您的位置: 首页  >  文章  >  shiro、ehcache教程

shiro、ehcache教程

分类: 文章 2024-10-01 15:11:34
  1. 权限概述(认证、授权)
  1. 系统提供了很多功能,并不是所有的用户登录系统都可以操作这些功能。我们需要对用户的访问进行控制
    1. 登录用户-【超级管理员】-【客服】-【快递员】-【人事】- 【财务】-角色
  2. 认证:系统提供的用于识别用户身份的功能(通常是登录功能)-----让系统知道你是谁
  3. 授权:系统提供的赋予用户访问某个功能的能力-----让系统知道你能做什么

 

  1. 常见的权限控制的方式
  1. 第一种:URL拦截权限控制(基于过滤器或者拦截器)

shiro、ehcache教程

 

 

  1. 第二种:方法注解权限控制(基于代理技术)

 

  1. 权限模块数据模型
    1. 权限的表设计
  1. 用户表:t_user
  2. 用户角色关系表:user_role
  3. 角色表:auth_role
  4. 角色权限关系表:role_function
  5. 权限表:auth_function

shiro、ehcache教程

 

  1. apache shiro
    1. Apache Shiro简介
  1. 是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密
  2. 使用 Shiro,您就能够为您的应用程序提供安全性而又无需从头编写所有代码。
  1. 官网:http://shiro.apache.org/
  2. 提供的功能

shiro、ehcache教程

 

 

    1. Apache Shiro能做的事情
  • 验证用户
  • 对用户执行访问控制,如:

判断用户是否拥有角色admin。

判断用户是否拥有访问的权限

  • 在任何环境下使用 Session API。例如CS程序。
  • 可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。
  • 单点登录(SSO)功能。
  • “Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。

 

 

    1. 单点登录(SSO)【了解】
  2. 单点登录(Single Sign On)简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。
  3. SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
  4. 举例:登录了淘宝,不用登录也可以天猫

 

    1. Shiro4大功能

shiro、ehcache教程

 

  1. Authentication:身份验证,简称“登录”。
  2. Authorization:授权,给用户分配角色或者权限资源
  3. Session Management:用户session管理器,可以让CS程序也使用session来控制权限
  4. Cryptography:把JDK中复杂的密码加密方式进行封装。

 

    1. Shiro其它扩展功能
  2. Web Support:主要针对web应用提供一些常用功能。
  3. Caching:缓存可以使应用程序运行更有效率。
  4. Concurrency:多线程相关功能。
  5. Testing:帮助我们进行测试相关功能
  6. "Run As":一个允许用户假设为另一个用户身份(如果允许)的功能,有时候在管理脚本很有用。
  7. “Remember Me”:记住用户身份,提供类似购物车功能。
    1. Shiro的下载
  1. 访问官网下载shiro-all-1.3.2.jar即可
  2. 源码下载:https://github.com/apache/shiro
  3. shiro-cas:用于单点登录
  4. shiro-quartz:用于定时任务调度

shiro、ehcache教程

 

    1. Shiro的的包结构

shiro、ehcache教程

 

    1. Shiro的工作原理图

shiro、ehcache教程

 

 

    1. ShiroSubject
  2. Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。
  3. 所有Subject 实例都必须绑定到一个SecurityManager上。
  4. 我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。

 

    1. Shiro的SecurityManager
  2. SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。
  3. 然而,一旦 SecurityManager协调完毕,SecurityManager 会被单独留下,且我们只需要去操作Subject即可,无需操作SecurityManager 。
  4. 但是我们得知道,当我们正与一个 Subject 进行交互时,实质上是 SecurityManager在处理 Subject 安全操作。

 

    1. Shiro的Realm
  2. Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。
  3. 他获取安全数据来判断subject是否能够登录,subject拥有什么权限。他有点类似DAO
  4. 在配置realms时,需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源,如
    • LDAP数据源的JndiLdapRealm,
    • JDBC数据源的JdbcRealm,
    • ini文件数据源的IniRealm,
    • properties文件数据源的PropertiesRealm,等等。
  5. 我们也可以插入自己的 Realm实现来代表自定义的数据源。
  6. 像其他组件一样,Realms也是由SecurityManager控制

 

    1. Shiro的知识总结图

shiro、ehcache教程

 

    1. Shiro的过滤器拦截器
  2. Shiro提供了很多过滤器

shiro、ehcache教程

 

  1. anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
  2. authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
  3. roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,

例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。

  1. perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割

例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

  1. rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
  2. port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,

其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。

  1. authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
  2. ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
  3. user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
  4. 注:anon,authcBasic,auchc,user是认证过滤器,perms,roles,ssl,rest,port是授权过滤器

 

  1. Shiro与Spring的整合(shiro的认证功能)

以前使用struts的拦截器Interceptor实现【干掉】

  1. 实现shiro的认证功能
    1. 步骤:
    2. 第一步:
  1. 导入shiro-all-1.3.2.jar包
    1. 第二步:
  2. 在web.xml配置一个过滤器代理,(这个代理是属于spring-web.jar里的 )

<filter>

<filter-name>shiroFilter</filter-name>

<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

</filter>

<filter-mapping>

<filter-name>shiroFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

 

  1. 配置完后,直接运行会有正面的错误,需要在spring中配置一个过滤器

shiro、ehcache教程

 

 

    1. 第三步:
  2. 配置shiro的一个过滤器bean
  3. Shiro提供了一个ShiroFilterFactoryBean 工厂Bean
  4. 这个工厂Bean有一些属性要设置

shiro、ehcache教程
  1.  

<!-- 配置shiro的过滤器bean -->

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

<property name="securityManager" ref="securityManager"></property>

<!-- 登录页面路径 -->

<property name="loginUrl" value="/login.jsp"/>

<!-- 登录成功后显示的路径 -->

<property name="successUrl" value="/index.jsp"></property>

<!-- 未授权的页面提示 -->

<property name="unauthorizedUrl" value="/unauthorize.jsp"></property>

<!-- url拦截规则  -->

<property name="filterChainDefinitions">

<value>

/validatecode.jsp* = anon

/userAction_login = anon

/* = authc

</value>

</property>

</bean>

 

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

 

</bean>

 

    1. 第四步:
  2. 修改Action的登录逻辑

public String login(){

HttpServletRequest request = ServletActionContext.getRequest();

 

String checkCodeInSession = (String) request.getSession().getAttribute("key");

if(StringUtils.isNotBlank(checkCodeInSession) && checkCodeInSession.equals(this.checkcode)){

//1.返回当前的用户,未认证状态

Subject subject = SecurityUtils.getSubject();

 

//2.构造一个用户令牌

String pwd = MD5Utils.md5(model.getPassword());

String name = model.getUsername();

AuthenticationToken token = new UsernamePasswordToken(name,pwd);

 

try {

//登录验证

subject.login(token);

//登录失败会抛出异常

} catch (AuthenticationException  e) {

//UnknownAccountException

this.addActionError("用户名密码不正确");

return "loginfailure";

}

User user = (User) subject.getPrincipal();

ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);

return "home";

}else{

this.addActionError("验证码不正确");

return "loginfailure";

}

 

 

}

 

    1. 第五步:
  2. 自定义一个Rleam,然后在spring的DefaultWebSecurityManager中注入Realm

public class BOSRealm extends AuthorizingRealm{

@Autowired

private IUserDao userDao;

 

//认证方法

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

// TODO Auto-generated method stub

// TODO Auto-generated method stub

UsernamePasswordToken upToken = (UsernamePasswordToken) token;

String username = upToken.getUsername();

User user = userDao.findByUsername(username);

if(user == null){

//用户不存在

}else{

//获取密码

String pwd = user.getPassword();

/*返回简单认证信息对象

 * principal the 'primary' principal associated with the specified realm

 * .credentials the credentials that verify the given principal

 * .realmName the realm from where the principal and credentials were acquired

 * 参数1:与指定realm关联的主体(用户)

 * 参数2:密码

 * 参数3:当前类名

 * */

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo

(user, pwd, this.getClass().getSimpleName());

return info;//返回后,由安全管理器比较密码是否正确

}

System.out.println("AuthenticatingRealm-doGetAuthenticationInfo");

return null;

}

 

//授权方法

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

 

 

return null;

}

}

 

    1. 第六步:

在securityMananger中配置一个realm

shiro、ehcache教程

  1. Shiro的授权功能初次体验
    1. 步骤:
    2. 第一步:
  1. 在spring的filterChainDefinitions多配置一个路径的访问权限
  2. page_base_staff = perms["staff"]
    1. 第二步:
  1. 在BosRealm中的授权方法中,进行授权

//授权方法

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

info.addStringPermission("staff");

return info;

}

 

    1. 第三步:
  2. 在配置成page_base_staff = roles["staff"]
  1. 不改代码情况下,page_base_staff会没有权限访问,需要在第二步中添加角色

 

  1. Shiro提供权限的控制方式
    1. URL拦截权限控制
    2. 方法注解权限控制

步骤

      1. 第一步:
  2. 在spring中配置shiro注解

<!-- 开启shiro注解 -->

<!-- 自动代理 -->

<bean id="defaultAdvisorAutoProxyCreator" 

class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">

<!-- 强制使用cglib为Action创建代理对象 -->

<property name="proxyTargetClass" value="true"></property>

</bean>

 

<!-- 切面类 -->

<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
      1. 第二步:
  2. 在Action的方法上使用shiro的注解描述执行当前方法需要具有的权限
  3. 这里给StaffAction的save方法添加一个staff权限

@RequiresPermissions(value="staff")

public String save(){

 

return "list";

}

 

 

https://www.cnblogs.com/ToddleLobster/articles/7941624.html 

http://www.iteye.com/problems/94322

 

第三步

  1. 在spring中配置一个staffAction的Bean

shiro、ehcache教程

 

  1. 在Action中无法注入Service的情况,手动创建一个action的bean即可,这个具体原因还没研究透

 

      1. 第五步:

配置一个全局的权限url

shiro、ehcache教程

 

      1. 第六步:
  2. 在BOSRealm添加授权staff的权限

shiro、ehcache教程

 

 

 

    1. 页面标签权限控制

第一步:在jsp页面中引入shiro的标签

shiro、ehcache教程

第二步:使用shiro的标签根据当前用户拥有的权限动态展示页面元素

<shiro:hasPermission name="staff">

<a id="save" icon="icon-save" href="#" class="easyui-linkbutton" plain="true" >保存</a>

</shiro:hasPermission>

 

    1. 代码级别控制

shiro、ehcache教程

 

使用ehcache缓存权限数据

第一步:导入ehcache的jar包项目中

第二步:提供ehcache的xml配置文件(可以从jar包中获得)

<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">

 

    <diskStore path="java.io.tmpdir"/>

    <defaultCache

            maxElementsInMemory="10000"

            eternal="false"

            timeToIdleSeconds="120"

            timeToLiveSeconds="120"

            overflowToDisk="true"

            maxElementsOnDisk="10000000"

            diskPersistent="false"

            diskExpiryThreadIntervalSeconds="120"

            memoryStoreEvictionPolicy="LRU"

            />

</ehcache>  

 

 

第三步:在spring配置文件中添加授权缓存策略

    <bean id="realm" class="com.gyf.bos.web.shiro.BOSRealm"></bean>

<!-- 注册缓存管理器 -->

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

<!-- 注入ehcache配置文件 -->

<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/>

</bean>

 

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

<property name="realm" ref="realm"></property>

<!-- 注入缓存管理器 -->

<property name="cacheManager" ref="cacheManager"/>

</bean>

转载于:https://my.oschina.net/zhengchen/blog/3098620

相关推荐