什么是Shiro

Shiro是Apache组织下的一款轻量级Java安全框架。Spring Security相对来说比较臃肿。

官网

Shiro提供的服务

架构探险笔记12-安全控制框架Shiro_架构入门

1.Authentication(认证)

2.Authorization(授权)

3.Session Management(会话管理)

4.Cryptography(加密)

5.Web Integration(web集成)

6.Integrations(集成)

首先,她提供了Authentication(认证)服务,也就是说,通过她可以完成身份认证,让她去判断用户是否为真实的会员。

其次,她还提供了Authorization(授权)服务,其实就是访问控制服务,也就是让她来识别用户是否可以做某件事情,毕竟不同的用户是拥有不同的权限的。

还提供了Session Management(会话管理)服务。这个就厉害了,这并不是用户熟知的HTTP Session,而是一个独立的Session管理框架,不管是否为Web应用,都可以用这套框架。

最后,还提供了Crytography(加密)服务,封装了许多密码学算法,琳琅满目,应有尽有。

除了以上4个基本服务,她也提供了很好的系统集成方案,用户可以轻松将其运用到Web应用中,可能这也是用户最关心的;此外,还可以集成第三方框架,例如:Spring、Guice、CAS等。

Hello Shiro

Maven,在pom.xml加入坐标

        <!--SLFJ-->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>1.6.4</version>
        </dependency>
        <!--Shiro核心包,一定要用到的-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.3</version>
        </dependency>

Shiro依赖于SLFJ日志框架,而SLFJ只是一个接口,并没有提供具体的实现。可以选择Log4J作为它的实现,正好SLFJ也提供了一个slf4j-log4j12的Artifact,所以这里就可以用上了。

Maven示意图如下:

架构探险笔记12-安全控制框架Shiro_软件架构学习笔记_02

使用Log4J,就应该在classpath下提供一个log4j.properties文件:

log4j.rootLogger=ERROR,console,file

log4j.appender.console=org.apache.log4j.ConsoleAppender
log4j.appender.console.layout=org.apache.log4j.PatternLayout
log4j.appender.console.layout.ConversionPattern=%-5p %c(%L) -%m%n
log4j.logger.org.autumn=DEBUG

通过上卖弄的配置将日志输出到控制台上,并配置了日志输出格式。

同样,既然使用了Shiro,那么久应该在classpath下提供一个shiro.ini文件:

[users]
shiro = 1995

我们配置一个用户名为shiro,密码为1995的用户。这里仅为演示,在实际项目中肯定不会把用户信息定义在配置文件中。

测试一下Shiro的认证服务功能,用main方法测试

package org.autumn;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * Created by Administrator on 2019/1/28.
 */
public class HelloShiro {
    private static final Logger LOGGER = LoggerFactory.getLogger(HelloShiro.class);

    public static void main(String[] args) {
        //初始化SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        //获取当前用户
        Subject subject = SecurityUtils.getSubject();
        //登录
        UsernamePasswordToken token = new UsernamePasswordToken("shiro","19950");
        try {
            subject.login(token);
        }catch (AuthenticationException ae){
            LOGGER.info("登录失败");
            return ;
        }
        LOGGER.info("登录成功!Hello "+subject.getPrincipal());
        subject.logout();
    }
}

结果

架构探险笔记12-安全控制框架Shiro_架构设计_03

解析:

(1)需要读取classpath下的shiro.ini配置文件,并通过工厂类创建SecurityManager对象,最终将其放入SecurityUtils中,供Shiro框架随时获取。

(2)同样通过SecurityUtils类获取Subject对象,其实就是当前用户,只不过在Shiro的世界里优雅地将其称为Subject(主体);

(3)首先使用一个Username与Password来创建一个UsernamePasswordToken对象,然后通过这个Token对象调用Subject对象的login方法,让Shiro进行用户身份认证。

(4)当登录失败时,可以使用AuthenticationException来捕获这个异常;当登录成功时,可以调用Subject对象的getPrincipal方法来获取Username,此时Shiro已经创建了一个Session。

(5)最后还是通过Subject对象的logout方法来注销本次Session。

通过Subject调用SecurityManager,通过SecurityManager调用Realm。这个Realm感觉有点生僻,其实就是提供用户信息的数据源。上面的Shiro中叫IniRealm。除此以外,Shiro还提供了其他几种Realm:PropertiesRealm、JdbcRealm、JndiLdapRealm、ActiveDirectoryReam等;当然也可以定制Realm来满足业务需求。

不难发现,SecurityManager才是Shiro的真正的核心,只需通过Subject就可以操作SecurityManager,尤其是在Web应用中。

在Web开发中使用Shiro

我们可以直接在Web应用中使用Shiro官方提供的Web模块--- shiro-web。

只需要在pom.xml中增加如下配置:

        <!--支持Web需要引入的Shiro包-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.2.3</version>
        </dependency>

在web.xml中加入如下配置

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
         version="3.1">

    <context-param>
        <param-name>shiroEnvironmentClass</param-name>
        <param-value>org.apache.shiro.web.env.IniWebEnvironment</param-value>
    </context-param>
    <context-param>
        <param-name>shiroConfigLocations</param-name>
        <param-value>classpath:shiro.ini</param-value>
    </context-param>
    
    <!--监听器,用来读取上面的ini配置文件-->
    <listener>
        <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
    </listener>
    <!--过滤器-->
    <filter>
        <filter-name>ShiroFilter</filter-name>
        <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>ShiroFilter</filter-name>
        <!--拦截所有请求-->
        <url-pattern>/*</url-pattern>
    </filter-mapping>

</web-app>

实际上就是通过EnvironmentLoaderListener这个监听器来初始化SecurityManager,并通过ShiroFilter来完成认证与授权。

可以使用以下数据结构来存放用户机器权限的相关数据,这就是RBAC模型

架构探险笔记12-安全控制框架Shiro_架构设计_04

然后通过Shiro的JdbcReam来进行认证与授权,只需要在shiro.ini中做如下配置:

[main]
authc.loginUrl = /login    #配置跳转的的URL地址,通过Servlet映射后可定位到login页面

ds = org.apache.commons.dbcp.BasicDataSource   #JDBC数据库配置
ds.driverClassName = com.mysql.jdbc.Driver
ds.url=jdbc:mysql://localhost:3306/bookkeeping
ds.username=root
ds.password=root

jdbcRealm = org.apache.shiro.realm.jdbc.JdbcRealm   #realm为jdbc
#将上面配置的jdbc赋给realm
jdbcRealm.dataSource = $ds
#提供身份认证,即通过username查询password     
jdbcRealm.authenticationQuery = SELECT pwd FROM users where userCode = ?
#基于角色的授权验证(粗粒度),通过username查询role_name
jdbcRealm.userRolesQuery = SELECT sys_role.roleName FROM sys_role,sys_user_role,users WHERE sys_role.roleCode = sys_user_role.roleCode AND sys_user_role.userCode = users.id AND users.userCode = ?
#基于权限的授权验证(粗粒度),通过role_name查询model_name,此时需要开启permissionsLookupEnabled开关,默认是关上的
jdbcRealm.permissionsQuery = SELECT sys_module.moduleName FROM sys_module, sys_role, sys_role_module where sys_module.moduleCode = sys_role_module.moduleCode AND sys_role_module.roleCode = sys_role.roleCode     and sys_role.roleName = ?

jdbcRealm.permissionsLookupEnabled = true
securityManager.realms = $jdbcRealm

[urls]
/=anon   #对于"/"请求(首页)可以匿名访问;
/space/**=authc   #对于以"/space/"开头的请求,均由authc过滤器处理,也就是完成身份认证操作。

还要补充说明的是,在permission表中存放了所有的权限名,实际上是一个权限字符串,推荐使用“资源:操作”这种格式来命名,例如:product:view(查看产品权限)、product:edit(产品编辑权限)、product:delete(产品删除权限)等。

过滤器名称 功能  配置项(及默认值)
anon 确保只有未登录(匿名)的用户发送的请求才能通过 -
authc 去报只有已认证的用户发送的请求才能通过(若未认证,则跳转到登录页面)

authc.loginUrl = /login.jsp

authc.successUrl = /

authc.usernameParam = username

authc.passwordParam = password

authc.rememerMeParam = rememberMe

authc.failureKeyAttribute = shiroLoginFailure

authcBasic 提供BasicHttp认证功能(在浏览器中弹出一个登录对话框) authcBasic.applicationName = application
logout 接收结束会话的请求 logout.redirectUrl = /
noSessionCreation 提供No Session解决方案(若有Session就会报错) -
perms 确保只有拥有特定权限的用户发送的请求才能通过 -
port 确保只有特定端口的请求才能通过 port = 80
rest 提供REST解决方案(根据REST URL计算权限字符串) -
roles 确保只有拥有特定角色的用户发送的请求才能通过 -
ssl 确保只有HTTPS的请求才能通过 -
user 确保只有已登录的用户发送的请求才能通过(包括:已认证或已记住) -

在index.jsp中判断该用户是游客还是已登录的用户:

<%@ page contentType="text/html;charset=UTF-8" pageEncoding="utf-8" language="java" %>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ taglib prefix="fmt" uri="http://java.sun.com/jsp/jstl/fmt" %>
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<html>
<head>
    <title>首页</title>
</head>
<body>
    <shiro:guest>
        <p>身份:游客</p>
        <a href="<c:url value="/login"/>">登录</a>
        <a href="<c:url value="/register"/>">注册</a>
    </shiro:guest>

    <shiro:user>
        <p>身份:<shiro:principal/></p>
        <a href="<c:url value="/space"/>">空间</a>
        <a href="<c:url value="/logout"/>">退出</a>
    </shiro:user>
</body>
</html>

需要使用Shiro提供的JSP标签:

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

随后就可以使用shiro标签的相关功能了。

标签 功能
<shiro:guest></shiro:guest> 判断当前用户是否为游客
<shiro:user></shiro:user>

判断当前用户是否已登录

(包括认证或已认证)

<shiro:authecticated></shiro:authecticated> 判断当前用户是否已认证通过(不包括已记住)
<shiro:notAuthecticated></shiro:notAuthecticated> 判断当前用户是否未认证通过
<shiro:hasRole name="foo"></shiro:hasRole> 判断当前用户是否具有某种角色
<shiro:lacksRole name="foo"></shiro:lacksRole> 判断当前用户是否缺少某种角色
<shiro:hasAnyRoles name="foo,bar"></shiro:hasAnyRoles> 判断当前用户是否具有任意一种角色(foo或bar)
<shiro:hasPermission name="foo"></shiro:hasPermission> 判断当前用户是否具有某种权限
<shiro:lacksPermission name="foo"></shiro:lacksPermission> 判断当前用户是否缺少某种权限
<shiro:principal/> 获取当前用户的相关信息,例如:用户名

依葫芦画瓢,可以实现其他需要的shiro标签

除了JSP标签,Shiro还提供了Java注解,只需将这些注解定义在想要安全控制的方法上即可。

注解 功能
RequiresGuest 确保被标注的方法可被匿名用户访问
RequiresUser 确保被标注的方法只能被已登录的用户访问(包括:已认证或已记住)
RequiresAuthentication 确保被标注的方法只能被已认证的用户访问(不包括已记住)
RequiresRoles  确保被标注的方法仅被指定角色的用户访问 
RequiresPermissions 确保被标注的方法仅被指定权限的用户访问

 注意:当使用了RequiresRoles与RequiresPermissions注解,也就意味着把代码写死了;这样如果数据库里的Role或Permission更改了,代码也就无效了。这或许是Shiro的一点不完美的地方,不过瑕不掩瑜。

每次认证与授权都需要与数据库打交道,这会对性能产生一定的开销:关于这一点Shiro也为我们先到了,只需在main片段中增加如下配置即可:

cacheManager=org.apache.shiro.cache.MemoryConstrainedCacheManager
securityManager.cacheManager=$cacheManager

此时Shiro就会在内存中使用一个Map来缓存查询结果,从而减少了数据库的操作次数,提高了查询方面的性能。Shiro也提供了E和Cache的扩展,为缓存提供了更加“高大上”的解决方案。

目前在数据库里保存的是明文的密码,这样不太安全,如何将其加密呢?Shiro同样提供了非常优雅的解决方案,只需在[amin]片段下增加如下配置即可:

passwordMatcher = org.apache.shiro.authc.credential.PasswordMatcher
jdbcRealm.credentialsMatcher=$passwordMatcher

其实,Shiro对密码的加密与解密提供了非常强大的支持,这里仅仅是一种最简单的情况。需要确保在创建密码的时候使用对应的加密算法,Shiro给我们提供了PasswordService接口,可以这样来使用:

PasswordService passwordService = new DefaultPasswordService();
String encryptedPassword = passwordService.encryptPassword(plantextPassword);

只需将这个encryptedPassword存入数据库即可。

其实关于Shiro的用法还有很多,我们可以从Shrio的官网上学到更多的特性,包括集成EhCache、集成Spring、集成CAS等。

最后结果如下

架构探险笔记12-安全控制框架Shiro_架构入门_05