shiro

一:基础概念

什么是权限管理

权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。

用户身份认证

就是判断一个用户是否为合法用户的处理过程。最简单的身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致。来判断用户身份是否正确。

授权

授权,即访问控制,控制谁能访问那些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限无法访问。

权限模型

模型一:

主体(账号、密码)
资源(资源名称,访问地址)
权限(权限名称,资源id)
角色(角色名称)
角色和权限的关系(角色id,权限id)
主体和角色关系(主体id,角色id)

模型1

模型二:

主体(账号‘密码’’)
资源(资源名称,访问地址,权限名称)----》将资源和权限合并
角色(角色名称)
角色和权限关系(角色id,权限id)
主体和角色关系(主体id,角色id)

模型2

访问控制

基于角色的访问控制:
RBAC基于角色的访问控制(Role-Based Access Control)以角色为中心进行访问控制。

基于资源的访问控制:
RBAC基于资源的访问控制(Resource-Based Access Control)以资源为中心访问控制。

权限管理解决方案

粗粒度的权限管理:
只控制到菜单、按钮、方法的为粗粒度权限管理
例如:用户具有商品管理的权限

细粒度的权限管理:
对资源实例的控制称为细粒度权限管理
例如:用户具有商品添加的权限

二:shrio

shiro架构

shiro架构

subject

subject即主体,外部应用于subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体。也就是说,subject可以是通过浏览器发送请求的用户,也可能是一个运行的程序性。
subject在shiro中是一个接口,接口中定义了很多认证授权相关的方法,外部程序通过subject进行认证授权,而subject是用过securityManager安全管理器进行认证授权的

SecurityManager

SecurityManager即安全管理器,对全部的subject进行安全管理,他是shiro的核心,负责对所有的subject进行安全管理。通过securityManager可以完成subject的认证,授权等。而实质上SecurityManager是用过Authenticator进行认证,通过Authorizer进行授权,通过SessioManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator,Authorizer,SessionManager这三个接口

Authenticator

Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器

Authorizer

Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否具有此功能的操作权限

Reaml

Realm即领域,相当于Datasource数据源,SecurityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库,那么realm就需要从数据库中获取用户身份认证信息。

SessionManager

sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式一行用的会话集中在一点管理,此特性可以实现单点登录

SessionDAO

SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc讲会话存储到数据库

CacheManager

CacheManager即缓存管理,将用户权限数据存储在关村,这样可以提高性能

Cryptography

Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发,比如提供常用的散列、加/解密等功能

三、入门程序

ini配置文件:

ini

java程序:

结果:

认证执行流程

1.创建token令牌,token中有用户提交的认证信息即账号和密码
2.执行subject.login(token),最终由securityManager通过Authenticator进行认证
3.Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码(这里使用的是IniRealm)
4.IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModularRealmAuthenticator返回null、如果找到则匹配密码,匹配密码成功则认证通过

常见的异常

UnknownAccountException
账号不存在:
org.apache.shiro.authc.UnknownAccountException: No account found for user

nIncorrectCredentialsException
密码错误
org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token

账号被禁用DisabledAccountException
帐号被锁定LockedAccountException
登录失败次数过多ExcessiveAttemptsException
凭证过期ExpiredCredentialsException

四,自定义Realm

Shiro提供的Realm


自定义Realm实现身份认证
* 不带加密算法

ini配置:

自定义Realm

测试:

结果:

*带加密算法

ini配置:

自定义Realm:

测试:

结果:

自定义Reaml实现授权

授权方式:

三种方式的授权:

* 编程式:通过if/else代码完成
Subject subject =SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有权限
}else{
//无权限
}

*注解式:通过在执行的Java方法上放置相应的注解完成
@RequiresRoles("admin")
public void test(){
//有权限
}

*Jsp/Gsp标签:在JSP/GSP 页面通过相应的标签完成
<shiro:hasRole name="admin">
<!--有权限-->
</shiro:hasRole>

权限字符串规则

权限字符串的规则是:“资源标识符:操作:资源实例标识符”,意思是对哪个资源的哪个实例具有什么操作,“:”是资源/操作/实例的分割符,权限字符串也可以使用*通配符。

例子:

用户创建权限:user:create,或user:create:*

用户修改实001的权限:user:update:001

用户实例001的所有权限:user:*:001

ini配置:

自定义Realm

测试:

结果:

授权执行流程:


1、执行subject.isPermitted("user:create")
2、securityManager通过ModularRealmAuthorizer进行授权
3、ModularRealmAuthorizer调用realm获取权限信息
ModularRealmAuthorizer再通过permissionResolver解析权限字符串,校验是否匹配

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,214评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,307评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,543评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,221评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,224评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,007评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,313评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,956评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,441评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,925评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,018评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,685评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,234评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,240评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,464评论 1 261
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,467评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,762评论 2 345

推荐阅读更多精彩内容

  • 前言 Spring boot 是什么,网上的很多介绍,这里博客就不多介绍了。如果不明白Spring boot是什么...
    xuezhijian阅读 17,898评论 13 39
  • 文章转载自:http://blog.csdn.net/w1196726224/article/details/53...
    wangzaiplus阅读 3,388评论 0 3
  • 一 shiro 是什么 shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的解决...
    司鑫阅读 58,213评论 17 98
  • Shiro(代码) 1.1 简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shi...
    ZZS_简阅读 484评论 0 0
  • 构建一个互联网应用,权限校验管理是很重要的安全措施,这其中主要包含: 认证 - 用户身份识别,即登录 授权 - 访...
    zhuke阅读 3,491评论 0 30