zoukankan      html  css  js  c++  java
  • shiro安全三部曲

    源:http://blog.csdn.net/boonya/article/details/8233435

    第一部分 Shiro简介及项目目录结构

    最新官方示例下载:http://shiro.apache.org/

    • ShiroApacheJSecret项目演变而来的,该框架实现了:用户登录、认证、授权和权限管理操作的完整控制流程。Shiro最早的名字是JSecurity,后来更名为Shiro并成为Apache的孵化项目。这次改名也同样影响了Grails Shiro Plugin。它最早在Shiro还未改名之前就已经存在了,后来因为Shiro的名字变更,也就一道跟着改名换姓。由于Grails Shiro Plugin中已经包含了Shiro相关的Jar,因此对于插件的使用者而言,不必专门下载ShiroJSecurity是一个强大,灵活的java安全框架。用于简洁地处理身份验证,授权,企业多个系统会话管理,加密服务等。
    • Shiro主要对用户的权限和Session进行特别的封装,并且支持跨平台的登录权限认证,EJB等项目中也可以实现Session的共享。
    • Shiro主要使用对象

    Subject      当前操作的程序的对象相当于用户User,对应操作视图

    SecurityManager  Shiro框架的心脏,确保框架正常运行。

    Authenticator    执行身份验证(登录)尝试负责组件。

    AuthenticationStrategy   协调Realm用户数据访问策略

    Authorizer       负责应用程序中决定用户访问控制的组件。

    SessionManager   如何创建及管理用户的session生命周期,提供良好的session体验。

    SessionDAO      支持Session CRUD数据操作。

    CacheManager    创建并管理Shiro组件执行的Cache实例的生命周期。

    Cryptography     Shiro企业安全组件的补充。

    Realms             担当Shiro与应用程序安全数据的"桥梁""连接器"

    • 框架关系图如下所示:

    • Shiro配置:{Spring-Hibernate 项目为例}

    Shiro.ini初始化文件,可以将用户登录的权限设置在这里

    [users]   users=user:*

    [roles]   roles=role:*等等,shiro.ini在实际项目中可以不要,它仅仅是一种数据访问配置的手段

    ehcache.xml  文件配置对象缓存示例的个数等

    log4j.properties   日志配置文件

    hibernate.cfg.xml  配置实体隐射关系[Hibernate整合]

    applicationContext.xml  配置Spring 数据源访问和对象注入

    applicationContext-shiro.xml  Shiro配置文件

    Sprhib-servlet.xml      servlet控制页面跳转路径的配置

     配置文件目录如下:


    •  创建规范的项目目录结构如下:

    注:具体文件配置官方示例有。

    第二部分   Shiro与Hibernate的使用配置

    web.xml中的配置:

    <!-- Shiro Filter is defined in the spring application context: -->

    <filter>

    <filter-name>shiroFilter</filter-name>

    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

    </filter>

    <filter-mapping>

       <filter-name>shiroFilter</filter-name>

       <url-pattern>/*</url-pattern>

    </filter-mapping>

    applicationContext-shiro.xml配置:实现认证和授权

    <!-- shiro start -->

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

          <property name="cacheManagerConfigFile"value="classpath:ehcache.xml" />

    </bean>

    <bean id="credentialsMatcher"class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

          <property name="hashAlgorithmName" value="SHA-256" />

    </bean>

    <bean id="iniRealm" class="com.boonya.shiro.security.CurrentIniRealm">

          <constructor-arg type="java.lang.String" value="classpath:shiro.ini" />

          <property name="credentialsMatcher" ref="credentialsMatcher" />

    </bean>

    <bean id="userRealm" class="com.boonya.shiro.security.UserRealm" />

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

           <property name="realms">

                 <list>

                   <ref bean="iniRealm" /> 

                   <ref bean="userRealm" />

               </list>

          </property>

          <property name="cacheManager" ref="cacheManager" />

    </bean>

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

           <property name="securityManager" ref="securityManager" />

           <property name="loginUrl" value="/login" />

           <property name="successUrl" value="/maps/main.html"></property>

           <property name="unauthorizedUrl" value="/unauthorized"></property>

           <property name="filters">

             <util:map>

               <entry key="anAlias">

                   <beanclass="org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter" />

               </entry>

             </util:map>

          </property>

          <property name="filterChainDefinitions">

             <value><!-- 权限字符过滤 -->

                 /unauthorized=anon

                 /validate/code*=anon

                 /login/**=anon

                 /image/**=anon 

                 /js/**=anon

                /css/**=anon

                /common/**=anon

                /index.htm* = anon

               /maps/**=authc

            </value>

        </property>

    </bean>

    <!-- shiro end -->

    有关必要说明:

    securityManager:这个属性是必须的

    loginUrl :没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面。

    successUrl :登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。

    unauthorizedUrl :没有权限默认跳转的页面。

    其权限过滤器及配置释义:

    anon   org.apache.shiro.web.filter.authc.AnonymousFilter

    authc  org.apache.shiro.web.filter.authc.FormAuthenticationFilter

    authcBasic   org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

    perms   org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

    port    org.apache.shiro.web.filter.authz.PortFilter

    rest    org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

    roles   org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

    ssl     org.apache.shiro.web.filter.authz.SslFilter

    user    org.apache.shiro.web.filter.authc.UserFilter

    logout  org.apache.shiro.web.filter.authc.LogoutFilter

    anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

    authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数

    roles例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。

    perms例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"]当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

    rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中methodpostgetdelete等。

    port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议httphttps等,serverName是你访问的host,8081url配置里port的端口,queryString

    是你访问的url里的?后面的参数。

    authcBasic例如/admins/user/**=authcBasic没有参数表示httpBasic认证

    ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

    user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

    注:anon,authcBasic,auchc,user是认证过滤器,

    perms,roles,ssl,rest,port是授权过滤器

    第三部分  Shiro代码分析

    • 利用分层思想创建清晰的项目目录结构

    ---dao                         数据访问层

    ---model                    业务实体

    ---service                   业务层

    ---security/realm       数据桥接,决定访问那个数据源

    ---web/controller       控制层/视图展现层

    • 代码分析阶段

    [] daomodel是我们所熟悉的因此这里没有必要再讲述。

    []

    service  让接口决定业务实现

    我们可以编写业务类的接口并作实现,不需要对外提供的方法不必在接口中定义。

    好处:功能明确,结构清晰,使目有全牛,而不是盲目的开始编码。

    一个接口对应一个实现。

    Java代码:

    接口:

    public interface UserService {

        User getCurrentUser();

        void createUser(String username, String email, String password);

        List<User> getAllUsers();

        User getUser(Long userId);

        void deleteUser(Long userId);

        void updateUser(User user);

    }

    实现:

    @Service("userService")

    public class DefaultUserService implements UserService {

        private UserDAO userDAO;

        @Autowired

        public void setUserDAO(UserDAO userDAO) {

            this.userDAO = userDAO;

        }

        public User getCurrentUser() {

            final Long currentUserId = (Long) SecurityUtils.getSubject().getPrincipal();

            if( currentUserId != null ) {

                return getUser(currentUserId);

            } else {

                return null;

            }

    }

    .....................

    }

    security 衔接程序与数据源的中间组件realm

    一般只提供登录验证的realm即可,当用户进入系统之后还是跟以前的实现模式一样,只是登录的时候必须做安全验证。如果不登录系统,就不能看到具有安全保护的数据页面展示,如果没有普通guest(来宾)访问页面,以致只能看到登录界面<都是通过配置过滤器来实现>。、

    实现一个用户自定义的realm必须继承自AuthorizingRealm 

    Java代码:

    @Component

    public class SampleRealm extends AuthorizingRealm {

        protected UserDAO userDAO = null;

        @SuppressWarnings("deprecation")

    public SampleRealm() {

            setName("SampleRealm"); //This name must match the name in the User class's getPrincipals() method

            setCredentialsMatcher(new Sha256CredentialsMatcher());

        }

        @Autowired

        public void setUserDAO(UserDAO userDAO) {

            this.userDAO = userDAO;

    }

    //用户登录认证

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {

            //认证前调用

            UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

            User user = userDAO.findUser(token.getUsername());

            if( user != null ) {

                //认证后返回认证信息

                return new SimpleAuthenticationInfo(user.getId(), user.getPassword(), getName());

            } else {

                return null;

            }

        }

    //获取认证后信息:用户的角色,享有的权限

        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

            Long userId = (Long) principals.fromRealm(getName()).iterator().next();

            User user = userDAO.getUser(userId);

            if( user != null ) {

                SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

                for( Role role : user.getRoles() ) {

                    info.addRole(role.getName());

                    info.addStringPermissions( role.getPermissions() );

                }

                return info;

            } else {

                return null;

            }

        }

    }

    web/controller  决定页面跳转到那个页面或返回相应的页面数据

    用户登入系统后决定用户去向,属于权限控制字符过滤的范围,是否用户有权限访问该URL路径。这里以签到为例:

    1、创建绑定操作命令实体

    public class SignupCommand {

        private String username;

        private String email;

    private String password;

    //getter setter 略

    }

    2、一般需要对操作的数据进行验证的可以创建一个验证器实现Validator接口

    public class SignupValidator implements Validator {

        //邮箱验证正则表达式

        private static final String SIMPLE_EMAIL_REGEX = "[A-Z0-9._%+-]+@[A-Z0-9.-]+\.[A-Z]{2,4}";

        @SuppressWarnings("rawtypes")

    public boolean supports(Class aClass) {

            return SignupCommand.class.isAssignableFrom(aClass);

        }

        //执行验证

        public void validate(Object o, Errors errors) {

            SignupCommand command = (SignupCommand)o;

            ValidationUtils.rejectIfEmptyOrWhitespace(errors, "username", "error.username.empty", "Please specify a username.");

            ValidationUtils.rejectIfEmptyOrWhitespace(errors, "email", "error.email.empty", "Please specify an email address.");

            if( StringUtils.hasText( command.getEmail() ) && !Pattern.matches( SIMPLE_EMAIL_REGEX, command.getEmail().toUpperCase() ) ) {

                errors.rejectValue( "email", "error.email.invalid", "Please enter a valid email address." );

            }

            ValidationUtils.rejectIfEmptyOrWhitespace(errors, "password", "error.password.empty", "Please specify a password.");

        }

    }

    3、编写控制器

    @Controller

    public class SignupController {

        private SignupValidator signupValidator = new SignupValidator();

        private UserService userService;

        @Autowired

        public void setUserService(UserService userService) {

            this.userService = userService;

        }

        @RequestMapping(value="/signup",method= RequestMethod.GET)

        public String showSignupForm(Model model, @ModelAttribute SignupCommand command) {

            return "signup";

        }

        @RequestMapping(value="/signup",method= RequestMethod.POST)

    public String showSignupForm(Model model, @ModelAttribute SignupCommand command, BindingResult errors) {

            //数据验证是否合法

            signupValidator.validate(command, errors);

            if( errors.hasErrors() ) {

                return showSignupForm(model, command);

            }

            // Create the user

            userService.createUser( command.getUsername(), command.getEmail(), command.getPassword() );

            // Login the newly created user

            SecurityUtils.getSubject().login(new UsernamePasswordToken(command.getUsername(), command.getPassword()));

            return "redirect:/s/home";

        }

    }

  • 相关阅读:
    高精度“+”算法
    漏洞扫描
    端口扫描
    使用sqlmap
    Kali实现靶机远程控制
    Docker下配置KeepAlive支持nginx高可用
    web攻防环境--一句话木马
    Docker容器技术--自定义网桥后的默认网卡名称
    小白大数据学习指南
    Nginx简单操作
  • 原文地址:https://www.cnblogs.com/a757956132/p/4217826.html
Copyright © 2011-2022 走看看