shiro入门笔记

关于 Apache Shiro 概念基本都粘自官网 http://shiro.apache.org/
详细中文博客 http://wiki.jikexueyuan.com/p...
与SpringBoot整合 https://segmentfault.com/a/11...

Shiro 简介

Apache Shiro是一个功能强大且灵活的开源安全框架，可以清晰地处理身份验证，授权，企业会话管理和加密。

以下是Apache Shiro可以做的一些事情：

• 验证用户以验证其身份
• 为用户执行访问控制
• 在任何环境中使用Session API，即使没有Web容器或EJB容器也是如此。
• ......

功能简介

• Authentication：身份认证/登录，验证用户是不是拥有相应的身份；
• Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能进行什么操作，如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；
• Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通 JavaSE 环境，也可以是 Web 环境的；
• Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；
• Web Support：Web 支持，可以非常容易的集成到Web 环境；
• Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；
• Concurrency：Shiro 支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能
• 把权限自动传播过去；
• Testing：提供测试支持；
• Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；
• Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了

Shiro 详细的架构

可以参考官方文档：http://shiro.apache.org/archi...

Shiro web工程搭建

1.Maven 架包依赖

缓存架包先用 ehcache

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-all</artifactId>
  <version>1.3.2</version>
</dependency>

<dependency>
  <groupId>net.sf.ehcache</groupId>
  <artifactId>ehcache</artifactId>
  <version>2.10.6</version>
</dependency>

2.ehcache 缓存xml文件配置

<?xml version="1.0" encoding="UTF-8"?>
<ehcache>
    <!-- mac 电脑, 跟 win 设置路径有点不一样 示例: path="d:/ehcache/" -->
    <diskStore path="${user.home}/Downloads/ehcache" />

    <!-- 默认缓存配置 没有特别指定就用这个配置 -->
    <defaultCache maxElementsInMemory="10000"
                  eternal="false"
                  timeToIdleSeconds="3600" 
                  timeToLiveSeconds="3600" 
                  overflowToDisk="true" 
                  maxElementsOnDisk="10000000" 
                  diskPersistent="false" 
                  memoryStoreEvictionPolicy="LRU" 
                  diskExpiryThreadIntervalSeconds="120" />
</ehcache>

3.web.xml中shiro拦截器配置

<!-- 1. 配置 shiro 拦截器 -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

4.spring文件配置

4.1基本配置

<!-- 2. 配置shiro的核心组件 SecurityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!-- 配置缓存 -->
    <property name="cacheManager" ref="cacheManager" />

    <!-- 自定义的 realm -->
    <property name="realm">
        <bean class="com.ogemray.shiro.MyShiroRealm">
            <!-- 自定义 realm 里面的的密码匹对器 -->
            <property name="credentialsMatcher">
                <bean class="com.ogemray.shiro.MyCredentialsMatcher"/>
            </property>
        </bean>
    </property>
</bean>

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>
</bean>

<!-- 3. 配置shiroFilter，配置shiro的一些基本规则信息，id必须和web.xml中配置的拦截器名字一样(DelegatingFilterProxy 通过名字去spring容器中找注入的拦截器) -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.html"/> <!-- loginUrl 表示登录页面地址 -->
    <property name="successUrl" value="/admin/main.html"/> <!-- successUrl 表示登录成功后跳转的页面 -->
    <property name="unauthorizedUrl" value="/unauthorized.html"/> <!-- 配置没有授权跳转页面 -->
    <property name="filterChainDefinitions">
        <value>
            <!--/logout.action=logout --> <!-- logout 表示登出, 清空session, 这里不需要了, 因为已经在登出对象的方法里手动清空了 [ SecurityUtils.getSubject().logout() ] -->
            /admin/userlist*=roles[user]
            /admin/adduser*=roles[user,admin] <!-- 表示拥有 user 角色 并且 拥有 admin 角色 -->
            /admin/editRPRelation*=roles[admin],perms[user:insert,user:update,user:select,user:delete]
            /admin/editURRelation*=perms[user:select]
            /admin/**=authc
            /**=anon
        </value>
    </property>
</bean>

4.2拦截规则附解

拦截器 shiroFilter 的基本数据

• securityManager：这个属性是必须的
• loginUrl：表示登录成功后跳转的页面，不是必须的属性，不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面
• successUrl：登录成功默认跳转页面，不配置则跳转至”/”
• unauthorizedUrl：没有权限默认跳转的页面
• filterChainDefinitions：指定过滤规则

关于过滤器可以参考shiro提供的枚举类 org.apache.shiro.web.filter.mgt.DefaultFilter

url 模式使用 Ant 风格模式
Ant 路径通配符支持?、、，注意通配符匹配不包括目录分隔符 “/”：
?：匹配一个字符，如”/admin?” 将匹配 / admin1，但不匹配 / admin 或 / admin2；
：匹配零个或多个字符串，如 / admin * 将匹配 / admin、/admin123，但不匹配 / admin/1；
：匹配路径中的零个或多个路径，如 / admin/ 将匹配 / admin/a 或 / admin/a/b。

5.自定义realm

public class MyShiroRealm extends AuthorizingRealm {

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("********************* 进行登录认证 *********************");

        String username = (String) authenticationToken.getPrincipal(); //获取提交的用户名
        User user = userRepository.findByUsername(username);

        if (user == null) throw new UnknownAccountException("用户不存在, 请先注册然后再来登录");
        if (user.getState() == 1) throw new LockedAccountException("该用户已经被管理员禁用, 请换个账号登录");

        //接下来进行密码的比对逻辑
        //参数 principal 作为下面授权部分参数集合里面的一部分 
        //参数 credentials 作为后面与token里面密码比对基础
        //返回值 info 作为下面自定义密码匹类里面比对方法的参数
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), getName());
        return info;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("********************* 进行授权认证 *********************");

        User user = (User) principalCollection.asList().get(0);

        //得到该用户的所有角色和权限
        Set<String> roles = new HashSet<>();
        Set<String> permissions = new HashSet<>();

        user.getRoles().forEach(role -> {
            roles.add(role.getRoleName());
            role.getPermissions().forEach(permission -> {
                permissions.add(permission.getPermissionName());
            });
        });

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setRoles(roles);
        info.setStringPermissions(permissions);
        return info;
    }

    @Autowired
    private UserRepository userRepository;
}

6.自定义密码匹对方案

前端密码加密规则：ciphertext_pwd = AES.encrypt(MD5(password))
后端解密密码规则：md5_password = AES.desEncrypt(ciphertext_pwd)
后端匹对密码规则：(md5_password + 用户名做盐值) 进行 1024 次 MD5 转换，然后与数据库取出密码做比对

public class MyCredentialsMatcher implements CredentialsMatcher {

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {

        String tokenCredentials = new String((char[])token.getCredentials()); //前端传过来的密码
        String accountCredentials = (String) info.getCredentials(); //数据库查询到的密码

        //首先对前端传过来的密码进行AES解密 -> 清空 session 里面的key
        Session session = SecurityUtils.getSubject().getSession();
        String key = (String) session.getAttribute("AESKey");

        try {
            tokenCredentials = AesEncryptUtil.desEncrypt(tokenCredentials, key, key);
        } catch (Exception e) {
            throw new IncorrectCredentialsException("可能受到重放攻击, AES 解密失败");
        }
        session.removeAttribute("AESKey");

        //加密方式 待加密数据 加密盐值 加密次数
        SimpleHash simpleHash = new SimpleHash("MD5", tokenCredentials, token.getPrincipal(), 1024);
        tokenCredentials = simpleHash.toString();
        return accountCredentials.equals(tokenCredentials);
    }
}

7.登录和注册接口的调用

@Service("userService")
public class UserServiceImpl implements UserService {

    @Override
    public void registerUser(User user) {
        if (userRepository.existsByUsername(user.getUsername())) {
            throw new RuntimeException("用户名已经被注册, 请换个用户名");
        }
        user.setState((byte) 0);
        //密码进行加密
        SimpleHash simpleHash = new SimpleHash("MD5", user.getPassword(), user.getUsername(), 1024);
        user.setPassword(simpleHash.toString());
        userRepository.save(user);
    }

    @Override
    public void login(User user) {
        Subject currentUser = SecurityUtils.getSubject();
        if (currentUser.isAuthenticated() == false) { //没有登录过需要进行登录验证
            UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword(), false);
            currentUser.login(token);
        }
    }

    @Autowired
    private UserRepository userRepository;
}

8.多角色/权限匹对规则

从上面我们可以看到url地址规则匹配可以配置多角色和多权限，当对应多个角色和权限时中间用 “,” 隔开。

以对应多角色为例

/admin/userlist*=roles[user]
/admin/adduser*=roles[user,admin]

当访问第二个 /admin/adduser* 时需要同时拥有 user 和 admin 角色，但是有时我们需要他们之间是或者的关系，这个时候我们就需要自定义对应的过滤器。

以自定角色过滤器为例

<!-- 配置shiroFilter，配置shiro的一些基本规则信息 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.html"/> 
    <property name="successUrl" value="/admin/main.html"/>
    <property name="unauthorizedUrl" value="/unauthorized.html"/>
    <property name="filterChainDefinitions">
        <value>
            ...
            /admin/userlist*=roles[user]
            /admin/adduser*=roles[user,admin]
            ...
        </value>
    </property>
    <property name="filters">
        <map>
            <entry key="perms">
                <bean class="com.ogemray.shiro.MyRolesAuthorizationFilter"></bean>
            </entry>
        </map>
    </property>
</bean>

public class MyRolesAuthorizationFilter extends AuthorizationFilter {

    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        Subject subject = this.getSubject(request, response);
        String[] rolesArray = (String[])((String[])mappedValue);
        if (rolesArray != null && rolesArray.length != 0) {
            for (String role : rolesArray) {
                if (subject.hasRole(role)) return true;
            }
        }
        return false;
    }
}

启动web项目看下自定义过滤器有没有加进去

9.shiro注解实现权限控制

在有些方法多，但是权限分的细的地方用注解要比用配置的方案来的方便

使用注解首先要在spring-mvc.xml配置文件中加入以下配置

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>
<!-- 开启shiro的注解支持 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
    <!-- 必须改为true，即使用cglib方式为Action创建代理对象。默认值为false，使用JDK创建代理对象，会造成问题 -->
    <property name="proxyTargetClass" value="true"/>
</bean>
<!-- 使用shiro框架提供的切面类，用于创建代理对象 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"></property>
</bean>

在spring.xml配置文件对于过滤器的配置就简单多了
没有那些繁杂的配置规则和跳转页面

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
</bean>

5个权限注解

• RequiresAuthentication：当前Subject必须在当前session中已经过认证。
• RequiresGuest：当前Subject可以是“gust”身份，不需要经过认证或者在原先的session中存在记录。
• RequiresPermissions：当前Subject需要拥有某些特定的权限时，才能执行被该注解标注的方法。
• RequiresRoles：当前Subject必须拥有所有指定的角色时，才能访问被该注解标注的方法。
• RequiresUser：当前Subject必须是应用的用户，才能访问或调用被该注解标注的类，实例，方法。

上面所有要求的权限和认证没有时就会抛出对应的异常，只需在SpringMVC中写好对应的异常截获方法即可

示例

//表示需要认证
@RequiresAuthentication

//表示在需要认证的基础上要同时拥有 user 和 admin 角色
@RequiresRoles(value = {"user", "admin"})

//同上
@RequiresRoles(value = {"user", "admin"}, logical = Logical.AND)

//表示在需要认证的基础上拥有 user 或 admin 角色
@RequiresRoles(value = {"user", "admin"}, logical = Logical.OR)