本文主要講解的知識點有如下:java
權限管理的基礎知識web
在學習Shiro這個框架以前,首先咱們要先了解Shiro須要的基礎知識:權限管理算法
只要有用戶參與的系統通常都要有權限管理,權限管理實現對用戶訪問系統的控制,按照安全規則或者安全策略控制用戶能夠訪問並且只能訪問本身被受權的資源。spring
對權限的管理又分爲兩大類別:sql
用戶認證,用戶去訪問系統,系統要驗證用戶身份的合法性數據庫
最經常使用的用戶身份驗證的方法:一、用戶名密碼方式、二、指紋打卡機、三、基於證書驗證方法。。系統驗證用戶身份合法,用戶方可訪問系統的資源。apache
舉個例子:緩存
用戶認證的流程:tomcat
從用戶認證咱們能夠抽取出這麼幾個概念安全
總結:主體在進行身份認證時須要提供身份信息和憑證信息。
用戶受權,簡單理解爲訪問控制,在用戶認證經過後,系統對用戶訪問資源進行控制,用戶具備資源的訪問權限方可訪問。
用戶受權的流程
受權的過程能夠簡單理解爲:主體認證以後,系統進行訪問控制
subject必須具有資源的訪問權限纔可訪問該資源..
權限/許可(permission) :針對資源的權限或許可,subject具備permission訪問資源,如何訪問/操做須要定義permission,權限好比:用戶添加、用戶修改、商品刪除
資源能夠分爲兩種
通常地,咱們能夠抽取出這麼幾個模型:
一般企業開發中將資源和權限表合併爲一張權限表,以下:
合併爲:
用戶須要分配相應的權限纔可訪問相應的資源。權限是對於資源的操做許可。
一般給用戶分配資源權限須要將權限信息持久化,好比存儲在關係數據庫中。把用戶信息、權限管理、用戶分配的權限信息寫到數據庫(權限數據模型)
RBAC(role based access control),基於角色的訪問控制。
//若是該user是部門經理則能夠訪問if中的代碼 if(user.hasRole('部門經理')){ //系統資源內容 //用戶報表查看 }
角色針對人劃分的,人做爲用戶在系統中屬於活動內容,若是該 角色能夠訪問的資源出現變動,須要修改你的代碼了,
if(user.hasRole('部門經理') || user.hasRole('總經理') ){ //系統資源內容 //用戶報表查看 }
基於角色的訪問控制是不利於系統維護(可擴展性不強)。
RBAC(Resource based access control),基於資源的訪問控制。
資源在系統中是不變的,好比資源有:類中的方法,頁面中的按鈕。
對資源的訪問須要具備permission權限,代碼能夠寫爲: if(user.hasPermission ('用戶報表查看(權限標識符)')){ //系統資源內容 //用戶報表查看 }
建議使用基於資源的訪問控制實現權限管理。
細粒度權限管理:對資源實例的權限管理。資源實例就資源類型的具體化,好比:用戶id爲001的修改鏈接,1110班的用戶信息、行政部的員工。細粒度權限管理就是數據級別的權限管理。
粗粒度權限管理好比:超級管理員能夠訪問戶添加頁面、用戶信息等所有頁面。部門管理員能夠訪問用戶信息頁面包括 頁面中全部按鈕。
粗粒度和細粒度例子:
系統有一個用戶列表查詢頁面,對用戶列表查詢分權限, 若是粗顆粒管理,張三和李四都有用戶列表查詢的權限,張三和李四均可以訪問用戶列表查詢。 進一步進行細顆粒管理,張三(行政部)和李四(開發部)只能夠查詢本身本部門的用戶信息。 張三隻能查看行政部 的用戶信息,李四隻能查看開發部門的用戶信息。 細粒度權限管理就是數據級別的權限管理。
粗粒度權限管理比較容易將權限管理的代碼抽取出來在系統架構級別統一處理。好比:經過springmvc的攔截器實現受權。
對細粒度權限管理在數據級別是沒有共性可言,針對細粒度權限管理就是系統業務邏輯的一部分,在業務層去處理相對比較簡單
好比:部門經理只查詢本部門員工信息,在service接口提供一個部門id的參數,controller中根據當前用戶的信息獲得該 用戶屬於哪一個部門,調用service時將部門id傳入service,實現該用戶只查詢本部門的員工。
基於url攔截的方式實如今實際開發中比較經常使用的一種方式。
對於web系統,經過filter過慮器實現url攔截,也能夠springmvc的攔截器實現基於url的攔截。
對於粗粒度權限管理,建議使用優秀權限管理框架來實現,節省開發成功,提升開發效率。
shiro就是一個優秀權限管理框架。
咱們在學習的路途上也是使用過幾回URL對權限進行攔截的
當時咱們作了權限的增刪該查的管理系統,可是在權限表中是沒有把資源添加進去,咱們使用的是Map集合來進行替代的。
http://blog.csdn.net/hon_3y/article/details/61926175
隨後,咱們學習了動態代理和註解,咱們也作了一個基於註解的攔截
http://blog.csdn.net/hon_3y/article/details/70767050
流程:
咱們以前認證都是放在默認的Javabean對象上的,如今既然咱們準備學Shiro了,咱們就得專業一點,弄一個專門存儲認證信息的JavaBean
/** * 用戶身份信息,存入session 因爲tomcat將session會序列化在本地硬盤上,因此使用Serializable接口 * * @author Thinkpad * */ public class ActiveUser implements java.io.Serializable { private String userid;//用戶id(主鍵) private String usercode;// 用戶帳號 private String username;// 用戶名稱 private List<SysPermission> menus;// 菜單 private List<SysPermission> permissions;// 權限 public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } public String getUsercode() { return usercode; } public void setUsercode(String usercode) { this.usercode = usercode; } public String getUserid() { return userid; } public void setUserid(String userid) { this.userid = userid; } public List<SysPermission> getMenus() { return menus; } public void setMenus(List<SysPermission> menus) { this.menus = menus; } public List<SysPermission> getPermissions() { return permissions; } public void setPermissions(List<SysPermission> permissions) { this.permissions = permissions; } }
認證的服務
@Override public ActiveUser authenticat(String userCode, String password) throws Exception { /** 認證過程: 根據用戶身份(帳號)查詢數據庫,若是查詢不到用戶不存在 對輸入的密碼 和數據庫密碼 進行比對,若是一致,認證經過 */ //根據用戶帳號查詢數據庫 SysUser sysUser = this.findSysUserByUserCode(userCode); if(sysUser == null){ //拋出異常 throw new CustomException("用戶帳號不存在"); } //數據庫密碼 (md5密碼 ) String password_db = sysUser.getPassword(); //對輸入的密碼 和數據庫密碼 進行比對,若是一致,認證經過 //對頁面輸入的密碼 進行md5加密 String password_input_md5 = new MD5().getMD5ofStr(password); if(!password_input_md5.equalsIgnoreCase(password_db)){ //拋出異常 throw new CustomException("用戶名或密碼 錯誤"); } //獲得用戶id String userid = sysUser.getId(); //根據用戶id查詢菜單 List<SysPermission> menus =this.findMenuListByUserId(userid); //根據用戶id查詢權限url List<SysPermission> permissions = this.findPermissionListByUserId(userid); //認證經過,返回用戶身份信息 ActiveUser activeUser = new ActiveUser(); activeUser.setUserid(sysUser.getId()); activeUser.setUsercode(userCode); activeUser.setUsername(sysUser.getUsername());//用戶名稱 //放入權限範圍的菜單和url activeUser.setMenus(menus); activeUser.setPermissions(permissions); return activeUser; }
Controller處理認證,若是身份認證成功,那麼把認證信息存儲在Session中
@RequestMapping("/login") public String login(HttpSession session, String randomcode,String usercode,String password)throws Exception{ //校驗驗證碼,防止惡性攻擊 //從session獲取正確驗證碼 String validateCode = (String) session.getAttribute("validateCode"); //輸入的驗證和session中的驗證進行對比 if(!randomcode.equals(validateCode)){ //拋出異常 throw new CustomException("驗證碼輸入錯誤"); } //調用service校驗用戶帳號和密碼的正確性 ActiveUser activeUser = sysService.authenticat(usercode, password); //若是service校驗經過,將用戶身份記錄到session session.setAttribute("activeUser", activeUser); //重定向到商品查詢頁面 return "redirect:/first.action"; }
身份認證攔截器
//在執行handler以前來執行的 //用於用戶認證校驗、用戶權限校驗 @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //獲得請求的url String url = request.getRequestURI(); //判斷是不是公開 地址 //實際開發中須要公開 地址配置在配置文件中 //從配置中取逆名訪問url List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL"); //遍歷公開 地址,若是是公開 地址則放行 for(String open_url:open_urls){ if(url.indexOf(open_url)>=0){ //若是是公開 地址則放行 return true; } } //判斷用戶身份在session中是否存在 HttpSession session = request.getSession(); ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser"); //若是用戶身份在session中存在放行 if(activeUser!=null){ return true; } //執行到這裏攔截,跳轉到登錄頁面,用戶進行身份認證 request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request, response); //若是返回false表示攔截不繼續執行handler,若是返回true表示放行 return false; }
受權攔截器
//在執行handler以前來執行的 //用於用戶認證校驗、用戶權限校驗 @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //獲得請求的url String url = request.getRequestURI(); //判斷是不是公開 地址 //實際開發中須要公開 地址配置在配置文件中 //從配置中取逆名訪問url List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL"); //遍歷公開 地址,若是是公開 地址則放行 for(String open_url:open_urls){ if(url.indexOf(open_url)>=0){ //若是是公開 地址則放行 return true; } } //從配置文件中獲取公共訪問地址 List<String> common_urls = ResourcesUtil.gekeyList("commonURL"); //遍歷公用 地址,若是是公用 地址則放行 for(String common_url:common_urls){ if(url.indexOf(common_url)>=0){ //若是是公開 地址則放行 return true; } } //獲取session HttpSession session = request.getSession(); ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser"); //從session中取權限範圍的url List<SysPermission> permissions = activeUser.getPermissions(); for(SysPermission sysPermission:permissions){ //權限的url String permission_url = sysPermission.getUrl(); if(url.indexOf(permission_url)>=0){ //若是是權限的url 地址則放行 return true; } } //執行到這裏攔截,跳轉到無權訪問的提示頁面 request.getRequestDispatcher("/WEB-INF/jsp/refuse.jsp").forward(request, response); //若是返回false表示攔截不繼續執行handler,若是返回true表示放行 return false; }
攔截器配置:
<!--攔截器 --> <mvc:interceptors> <mvc:interceptor> <!-- 用戶認證攔截 --> <mvc:mapping path="/**" /> <bean class="cn.itcast.ssm.controller.interceptor.LoginInterceptor"></bean> </mvc:interceptor> <mvc:interceptor> <!-- 受權攔截 --> <mvc:mapping path="/**" /> <bean class="cn.itcast.ssm.controller.interceptor.PermissionInterceptor"></bean> </mvc:interceptor> </mvc:interceptors>
shiro是apache的一個開源框架,是一個權限管理的框架,實現 用戶認證、用戶受權。
spring中有spring security (原名Acegi),是一個權限框架,它和spring依賴過於緊密,沒有shiro使用簡單。
shiro不依賴於spring,shiro不只能夠實現 web應用的權限管理,還能夠實現c/s系統,分佈式系統權限管理,shiro屬於輕量框架,愈來愈多企業項目開始使用shiro。
Shiro架構:
cryptography:密碼管理,提供了一套加密/解密的組件,方便開發。好比提供經常使用的散列、加/解密等功能。
咱們在使用URL攔截的時候,要將全部的URL都配置起來,繁瑣、不易維護
而咱們的Shiro實現系統的權限管理,有效提升開發效率,從而下降開發成本。
咱們使用的是Maven的座標就好了
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-quartz</artifactId> <version>1.2.3</version> </dependency>
固然了,咱們也能夠把Shiro相關的jar包所有導入進去
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.3</version> </dependency>
// 用戶登錄和退出 @Test public void testLoginAndLogout() { // 建立securityManager工廠,經過ini配置文件建立securityManager工廠 Factory<SecurityManager> factory = new IniSecurityManagerFactory( "classpath:shiro-first.ini"); // 建立SecurityManager SecurityManager securityManager = factory.getInstance(); // 將securityManager設置當前的運行環境中 SecurityUtils.setSecurityManager(securityManager); // 從SecurityUtils裏邊建立一個subject Subject subject = SecurityUtils.getSubject(); // 在認證提交前準備token(令牌) // 這裏的帳號和密碼 未來是由用戶輸入進去 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "111111"); try { // 執行認證提交 subject.login(token); } catch (AuthenticationException e) { // TODO Auto-generated catch block e.printStackTrace(); } // 是否定證經過 boolean isAuthenticated = subject.isAuthenticated(); System.out.println("是否定證經過:" + isAuthenticated); // 退出操做 subject.logout(); // 是否定證經過 isAuthenticated = subject.isAuthenticated(); System.out.println("是否定證經過:" + isAuthenticated); }
ModularRealmAuthenticator做用進行認證,須要調用realm查詢用戶信息(在數據庫中存在用戶信息)
ModularRealmAuthenticator進行密碼對比(認證過程)。
realm:須要根據token中的身份信息去查詢數據庫(入門程序使用ini配置文件),若是查到用戶返回認證信息,若是查詢不到返回null。
從第一個認證程序咱們能夠看見,咱們所說的流程,是認證器去找realm去查詢咱們相對應的數據。而默認的realm是直接去與配置文件來比對的,通常地,咱們在開發中都是讓realm去數據庫中比對。
所以,咱們須要自定義realm
public class CustomRealm extends AuthorizingRealm { // 設置realm的名稱 @Override public void setName(String name) { super.setName("customRealm"); } // 用於認證 @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken token) throws AuthenticationException { // token是用戶輸入的 // 第一步從token中取出身份信息 String userCode = (String) token.getPrincipal(); // 第二步:根據用戶輸入的userCode從數據庫查詢 // .... // 若是查詢不到返回null //數據庫中用戶帳號是zhangsansan /*if(!userCode.equals("zhangsansan")){// return null; }*/ // 模擬從數據庫查詢到密碼 String password = "111112"; // 若是查詢到返回認證信息AuthenticationInfo SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo( userCode, password, this.getName()); return simpleAuthenticationInfo; } // 用於受權 @Override protected AuthorizationInfo doGetAuthorizationInfo( PrincipalCollection principals) { // TODO Auto-generated method stub return null; } }
須要在shiro-realm.ini配置realm注入到securityManager中。
同上邊的入門程序,須要更改ini配置文件路徑:
同上邊的入門程序,須要更改ini配置文件路徑: Factory<SecurityManager> factory = new IniSecurityManagerFactory( "classpath:shiro-realm.ini");
咱們若是知道md5,咱們就會知道md5是不可逆的,可是若是設置了一些安全性比較低的密碼:111111...即時是不可逆的,但仍是能夠經過暴力算法來獲得md5對應的明文...
建議對md5進行散列時加salt(鹽),進行加密至關 於對原始密碼+鹽進行散列。\
正常使用時散列方法:
測試:
public class MD5Test { public static void main(String[] args) { //原始 密碼 String source = "111111"; //鹽 String salt = "qwerty"; //散列次數 int hashIterations = 2; //上邊散列1次:f3694f162729b7d0254c6e40260bf15c //上邊散列2次:36f2dfa24d0a9fa97276abbe13e596fc //構造方法中: //第一個參數:明文,原始密碼 //第二個參數:鹽,經過使用隨機數 //第三個參數:散列的次數,好比散列兩次,至關 於md5(md5('')) Md5Hash md5Hash = new Md5Hash(source, salt, hashIterations); String password_md5 = md5Hash.toString(); System.out.println(password_md5); //第一個參數:散列算法 SimpleHash simpleHash = new SimpleHash("md5", source, salt, hashIterations); System.out.println(simpleHash.toString()); } }
自定義realm
public class CustomRealmMd5 extends AuthorizingRealm { // 設置realm的名稱 @Override public void setName(String name) { super.setName("customRealmMd5"); } // 用於認證 @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken token) throws AuthenticationException { // token是用戶輸入的 // 第一步從token中取出身份信息 String userCode = (String) token.getPrincipal(); // 第二步:根據用戶輸入的userCode從數據庫查詢 // .... // 若是查詢不到返回null // 數據庫中用戶帳號是zhangsansan /* * if(!userCode.equals("zhangsansan")){// return null; } */ // 模擬從數據庫查詢到密碼,散列值 String password = "f3694f162729b7d0254c6e40260bf15c"; // 從數據庫獲取salt String salt = "qwerty"; //上邊散列值和鹽對應的明文:111111 // 若是查詢到返回認證信息AuthenticationInfo SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo( userCode, password, ByteSource.Util.bytes(salt), this.getName()); return simpleAuthenticationInfo; } // 用於受權 @Override protected AuthorizationInfo doGetAuthorizationInfo( PrincipalCollection principals) { // TODO Auto-generated method stub return null; } }
配置文件:
測試:
// 自定義realm實現散列值匹配 @Test public void testCustomRealmMd5() { // 建立securityManager工廠,經過ini配置文件建立securityManager工廠 Factory<SecurityManager> factory = new IniSecurityManagerFactory( "classpath:shiro-realm-md5.ini"); // 建立SecurityManager SecurityManager securityManager = factory.getInstance(); // 將securityManager設置當前的運行環境中 SecurityUtils.setSecurityManager(securityManager); // 從SecurityUtils裏邊建立一個subject Subject subject = SecurityUtils.getSubject(); // 在認證提交前準備token(令牌) // 這裏的帳號和密碼 未來是由用戶輸入進去 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "222222"); try { // 執行認證提交 subject.login(token); } catch (AuthenticationException e) { // TODO Auto-generated catch block e.printStackTrace(); } // 是否定證經過 boolean isAuthenticated = subject.isAuthenticated(); System.out.println("是否定證經過:" + isAuthenticated); }
若是文章有錯的地方歡迎指正,你們互相交流。習慣在微信看技術文章,想要獲取更多的Java資源的同窗,能夠 關注微信公衆號:Java3y