Apache Shiro權限管理框架

時間 2019-11-06 標籤 apache shiro 權限管理框架

Apache Shiro 和Web項目集成html

web.xml配置

<!-- Apache Shiro Filter-->
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

Spring.xml配置

 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 
   <property name="securityManager" ref="securityManager"/> 
   <!-- cas單點登陸地址 http://casserve/?service=http://caseclien-->
   <property name="loginUrl" value="/login"/>
   <property name="successUrl" value="/index" />   <!-- 登陸成功後跳轉地址 -->
   <property name="unauthorizedUrl" value="/403"/> <!-- 未認證回調地址 -->
   <property name="filters"> 
      <util:map> 
         <entry key="authc" value-ref="formAuthenticationFilter"/> 
      </util:map> 
   </property> 
   <property name="filterChainDefinitions"> 
      <value> 
         /static/** = anon
         /userfiles/** = anon
         ${adminPath}/login = authc
         ${adminPath}/logout = logout
         ${adminPath}/** = roles[admin]
         /act/rest/service/editor/** = perms[read]
         /act/rest/service/model/** = perms[write]
         /act/rest/service/** = user
         /ReportServer/** = user
      </value> 
   </property> 
 </bean> 

 <bean id="securityManager" 
   class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
   <property name="realm" ref="myShiroRealm"/> 
 </bean> 

  <bean id="myShiroRealm" class="xxx.packagename.MyShiroRealm"> 
    <!-- businessManager 用來實現用戶名密碼的查詢 
    <property name="businessManager" ref="businessManager"/> 
    --> 
   <property name="cacheManager" ref="shiroCacheManager"/> 
  </bean> 

   <bean id="shiroCacheManager" 
          class="org.apache.shiro.cache.ehcache.EhCacheManager"> 
        <property name="cacheManager" ref="cacheManager"/> 
   </bean> 

   <!-- 表單登陸 -->
   <bean id="formAuthenticationFilter"  
      class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"/>


   <!-- 用戶受權信息Cache -->  
   <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />  
  
   <!-- 保證明現了Shiro內部lifecycle函數的bean執行 -->  
   <bean id="lifecycleBeanPostProcessor" 
      class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />  
  
    <!-- AOP式方法級權限檢查 -->  
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"  
        depends-on="lifecycleBeanPostProcessor">  
       <property name="proxyTargetClass" value="true" />  
    </bean>  
  
   <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> 
        <property name="securityManager" ref="securityManager" />  
    </bean>

備註：java

loginUrl ，loginUrl ，unauthorizedUrl三個屬相的配置，在使用http://ip:port/工程名/index用須要配置爲 /工程名/indexweb

若是沒有工程名，則直接配置爲 /indexspring

代碼說明：數據庫

shiroFilter 中 loginUrl 爲登陸頁面地址，successUrl爲登陸成功頁面地址（若是首先訪問受保護 URL 登陸成功，則跳轉到實際訪問頁面），unauthorizedUrl 認證未經過訪問的頁面（前面提到的「未經受權頁面」）。apache
shiroFilter 中 filters 屬性，formAuthenticationFilter 配置爲基於表單認證的過濾器。api
shiroFilter 中 filterChainDefinitions 屬性，anon 表示匿名訪問（不須要認證與受權），authc 表示須要認證，perms[SECURITY_ACCOUNT_VIEW] 表示用戶須要提供值爲「SECURITY_ACCOUNT_VIEW」Permission 信息。因而可知，鏈接地址配置爲 authc 或 perms[XXX] 表示爲受保護資源。spring-mvc
securityManager 中 realm 屬性，配置爲咱們本身實現的 Realm。關於 Realm，參見前面「Shiro Realm」章節。緩存
myShiroRealm 爲咱們本身須要實現的 Realm 類，爲了減少數據庫壓力，添加了緩存機制。session
shiroCacheManager 是 Shiro 對緩存框架 EhCache 的配置。
AuthorizationAttributeSourceAdvisor配置，可使用註解標註方法須要使用的權限

須要將spring-shiro文件包含到spring-mvc文件中！！！！！

shiro中默認的過濾器

AuthorizingRealm自定義實現

public class MyShiroRealm extends AuthorizingRealm{ 
   
   // 用於獲取用戶信息及用戶權限信息的業務接口
   @Resource
   private BusinessManager businessManager; 
    
    /**
     *獲取受權信息，用戶登錄成功後，添加權限
     *
     */
   protected AuthorizationInfo doGetAuthorizationInfo( 
      PrincipalCollection principals) { 

      // 獲取用戶名
      String username = (String) principals.fromRealm(getName()).iterator().next(); 
      
      if( username != null ){ 
         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 
 
         // 查詢用戶受權信息
         Collection<String> pers=businessManager.queryPermissions(username); 
         if( pers != null && !pers.isEmpty() ){ 
            info.addStringPermissions(pers);
         } 
  
          //查詢用戶角色
         Collection<String> roles=businessManager.queryRoles(username); 
         if( roles!= null && !roles.isEmpty()){ 
            info.addRoles(roles);
         } 
       
         return info; 
      } 
      return null; 
   } 
   
   // 獲取認證信息，登錄使用
   protected AuthenticationInfo doGetAuthenticationInfo( 
      AuthenticationToken authcToken ) throws AuthenticationException { 
      UsernamePasswordToken token = (UsernamePasswordToken) authcToken; 
      // 經過表單接收的用戶名
      String username = token.getUsername(); 
      
      if( username != null && !"".equals(username) ){ 
         LoginAccount account = businessManager.get( username ); 
         
         if( account != null ){ 
            return new SimpleAuthenticationInfo( 
               account.getLoginName(),account.getPassword(),getName() ); 
         } 
      } 
      
      return null; 
   } 

     /** 
     * 清除全部用戶受權信息緩存. 
     */  
    public void clearCachedAuthorizationInfo(String principal) {  
        SimplePrincipalCollection principals = new SimplePrincipalCollection(principal, getName());  
        clearCachedAuthorizationInfo(principals);  
    }  
  
  
    /** 
     * 清除全部用戶受權信息緩存. 
     */  
    public void clearAllCachedAuthorizationInfo() {  
        Cache<Object, AuthorizationInfo> cache = getAuthorizationCache();  
        if (cache != null) {  
            for (Object key : cache.keys()) {  
                cache.remove(key);  
            }  
        }  
    }  
 }

用戶權限模型

在揭開 Shiro 面紗以前，咱們須要認知用戶權限模型。本文所提到用戶權限模型，指的是用來表達用戶信息及用戶權限信息的數據模型。即能證實「你是誰？」、「你能訪問多少受保護資源？」。爲實現一個較爲靈活的用戶權限數據模型，一般把用戶信息單獨用一個實體表示，用戶權限信息用兩個實體表示。

用戶信息用 LoginAccount 表示，最簡單的用戶信息可能只包含用戶名 loginName 及密碼 password 兩個屬性。實際應用中可能會包含用戶是否被禁用，用戶信息是否過時等信息。
用戶權限信息用 Role 與 Permission 表示，Role 與 Permission 之間構成多對多關係。Permission 能夠理解爲對一個資源的操做，Role 能夠簡單理解爲 Permission 的集合。
用戶信息與 Role 之間構成多對多關係。表示同一個用戶能夠擁有多個 Role，一個 Role 能夠被多個用戶所擁有。

圖 1. 用戶權限模型

Apache權限數據模型

t_user用戶表：

id ------username-------password

1 tom 00000

2 jack 00000

3 rose 00000

t_role

id + rolename

1 -- admin

2 -- manager

3 -- normal

t_permission權限表

id --- permissionname -- role_id

1 -- add ---- 2

2 -- del ---- 1

3 -- update ---- 2

4 -- query ---- 3

t_user_role

tom是admin和normal角色

user_id + role_id

1 1

1 3

2 2

2 3

3 3

登陸接口調用

調用shrio方法

/** 
     * 驗證用戶名和密碼 
     * @param request 
     * @return 
     */  
    @RequestMapping("/login")  
    public String login(HttpServletRequest request) {  
        String result = "/login";  
        // 取得用戶名  
        String username = request.getParameter("username");  
        //取得 密碼，並用MD5加密  
        String password = CipherUtil.generatePassword(request.getParameter("password"));  
       //String password = request.getParameter("password");  
        UsernamePasswordToken token = new UsernamePasswordToken(username, password); 

        //設置session
        //SecurityUtils.getSubject().getSession().setAttribute("deployEnv", deployEnv);    

        //若是用戶已登陸，先踢出
	    //ShiroSecurityHelper.kickOutUser(username));

        Subject currentUser = SecurityUtils.getSubject();  
        try {  
           
            if (!currentUser.isAuthenticated()){//使用shiro來驗證  
                token.setRememberMe(true);//記住用戶的登陸狀態
                currentUser.login(token);//驗證角色和權限，登陸成功會直接跳轉到 successUrl地址 
            }  
            System.out.println("result: " + result);  
            result = "index";//驗證成功  
         } catch(AuthorizationException ae){
            result = "/login";//驗證失敗  
         } catch (Exception e) {  
            logger.error(e.getMessage());  
            result = "/login";//驗證失敗  
        }  
        return result;  
    }

   
    /** 
     * 退出 
     * @return 
     */  
    @RequestMapping(value = "/logout")    
    @ResponseBody    
    public String logout() {
        Subject currentUser = SecurityUtils.getSubject();    
        String result = "logout";    
        currentUser.logout();    
        return result;    
    }

Shiro基本html tag標籤

jsp頁面

<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>

標籤名稱	標籤條件（均是顯示標籤內容）
<shiro:authenticated>	登陸以後
<shiro:notAuthenticated>	不在登陸狀態時
<shiro:guest>	用戶在沒有RememberMe時
<shiro:user>	用戶在RememberMe時
<shiro:hasAnyRoles name="abc,123" >	在有abc或者123角色時
<shiro:hasRole name="abc">	擁有角色abc
<shiro:lacksRole name="abc">	沒有角色abc
<shiro:hasPermission name="abc">	擁有權限資源abc
<shiro:lacksPermission name="abc">	沒有abc權限資源
<shiro:principal>	顯示用戶身份名稱

<shiro:principal property="username"/> 顯示用戶身份中的屬性值

<shiro:hasRole name="admin">
   權限顯示內容
</shiro:hasRole>

Shiro基本註解

@RequiresAuthentication

驗證用戶是否登陸，等同於方法subject.isAuthenticated() 結果爲true時。

@RequiresUser

驗證用戶是否被記憶，user有兩種含義：

一種是成功登陸的（subject.isAuthenticated() 結果爲true）；

另一種是被記憶的（subject.isRemembered()結果爲true）。

@RequiresGuest

驗證是不是一個guest的請求，與@RequiresUser徹底相反。

換言之，RequiresUser == !RequiresGuest。

此時subject.getPrincipal() 結果爲null.

@RequiresRoles

例如：@RequiresRoles("aRoleName");

void someMethod();

若是subject中有aRoleName角色才能夠訪問方法someMethod。若是沒有這個權限則會拋出異常AuthorizationException。

@RequiresPermissions

例如： @RequiresPermissions({"read", "write"} )
void someMethod();

要求subject中必須同時含有read和write的權限才能執行方法someMethod()。不然拋出異常AuthorizationException。

結尾

http://www.ibm.com/developerworks/cn/java/j-lo-shiro/