一:基础概念
什么是权限管理
权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。
用户身份认证
就是判断一个用户是否为合法用户的处理过程。最简单的身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致。来判断用户身份是否正确。
授权
授权,即访问控制,控制谁能访问那些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限无法访问。
权限模型
模型一:
主体(账号、密码)
资源(资源名称,访问地址)
权限(权限名称,资源id)
角色(角色名称)
角色和权限的关系(角色id,权限id)
主体和角色关系(主体id,角色id)
模型二:
主体(账号‘密码’’)
资源(资源名称,访问地址,权限名称)----》将资源和权限合并
角色(角色名称)
角色和权限关系(角色id,权限id)
主体和角色关系(主体id,角色id)
访问控制
基于角色的访问控制:
RBAC基于角色的访问控制(Role-Based Access Control)以角色为中心进行访问控制。基于资源的访问控制:
RBAC基于资源的访问控制(Resource-Based Access Control)以资源为中心访问控制。
权限管理解决方案
粗粒度的权限管理:
只控制到菜单、按钮、方法的为粗粒度权限管理
例如:用户具有商品管理的权限细粒度的权限管理:
对资源实例的控制称为细粒度权限管理
例如:用户具有商品添加的权限
二:shrio
shiro架构
subject
subject即主体,外部应用于subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体。也就是说,subject可以是通过浏览器发送请求的用户,也可能是一个运行的程序性。
subject在shiro中是一个接口,接口中定义了很多认证授权相关的方法,外部程序通过subject进行认证授权,而subject是用过securityManager安全管理器进行认证授权的
SecurityManager
SecurityManager即安全管理器,对全部的subject进行安全管理,他是shiro的核心,负责对所有的subject进行安全管理。通过securityManager可以完成subject的认证,授权等。而实质上SecurityManager是用过Authenticator进行认证,通过Authorizer进行授权,通过SessioManager进行会话管理等。
SecurityManager是一个接口,继承了Authenticator,Authorizer,SessionManager这三个接口
Authenticator
Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器
Authorizer
Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否具有此功能的操作权限
Reaml
Realm即领域,相当于Datasource数据源,SecurityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库,那么realm就需要从数据库中获取用户身份认证信息。
SessionManager
sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式一行用的会话集中在一点管理,此特性可以实现单点登录
SessionDAO
SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc讲会话存储到数据库
CacheManager
CacheManager即缓存管理,将用户权限数据存储在关村,这样可以提高性能
Cryptography
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发,比如提供常用的散列、加/解密等功能
三、入门程序
ini配置文件:
java程序:
结果:
认证执行流程
1.创建token令牌,token中有用户提交的认证信息即账号和密码
2.执行subject.login(token),最终由securityManager通过Authenticator进行认证
3.Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码(这里使用的是IniRealm)
4.IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModularRealmAuthenticator返回null、如果找到则匹配密码,匹配密码成功则认证通过
常见的异常
UnknownAccountException
账号不存在:
org.apache.shiro.authc.UnknownAccountException: No account found for usernIncorrectCredentialsException
密码错误
org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token账号被禁用DisabledAccountException
帐号被锁定LockedAccountException
登录失败次数过多ExcessiveAttemptsException
凭证过期ExpiredCredentialsException
四,自定义Realm
Shiro提供的Realm
自定义Realm实现身份认证
* 不带加密算法
ini配置:
自定义Realm
测试:
结果:
*带加密算法
ini配置:
自定义Realm:
测试:
结果:
自定义Reaml实现授权
授权方式:
三种方式的授权:
* 编程式:通过if/else代码完成
Subject subject =SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有权限
}else{
//无权限
}*注解式:通过在执行的Java方法上放置相应的注解完成
@RequiresRoles("admin")
public void test(){
//有权限
}*Jsp/Gsp标签:在JSP/GSP 页面通过相应的标签完成
<shiro:hasRole name="admin">
<!--有权限-->
</shiro:hasRole>
权限字符串规则
权限字符串的规则是:“资源标识符:操作:资源实例标识符”,意思是对哪个资源的哪个实例具有什么操作,“:”是资源/操作/实例的分割符,权限字符串也可以使用*通配符。
例子:
用户创建权限:user:create,或user:create:*
用户修改实例001的权限:user:update:001
用户实例001的所有权限:user:*:001
ini配置:
自定义Realm
测试:
结果:
授权执行流程:
1、执行subject.isPermitted("user:create")
2、securityManager通过ModularRealmAuthorizer进行授权
3、ModularRealmAuthorizer调用realm获取权限信息
ModularRealmAuthorizer再通过permissionResolver解析权限字符串,校验是否匹配