基本功能点
功能点框图
功能点说明
1、Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
2、Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用 户对某个资源是否具有某个权限;
3、SessionManager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信 息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
4、Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
5、Web Support:Web 支持,可以非常容易的集成到 Web 环境;
6、Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
7、Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能 把权限自动传播过去;
8、Testing:提供测试支持;
9、Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
10、RememberMe:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
11、注意:Shiro 不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过 相应的接口注入给 Shiro 即可。
外部架构图
1、架构图
2、架构说明
2.1、应用代码直接交互的对象是Subject, 也就是说Shiro的对外API核心就是Subject;
2.2、应用代码通过 Subject 来进行认证和授权,而 Subject 又委托给 SecurityManager;
2.3、我们需要给 Shiro 的 SecurityManager 注入 Realm,从而让 SecurityManager 能得到合法 的用户及其权限进行判断。
3、API说明
3.1、Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互 的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定 到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认 为是一个门面;SecurityManager 才是实际的执行者;
3.2、SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互; 且它管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行 交互,如果学习过 SpringMVC,你可以把它看成 DispatcherServlet 前端控制器;
3.3、Realm:域,Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作;可以把 Realm 看 成 DataSource,即安全数据源。
4 注意:Shiro 不提供维护用户/权限,而是通过 Realm 让开发人员自己注入。
内部架构图
1、架构图
2、模块说明
2.1、Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;
2.2、SecurityManager : 相当于 SpringMVC 中 的 DispatcherServlet 或者 Struts2 中 的 FilterDispatcher;是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管 理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
2.3、Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的 不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户 认证通过了;
2.4、Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制 着用户能访问应用中的哪些功能;
2.5、Realm:可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;
2.6、SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session 呢需要有人去管理 它的生命周期,这个组件就是 SessionManager;而ShiroWeb环境,也 可以用在如普通的 JavaSE环境、EJB等环境;所有呢Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据;这样的话,比如我们在 Web 环境用,刚开始是一台 Web 服务器;接着又上了台EJB服务器;这时想把两台服务器的会话数据放到一个地方, 这个时候就可以实现自己的分布式会话(如把数据放到 Memcached 服务器);
2.7、SessionDAO:DAO 大家都用过,数据访问对象,用 于 会话的 CRUD,比如我们想把 Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;比如想把 Session 放到 Memcached中,可以实现自己的MemcachedSessionDAO;另外SessionDAO 中可以使用 Cache 进行缓存,以提高性能;
2.8、CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本 上很少去改变,放到缓存中后可以提高访问的性能;
2.9、Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密的。
身份认证
特殊名词
1、身份验证:即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来 表明他就是他本人,如提供身份证,用户名/密码来证明。 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能 验证用户身份:
2、principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。 一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名/密码/手机号。
3、credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。 最常见的 principals 和 credentials 组合就是用户名/密码了。接下来先进行一个基本的身份认 证。
4、另外两个相关的概念是之前提到的Subject及Realm,分别是主体及验证主体的数据源。
认证逻辑(使用IniRealm)
1、通过一个ini文件来创建Realm
2、接着获取 SecurityManager 并将Realm绑定到SecurityManager;
3、将SecurityManager绑定到 SecurityUtils,这是一个全局设置,设置一次即可;
4、通过 SecurityUtils 得到 Subject,其会自动绑定到当前线程;如果在 web 环境在请求结 束时需要解除绑定;然后获取身份验证的 Token,如用户名/密码;
5、调用 subject.login 方法进行登录,其会自动委托给 SecurityManager.login 方法进行登录;
6、如果身份验证失败请捕获 AuthenticationException 或 其 子类,常见的如: DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、 UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过 多)、IncorrectCredentialsException(错误的凭证)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如“用户名/密码 错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;
7、最后可以调用 subject.logout 退出,其会自动委托给 SecurityManager.logout 方法退出。
代码实现
1、创建一个Maven工程,不同的maven工程即可,不需要时web工程
2、引入junit、shiro依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.12</version>
</dependency>
3、在resources目录下创建一个shiro.ini文件
3.1、项目目录结构
3.2、shiro.ini内容
[users] fury=111111 zeus=222222
4 测试类
package com.xunyji.shirotest.kaitao; import jdk.nashorn.internal.parser.Token; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.mgt.DefaultSecurityManager; import org.apache.shiro.realm.text.IniRealm; import org.apache.shiro.subject.Subject; import org.junit.Test; /** * @author AltEnter * @create 2019-01-17 14:58 * @desc 认证 **/ public class TestDemo01 { @Test public void testDemo01() { // 01 创建Realm IniRealm iniRealm = new IniRealm("classpath:shiro.ini"); // 02 创建SecurityManager并将Realm设置到SecurityManager中 DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager(); defaultSecurityManager.setRealm(iniRealm); // 03 将SecurityManager设置到SecurityUtils中 SecurityUtils.setSecurityManager(defaultSecurityManager); // 04 从SecurityUtils中获取Subject Subject subject = SecurityUtils.getSubject(); // 05 将用户名和用户密码封装成一个Token UsernamePasswordToken token = new UsernamePasswordToken("fury", "111111"); // 06 通过Subject进行登录认证 subject.login(token); // 07 通过Subject判断登录认证结果 System.out.println(String.format("用户名fury和密码111111的用户的认证结果为:%s", subject.isAuthenticated())); } }
认证总结
1、认证步骤
1.1、收集用户身份/凭证,即如用户名/密码;
1.2、调用 Subject.login 进行登录,如果失败将得到相应的 AuthenticationException 异常,根 据异常提示用户错误信息;否则登录成功;
1.3、最后调用 Subject.logout 进行退出操作。
2、改进方案
2.1、用户名和密码硬编码在ini配置文件,以后需要改成如数据库存储,且密码需要加密存储;
2.2、用户身份Token可能不仅仅是用户名和密码,也可能还有其他的,如登录时允许用户名/ 邮箱/手机号同时登录。
3、认证流程
3.1、流程图
认证外部流程图:
认证内部流程图:
3.2、首先调用 Subject.login(token)进行登录,其会自动委托给 Security Manager,调用之前必 须通过 SecurityUtils. setSecurityManager()设置; 还需要为SecurityManager设置Realm;
3.3、SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
3.4、Authenticator才是真正的身份验证者,ShiroAPI中核心的身份认证入口点,此处可以自 定义插入自己的实现;
3.5、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
3.6、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返 回和抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进 行访问。
4、技巧:从subject.login(token)往下查看源码就可以清楚地知道整个登录认证流程
