Shiro快速入门

1.什么是Shiro

Shiro是Java的一个安全框架, 完成权限控制的任务.

权限控制的基本功能: 认证(让系统知道你是谁); 授权(让系统知道你能做什么)
权限控制常用的技术: 过滤器/拦截器, 或者使用代理模式
权限控制的数据模型: 权限表-(多对多)-角色表-(多对多)-用户表

shiri的组成

shiro的调用流程

Application code：应用程序代码
Subject：当前用户
SecurityManager：安全管理器，shiro框架的核心对象，管理各个组件
Realm：获取权限信息, 决定subject的访问权限, 可以有多个

2.Shiro的使用

2.1登录

Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try{
    // 注意:登录不成功以抛异常的方式通知
    subject.login(token);
}catch (UnknownAccountException e) {
    // 没找到用户名
}catch (IncorrectCredentialsException e) {
    // 用户名密码不匹配
}catch (AuthenticationException e) {
    // 其他登录错误
}
if (subject.isAuthenticated()) {
    // 登录成功后, 取回认证时通过签名存储的对象
    User user = (User) subject.getPrincipal();
}

2.2 在realm里管理用户~权限

public class MyRealm extends AuthorizingRealm {
    
　　// 登录及认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 获得登录用的token
        UsernamePasswordToken token = (UsernamePasswordToken) token;
        // 获得封装的username
        String username = token.getUsername();
        User user = userDao.findByUsername(username);
        if (null == user) {
            return null;
        } else {
            // 获得真正的password
            String password = user.getPassword();
            // 创建简单认证对象, 返回给安全管理器
            // 参数一：可放入任何对象的签名, 执行subject.login()方法后可从subject.getPrincipal()取回
            // 参数二：封装真正的密码, 交由安全管理器比对
            // 参数三：当前realm的名称
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password, this.getClass().getSimpleName());
            return info;
        }
    }

    // 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 获得签名, 可做进一步查询
        User user = (User) principals.getPrimaryPrincipal();

        // 创建简单授权对象
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //授予perms["keyword"]
        info.addStringPermission("staff");
        //授予role["keyword"]
        info.addRole("staff");

        return info;
    }
}

2.3 配置及管理访问目标~权限

2.3.1 过滤器方式:

web.xml

  <!-- shiro过滤器, 从spring工厂拿, beanname为"shiroFilter" -->
  <filter>
      <filter-name>shiroFilter</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
      <filter-name>shiroFilter</filter-name>
      <url-pattern>/*</url-pattern>
  </filter-mapping>

applicationContext.xml

　　<!-- shiro: 自定义的realm -->
    <bean id = "userDefineRealm" class="com.zx.bos.shiro.UserDefineRealm"></bean>

    <!-- 二级缓存-->
    <bean id="ehCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>
    </bean>

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- realm需注册给安全管理器 -->
        <property name="realm" ref = "userDefineRealm"></property>
        <!-- 使用ehcache二级缓存, 没必要频繁查询权限 -->
        <property name="cacheManager" ref="ehCacheManager"></property>
    </bean>

    <!-- shiro使用方式1, 对URL进行控制  -->
    <bean id = "shiroFilter" class = "org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 注入安全管理器 -->
        <property name="securityManager" ref="securityManager"></property>
        <!-- 未登录时跳转到登录页面 -->
        <property name="loginUrl" value="/login.jsp"/>
        <!-- 登录成功页面 -->
        <property name="successUrl" value="/index.jsp"/>   <!-- 登录后跳转到登陆前被拦截的页面, 不跳转至此 -->
        <!-- 权限不足提示页面 -->
        <property name="unauthorizedUrl" value="/unauthorizedUrl.jsp"/>
        <!-- URL拦截规则 -->  <!-- 有先后顺序 从上往下匹配 -->
        <property name="filterChainDefinitions">
            <value>
                /css/** = anon
                /images/** = anon
                /js/** = anon
                /login.jsp* = anon   <!-- 后面带参数 -->
                /validatecode.jsp* = anon
　　　　　　　　　 /page_base_staff.action = roles["staff"]
                /userAction_login.action = anon
                /* = authc
            </value>
        </property>
    </bean>

anon:可以匿名使用。
authc:需要认证(登录)才能使用
roles:可以带参数, 参数可以多个,例如roles["admin,guest"], 表示每个参数都通过才算通过
perms:可以带参数, 参数可以多个,perms["user:add:*,user:modify:*"]
port:port[8081]表示当请求的url的端口不是8081时跳转到schema://serverName:8081?queryParams
user:必须存在用户，登录操作时不做检查

2.3.2 注解方式:

    <!-- shiro使用方式2, 使用注解对方法进行控制. 不同于url方式权限不足时跳转界面,它直接抛出异常 -->
    <!-- 代理 -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
        <property name="proxyTargetClass" value="true"></property>   <!-- 使用cglib创建代理对象,  默认false用jdk动态代理 -->
    </bean>
    <!-- 切面类 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

注意捕获权限不足时抛出的异常. 如果在struts里需要配置

struts.xml

<global-results>
    <result name="unauthorizedUrl">/unauthorizedUrl.jsp</result>
</global-results>
<!-- 接收异常 -->
<global-exception-mappings>
    <exception-mapping result="unauthorizedUrl" exception="org.apache.shiro.authz.AuthorizationException"></exception-mapping>
</global-exception-mappings>

例如：

@RequiresRoles("rolename");

void someMethod();

@RequiresPermissions({"file:read", "write:aFile.txt"});
void someMethod();

最后说一遍, 需要处理可能的AuthorizationException异常

 

注解方式是在方法级别的控制，无法做类级别的控制访问。
过滤器方式是根据访问的URL进行控制。允许使用*通配URL，所以可以进行粗粒度，也可以进行细粒度控制。

 

2.4 在JSP页面使用shiro标签

使用shiro标签, 根据权限过滤部分内容

 

<shiro:authenticated>      登录之后
<shiro:notAuthenticated> 没有登录
<shiro:hasRole name="abc">     拥有角色abc
<shiro:lacksRole name="abc">   没有角色abc
<shiro:hasPermission name="abc">    拥有权限资源abc
<shiro:lacksPermission name="abc">  没有abc权限资源
<shiro:principal>   取回签名对象