简单又灵活的安全框架--Shiro构架和身份认证流程
原创简单又灵活的安全框架--Shiro构架和身份认证流程
原创
Apache Shiro是一款强大易用的安全框架,它可以在任何应用环境中使用,能够跟第三方框架良好的耦合,它的设计目标就是简化应用程序的安全工作管理。那Shiro究竟是如何工作的?
我们先来看看架构总览:
值得一提的是Shiro不提供用户权限的维护,而是从一个或多个配置好的Realms(相当于DAO)中寻找相关数据,来完成用户的授权管理和身份验证(登录)。
一、Shiro的详细架构
(参考http://jinnianshilongnian.iteye.com/blog/2018936)
1.Subject:任何可以与应用交互的“用户”。
2.SecurityManager:安全管理器,是Shiro的心脏,负责与其他组件的交互。
3.Authenticator:验证是否有身份,就是平常说的登录。
4.Authorizer:授权器,用来判断当前用户是否具有权限进行相关操作。
5.SessionManager:管理Session的组件。
6.CacheManager:用来管理用户的身份,权限,角色等的缓存。
7.Cryptography:用于密码的加密解密加盐值操作。
8.Realm:代表一个或多个的安全实体数据源。
通过上面的各个组件我们可以完成认证、授权、会话管理、加密/解密、记住我、允许一个用户假装为另一个用户等安全相关功能。
二、身份认证的流程
认证说白了就是登录,下面的例子展示了认证的过程
package com.liugh;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
public class Quickstart {
private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);
public static void main(String[] args) {
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
// 获取当前的 Subject. 调用 SecurityUtils.getSubject();
Subject currentUser = SecurityUtils.getSubject();
// 测试使用 Session
// 获取 Session: Subject#getSession()
Session session = currentUser.getSession();
session.setAttribute("someKey", "aValue");
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
log.info("---> 检索正确的值[" + value + "]");
}
// 测试当前的用户是否已经被认证. 即是否已经登录.
// 调动 Subject 的 isAuthenticated()
if (!currentUser.isAuthenticated()) {
// 把用户名和密码封装为 UsernamePasswordToken 对象
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
// rememberme
token.setRememberMe(true);
try {
// 执行登录.
currentUser.login(token);
}
// 若没有指定的账户, 则 shiro 将会抛出 UnknownAccountException 异常.
catch (UnknownAccountException uae) {
log.info("---->没有查询到用户名" + token.getPrincipal());
return;
}
// 若账户存在, 但密码不匹配, 则 shiro 会抛出 IncorrectCredentialsException 异常。
catch (IncorrectCredentialsException ice) {
log.info("----> 用户的密码错误 " + token.getPrincipal());
return;
}
// 用户被锁定的异常 LockedAccountException
catch (LockedAccountException lae) {
log.info("用户: " + token.getPrincipal() + " 被锁定 " +
"请与管理员联系解锁它。");
}
// 所有认证时异常的父类.
catch (AuthenticationException ae) {
}
}
log.info("----> 用户 [" + currentUser.getPrincipal() + "] 登录成功.");
// 测试是否有某一个角色. 调用 Subject 的 hasRole 方法.
if (currentUser.hasRole("admin")) {
log.info("----> 当前用户有管理员的角色");
} else {
log.info("----> 当前用户是个普通人");
return;
}
// 测试用户是否具备某一个行为,用户张三是否具备删除操作?
if (currentUser.isPermitted("user:delete:zhangsan")) {
log.info("zhangsan 用户具备了删除的操作");
} else {
log.info("zhangsan 用户不具备删除的操作");
}
// 执行登出. 调用 Subject 的 Logout() 方法.
System.out.println("---->" + currentUser.isAuthenticated());
currentUser.logout();
System.out.println("---->" + currentUser.isAuthenticated());
System.exit(0);
}
}整个过程其实不难,我们总结一下
1. 调用 SecurityUtils.getSubject(),获取当前的 Subject.; 2. 调用 Subject 的 isAuthenticated() 测试有没有登录。 3. 若用户没有被登录。则把用户名和密码封装成 UsernamePasswordToken 对象
- 创建一个表单页面
- 把请求提交到 SpringMVC 的 Handler
- 获取用户名和密码.
4. 调用 Subject 的 login(AuthenticationToken) 方法进行登录操作 。 5. 自定义 Realm 的方法,从数据库中获取对应的记录,返回给 Shiro。
6. Shior进行密码比对操作。
在实际开发中,第123步其实都在Spring MVC 的Handler里完成的,如果只需要认证的话,继承AuthenticatingRealm.class并重写抽象方法doGetAuthenticationInfo,进行用户查询,是否被锁定,密码加密加盐值比对操作等。这些要怎么做呢?敬请期待下一篇文章:
简单又灵活的安全框架--Shiro密码比对和授权
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。