这篇文章我们来学习如何使用spring boot集成apache shiro。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在java领域一般有spring security、apache shiro等安全框架,但是由于spring security过于庞大和复杂,大多数公司会选择apache shiro来使用,这篇文章会先介绍一下apache shiro,在结合spring boot给出使用案例。
apache shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。
apache shiro的首要目标是易于使用和理解。安全通常很复杂,甚至让人感到很痛苦,但是shiro却不是这样子的。一个好的安全框架应该屏蔽复杂性,向外暴露简单、直观的api,来简化开发人员实现应用程序安全所花费的时间和精力。
shiro能做什么呢?
验证用户身份
用户访问权限控制,比如:1、判断用户是否分配了一定的安全角色。2、判断用户是否被授予完成某个操作的权限
在非 web 或 ejb 容器的环境下可以任意使用session api
可以响应认证、访问控制,或者 session 生命周期中发生的事件
可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图)
支持单点登录(sso)功能
支持提供“remember me”服务,获取用户关联信息而无需登录
…
等等——都集成到一个有凝聚力的易于使用的api。
shiro 致力在所有应用环境下实现上述功能,小到命令行应用程序,大到企业应用中,而且不需要借助第三方框架、容器、应用服务器等。当然 shiro 的目的是尽量的融入到这样的应用环境中去,但也可以在它们之外的任何环境下开箱即用。
apache shiro是一个全面的、蕴含丰富功能的安全框架。下图为描述shiro功能的框架图:
authentication(认证), authorization(授权), session management(会话管理), cryptography(加密)被 shiro 框架的开发团队称之为应用安全的四大基石。那么就让我们来看看它们吧:
authentication(认证):用户身份识别,通常被称为用户“登录”
authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。
session management(会话管理):特定于用户的会话管理,甚至在非web 或 ejb 应用程序。
cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。
还有其他的功能来支持和加强这些不同应用环境下安全领域的关注点。特别是对以下的功能支持:
web支持:shiro 提供的 web 支持 api ,可以很轻松的保护 web 应用程序的安全。
缓存:缓存是 apache shiro 保证安全操作快速、高效的重要手段。
并发:apache shiro 支持多线程应用程序的并发特性。
测试:支持单元测试和集成测试,确保代码和预想的一样安全。
“run as”:这个功能允许用户假设另一个用户的身份(在许可的前提下)。
“remember me”:跨 session 记录用户的身份,只有在强制需要时才需要登录。
注意: shiro不会去维护用户、维护权限,这些需要我们自己去设计/提供,然后通过相应的接口注入给shiro
在概念层,shiro 架构包含三个主要的理念:subject,securitymanager和 realm。下面的图展示了这些组件如何相互作用,我们将在下面依次对其进行描述。
subject:当前用户,subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。
securitymanager:管理所有subject,securitymanager 是 shiro 架构的核心,配合内部安全组件共同组成安全伞。
realms:用于进行权限信息的验证,我们自己实现。realm 本质上是一个特定的安全 dao:它封装与数据源连接的细节,得到shiro 所需的相关的数据。在配置 shiro 的时候,你必须指定至少一个realm 来实现认证(authentication)和/或授权(authorization)。
我们需要实现realms的authentication 和 authorization。其中 authentication 是用来验证用户身份,authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。
pom包依赖
重点是 shiro-spring包
配置文件
thymeleaf的配置是为了去掉html的校验
页面
我们新建了六个页面用来测试:
index.html :首页
login.html :登录页
userinfo.html : 用户信息页面
userinfoadd.html :添加用户页面
userinfodel.html :删除用户页面
403.html : 没有权限的页面
除过登录页面其它都很简单,大概如下:
rbac 是基于角色的访问控制(role-based access control )在 rbac 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。
采用jpa技术来自动生成基础表格,对应的entity如下:
用户信息
角色信息
权限信息
根据以上的代码会自动生成user_info(用户信息表)、sys_role(角色表)、sys_permission(权限表)、sys_user_role(用户角色表)、sys_role_permission(角色权限表)这五张表,为了方便测试我们给这五张表插入一些初始化数据:
首先要配置的是shiroconfig类,apache shiro 核心通过 filter 来实现,就好像springmvc 通过dispachservlet 来主控制一样。 既然是使用 filter 一般也就能猜到,是通过url规则来进行过滤和权限校验,所以我们需要定义一系列关于url的规则和访问权限。
shiroconfig
filter chain定义说明:
1、一个url可以配置多个filter,使用逗号分隔
2、当设置多个过滤器时,全部验证通过,才视为通过
3、部分过滤器可指定参数,如perms,roles
shiro内置的filterchain
anon:所有url都都可以匿名访问
authc: 需要认证才能进行访问
user:配置记住我或认证通过可以访问
登录认证实现
在认证、授权内部实现机制中都有提到,最终处理都将交给real进行处理。因为在shiro中,最终是通过realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在realm中会直接从我们的数据源中获取shiro需要的验证信息。可以说,realm是专用于安全框架的dao. shiro的认证过程最终会交由realm执行,这时会调用realm的getauthenticationinfo(token)方法。
该方法主要执行以下操作:
1、检查提交的进行认证的令牌信息
2、根据令牌信息从数据源(通常为数据库)中获取用户信息
3、对用户信息进行匹配验证。
4、验证通过将返回一个封装了用户信息的authenticationinfo实例。
5、验证失败则抛出authenticationexception异常信息。
而在我们的应用程序中要做的就是自定义一个realm类,继承authorizingrealm抽象类,重载dogetauthenticationinfo(),重写获取用户信息的方法。
dogetauthenticationinfo的重写
链接权限的实现
shiro的权限授权是通过继承authorizingrealm抽象类,重载dogetauthorizationinfo();当访问到页面的时候,链接配置了相应的权限或者shiro标签才会执行此方法否则不会执行,所以如果只是简单的身份认证没有权限的控制的话,那么这个方法可以不进行实现,直接返回null即可。在这个方法中主要是使用类:simpleauthorizationinfo进行角色的添加和权限的添加。
当然也可以添加set集合:roles是从数据库查询的当前用户的角色,stringpermissions是从数据库查询的当前用户对应的权限
就是说如果在shiro配置文件中添加了filterchaindefinitionmap.put(“/add”, “perms[权限添加]”);就说明访问/add这个链接必须要有“权限添加”这个权限才可以访问,如果在shiro配置文件中添加了filterchaindefinitionmap.put(“/add”, “roles[100002],perms[权限添加]”);就说明访问/add这个链接必须要有“权限添加”这个权限和具有“100002”这个角色才可以访问。
登录实现
登录过程其实只是处理异常的相关信息,具体的登录验证交给shiro来处理
其它dao层和service的代码就不贴出来了大家直接看代码。
1、编写好后就可以启动程序,访问index页面,由于没有登录就会跳转到login页面。登录之后就会跳转到index页面,登录后,有直接在浏览器中输入index页面访问,又会跳转到login页面。上面这些操作时候触发myshirorealm.dogetauthenticationinfo()这个方法,也就是登录认证的方法。
3、修改admin不同的权限进行测试
shiro很强大,这仅仅是完成了登录认证和权限管理这两个功能,更多内容以后有时间再做探讨。
作者:纯洁的微笑