前言
本文主要講解的知識點有以下:
- Shiro授權的方式簡單介紹
- 與Spring整合
- 初始Shiro過濾器
一、Shiro授權
上一篇我們已經講解了Shiro的認證相關的知識了,現在我們來弄Shiro的授權
Shiro授權的流程和認證的流程其實是差不多的:
1.1Shiro支援的授權方式
Shiro支援的授權方式有三種:
Shiro 支援三種方式的授權:
程式設計式:通過寫if/else 授權程式碼塊完成:
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有許可權
} else {
//無許可權
}
註解式:通過在執行的Java方法上放置相應的註解完成:
@RequiresRoles("admin")
public void hello() {
//有許可權
}
JSP/GSP 標籤:在JSP/GSP 頁面通過相應的標籤完成:
<shiro:hasRole name="admin">
<!— 有許可權—>
</shiro:hasRole>1.2使用程式設計式授權
同樣的,我們是通過安全管理器來去授權的,因此我們還是需要配置對應的配置檔案的:
shiro-permission.ini配置檔案:
#使用者
[users]
#使用者zhang的密碼是123,此使用者具有role1和role2兩個角色
zhang=123,role1,role2
wang=123,role2
#許可權
[roles]
#角色role1對資源user擁有create、update許可權
role1=user:create,user:update
#角色role2對資源user擁有create、delete許可權
role2=user:create,user:delete
#角色role3對資源user擁有create許可權
role3=user:create
#許可權識別符號號規則:資源:操作:例項(中間使用半形:分隔)
user:create:01 表示對使用者資源的01例項進行create操作。
user:create:表示對使用者資源進行create操作,相當於user:create:*,對所有使用者資源例項進行create操作。
user:*:01 表示對使用者資源例項01進行所有操作。
程式碼測試:
// 角色授權、資源授權測試
@Test
public void testAuthorization() {
// 建立SecurityManager工廠
Factory<SecurityManager> factory = new IniSecurityManagerFactory(
"classpath:shiro-permission.ini");
// 建立SecurityManager
SecurityManager securityManager = factory.getInstance();
// 將SecurityManager設定到系統執行環境,和spring後將SecurityManager配置spring容器中,一般單例管理
SecurityUtils.setSecurityManager(securityManager);
// 建立subject
Subject subject = SecurityUtils.getSubject();
// 建立token令牌
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
"123");
// 執行認證
try {
subject.login(token);
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
System.out.println("認證狀態:" + subject.isAuthenticated());
// 認證通過後執行授權
// 基於角色的授權
// hasRole傳入角色標識
boolean ishasRole = subject.hasRole("role1");
System.out.println("單個角色判斷" + ishasRole);
// hasAllRoles是否擁有多個角色
boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1",
"role2", "role3"));
System.out.println("多個角色判斷" + hasAllRoles);
// 使用check方法進行授權,如果授權不通過會丟擲異常
// subject.checkRole("role13");
// 基於資源的授權
// isPermitted傳入許可權識別符號
boolean isPermitted = subject.isPermitted("user:create:1");
System.out.println("單個許可權判斷" + isPermitted);
boolean isPermittedAll = subject.isPermittedAll("user:create:1",
"user:delete");
System.out.println("多個許可權判斷" + isPermittedAll);
// 使用check方法進行授權,如果授權不通過會丟擲異常
subject.checkPermission("items:create:1");
}
1.3自定義realm進行授權
一般地,我們的許可權都是從資料庫中查詢的,並不是根據我們的配置檔案來進行配對的。因此我們需要自定義reaml,讓reaml去對比的是資料庫查詢出來的許可權
shiro-realm.ini配置檔案:將自定義的reaml資訊注入到安全管理器中
[main]
#自定義 realm
customRealm=cn.itcast.shiro.realm.CustomRealm
#將realm設定到securityManager,相當 於spring中注入
securityManager.realms=$customRealm
我們上次已經使用過了一個自定義reaml,當時候僅僅重寫了doGetAuthenticationInfo()方法,這次我們重寫doGetAuthorizationInfo()方法
// 用於授權
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
//從 principals獲取主身份資訊
//將getPrimaryPrincipal方法返回值轉為真實身份型別(在上邊的doGetAuthenticationInfo認證通過填充到SimpleAuthenticationInfo中身份型別),
String userCode = (String) principals.getPrimaryPrincipal();
//根據身份資訊獲取許可權資訊
//連線資料庫...
//模擬從資料庫獲取到資料
List<String> permissions = new ArrayList<String>();
permissions.add("user:create");//使用者的建立
permissions.add("items:add");//商品新增許可權
//....
//查到許可權資料,返回授權資訊(要包括 上邊的permissions)
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
//將上邊查詢到授權資訊填充到simpleAuthorizationInfo物件中
simpleAuthorizationInfo.addStringPermissions(permissions);
return simpleAuthorizationInfo;
}
測試程式:
// 自定義realm進行資源授權測試
@Test
public void testAuthorizationCustomRealm() {
// 建立SecurityManager工廠
Factory<SecurityManager> factory = new IniSecurityManagerFactory(
"classpath:shiro-realm.ini");
// 建立SecurityManager
SecurityManager securityManager = factory.getInstance();
// 將SecurityManager設定到系統執行環境,和spring後將SecurityManager配置spring容器中,一般單例管理
SecurityUtils.setSecurityManager(securityManager);
// 建立subject
Subject subject = SecurityUtils.getSubject();
// 建立token令牌
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
"111111");
// 執行認證
try {
subject.login(token);
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
System.out.println("認證狀態:" + subject.isAuthenticated());
// 認證通過後執行授權
// 基於資源的授權,呼叫isPermitted方法會呼叫CustomRealm從資料庫查詢正確許可權資料
// isPermitted傳入許可權識別符號,判斷user:create:1是否在CustomRealm查詢到許可權資料之內
boolean isPermitted = subject.isPermitted("user:create:1");
System.out.println("單個許可權判斷" + isPermitted);
boolean isPermittedAll = subject.isPermittedAll("user:create:1",
"user:create");
System.out.println("多個許可權判斷" + isPermittedAll);
// 使用check方法進行授權,如果授權不通過會丟擲異常
subject.checkPermission("items:add:1");
}
二、Spring與Shiro整合
2.1匯入jar包
- shiro-web的jar、
- shiro-spring的jar
- shiro-code的jar
2.2快速入門
shiro也通過filter進行攔截。filter攔截後將操作權交給spring中配置的filterChain(過慮鏈兒)
在web.xml中配置filter
<!-- shiro的filter -->
<!-- shiro過慮器,DelegatingFilterProxy通過代理模式將spring容器中的bean和filter關聯起來 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<!-- 設定true由servlet容器控制filter的生命週期 -->
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
<!-- 設定spring容器filter的bean id,如果不設定則找與filter-name一致的bean-->
<init-param>
<param-name>targetBeanName</param-name>
<param-value>shiroFilter</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>在applicationContext-shiro.xml 中配置web.xml中fitler對應spring容器中的bean。
<!-- web.xml中shiro的filter對應的bean -->
<!-- Shiro 的Web過濾器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<!-- loginUrl認證提交地址,如果沒有認證將會請求此地址進行認證,請求此地址將由formAuthenticationFilter進行表單認證 -->
<property name="loginUrl" value="/login.action" />
<!-- 認證成功統一跳轉到first.action,建議不配置,shiro認證成功自動到上一個請求路徑 -->
<!-- <property name="successUrl" value="/first.action"/> -->
<!-- 通過unauthorizedUrl指定沒有許可權操作時跳轉頁面-->
<property name="unauthorizedUrl" value="/refuse.jsp" />
<!-- 自定義filter配置 -->
<property name="filters">
<map>
<!-- 將自定義 的FormAuthenticationFilter注入shiroFilter中-->
<entry key="authc" value-ref="formAuthenticationFilter" />
</map>
</property>
<!-- 過慮器鏈定義,從上向下順序執行,一般將/**放在最下邊 -->
<property name="filterChainDefinitions">
<value>
<!--所有url都可以匿名訪問-->
/** = anon
</value>
</property>
</bean>配置安全管理器
<!-- securityManager安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="customRealm" />
</bean>配置reaml
<!-- realm -->
<bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm">
</bean>步驟:
- 在web.xml檔案中配置shiro的過濾器
- 在對應的Spring配置檔案中配置與之對應的filterChain(過慮鏈兒)
- 配置安全管理器,注入自定義的reaml
- 配置自定義的reaml
2.3靜態資源不攔截
我們在spring配置過濾器鏈的時候,我們發現這麼一行程式碼:
<!--所有url都可以匿名訪問 -->
/** = anonanon其實就是shiro內建的一個過濾器,上邊的程式碼就代表著所有的匿名使用者都可以訪問
當然了,後邊我們還需要配置其他的資訊,為了讓頁面能夠正常顯示,我們的靜態資源一般是不需要被攔截的。
於是我們可以這樣配置:
<!-- 對靜態資源設定匿名訪問 -->
/images/** = anon
/js/** = anon
/styles/** = anon三、初識shiro過濾器
上面我們瞭解到了anno過濾器的,shiro還有其他的過濾器的..我們來看看
常用的過濾器有下面幾種:
anon:例子/admins/**=anon 沒有引數,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要認證(登入)才能使用,FormAuthenticationFilter是表單認證,沒有引數
perms:例子/admins/user/**=perms[user:add:*],引數可以寫多個,多個時必須加上引號,並且引數之間用逗號分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],當有多個引數時必須每個引數都通過才通過,想當於isPermitedAll()方法。
user:例如/admins/user/**=user沒有引數,表示必須存在使用者, 身份認證通過或通過記住我認證通過的可以訪問,當登入操作時不做檢查
3.1登陸與退出
使用FormAuthenticationFilter過慮器實現 ,原理如下:
- 當使用者沒有認證時,請求loginurl進行認證【上邊我們已經配置了】,使用者身份和使用者密碼提交資料到loginurl
- FormAuthenticationFilter攔截住取出request中的username和password(兩個引數名稱是可以配置的)
- FormAuthenticationFilter 呼叫realm傳入一個token(username和password)
- realm認證時根據username查詢使用者資訊(在Activeuser中儲存,包括 userid、usercode、username、menus)。
- 如果查詢不到,realm返回null,FormAuthenticationFilter向request域中填充一個引數(記錄了異常資訊)
- 查詢出使用者的資訊之後,FormAuthenticationFilter會自動將reaml返回的資訊和token中的使用者名稱和密碼對比。如果不對,那就返回異常。
3.1.1登陸頁面
由於FormAuthenticationFilter的使用者身份和密碼的input的預設值(username和password),修改頁面的賬號和密碼的input的名稱為username和password
<TR>
<TD>使用者名稱:</TD>
<TD colSpan="2"><input type="text" id="usercode"
name="username" style="WIDTH: 130px" /></TD>
</TR>
<TR>
<TD>密 碼:</TD>
<TD><input type="password" id="pwd" name="password" style="WIDTH: 130px" />
</TD>
</TR>3.1.2登陸程式碼實現
上面我們已經說了,當使用者沒有認證的時候,請求的loginurl進行認證,使用者身份的使用者密碼提交資料到loginrul中。
當我們提交到loginurl的時候,表單過濾器會自動解析username和password去呼叫realm來進行認證。最終在request域物件中儲存shiroLoginFailure認證資訊,如果返回的是異常的資訊,那麼我們在login中丟擲異常即可
//登陸提交地址,和applicationContext-shiro.xml中配置的loginurl一致
@RequestMapping("login")
public String login(HttpServletRequest request)throws Exception{
//如果登陸失敗從request中獲取認證異常資訊,shiroLoginFailure就是shiro異常類的全限定名
String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");
//根據shiro返回的異常類路徑判斷,丟擲指定異常資訊
if(exceptionClassName!=null){
if (UnknownAccountException.class.getName().equals(exceptionClassName)) {
//最終會拋給異常處理器
throw new CustomException("賬號不存在");
} else if (IncorrectCredentialsException.class.getName().equals(
exceptionClassName)) {
throw new CustomException("使用者名稱/密碼錯誤");
} else if("randomCodeError".equals(exceptionClassName)){
throw new CustomException("驗證碼錯誤 ");
}else {
throw new Exception();//最終在異常處理器生成未知錯誤
}
}
//此方法不處理登陸成功(認證成功),shiro認證成功會自動跳轉到上一個請求路徑
//登陸失敗還到login頁面
return "login";
}配置認證過濾器
<value>
<!-- 對靜態資源設定匿名訪問 -->
/images/** = anon
/js/** = anon
/styles/** = anon
<!-- /** = authc 所有url都必須認證通過才可以訪問-->
/** = authc
</value>
3.2退出
不用我們去實現退出,只要去訪問一個退出的url(該 url是可以不存在),由LogoutFilter攔截住,清除session。
在applicationContext-shiro.xml配置LogoutFilter:
<!-- 請求 logout.action地址,shiro去清除session-->
/logout.action = logout四、認證後資訊在頁面顯示
1、認證後使用者選單在首頁顯示
2、認證後使用者的資訊在頁頭顯示
realm從資料庫查詢使用者資訊,將使用者選單、usercode、username等設定在SimpleAuthenticationInfo中。
//realm的認證方法,從資料庫查詢使用者資訊
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
// token是使用者輸入的使用者名稱和密碼
// 第一步從token中取出使用者名稱
String userCode = (String) token.getPrincipal();
// 第二步:根據使用者輸入的userCode從資料庫查詢
SysUser sysUser = null;
try {
sysUser = sysService.findSysUserByUserCode(userCode);
} catch (Exception e1) {
// TODO Auto-generated catch block
e1.printStackTrace();
}
// 如果查詢不到返回null
if(sysUser==null){//
return null;
}
// 從資料庫查詢到密碼
String password = sysUser.getPassword();
//鹽
String salt = sysUser.getSalt();
// 如果查詢到返回認證資訊AuthenticationInfo
//activeUser就是使用者身份資訊
ActiveUser activeUser = new ActiveUser();
activeUser.setUserid(sysUser.getId());
activeUser.setUsercode(sysUser.getUsercode());
activeUser.setUsername(sysUser.getUsername());
//..
//根據使用者id取出選單
List<SysPermission> menus = null;
try {
//通過service取出選單
menus = sysService.findMenuListByUserId(sysUser.getId());
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
//將使用者選單 設定到activeUser
activeUser.setMenus(menus);
//將activeUser設定simpleAuthenticationInfo
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
activeUser, password,ByteSource.Util.bytes(salt), this.getName());
return simpleAuthenticationInfo;
}配置憑配器,因為我們用到了md5和雜湊
<!-- 憑證匹配器 -->
<bean id="credentialsMatcher"
class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<property name="hashAlgorithmName" value="md5" />
<property name="hashIterations" value="1" />
</bean>
<!-- realm -->
<bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm">
<!-- 將憑證匹配器設定到realm中,realm按照憑證匹配器的要求進行雜湊 -->
<property name="credentialsMatcher" ref="credentialsMatcher"/>
</bean>在跳轉到首頁的時候,取出使用者的認證資訊,轉發到JSP即可
//系統首頁
@RequestMapping("/first")
public String first(Model model)throws Exception{
//從shiro的session中取activeUser
Subject subject = SecurityUtils.getSubject();
//取身份資訊
ActiveUser activeUser = (ActiveUser) subject.getPrincipal();
//通過model傳到頁面
model.addAttribute("activeUser", activeUser);
return "/first";
}五、總結
-
Shiro使用者許可權有三種方式
- 程式設計式
- 註解式
- 標籤式
- Shiro的reaml預設都是去找配置檔案的資訊來進行授權的,我們一般都是要reaml去資料庫來查詢對應的資訊。因此,又需要自定義reaml
- 總體上,認證和授權的流程差不多。
-
Spring與Shiro整合,Shiro實際上的操作都是通過過濾器來乾的。Shiro為我們提供了很多的過濾器。
- 在web.xml中配置Shiro過濾器
- 在Shiro配置檔案中使用web.xml配置過的過濾器。
- 配置安全管理器類,配置自定義的reaml,將reaml注入到安全管理器類上。將安全管理器交由Shiro工廠來進行管理。
- 在過濾器鏈中設定靜態資源不攔截。
-
在Shiro使用過濾器來進行使用者認證,流程是這樣子的:
- 配置用於認證的請求路徑
- 當訪問程式設計師該請求路徑的時候,Shiro會使用FormAuthenticationFilter會呼叫reaml獲得使用者的資訊
- reaml可以拿到token,通過使用者名稱從資料庫獲取得到使用者的資訊,如果使用者不存在則返回null
- FormAuthenticationFilter會將reaml返回的資料進行對比,如果不同則丟擲異常
- 我們的請求路徑僅僅是用來檢測有沒有異常丟擲,並不用來做校驗的。
- shiro還提供了退出使用者的攔截器,我們配置一個url就行了。
- 當需要獲取使用者的資料用於回顯的時候,我們可以在SecurityUtils.getSubject()來得到主體,再通過主體拿到身份資訊。
如果文章有錯的地方歡迎指正,大家互相交流。習慣在微信看技術文章,想要獲取更多的Java資源的同學,可以關注微信公眾號:Java3y