拥有什么样角色或者权限。5.SessionManager(org.apache.shiro.sessio
7、n.SessionManager):创建和管理用户session。通过设置这个管理器,shiro可以在任何环境下使用session。6.CacheManager(org.apahce.shiro.cache.CacheManager):缓存管理器,可以减少不必要的后台访问。提高应用效率,增加用户体验。7.Cryptography(org.apache.shiro.crypto.*):Shiro的api大幅度简化javaapi中繁琐的密码加密。8.Realms(org.apache.shiro.realm.Realm):程序与安全数据的桥梁二,简单配置注:这里只介绍spring配置模式。因为官方
8、例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。涉及的jar包Jar包名称包名称版本版本核心包shiro-core1.2.0Web相关包shiro-web1.2.0缓存包shiro-ehcache1.2.0与spring整合包shiro-spring1.2.0Ehcache缓存核心包ehcache-core2.5.3Shiro自身日志包slf4j-jdk141.6.4使用maven时,在pom中添加依赖包org.apache.shiroshiro-core1.2.0org.apache.shiroshiro-web1.2.0
9、org.apache.shiroshiro-ehcache1.2.0org.apache.shiroshiro-spring1.2.0net.sf.ehcacheehcache-core2.5.3org.slf4jslf4j-jdk141.6.4Spring整合配置1.在web.xml中配置shiro的过滤器shiroFilterorg.springframework.web.filter.DelegatingFilterProxyshiroFilter/*2.在在Spring的的applicationContext.xml中添加中添加shiro配置配置/home*=anon/=anon/lo
10、gout=logout/role/*=rolesadmin/permission/*=permspermssion:look/*=authcsecurityManager:这个属性是必须的。loginUrl :没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。successUrl :登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。unauthorizedUrl :没有权限默认跳转的页面。过滤器简称过滤器简称对应的对
11、应的java类类anonorg.apache.shiro.web.filter.authc.AnonymousFilterauthcorg.apache.shiro.web.filter.authc.FormAuthenticationFilterauthcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilterpermsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilterportorg.apache.shiro.web.filter.au
12、thz.PortFilterrestorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilterrolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFiltersslorg.apache.shiro.web.filter.authz.SslFilteruserorg.apache.shiro.web.filter.authc.UserFilterlogoutorg.apache.shiro.web.filter.authc.LogoutFilteranon:例子/admin
13、s/*=anon没有参数,表示可以匿名使用。authc:例如/admins/user/*=authc表示需要认证(登录)才能使用,没有参数roles:例子/admins/user/*=rolesadmin,参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/*=rolesadmin,guest,每个参数通过才算通过,相当于hasAllRoles()方法。perms:例子/admins/user/*=permsuser:add:*,参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/*=permsuser:
14、add:*,user:modify:*,当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。rest:例子/admins/user/*=restuser,根据请求的方法,相当于/admins/user/*=permsuser:method,其中method为post,get,delete等。port:例子/admins/user/*=port8081,当请求的url的端口不是8081是跳转到schemal:/serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url
15、配置里port的端口,queryString是你访问的url里的?后面的参数。authcBasic:例如/admins/user/*=authcBasic没有参数表示httpBasic认证ssl:例子/admins/user/*=ssl没有参数,表示安全的url请求,协议为httpsuser:例如/admins/user/*=user没有参数表示必须存在用户,当登入操作时不做检查注:anon,authcBasic,auchc,user是认证过滤器,perms,roles,ssl,rest,port是授权过滤器3.在在applicationContext.xml中添加中添加securityMan
16、agerper配置4.配置jdbcRealmdataSource 数据源,配置不说了。authenticationQuery登录认证用户的查询SQL,需要用登录用户名作为条件,查询密码字段。userRolesQuery 用户角色查询SQL,需要通过登录用户名去查询。查询角色字段permissionsQuery 用户的权限资源查询SQL,需要用单一角色查询角色下的权限资源,如果存在多个角色,则是遍历每个角色,分别查询出权限资源并添加到集合中。permissionsLookupEnabled 默认false。False时不会使用permissionsQuery的SQL去查询权限资源。设置为true
17、才会去执行。saltStyle 密码是否加盐,默认是NO_SALT不加盐。加盐有三种选择CRYPT,COLUMN,EXTERNAL。详细可以去看文档。这里按照不加盐处理。credentialsMatcher 密码匹配规则。下面简单介绍。hashAlgorithmName 必须的,没有默认值。可以有MD5或者SHA-1,如果对密码安全有更高要求可以用SHA-256或者更高。这里使用MD5storedCredentialsHexEncoded 默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码hashIterations 迭代次数,默认值是1。用户名:密码:记住我注
18、:登录JSP,表单action与提交方式固定,用户名与密码的name也是固定。登录JSP页面5.配置shiro注解模式注意:在与springMVC整合时必须放在springMVC的配置文件中。Shiro在注解模式下,登录失败,与没有权限均是通过抛出异常。并且默认并没有去处理或者捕获这些异常。在springMVC下需要配置捕获相应异常来通知用户信息,如果不配置异常会抛出到页面/unauthorized/unauthenticatedRequiresAuthentication验证用户是否登录,等同于方法subject.isAuthenticated()结果为true时。RequiresUser验
19、证用户是否被记忆,user有两种含义:一种是成功登录的(subject.isAuthenticated()结果为true);另外一种是被记忆的(subject.isRemembered()结果为true)。RequiresGuest验证是否是一个guest的请求,与RequiresUser完全相反。换言之,RequiresUser=!RequiresGuest。此时subject.getPrincipal()结果为null.RequiresRoles例如:RequiresRoles(aRoleName);voidsomeMethod();如果subject中有aRoleName角色才可以访问方
20、法someMethod。如果没有这个权限则会抛出异常AuthorizationException。RequiresPermissions例如:RequiresPermissions(file:read,write:aFile.txt)voidsomeMethod();要求subject中必须同时含有file:read和write:aFile.txt的权限才能执行方法someMethod()。否则抛出异常AuthorizationException。三.简单扩展1.自定义realm:/这是授权方法这是授权方法protectedAuthorizationInfodoGetAuthorization
21、Info(PrincipalCollectionprincipals)StringuserName=(String)getAvailablePrincipal(principals);/TODO通过用户名获得用户的所有资源,并把资源存入通过用户名获得用户的所有资源,并把资源存入info中中.SimpleAuthorizationInfoinfo=newSimpleAuthorizationInfo();info.setStringPermissions(set集合);info.setRoles(set集合);info.setObjectPermissions(set集合);returninfo
22、;/这是认证方法这是认证方法protectedAuthenticationInfodoGetAuthenticationInfo(AuthenticationTokentoken)throwsAuthenticationException/token中储存着输入的用户名和密码中储存着输入的用户名和密码UsernamePasswordTokenupToken=(UsernamePasswordToken)token;/获得用户名与密码获得用户名与密码Stringusername=upToken.getUsername();Stringpassword=String.valueOf(upToken
23、.getPassword();/TODO与数据库中用户名和密码进行比对。比对成功则返回与数据库中用户名和密码进行比对。比对成功则返回info,比对失败,比对失败则抛出对应信息的异常则抛出对应信息的异常AuthenticationException.SimpleAuthenticationInfoinfo=newSimpleAuthenticationInfo(username,password.toCharArray(),getName();returninfo;2.自定义登录/创建用户名和密码的令牌创建用户名和密码的令牌UsernamePasswordTokentoken=newUserna
24、mePasswordToken(user.getUserName(),user.getPassWord();/记录该令牌,如果不记录则类似购物车功能不能使用。记录该令牌,如果不记录则类似购物车功能不能使用。token.setRememberMe(true);/subject理解成权限对象。类似理解成权限对象。类似userSubjectsubject=SecurityUtils.getSubject();trysubject.login(token);catch(UnknownAccountExceptionex)/用户名没有找到。用户名没有找到。catch(IncorrectCredentia
25、lsExceptionex)/用户名密码不匹配。用户名密码不匹配。catch(AuthenticationExceptione)/其他的登录错误其他的登录错误/验证是否成功登录的方法验证是否成功登录的方法if(subject.isAuthenticated()Subjectsubject=SecurityUtils.getSubject();subject.logout();3.自定义登出4.基于编码的角色授权实现SubjectcurrentUser=SecurityUtils.getSubject();if(currentUser.hasRole(administrator)/拥有角色adm
26、inistratorelse/没有角色处理SubjectcurrentUser=SecurityUtils.getSubject();/如果没有角色admin,则会抛出异常,someMethod()也不会被执行currentUser.checkRole(“admin);someMethod();断言方式控制5.基于编码的资源授权实现SubjectcurrentUser=SecurityUtils.getSubject();if(currentUser.isPermitted(permssion:look)/有资源权限else/没有权限断言方式控制SubjectcurrentUser=Secur
27、ityUtils.getSubject();/如果没有资源权限则会抛出异常。currentUser.checkPermission(permssion:look);someMethod();6.在JSP上的TAG实现标签名称标签名称标签条件(均是显示标签内容)标签条件(均是显示标签内容)登录之后不在登录状态时用户在没有RememberMe时用户在RememberMe时在有abc或者123角色时拥有角色abc没有角色abc拥有权限资源abc没有abc权限资源默认显示用户名称7.默认,添加或删除用户的角色或资源,系统不需要重启,但是需要用户重新登录。即用户的授权是首次登录后第一次访问需要权限页面时
28、进行加载。但是需要进行控制的权限资源,是在启动时就进行加载,如果要新增一个权限资源需要重启系统。8.Springsecurity与。Shiro对很多其他的框架兼容性更好,号称是无缝集成。apacheshiro差别:a)shiro配置更加容易理解,容易上手;security配置相对比较难懂。b)在spring的环境下,security整合性更好c)shiro不仅仅可以使用在web中,它可以工作在任何应用环境中。d)在集群会话时Shiro最重要的一个好处或许就是它的会话是独立于容器的。e)Shiro提供的密码加密使用起来非常方便。9.控制精度:注解方式控制权限只能是在方法上控制,无法控制类级别访问。过滤器方式控制是根据访问的URL进行控制。允许使用*匹配URL,所以可以进行粗粒度,也可以进行细粒度控制。
