360SDN.COM

首页/Shiro/列表

Shiro,一个你一定不能错过的JAVA安全框架!现在点开还来得及!

来源:  2018-09-07 13:48:33    评论:0点击:

在尝试保护你的应用时,你是否有过挫败感?是否觉得现有的Java安全解决方案难以使用,只会让你更糊涂?本文介绍的Apache Shiro,是一个不同寻常的Java安全框架,为保护应用提供了简单而强大的方法,你一定不能错过!

 

Apache Shiro一个功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。

 

目前,使用Apache Shiro的人也很多,对比Spring Security,它相当简单,易于在项目中快速应用。虽然没有Spring Security做的功能那么强大,但是已经可以满足我们项目需要,正所谓麻雀虽小,但五脏俱全。在实际项目中我们主要要求能够做到认证,授权,加密,会话管理,缓存等等就足够了,Shiro正式为此而生,完美解决了这些问题。而且Shiro的API也是非常简单;其基本功能点如下图所示:

 

注:Shiro可以在任何环境下运行,小到最简单的命令行应用,大到大型的企业应用以及集群应用。

 

Shiro 外部结构

 

 

应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:

 

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

 

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

 

Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

 

Shiro内部结构

 

 

 

 

Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;

 

SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。

 

Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;

 

Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;

 

Realm:可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;

 

SessionManager:如果写过Servlet就应该知道Session的概念,Session呢需要有人去管理它的生命周期,这个组件就是SessionManager;而Shiro并不仅仅可以用在Web环境,也可以用在如普通的JavaSE环境、EJB等环境;所有呢,Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据;这样的话,比如我们在Web环境用,刚开始是一台Web服务器;接着又上了台EJB服务器;这时想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到Memcached服务器);

 

SessionDAO:DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;比如想把Session放到Memcached中,可以实现自己的Memcached SessionDAO;另外SessionDAO中可以使用Cache进行缓存,以提高性能;

 

CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能

 

Cryptography:密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。

 

Shiro能够做到

 

 

1、身份认证/登录,验证用户是不是拥有相应的身份; 

 

2、授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; 

 

3、会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的; 

 

4、加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储; 

 

5、Web支持,可以非常容易的集成到Web环境; 

 

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率; 

 

6、shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去; 

 

7、提供测试支持; 

 

8、允许一个用户假装为另一个用户(如果他们允许)的身份进行访问; 

 

9、记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

 

解决方案搭建

 

 

项目依赖

 

 

 

添加URL请求过滤器

 

 

 

实现身份认证和授权

 

继承AuthorizingRealm并实现登录验证和授权的两个方法,验证当前用户是否需要身份认证,认证通过得用户会自动赋予角色权限。

 

具体实现如下:

 

 


Shiro上下文配置

 

缓存控制规则配置

 

过滤器配置规则说明

 

shrio 权限管理filterChainDefinitions过滤器配置

 

1、Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时),故filterChainDefinitions的配置顺序为自上而下,以最上面的为准;

2、当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用,默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称,如下:

anon---------------org.apache.shiro.web.filter.authc.AnonymousFilter

authc--------------org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic---------org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

logout-------------org.apache.shiro.web.filter.authc.LogoutFilter

noSessionCreation--org.apache.shiro.web.filter.session.NoSessionCreationFilter

perms--------------org.apache.shiro.web.filter.authz.PermissionAuthorizationFilter

port---------------org.apache.shiro.web.filter.authz.PortFilter

        rest---------------org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

        roles--------------org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

        ssl----------------org.apache.shiro.web.filter.authz.SslFilter

        user---------------org.apache.shiro.web.filter.authz.UserFilter

 

3、通常可将这些过滤器分为两组:

anon,authc,authcBasic,user是第一组认证过滤器;

perms,port,rest,roles,ssl是第二组授权过滤器。

注意user和authc不同:当应用开启了rememberMe时,用户下次访问时可以是一个user,但绝不会是authc,因为authc是需要重新认证的;

user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe;

说白了,以前的一个用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc。

 

例子说明

 

 

/admin=authc,roles[admin] 表示用户必需已通过认证,并拥有admin角色才可以正常发起'/admin'请求

/edit=authc,perms[admin:edit] 表示用户必需已通过认证,并拥有admin:edit权限才可以正常发起'/edit'请求

/home=user  表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态就可以正常发起'/home'请求

 

各默认过滤器常用如下(注意URL Pattern里用到的是两颗星,这样才能实现任意层次的全匹配)

/admins/**=anon             无参,表示可匿名使用,可以理解为匿名用户或游客

/admins/user/**=authc       无参,表示需认证才能使用

/admins/user/**=authcBasic  无参,表示httpBasic认证

/admins/user/**=user        无参,表示必须存在用户,当登入操作时不做检查

/admins/user/**=ssl         无参,表示安全的URL请求,协议为https

/admins/user/**=perms[user:add:*] 参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/**=perms["user:add:*,user:modify:*"] 当有多个参数时必须每个参数都通过才算通过,相当于isPermitedAll()方法

/admins/user/**=port[8081]当请求的URL端口不是8081时,跳转到

schemal://serverName:8081?queryString

其中schmal是协议http或https等,serverName是你访问的Host,8081是Port端口,queryString是你访问的URL里的?后面的参数

/admins/user/**=rest[user] 根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等

/admins/user/**=roles[admin] 参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如/admins/user/**=roles["admin,guest"] 当有多个参数时必须每个参数都通过才算通过,相当于hasAllRoles()方法

 

总结

 

 

Shiro只是一个安全框架,虽然没有Spring Security的功能强大,但是比其更简单,没有那么多复杂的东西,初学者也很容易上手,并能快速在项目中运用。但是请记住:Shiro是不会提供用户、角色、权限等维护功能,这些需要我们自己实现,并通过注入的服务实现用户和角色及权限之间得关系,同时注入到Shiro中,从而实现身份认证和权限控制等。

 

文章来源:擎天科技研究院

 

为您推荐

友情链接 |九搜汽车网 |手机ok生活信息网|ok生活信息网|ok微生活
 Powered by www.360SDN.COM   京ICP备11022651号-4 © 2012-2016 版权