Shiro笔记 – 记忆角落

Shiro笔记

/ 0评 / 0

一些shiro的笔记吧..以前学习框架也好..基础也好,都没有又要的去记录好笔记..

自从面试过了才知道笔记的重要性..嗯对的,应该还有的救吧..

先把shiro的笔记记录好吧..明天或者后天自己去写一个ssm+shiro的认证出来的..不然我又怕忘记了


shiro简介

功能简介

如下图的主要功能接口...

 

Shiro 架构

从外部来看Shiro ,即从应用程序角度的来观察如何使用 Shiro 完成工作,如图:

从上图来看,就是包含了三个含义,subject(可以说是充当一个门面)->securityManager(这才是shiro的执行者/管理器)->realm(获取安全数据(如用户、角色、权限))

所以从外部看:

从内部来看Shiro ,即从开发者角度的来观察如何使用 Shiro的功能去实现产品,如图:

集成 Spring

在web.xml加入如下代码:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns="http://java.sun.com/xml/ns/javaee"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
	id="WebApp_ID" version="2.5">	
	<!-- shiro配置 -->
	<filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

其中DelegatingFilterProxy 作用是自动到 Spring 容器查找名字为 shiroFilter(filter-name)的 bean 并把所有 Filter 的操作委托给它.

在applicationContext.xml加入

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

	<!--  
    1. 配置 SecurityManager!
    --> 
	<!-- 安全策划管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="cacheManager" ref="cacheManager"/>
        <property name="authenticator" ref="authenticator"></property>
        <!-- 我们需要自己去写一个realm -->
        <!--  <property name="realm" ref="jdbcRealm"/>-->
        <property name="realms">
        	<list>
        		<ref bean="jdbcRealm"/>
        		<ref bean="secondJdbcRealm"/>
        	</list>
        </property>
    </bean>
    <!--  
    2. 配置 CacheManager. 
    2.1 需要加入 ehcache 的 jar 包及配置文件. 
    --> 
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
    </bean>
	<!-- 
    	3. 配置 Realm 
    	3.1 直接配置实现了 org.apache.shiro.realm.Realm 接口的 bean
    -->   
	<bean id="jdbcRealm" class="com.glj.bean.shiroRealm">
		<property name="credentialsMatcher">
			<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
				<property name="hashAlgorithmName" value="MD5"></property>
				<property name="hashIterations" value="1024"></property>
			</bean>
		</property>
	</bean>
	<bean id="secondJdbcRealm" class="com.glj.bean.secondShiroRealm">
		<property name="credentialsMatcher">
			<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
				<property name="hashAlgorithmName" value="SHA1"></property>
				<property name="hashIterations" value="1024"></property>
			</bean>
		</property>
	</bean>
	
	<bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
		<property name="authenticationStrategy">
			<!-- :只要有一个Realm验证成功即可,和 FirstSuccessfulStrategy 不同,将返回所有Realm身份验证成功的认证信 息;--> 
			<bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean> 
			<!-- 所有Realm验证成功才算成功,且返回所有 Realm身份验证成功的认证信息,如果有一个失败就失败了。  
			<bean class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"></bean> -->
		</property>
	</bean>
	
	<!-- 多Realm配置的第二种方式
	<bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
		<property name="realms">
			<list>
				<ref bean="jdbcRealm"/>
        		<ref bean="secondJdbcRealm"/>
			</list>
		</property>
	</bean>-->
	

	<!-- 必须要有这样的实例,用来管理在spring容器当中的shiro常见的对象 
		配置 LifecycleBeanPostProcessor. 
		可以自定的来调用配置在 Spring IOC 容器中 shiro bean 的生命周期方法. 
	-->            
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- 启用shiro注解
    	但必须在配置了 LifecycleBeanPostProcessor 之后才可以使用.
     -->     
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!-- 网络方面 -->
    <bean id="secureRemoteInvocationExecutor" class="org.apache.shiro.spring.remoting.SecureRemoteInvocationExecutor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
   	<!-- 
   	配置shiroFiler
   	id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
                      若不一致, 则会抛出: NoSuchBeanDefinitionException. 
                      因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
   	 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/success.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        
        <!-- filter具体配置 -->
        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                # allow WebStart to pull the jars for the swing app:
                /login = anon
                /loginout = logout
                /admin.jsp = roles[admin]
                /user.jsp = roles[user]
                # everything else requires authentication:
                /** = authc
            </value>
        </property>
    </bean>
	<bean id="shiroService" class="com.glj.service.shiroService"></bean>
</beans>

shiro中默认的过滤器

URL 匹配模式

URL 匹配顺序

如:

/login/** = filter1

/login/aa?= filter2

/**=filter3

如果我们现在请求的url是/login/aa,按照声明顺序进行匹配,那么是filter1进来拦截

所以如果想让/login/aa被filter2拦截,只需要调换一下顺序即可...

认证

身份验证

身份验证基本流程

如下代码:

//判断当前用户是否有认证
        if (!currentUser.isAuthenticated()) {
        	//创建UsernamePasswordToken对象来封装对象的身份,即用户名和密码
            UsernamePasswordToken token = new UsernamePasswordToken("username", "password");
            //是否记住我
            token.setRememberMe(true);
            try {
                currentUser.login(token);
                //如果登录失败即返回下列的错误...
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }

Realm

Authenticator

AuthenticationStrategy

<bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
		<property name="authenticationStrategy">
			<!-- :只要有一个Realm验证成功即可,和 FirstSuccessfulStrategy 不同,将返回所有Realm身份验证成功的认证信 息;--> 
			<bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean> 
			<!-- 所有Realm验证成功才算成功,且返回所有 Realm身份验证成功的认证信息,如果有一个失败就失败了。  
			<bean class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"></bean> -->
		</property>
	</bean>

授权

授权方式

Shiro 支持三种方式的授权

1.编程式

if(subject.hasRole("admin")){
//有admin的权限干什么
}else{
//没有admin的权限干什么	
}

2.注解式

@RequiresRoles(value={"admin"})
	public void TestshiroMethod(){
		System.out.println(new Date()+"只有admin才可以访问");
	}

3.JSP/GSP 标签

<shiro:hasRole name="admin">
<a href="admin.jsp">admin page</a>
</shiro:hasRole>

默认拦截器

Shiro 内置了很多默认的拦截器,比如身份验证、授权等相关的。

默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举 拦截器:

身份验证相关的

授权相关的

Shiro 的 Permissions

规则:

资源标识符,操作:对象实例 ID 即对哪个资源的哪个 实例可以进行什么操作. 其默认支持通配符权限字符串,: 表 示资源/操作/实例的分割;, 表示操作的分割,* 表示任意资 源/操作/实例。

例如:user:query、user:edit

1.-冒号是一个特殊字符,它用来分隔权限字符串的下一部件:第一部分 是权限被操作的领域(打印机),第二部分是被执行的操作。

2.-多个值:每个部件能够保护多个值。因此,除了授予用户 user:query 和 user:edit 权限外,也可以简单地授予他们一个:user:query, edit...

3.-还可以用 * 号代替所有的值,如:user:* , 也可以写:*:query,表示 某个用户在所有的领域都有 query 的权限

1.– 这种情况通常会使用三个部件:域:操作:被付诸实施的实例。如:user:edit:manager

2.– 也可以使用通配符来定义,如:user:edit:*、user:*:*、 user:*:manager

3.– 部分省略通配符:缺少的部件意味着用户可以访问所 有与之匹配的值,比如:user:edit 等价于 user:edit :*、 user 等价于 user:*:*

4.– 注意:通配符只能从字符串的结尾处省略部件,也就 是说 user:edit 并不等价于 user:*:edit而等价于 user:edit:*

授权流程

ModularRealmAuthorizer 进行多 Realm 匹配流程

Shiro 标签

Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制,需要实现:

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

guest 标签:用户没有身份验证时显示相应信息,即游客 访问信息:

<shiro:guest>
	WelCome<a href="login.jsp">登录</a>
</shiro:guest>

user 标签:用户已经经过认证/记住我登录后显示相应的信息。

<shiro:user>
<h1>WelCome:<shiro:principal /></h1>
<a href="loginout">登出</a>
</shiro:user>

authenticated 标签:用户已经身份验证通过,即 Subject.login登录成功,不是记住我登录的

<shiro:authenticated>
	用户[<shiro:principal />]已经身份验证通过
</shiro:authenticated>

notAuthenticated 标签:用户未进行身份验证,即没有调 用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证。

<shiro:notAuthenticated>
	没有调 用Subject.login进行登录,包括记住我自动登录的也属于 未进行身份验证
</shiro:notAuthenticated>

pincipal 标签:显示用户身份信息,默认调用 Subject.getPrincipal() 获取,即 Primary Principal

<shiro:principal />

hasRole 标签:如果当前 Subject 有角色将显示 body 体内 容

<shiro:hasRole name="admin">
<a href="admin.jsp">admin page</a>
<br/>
<br/>
</shiro:hasRole>

hasAnyRoles 标签:如果当前Subject有任意一个 角色(或的关系)将显示body体内容。

<shiro:hasAnyRoles name="admin,user">
	用户[<shiro:principal />]拥有admin/user权限
</shiro:hasAnyRoles>

lacksRole:如果当前 Subject 没有角色将显示 body 体内容

<shiro:lacksRole name="admin">
	WelCome:<shiro:principal />,你不是admin
</shiro:lacksRole>

hasPermission:如果当前 Subject 有权限 将显示 body 体内容

<shiro:hasPermission name="admin:update">
	WelCome:<shiro:principal />拥有admin:update
</shiro:hasPermission>

lacksPermission:如果当前Subject没有权 限将显示body体内容

<shiro:lacksPermission name="admin:update">
	WelCome:<shiro:principal />不拥有admin:update
</shiro:lacksPermission>

shiro权限注解

会话管理

Shiro 提供了完整的企业级会话管理功能,不依赖于底层容 器(如web容器tomcat),不管 JavaSE 还是 JavaEE 环境 都可以使用,提供了会话管理、会话事件监听、会话存储/ 持久化、容器无关的集群、失效/过期支持、对Web 的透明 支持、SSO 单点登录的支持等特性。

会话相关的 API

  /**
     * 用户登录
     * @param user
     * @param request
     * @return
     */
    @RequestMapping("/login")
    public String login(User user, HttpServletRequest request) {

        // 获取subject对象
        Subject subject = SecurityUtils.getSubject();
        String username = user.getUserName();
        String password = user.getPassword();
        System.out.println(username+"--"+password);
        // 实例化用户名密码令牌
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            // 使用subject对象进行登陆
            subject.login(token);
            // 获取session
            Session session = subject.getSession();
            // 输出session
            System.out.println("sessionId:" + session.getId() + ";sessionHost:" + session.getHost() +";sessionTimeout:%s" + session.getTimeout());
            session.setAttribute("info", "session的数据");
            return "redirect:success";
        } catch (Exception e) {
            // 验证失败
            e.printStackTrace();
            request.setAttribute("user", user);
            request.setAttribute("errorMsg", "用户名或密码错误");
            return "login";
        }
    }

会话监听器

会话监听器用于监听会话创建、过期及停止事件

会话验证

缓存

CacheManagerAware 接口

Shiro 内部相应的组件(DefaultSecurityManager)会自 动检测相应的对象(如Realm)是否实现了 CacheManagerAware 并自动注入相应的 CacheManager

Realm 缓存

Session 缓存

认证和记住我

end....

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注