shiro安全三部曲

第一部分 Shiro简介及项目目录结构

最新官方示例下载：http://shiro.apache.org/

• Shiro是Apache从JSecret项目演变而来的，该框架实现了：用户登录、认证、授权和权限管理操作的完整控制流程。Shiro最早的名字是JSecurity，后来更名为Shiro并成为Apache的孵化项目。这次改名也同样影响了Grails Shiro Plugin。它最早在Shiro还未改名之前就已经存在了，后来因为Shiro的名字变更，也就一道跟着“改名换姓”。由于Grails Shiro Plugin中已经包含了Shiro相关的Jar，因此对于插件的使用者而言，不必专门下载Shiro。JSecurity是一个强大，灵活的java安全框架。用于简洁地处理身份验证，授权，企业多个系统会话管理，加密服务等。

• Shiro主要对用户的权限和Session进行特别的封装，并且支持跨平台的登录权限认证，EJB等项目中也可以实现Session的共享。

• Shiro主要使用对象

Subject      当前操作的程序的对象相当于用户User，对应操作视图

SecurityManager  Shiro框架的心脏，确保框架正常运行。

Authenticator    执行身份验证（登录）尝试负责组件。

AuthenticationStrategy   协调Realm用户数据访问策略

Authorizer       负责应用程序中决定用户访问控制的组件。

SessionManager   如何创建及管理用户的session生命周期，提供良好的session体验。

SessionDAO      支持Session CRUD数据操作。

CacheManager    创建并管理Shiro组件执行的Cache实例的生命周期。

Cryptography     Shiro企业安全组件的补充。

Realms             担当Shiro与应用程序安全数据的"桥梁"或"连接器"。

• 框架关系图如下所示：

• Shiro配置：{以Spring-Hibernate 项目为例}

Shiro.ini初始化文件，可以将用户登录的权限设置在这里

[users]   users=user:*

[roles]   roles=role:*等等，shiro.ini在实际项目中可以不要，它仅仅是一种数据访问配置的手段

ehcache.xml  文件配置对象缓存示例的个数等

log4j.properties   日志配置文件

hibernate.cfg.xml  配置实体隐射关系[Hibernate整合]

applicationContext.xml  配置Spring 数据源访问和对象注入

applicationContext-shiro.xml  Shiro配置文件

Sprhib-servlet.xml      servlet控制页面跳转路径的配置

 配置文件目录如下：

•  创建规范的项目目录结构如下：

注：具体文件配置官方示例有。

第二部分   Shiro与Hibernate的使用配置

web.xml中的配置：

 

<!-- Shiro Filter is defined in the spring application context: -->

<filter>

<filter-name>shiroFilter</filter-name>

<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

</filter>

<filter-mapping>

   <filter-name>shiroFilter</filter-name>

   <url-pattern>/*</url-pattern>

</filter-mapping>

applicationContext-shiro.xml配置：实现认证和授权

<!-- shiro start -->

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

      <property name="cacheManagerConfigFile"value="classpath:ehcache.xml" />

</bean>

<bean id="credentialsMatcher"class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

      <property name="hashAlgorithmName" value="SHA-256" />

</bean>

<bean id="iniRealm" class="com.boonya.shiro.security.CurrentIniRealm">

      <constructor-arg type="java.lang.String" value="classpath:shiro.ini" />

      <property name="credentialsMatcher" ref="credentialsMatcher" />

</bean>

<bean id="userRealm" class="com.boonya.shiro.security.UserRealm" />

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

       <property name="realms">

             <list>

               <ref bean="iniRealm" /> 

               <ref bean="userRealm" />

           </list>

      </property>

      <property name="cacheManager" ref="cacheManager" />

</bean>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

       <property name="securityManager" ref="securityManager" />

       <property name="loginUrl" value="/login" />

       <property name="successUrl" value="/maps/main.html"></property>

       <property name="unauthorizedUrl" value="/unauthorized"></property>

       <property name="filters">

         <util:map>

           <entry key="anAlias">

               <beanclass="org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter" />

           </entry>

         </util:map>

      </property>

      <property name="filterChainDefinitions">

         <value><!-- 权限字符过滤 -->

             /unauthorized=anon

             /validate/code*=anon

             /login/**=anon

             /image/**=anon 

             /js/**=anon

            /css/**=anon

            /common/**=anon

            /index.htm* = anon

           /maps/**=authc

        </value>

    </property>

</bean>

<!-- shiro end -->

有关必要说明：

securityManager：这个属性是必须的。

loginUrl ：没有登录的用户请求需要登录的页面时自动跳转到登录页面，不是必须的属性，不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。

successUrl ：登录成功默认跳转页面，不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面，则在登录自动跳转到那个需要登录的页面。不跳转到此。

unauthorizedUrl ：没有权限默认跳转的页面。

其权限过滤器及配置释义：

anon   org.apache.shiro.web.filter.authc.AnonymousFilter

authc  org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic   org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms   org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port    org.apache.shiro.web.filter.authz.PortFilter

rest    org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles   org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl     org.apache.shiro.web.filter.authz.SslFilter

user    org.apache.shiro.web.filter.authc.UserFilter

logout  org.apache.shiro.web.filter.authc.LogoutFilter

anon:例子/admins/**=anon 没有参数，表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用，没有参数

roles：例子/admins/user/**=roles[admin],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，当有多个参数时，例如admins/user/**=roles["admin,guest"],每个参数通过才算通过，相当于hasAllRoles()方法。

perms：例子/admins/user/**=perms[user:add:*],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，例如/admins/user/**=perms["user:add:*,user:modify:*"]，当有多个参数时必须每个参数都通过才通过，想当于isPermitedAll()方法。

rest：例子/admins/user/**=rest[user],根据请求的方法，相当于/admins/user/**=perms[user:method] ,其中method为post，get，delete等。

port：例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等，serverName是你访问的host,8081是url配置里port的端口，queryString

是你访问的url里的？后面的参数。

authcBasic：例如/admins/user/**=authcBasic没有参数表示httpBasic认证

ssl:例子/admins/user/**=ssl没有参数，表示安全的url请求，协议为https

user:例如/admins/user/**=user没有参数表示必须存在用户，当登入操作时不做检查

注：anon，authcBasic，auchc，user是认证过滤器，

perms，roles，ssl，rest，port是授权过滤器

第三部分  Shiro代码分析

• 利用分层思想创建清晰的项目目录结构

 

---dao                         数据访问层

---model                    业务实体

---service                   业务层

---security/realm       数据桥接,决定访问那个数据源

---web/controller       控制层/视图展现层

• 代码分析阶段

 

[略] dao和model是我们所熟悉的因此这里没有必要再讲述。

[述]

service  让接口决定业务实现

我们可以编写业务类的接口并作实现，不需要对外提供的方法不必在接口中定义。

好处：功能明确，结构清晰，使目有全牛，而不是盲目的开始编码。

一个接口对应一个实现。

Java代码：

接口：

public interface UserService {

    User getCurrentUser();

    void createUser(String username, String email, String password);

    List<User> getAllUsers();

    User getUser(Long userId);

    void deleteUser(Long userId);

    void updateUser(User user);

}

实现：

@Service("userService")

public class DefaultUserService implements UserService {

    private UserDAO userDAO;

    @Autowired

    public void setUserDAO(UserDAO userDAO) {

        this.userDAO = userDAO;

    }

    public User getCurrentUser() {

        final Long currentUserId = (Long) SecurityUtils.getSubject().getPrincipal();

        if( currentUserId != null ) {

            return getUser(currentUserId);

        } else {

            return null;

        }

}

.....................

}

security 衔接程序与数据源的中间组件realm

一般只提供登录验证的realm即可，当用户进入系统之后还是跟以前的实现模式一样，只是登录的时候必须做安全验证。如果不登录系统，就不能看到具有安全保护的数据页面展示，如果没有普通guest(来宾)访问页面，以致只能看到登录界面<都是通过配置过滤器来实现>。、

实现一个用户自定义的realm必须继承自AuthorizingRealm 。

Java代码：

@Component

public class SampleRealm extends AuthorizingRealm {

    protected UserDAO userDAO = null;

    @SuppressWarnings("deprecation")

public SampleRealm() {

        setName("SampleRealm"); //This name must match the name in the User class's getPrincipals() method

        setCredentialsMatcher(new Sha256CredentialsMatcher());

    }

    @Autowired

    public void setUserDAO(UserDAO userDAO) {

        this.userDAO = userDAO;

}

//用户登录认证

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {

        //认证前调用

        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

        User user = userDAO.findUser(token.getUsername());

        if( user != null ) {

            //认证后返回认证信息

            return new SimpleAuthenticationInfo(user.getId(), user.getPassword(), getName());

        } else {

            return null;

        }

    }

//获取认证后信息：用户的角色，享有的权限

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        Long userId = (Long) principals.fromRealm(getName()).iterator().next();

        User user = userDAO.getUser(userId);

        if( user != null ) {

            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

            for( Role role : user.getRoles() ) {

                info.addRole(role.getName());

                info.addStringPermissions( role.getPermissions() );

            }

            return info;

        } else {

            return null;

        }

    }

}

 

web/controller  决定页面跳转到那个页面或返回相应的页面数据

用户登入系统后决定用户去向，属于权限控制字符过滤的范围，是否用户有权限访问该URL路径。这里以签到为例：

1、创建绑定操作命令实体

public class SignupCommand {

    private String username;

    private String email;

private String password;

//getter setter 略

}

2、一般需要对操作的数据进行验证的可以创建一个验证器实现Validator接口

public class SignupValidator implements Validator {

    //邮箱验证正则表达式

    private static final String SIMPLE_EMAIL_REGEX = "[A-Z0-9._%+-]+@[A-Z0-9.-]+\\.[A-Z]{2,4}";

    @SuppressWarnings("rawtypes")

public boolean supports(Class aClass) {

        return SignupCommand.class.isAssignableFrom(aClass);

    }

    //执行验证

    public void validate(Object o, Errors errors) {

        SignupCommand command = (SignupCommand)o;

        ValidationUtils.rejectIfEmptyOrWhitespace(errors, "username", "error.username.empty", "Please specify a username.");

        ValidationUtils.rejectIfEmptyOrWhitespace(errors, "email", "error.email.empty", "Please specify an email address.");

        if( StringUtils.hasText( command.getEmail() ) && !Pattern.matches( SIMPLE_EMAIL_REGEX, command.getEmail().toUpperCase() ) ) {

            errors.rejectValue( "email", "error.email.invalid", "Please enter a valid email address." );

        }

        ValidationUtils.rejectIfEmptyOrWhitespace(errors, "password", "error.password.empty", "Please specify a password.");

    }

}

3、编写控制器

@Controller

public class SignupController {

    private SignupValidator signupValidator = new SignupValidator();

    private UserService userService;

    @Autowired

    public void setUserService(UserService userService) {

        this.userService = userService;

    }

    @RequestMapping(value="/signup",method= RequestMethod.GET)

    public String showSignupForm(Model model, @ModelAttribute SignupCommand command) {

        return "signup";

    }

    @RequestMapping(value="/signup",method= RequestMethod.POST)

public String showSignupForm(Model model, @ModelAttribute SignupCommand command, BindingResult errors) {

        //数据验证是否合法

        signupValidator.validate(command, errors);

        if( errors.hasErrors() ) {

            return showSignupForm(model, command);

        }

        // Create the user

        userService.createUser( command.getUsername(), command.getEmail(), command.getPassword() );

        // Login the newly created user

        SecurityUtils.getSubject().login(new UsernamePasswordToken(command.getUsername(), command.getPassword()));

        return "redirect:/s/home";

    }

}