Shiro安全框架简介

Shiro安全框架简介1.Shiro安全框架简介1.1Shiro概述Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/),它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权,加密,会话管理等功能,组成了一个通用的安全认证框架,使用shiro就可以非常快

大家好,欢迎来到IT知识分享网。

1.Shiro安全框架简介

1.1 Shiro 概述

Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/),它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权,加密,会话管理等功能,组成了一个通用的安全认证框架,使用shiro就可以非常快速的完成认证,授权等功能的开发,降低系统成本.
用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程图如下:
在这里插入图片描述

1.2 Shiro 概要架构

在概念层面,Shiro架构包含三个主要的理念,如图:
在这里插入图片描述
其中:

  1. Subject : 主体对象,负责提交用户认证和授权信息.
  2. SecurityManager : 安全管理器,负责认证,授权等业务的实现.
  3. Realm : 领域对象, 负责从数据层获取业务数据.

1.3 Shiro详细架构

Shiro框架进行权限观看时,要涉及到的一些核心对象,主要包括:认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象以及Realm管理对象(领域对象:负责处理认证和授权领域的数据访问)等,其局架构如图:
在这里插入图片描述
其中:

  • Subject(主体) : 与软件交互的一个特定的实体(用户,第三方服务等);
  • SecurityManager(安全管理器) : Shiro 的核心,用来协调管理组件工作.
  • Authentication(认证管理器) : 负责执行认证操作.
  • Authorizer (授权管理器) : 负责授权检测.
  • SessionManager(会话管理) : 负责创建并管理用户 Session 生命周期,提供一个强有力的 Session 体验.
  • SessionDAO : 代表 SessionManager 执行 Session 持久(CRUD) 动作,它允许任何存储的数据挂接到 session 管理基础上.
  • CacheManager(缓存管理器) : 提供创建缓存实例和管理缓存生命周期的功能.
  • Cryptography (加密管理器) : 提供了加密方式的设计及管理.
  • Realms (领域对象) ; 是shiro和你的应用程序安全数据之间的桥梁.

2. Shiro框架认证拦截实现(filter)

2.1 Shiro基本环境配置

2.1.1 添加shiro依赖

实用spring整合shiro时,需要在pom.xml中添加如下依赖:

<dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-spring</artifactId>
   <version>1.5.3</version>
</dependency>

2.1.2 Shiro核心对象配置

基于SpringBoot 实现的项目中,没有提供shiro的自动化配置,需要我们自己配置。
第一步: 创建SpringShiroConfig配置类,代码如下:

package com.cy.pj.common.config;
/**@Configuration 注解描述的类为一个配置对象,
 * 此对象也会交给spring管理
 */
@Configuration
public class SpringShiroConfig {
 
}

第二步:在Shiro配置类中添加SecurityManager配置(这里一定要使用org.apache.shiro.mgt.SecurityManager这个接口对象),代码如下:

@Bean
public SecurityManager securityManager() {
		 DefaultWebSecurityManager sManager=new DefaultWebSecurityManager();
		 return sManager;
}

第三步: 在Shiro配置类中添加ShiroFilterFactoryBean对象的配置,通过此对象设置资源匿名访问,认证访问等,代码如下:

@Bean
public ShiroFilterFactoryBean shiroFilterFactory (SecurityManager securityManager) {
		 ShiroFilterFactoryBean sfBean=new ShiroFilterFactoryBean();
		 sfBean.setSecurityManager(securityManager);
		 //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
		 LinkedHashMap<String,String> map= new LinkedHashMap<>();
		 //静态资源允许匿名访问:"anon"
		 map.put("/bower_components/**","anon");
		 map.put("/build/**","anon");
		 map.put("/dist/**","anon");
		 map.put("/plugins/**","anon");
		 //除了匿名访问的资源,其他都要认证("authc")后访问
		 map.put("/**","authc");
		 sfBean.setFilterChainDefinitonMap(map);
		 return sfBean;

其配置过程中,对象关系如下图
在这里插入图片描述

2.2 Shiro登陆页面呈现

2.2.1 服务端Controller实现

  • 业务描述及设计实现
    当服务端拦截到用户请求以后,判定此请求是否已经被认证,假如没有认证应该先跳转到登录页面。
  • 关键代码分析及实现.
    第一步:在PageController中添加一个呈现登录页面的方法,关键代码如下
@RequestMapping("doLoginUI")
public String doLoginUI(){
		return "login";
}

第二步:修改SpringShiroConfig类中shiroFilterFactorybean的配置,添加登陆url的设置。关键代码见sfBean.setLoginUrl("/doLoginUI")部分。

@Bean
	public ShiroFilterFactoryBean shiroFilterFactory(SecurityManager securityManager) {
		//1.创建ShiroFilterFactoryBean对象
		//1.1 构建对象
		ShiroFilterFactoryBean fBean=new ShiroFilterFactoryBean();
		//1.2设置安全认证授权对象
		fBean.setSecurityManager(securityManager);
		//1.3设置登陆页面
		fBean.setLoginUrl("/doLogin");
		//2.设置过滤规则
		LinkedHashMap<String,String> map= new LinkedHashMap<>();
		//静态资源允许匿名访问(例如项目static目录下的资源):"anon"表示匿名
		map.put("/bower_components/**","anon");
		map.put("/modules/**","anon");
		map.put("/dist/**","anon");
		map.put("/plugins/**","anon");
		map.put("/user/doLogin","anon");
		map.put("/doIndexUI","anon");
		map.put("/doLogout","logout");
		//除了匿名访问的资源,其它都要认证("authc")后访问
		//map.put("/**","authc");
		map.put("/**","user");//当记住我时,不需要认证
		fBean.setFilterChainDefinitionMap(map);
		return fBean;
	}

2.2.2 客户端页面实现

  • 业务描述及设计实现。
    在/templates/pages/添加一个login.html页面,然后将项目部署到web服务器,并启动测试运行.
  • 关键代码分析及实现。
$(function () {
    $('input').iCheck({
      checkboxClass: 'icheckbox_square-blue',
      radioClass: 'iradio_square-blue',
      increaseArea: '20%' // optional
    });
    $(".btn").click(doLogin);
  });
  function doLogin(){
	  var params={
		 username:$("#usernameId").val(),
		 password:$("#passwordId").val(),
		 isRememberMe:$("#rememberId").prop("checked"),
	  }
	  var url="user/doLogin";
	  console.log("params",params);
	  $.post(url,params,function(result){
		  console.log("login.result",result);
		  if(result.state==1){
			//跳转到indexUI对应的页面
			location.href="doIndexUI?t="+Math.random();
		  }else{
			$(".login-box-msg").html(result.message); 
		  }
		  return false;//防止刷新时重复提交
	  });
  }

3. Shiro框架认证业务实现

3.1 认证流程分析

身份认证即判定用户是否是系统的合法用户,用户访问系统资源时的认证(对用户身份信息的认证)
在这里插入图片描述
其中认证流程分析如下:

  1. 系统调用subject的login方法将用户信息提交给SecurityManager
  2. SecurityManager将认证操作委托给认证器对象Authenticator
  3. Authenticator将用户输入的身份信息传递给Realm.
  4. Realm访问数据获取用户信息然后对信息进行封装并返回.
  5. Authenticator 对 realm返回的信息进行身份认证.

3.2 认证服务端实现

3.2.1 核心业务分析

认证业务API处理流程分析,如图
在这里插入图片描述

3.2.2 Service 接口及实现

  • 业务描述及设计实现。
    本模块的业务在Realm类型的对象中进行实现,我们编写Realm时,要继承AuthorizingRealm 并重写相关方法,完成认证及授权业务的获取及封装.

  • 关键代码分析及实现。
    第一步:定义ShiroUserRealm类,关键代码如下:

/**
 * 基于此对象获取用户认证和授权信息并进行封装
 * @author 54643
 */
@Component
public class ShiroUserRealm extends AuthorizingRealm {
	@Autowired
	private SysUserDao sysUserDao;
	@Autowired
	private SysUserRoleDao sysUserRoleDao;
	@Autowired
	private SysRoleMenuDao sysRoleMenuDao;
	@Autowired
	private SysMenuDao sysMenuDao;
	

	/**
	 * 负责授权信息的获取和封装
	 * 为了提高授权性能,还可以将用户授权信息进行缓存,具体缓存对象
	 * 底层使用的是SoftHashMap(软引用),这个容器的key为当前的用户身份(存什么什么当key,(user,//principal身份,) )
	 * doGetAuthorizationInfo的返回值作为value存储到softHashMap中
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		//1.获取登录用户信息,例如用户id
		SysUser user = (SysUser)principals.getPrimaryPrincipal();
		Integer userId = user.getId();
		//2.基于用户id获取用户拥有的角色(sys_user_roles)
		List<Integer> roleIds = sysUserRoleDao.findRoleIdsByUserId(userId);
		if (roleIds==null||roleIds.size()==0) {
			throw new AuthorizationException();
		}
		//3.基于角色id获取菜单id(sys_role_menus)
		List<Integer> menuIds = sysRoleMenuDao.findMenuIdsByRoleIds(roleIds);
		if(menuIds==null||menuIds.size()==0)
			throw new AuthorizationException();
		//4.基于菜单id获取菜单授权标识(permission)
		List<String> permissions = sysMenuDao.findPermissions(menuIds);
		if (permissions==null||permissions.size()==0) {
			throw new AuthorizationException();
		}
		//5.对权限标识信息进行封装
		Set<String> stringPermissions = new HashSet<>();
		for (String per : permissions) {
			if (!StringUtil.isEmpty(per)) {
				stringPermissions.add(per);
			}
		}
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.setStringPermissions(stringPermissions);
		return info;
	}

	/**
	 * 通过此方法完成认证数据的获取及封装,系统底层会将认证数据传递认证管理器,由
	 * 认证管理器完成认证操作
	 * 负责认证信息的获取和封装
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// 1.获取用户输入的用户名
		UsernamePasswordToken upToken = (UsernamePasswordToken)token;
		String username = upToken.getUsername();
		//2.基于用于名获取用户对象
		SysUser user = sysUserDao.findUserByUserName(username);
		//3.判定用户对象是否存在
		if (user==null)throw new UnknownAccountException();
		//4.判定用户是否有效(是否被锁定)
		if (user.getValid()==0)throw new LockedAccountException();
		//5.封装用户认证信息
		ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt());
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo
				(user,//principal身份, 
				user.getPassword(), //hashedCredentials 已加密用户凭证
				credentialsSalt,//credentialsSalt 凭证盐
				getName());//realmName realm的类名
		return info;//此对象会返回给SecurityManager对象
	}
	
	/**
	 * 负责获取加密凭证匹配器对象
	 */
	@Override
	public CredentialsMatcher getCredentialsMatcher() {
		HashedCredentialsMatcher hMatcher = new HashedCredentialsMatcher();
		hMatcher.setHashAlgorithmName("MD5");
		hMatcher.setHashIterations(1);
		return hMatcher;
	}

}

第二步:对此realm,需要在SpringShiroConfig配置类中,注入给SecurityManager对象,修改securityManager方法

@Bean
public SecurityManager securityManager(Realm realm) {
		 DefaultWebSecurityManager sManager= new DefaultWebSecurityManager();
		 sManager.setRealm(realm);
		 return sManager;
}

3.2.3 Controller 类实现

  • 业务描述及设计实现。
    在此对象中定义相关方法,处理客户端的登陆请求,例如获取用户名,密码等然后提交该shiro框架进行认证。
  • 关键代码分析及实现。
    第一步:在SysUserController中添加处理登陆的方法。关键代码如下:
 @RequestMapping("doLogin")
     public JsonResult doLogin(String username,String password,boolean isRememberMe) {
    	 //1.获取Subject对象
    	 Subject subject = SecurityUtils.getSubject();
    	 //2.通过Subject提交用户信息,交给shiro框架进行认证操作
    	 //2.1对用户进行封装
    	 UsernamePasswordToken token = new UsernamePasswordToken(
    			 username,//身份信息
    			 password);//凭证信息
    	 //2.2对用户信息进行身份认证
    	 subject.login(token);
    	 if (isRememberMe)token.setRememberMe(isRememberMe);
    	 //分析:
    	 //1)token会传给shiro的SecurityManager
    	 //2)Securitymanager将token传递给认证管理器
    	 //3)认证管理器会将token传递给realm
    	 return new JsonResult("login OK");
     }

第二步:修改shiroFilterFactory的配置,对/user/doLogin这个路径进行匿名访问的配置.
第三步:当我们在执行登录操作时,为了提高用户体验,可对系统中的异常信息进行处理,例如,在统一异常处理类中添加如下方法:

@ExceptionHandler(ShiroException.class) 
   @ResponseBody
	public JsonResult doHandleShiroException(
			ShiroException e) {
		JsonResult r=new JsonResult();
		r.setState(0);
		if(e instanceof UnknownAccountException) {
			r.setMessage("账户不存在");
		}else if(e instanceof LockedAccountException) {
			r.setMessage("账户已被禁用");
		}else if(e instanceof IncorrectCredentialsException) {
			r.setMessage("密码不正确");
		}else if(e instanceof AuthorizationException) {
			r.setMessage("没有此操作权限");
		}else {
			r.setMessage("系统维护中");
		}
		e.printStackTrace();
		return r;
	}

3.3 认证客户端实现

3.3.1 编写用户登陆页面

在/templates/pages/目录下添加登陆页面(login.html)。

3.3.2 异步登陆操作实现

点击登录操作时,将输入的用户名,密码异步提交到服务端。

$(function () {
    $(".login-box-body").on("click",".btn",doLogin);
  });
  function doLogin(){
	  var params={
		 username:$("#usernameId").val(),
		 password:$("#passwordId").val()
	  }
	  var url="user/doLogin";
	  $.post(url,params,function(result){
		  if(result.state==1){
			//跳转到indexUI对应的页面
			location.href="doIndexUI?t="+Math.random();
		  }else{
			$(".login-box-msg").html(result.message); 
		  }
	  });
  }

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/31374.html

(0)

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

关注微信