1. 简单介绍一下Shiro框架
Apache Shiro是Java的一个安全框架。使用shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。
三个核心组件:Subject, SecurityManager 和 Realms.
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager:它是Shiro 框架的核心,典型的Facade 模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登
录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
2. Shiro主要的四个组件
1)SecurityManager
典型的 Facade,Shiro 通过它对外提供安全管理的各种服务。
2)Authenticator
对“Who are you ?”进行核实。通常涉及用户名和密码。 这个组件负责收集 principals 和 credentials,并将它们提交给应用系统。如果提交的 credentials 跟应用系统中提供的 credentials 吻合,就能够继续访问,否则需要重新提交 principals 和 credentials, 或者直接终止访问。
3)Authorizer
身份份验证通过后,由这个组件对登录人员进行访问控制的筛查,比如“who can do what”, 或者“who can do which actions”。 Shiro 采用“基于 Realm”的方法,即用户(又称 Subject)、 用户组、角 色和 permission 的聚合体。
4)Session Manager
这个组件保证了异构客户端的访问,配置简单。它是基于 POJO/J2SE 的,不跟任何的客户 端或者协议绑定。
3. Shiro运行原理
1、Application Code:应用程序代码,就是我们自己的编码,如果在程序中需要进 行权限控制,需要调用 Subject 的 API。
2、Subject:主体,代表的了当前用户。所有的 Subject 都绑定到 SecurityManager, 与 Subject 的所有交互都会委托给 SecurityManager,可以将 Subject 当成一个 门面,而真正执行者是 SecurityManager 。
3、SecurityManage:安全管理器,所有与安全有关的操作都会与 SecurityManager 交互,并且它管理所有的 Subject 。
4、Realm:域 shiro 是从 Realm 来获取安全数据(用户,角色,权限)。就是说 SecurityManager 要验证用户身份, 那么它需要从 Realm 获取相应的用户进行比较以确定用户 身份是否合法;也需要从Realm 得到用户相应的角色/权限进行验证用户是否 能进行操作; 可以把 Realm 看成 DataSource,即安全数据源 。
4. Shiro的四种权限控制方式
1)在自定义的realm中进行权限控制
在applicationContext.xml文件中添加 /areaAction_pageQuery.action = perms[“area”]
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><!-- 注入shiro框架核心对象,安全管理器 --><property name="securityManager" ref="securityManager"/><!--private String loginUrl;登录页面private String successUrl;登录成功后跳转页面private String unauthorizedUrl;权限不足时的提示页面--><property name="loginUrl" value="/login.html"/><property name="successUrl" value="/index.html"/><property name="unauthorizedUrl" value="/unauthorized.html"/><!-- 指定URL拦截规则 --><property name="filterChainDefinitions"><!--authc:代表shiro框架提供的一个过滤器,这个过滤器用于判断当前用户是否已经完成认证,如果当前用户已经认证,就放行,如果当前用户没有认证,跳转到登录页面anon:代表shiro框架提供的一个过滤器,允许匿名访问--><value>/css/* = anon/images/* = anon/js/** = anon/validatecode.jsp* = anon/userAction_login.action = anon/areaAction_pageQuery.action = perms["area"]/** = authc</value></property>
</bean>
此时访问areaAction_pageQuery.action是页面不会查询到数据,须要为用户授权
/*** 授权方法*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();//为用户授权,只需将用户的权限添加info中即可info.addStringPermission("area");return info;}
在自定义realm中为用户授权
2)使用shiro注解为用户授权
1.在spring配置文件applicationContext.xml中配置开启shiro注解支持
<!-- 基于spring自动代理方式为service创建代理对象,实现权限控制 --><bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"><!-- 强制使用cglibdaili --><property name="proxyTargetClass" value="true"></property></bean><!-- 配置切面 --><bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"><property name="securityManager" ref="securityManager"></property></bean>
2.配置事物注解,强制使用cglib代理
<tx:annotation-driven proxy-target-class="true" transaction-manager="transactionManager" />
3.在service上配置注解
@RequiresPermissions("courier:delete")public void deleteBatch(String ids) {//判断是否为空if(StringUtils.isNoneBlank(ids)){String[] idsArrays = ids.split(",");for (String id : idsArrays) {Integer courierid = Integer.parseInt(id);dao.deleteCourier(courierid);}}}
3)使用shiro标签进行权限控制
1.在jsp页面中引入shiro标签库
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
2.在页面中使用标签
<%@ page language="java" contentType="text/html; charset=utf-8"pageEncoding="utf-8"%>
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>Insert title here</title>
</head>
<body><!-- 判断当前用户是否已经认证,已认证就可以看到标签中的内容 --><shiro:authenticated>看到内容就说明你已经认证成功了!</shiro:authenticated><br><!-- 判断当前用户是否拥有指定的权限 --><shiro:hasPermission name="area"><input value="这是判断权限的按钮"></shiro:hasPermission><br><!-- 判断当前用户是否拥有指定的角色 --><shiro:hasRole name="admin"><input value="这是判断角色的按钮"></shiro:hasRole>
</body>
</html>
4)编程方式实现用户权限控制
Subject subject = SecurityUtils.getSubject();if(subject.hasRole("admin")){//有权限}else{//无权限}
5. 授权实现的流程
(1)什么是粗颗粒和细颗粒权限?
对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限。对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限,比如:用户只允许修改本部门的员工信息,用户只允许导出自己创建的订单明细。
总结:
粗颗粒权限:针对url链接的控制。
细颗粒权限:针对数据级别的控制。
比如:查询用户权限。
卫生局可以查询所有用户。
卫生室可以查询本单位的用户。
通常在service中编程实现。
(2)粗颗粒和细颗粒如何授权?
对于粗颗粒度的授权可以很容易做系统架构级别的功能,即系统功能操作使用统一的粗颗粒度的权限管理。
对于细颗粒度的授权不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自己创建的商品信息可以在service接口添加校验实现,service接口需要传入当前操作人的标识,与商品信息创建人标识对比,不一致则不允许修改商品信息。
粗颗粒权限:可以使用过虑器统一拦截url。
细颗粒权限:在service中控制,在程序级别来控制,个性化编程。
欢迎关注作者的公众号《Java编程生活》,每日记载Java程序猿工作中遇到的问题
