1 shiro介紹
1.1 什麼是shiro
Shiro是apache旗下一個開源框架,它將軟體系統的安全認證相關的功能抽取出來,實現使用者身份認證,許可權授權、加密、會話管理等功能,組成了一個通用的安全認證框架。
1.2 為什麼要學shiro
既然shiro將安全認證相關的功能抽取出來組成一個框架,使用shiro就可以非常快速的完成認證、授權等功能的開發,降低系統成本。
shiro使用廣泛,shiro可以執行在web應用,非web應用,叢集分散式應用中越來越多的使用者開始使用shiro。
java領域中spring security(原名Acegi)也是一個開源的許可權管理框架,但是spring security依賴spring執行,而shiro就相對獨立,最主要是因為shiro使用簡單、靈活,所以現在越來越多的使用者選擇shiro。
1.3 Shiro架構
1.3.1 Subject
Subject即主體,外部應用與subject進行互動,subject記錄了當前操作使用者,將使用者的概念理解為當前操作的主體,可能是一個通過瀏覽器請求的使用者,也可能是一個執行的程式。 Subject在shiro中是一個介面,介面中定義了很多認證授相關的方法,外部程式通過subject進行認證授,而subject是通過SecurityManager安全管理器進行認證授權
1.3.2 SecurityManager
SecurityManager即安全管理器,對全部的subject進行安全管理,它是shiro的核心,負責對所有的subject進行安全管理。通過SecurityManager可以完成subject的認證、授權等,實質上SecurityManager是通過Authenticator進行認證,通過Authorizer進行授權,通過SessionManager進行會話管理等。
SecurityManager是一個介面,繼承了Authenticator, Authorizer, SessionManager這三個介面。
1.3.3 Authenticator
Authenticator即認證器,對使用者身份進行認證,Authenticator是一個介面,shiro提供ModularRealmAuthenticator實現類,通過ModularRealmAuthenticator基本上可以滿足大多數需求,也可以自定義認證器。
1.3.4 Authorizer
Authorizer即授權器,使用者通過認證器認證通過,在訪問功能時需要通過授權器判斷使用者是否有此功能的操作許可權。
1.3.5 realm
Realm即領域,相當於datasource資料來源,securityManager進行安全認證需要通過Realm獲取使用者許可權資料,比如:如果使用者身份資料在資料庫那麼realm就需要從資料庫獲取使用者身份資訊。
注意:不要把realm理解成只是從資料來源取資料,在realm中還有認證授權校驗的相關的程式碼。
1.3.6 sessionManager
sessionManager即會話管理,shiro框架定義了一套會話管理,它不依賴web容器的session,所以shiro可以使用在非web應用上,也可以將分散式應用的會話集中在一點管理,此特性可使它實現單點登入。
1.3.7 SessionDAO
SessionDAO即會話dao,是對session會話操作的一套介面,比如要將session儲存到資料庫,可以通過jdbc將會話儲存到資料庫。
1.3.8 CacheManager
CacheManager即快取管理,將使用者許可權資料儲存在快取,這樣可以提高效能。
1.3.9 Cryptography
Cryptography即密碼管理,shiro提供了一套加密/解密的元件,方便開發。比如提供常用的雜湊、加/解密等功能。
1.4 shiro的jar包
與其它java開源框架類似,將shiro的jar包加入專案就可以使用shiro提供的功能了。shiro-core是核心包必須選用,還提供了與web整合的shiro-web、與spring整合的shiro-spring、與任務排程quartz整合的shiro-quartz等,下邊是shiro各jar包的maven座標。
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>1.2.3</version>
</dependency>
也可以通過引入shiro-all包括shiro所有的包:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.2.3</version>
</dependency>複製程式碼
參考lib目錄 :
2 shiro認證
2.1 認證流程
2.2 入門程式(使用者登陸和退出)
2.2.1 建立java工程
jdk版本:1.7.0_72
eclipse:elipse-indigo
2.2.2 加入shiro-core的Jar包及依賴包
2.2.3 log4j.properties日誌配置檔案
log4j.rootLogger=debug, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
2.2.4 shiro.ini
通過Shiro.ini配置檔案初始化SecurityManager環境。
配置 eclipse支援ini檔案編輯:
在eclipse配置後,在classpath建立shiro.ini配置檔案,為了方便測試將使用者名稱和密碼配置的shiro.ini配置檔案中:
[users]
zhang=123
lisi=123
2.2.5 認證程式碼
// 使用者登陸、使用者退出
@Test
public void testLoginLogout() {
// 構建SecurityManager工廠,IniSecurityManagerFactory可以從ini檔案中初始化SecurityManager環境
Factory<SecurityManager> factory = new IniSecurityManagerFactory(
"classpath:shiro.ini");
// 通過工廠建立SecurityManager
SecurityManager securityManager = factory.getInstance();
// 將securityManager設定到執行環境中
SecurityUtils.setSecurityManager(securityManager);
// 建立一個Subject例項,該例項認證要使用上邊建立的securityManager進行
Subject subject = SecurityUtils.getSubject();
// 建立token令牌,記錄使用者認證的身份和憑證即賬號和密碼
UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
try {
// 使用者登陸
subject.login(token);
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
// 使用者認證狀態
Boolean isAuthenticated = subject.isAuthenticated();
System.out.println("使用者認證狀態:" + isAuthenticated);
// 使用者退出
subject.logout();
isAuthenticated = subject.isAuthenticated();
System.out.println("使用者認證狀態:" + isAuthenticated);
}
複製程式碼
2.2.6 認證執行流程
1、 建立token令牌,token中有使用者提交的認證資訊即賬號和密碼
2、 執行subject.login(token),最終由securityManager通過Authenticator進行認證
3、 Authenticator的實現ModularRealmAuthenticator呼叫realm從ini配置檔案取使用者真實的賬號和密碼,這裡使用的是IniRealm(shiro自帶)
4、 IniRealm先根據token中的賬號去ini中找該賬號,如果找不到則給ModularRealmAuthenticator返回null,如果找到則匹配密碼,匹配密碼成功則認證通過。
2.2.7 常見的異常
UnknownAccountException
賬號不存在異常如下:
org.apache.shiro.authc.UnknownAccountException: No account found for user。。。。
IncorrectCredentialsException
當輸入密碼錯誤會拋此異常,如下:
org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - zhangsan, rememberMe=false] did not match the expected credentials.
更多如下:
DisabledAccountException(帳號被禁用)
LockedAccountException(帳號被鎖定)
ExcessiveAttemptsException(登入失敗次數過多)
ExpiredCredentialsException(憑證過期)等
2.3 自定義Realm
上邊的程式使用的是Shiro自帶的IniRealm,IniRealm從ini配置檔案中讀取使用者的資訊,大部分情況下需要從系統的資料庫中讀取使用者資訊,所以需要自定義realm。
2.3.1 shiro提供的realm
最基礎的是Realm介面,CachingRealm負責快取處理,AuthenticationRealm負責認證,AuthorizingRealm負責授權,通常自定義的realm繼承AuthorizingRealm。
2.3.2 自定義Realm
public class CustomRealm1 extends AuthorizingRealm {
@Override
public String getName() {
return "customRealm1";
}
//支援UsernamePasswordToken
@Override
public boolean supports(AuthenticationToken token) {
return token instanceof UsernamePasswordToken;
}
//認證
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
//從token中 獲取使用者身份資訊
String username = (String) token.getPrincipal();
//拿username從資料庫中查詢
//....
//如果查詢不到則返回null
if(!username.equals("zhang")){//這裡模擬查詢不到
return null;
}
//獲取從資料庫查詢出來的使用者密碼
String password = "123";//這裡使用靜態資料模擬。。
//返回認證資訊由父類AuthenticatingRealm進行認證
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
username, password, getName());
return simpleAuthenticationInfo;
}
//授權
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
// TODO Auto-generated method stub
return null;
}
}
複製程式碼2.3.3 shiro-realm.ini
[main]
#自定義 realm
customRealm=com.sihai.shiro.authentication.realm.CustomRealm1
#將realm設定到securityManager
securityManager.realms=$customRealm
複製程式碼
2.3.4 測試程式碼
測試程式碼同入門程式,將ini的地址修改為shiro-realm.ini。
分別模擬賬號不存在、密碼錯誤、賬號和密碼正確進行測試。
2.4 雜湊演算法
雜湊演算法一般用於生成一段文字的摘要資訊,雜湊演算法不可逆,將內容可以生成摘要,無法將摘要轉成原始內容。雜湊演算法常用於對密碼進行雜湊,常用的雜湊演算法有MD5、SHA。
一般雜湊演算法需要提供一個salt(鹽)與原始內容生成摘要資訊,這樣做的目的是為了安全性,比如:111111的md5值是:96e79218965eb72c92a549dd5a330112,拿著“96e79218965eb72c92a549dd5a330112”去md5破解網站很容易進行破解,如果要是對111111和salt(鹽,一個隨機數)進行雜湊,這樣雖然密碼都是111111加不同的鹽會生成不同的雜湊值。
2.4.1 例子
//md5加密,不加鹽
String password_md5 = new Md5Hash("111111").toString();
System.out.println("md5加密,不加鹽="+password_md5);
//md5加密,加鹽,一次雜湊
String password_md5_sale_1 = new Md5Hash("111111", "eteokues", 1).toString();
System.out.println("password_md5_sale_1="+password_md5_sale_1);
String password_md5_sale_2 = new Md5Hash("111111", "uiwueylm", 1).toString();
System.out.println("password_md5_sale_2="+password_md5_sale_2);
//兩次雜湊相當於md5(md5())
//使用SimpleHash
String simpleHash = new SimpleHash("MD5", "111111", "eteokues",1).toString();
System.out.println(simpleHash);
複製程式碼
2.4.2 在realm中使用
實際應用是將鹽和雜湊後的值存在資料庫中,自動realm從資料庫取出鹽和加密後的值由shiro完成密碼校驗。
2.4.2.1 自定義realm
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
//使用者賬號
String username = (String) token.getPrincipal();
//根據使用者賬號從資料庫取出鹽和加密後的值
//..這裡使用靜態資料
//如果根據賬號沒有找到使用者資訊則返回null,shiro丟擲異常“賬號不存在”
//按照固定規則加密碼結果 ,此密碼 要在資料庫儲存,原始密碼 是111111,鹽是eteokues
String password = "cb571f7bd7a6f73ab004a70322b963d5";
//鹽,隨機數,此隨機數也在資料庫儲存
String salt = "eteokues";
//返回認證資訊
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
username, password, ByteSource.Util.bytes(salt),getName());
return simpleAuthenticationInfo;
}複製程式碼
2.4.2.2 realm配置
配置shiro-cryptography.ini
[main]
#定義憑證匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#雜湊演算法
credentialsMatcher.hashAlgorithmName=md5
#雜湊次數
credentialsMatcher.hashIterations=1
#將憑證匹配器設定到realm
customRealm=com.sihai.shiro.authentication.realm.CustomRealm2
customRealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$customRealm複製程式碼
2.4.2.3 測試程式碼
測試程式碼同上個章節,注意修改ini路徑。
文章有不當之處,歡迎指正,你也可以關注我的微信公眾號:
好好學java,獲取優質資源。