本文共 3248 字,大约阅读时间需要 10 分钟。
框架简介
Apache Shiro 是 Java 的一个安全框架。相比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了,而且 Shiro 的 API 也是非常简单。
Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限; Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中; Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。 Shiro 不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给 Shiro 即可。
对于一个好的框架,从外部来看应该具有非常简单易于使用的 API,从内部来看的话,其应该有一个可扩展的架构,即非常容易插入用户自定义实现。
从外部看 1、 应用代码通过 Subject 来进行认证和授权,而 Subject 又委托给 SecurityManager; 2、 我们需要给 Shiro 的 SecurityManager 注入 Realm,从而让 SecurityManager 能得到合法的用户及其权限进行判断。
身份认证
在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,让应用来验证用户身份
principals:身份,可以是用户名、邮箱等,唯一即可。 credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。 最常见的 principals 和 credentials 组合就是用户名/密码了。 Realm
Shiro 从Realm 获取安全数据(如用户、角色、权限),SecurityManager要验证用户身份,需要从 Realm 获取用户信息进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限以验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源 。
1、UserRealm 父类 AuthorizingRealm 将获取 Subject 相关信息分成两步:获取身份验证信息(doGetAuthenticationInfo)及授权信息(doGetAuthorizationInfo);
2、doGetAuthenticationInfo() 获取身份验证相关信息: 首先根据传入的用户名获取 User 信息;然后如果 user 为空,抛出没找到帐号异常 UnknownAccountException; 如果 user找到但锁定了抛出锁定异常 LockedAccountException; 最后生成AuthenticationInfo 信息,交给间接父类 AuthenticatingRealm 使用 CredentialsMatcher 进行判断密码是否匹配, 如果不匹配将抛出密码错误异常 IncorrectCredentialsException; 另外如果密码重试此处太多将抛出超出重试次数异常 ExcessiveAttemptsException; 组装 SimpleAuthenticationInfo() 信息并返回 3、doGetAuthorizationInfo 获取授权信息: PrincipalCollection 是一个身份集合,因为我们现在就一个 Realm,所以直接调用 getPrimaryPrincipal 得到之前传入的用户名即可;然后根据用户名调用 UserService 接口获取角色及权限信息。 AuthenticationInfo 有两个作用:
1、如果 Realm 是 AuthenticatingRealm 子类,则提供给 AuthenticatingRealm 内部使用的CredentialsMatcher 进行凭据验证;
2、提供给 SecurityManager 来创建 Subject(提供身份信息);PrincipalCollection作用:
Shiro 中同时配置多个 Realm,所以身份信息可能就有多个;因此其提供了 PrincipalCollection 用于聚合这些身份信息
授权
在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
Shiro 支持三种方式的授权
1、编程式
Subject subject = SecurityUtils.getSubject();if(subject.hasRole(“admin”)) {//有权限} else {//无权限} 2、注解式
@RequiresRoles("admin")public void hello() {//有权限} 3、在jsp中使用标签
访问控制包括基于角色授权和基于资源授权
授权流程如下:
1、首先调用 Subject.isPermitted*/hasRole* 接口,其会委托给 SecurityManager,而SecurityManager 接着会委托给 Authorizer;
2、Authorizer 是真正的授权者,如果我们调用如 isPermitted(“user:view”),其首先会通过PermissionResolver 把字符串转换成相应的 Permission 实例; 3、在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限; 4、Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个 Realm,会委托给ModularRealmAuthorizer 进行循环判断,如果匹配如 isPermitted*/hasRole*会返回 true,否则返回 false 表示授权失败。Authorizer、PermissionResolver 及RolePermissionResolver
Authorizer 的职责是进行授权(访问控制),是 Shiro API 中授权核心的入口点,其提供了相应的角色/权限判断接口。
SecurityManager 继承了 Authorizer 接口,且提供了 ModularRealmAuthorizer 用于多 Realm 时的授权匹配。 PermissionResolver 用于解析权限字符串到 Permission 实例,而RolePermissionResolver 用于根据角色解析相应的权限集合。 权限注解
@RequiresAuthentication 表示当前 Subject 已经通过 login 进行了身份验证;即 Subject. isAuthenticated()返回 true。
@RequiresUser 表示当前 Subject 已经身份验证或者通过记住我登录的。 @RequiresGuest 表示当前 Subject 没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND) 表示当前 Subject 需要角色 admin 和 user。 @RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR) 表示当前 Subject 需要权限 user:a 或 user:b。转载地址:http://rfaxb.baihongyu.com/