文档章节

极简入门,Shiro的认证与授权流程解析

MarkerHub
 MarkerHub
发布于 05/07 09:49
字数 2228
阅读 3.1W
收藏 122

#程序员薪资揭榜#你做程序员几年了?月薪多少?发量还在么?>>>

小Hub领读:

接下来的几天,我们开讲Shiro,从入门到分析、集成、单点登录整合等几篇。今天我们先来认识一下Shiro吧~


其实Shiro框架并不难,我梳理了一下,你只需要学会以下内容基本就足够了:

  • 登陆、授权流程
  • shiro过滤器链
  • 整合Springboot、redis做共享会话
  • 结合xxl-sso实现单点登录

接下来我会分为几篇文章分别去介绍,这篇我们先来了解一下shiro的一些基础知识,以及登录授权逻辑。

Shiro简介

在Web系统中我们经常要涉及到权限问题,例如不同角色的人登录系统,他操作的功能、按钮、菜单是各不相同的,这就是所谓的权限。

而构建一个互联网应用,权限校验管理是很重要的安全措施,这其中主要包含:

  • 用户认证 - 用户身份识别,即登录
  • 用户授权 - 访问控制
  • 密码加密 - 加密敏感数据防止被偷窥
  • 会话管理 - 与用户相关的时间敏感的状态信息

Shiro对以上功能都进行了很好的支持,它可以非常容易的开发出足够好的应用。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。而且Shiro的API也是非常简单。

官方源码:https://github.com/apache/shiro

整体结构与重要组件

图片

从上图可以看出,Security Manager是Shiro的核心管理器,认证授权会话缓存等都是在其内部完成,然后会委托给具体的组件来处理,比如认证过程委托给Authenticator,授权委托给Authorizer组件。所以,整理还是比较清晰,源代码也容易追踪。

我们来具体聊聊所有的组件:

**Subject:**主体,可以看到主体可以是任何可以与应用交互的“用户”;

**SecurityManager:**Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;负责所有Subject、且负责进行认证和授权、及会话、缓存的管理。

  • Authenticator:认证器,判断用户是否正常登陆
  • Authorizer:授权器,判断用户是否有权限操作资源

**Realm:**可以有1个或多个Realm,主要提供认证和授权的数据;

**Session:**Shiro提供一个权限的企业级Session解决方案,session的生命周期都在SessionManager中进行管理。

**SessionManager:**shiro的会话管理器;

**SessionDAO:**用于会话的CRUD,比如存储到ehcache或者redis中的会话增删改查;

**CacheManager:**缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能

**Cryptography:**密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。

官方简单示例

官网例子:http://shiro.apache.org/tutorial.html

刚入门Shiro的同学,真的需要去看看这个官方例子,你可以更加深入了解Shiro的权限校验流程。我还是贴一下代码吧,一些同学比较懒:

  • shiro.ini
# -----------------------------------------------------------------------------
# Users and their (optional) assigned roles
# username = password, role1, role2, ..., roleN
# -----------------------------------------------------------------------------
[users]
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darklord, schwartz
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# Roles with assigned permissions
# roleName = perm1, perm2, ..., permN
# -----------------------------------------------------------------------------
[roles]
admin = *
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5

上面代码中,root = secret, admin表示,用户名root,密码secret,角色是admin;schwartz = lightsaber:*表示角色schwartz拥有权限lightsaber:*。你其实可以把这个文件看成一个Realm,其实就是shiro默认的IniRealm。

  • 测试类Tutorial
public class Tutorial {

    private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class);

    public static void main(String[] args) {
        log.info("My First Apache Shiro Application");

        Factory<securitymanager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        // get the currently executing user:
        Subject currentUser = SecurityUtils.getSubject();

        // Do some stuff with a Session (no need for a web or EJB container!!!)
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("Retrieved the correct value! [" + value + "]");
        }

        // let's login the current user so we can check against roles and permissions:
        if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true);
            try {
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }

        //say who they are:
        //print their identifying principal (in this case, a username):
        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

        //test a role:
        if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        //test a typed permission (not instance-level)
        if (currentUser.isPermitted("lightsaber:wield")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        //a (very powerful) Instance Level permission:
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

        //all done - log out!
        currentUser.logout();

        System.exit(0);
    }
}

从上面的实例中,我们可以总结一下常用的API:

常用API

#获取当前用户
Subject currentUser = SecurityUtils.getSubject(); 
#判断用户已经认证
currentUser.isAuthenticated() 
#用户登录凭证
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa"); 
#记住我
token.setRememberMe(true); 
#登陆校验
currentUser.login(token); 
#判断是否有角色权限
currentUser.hasRole("schwartz") 
#判断是否有资源操作权限
currentUser.isPermitted("lightsaber:wield") 
#登出
currentUser.logout();

其实稍微梳理一下,可以发现上面代码主要有两个步骤:

  • 认证:
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
currentUser.login(token);
currentUser.logout();
  • 判断权限
currentUser.hasRole("schwartz")
currentUser.isPermitted("winnebago:drive:eagle5")

接下来,我们去探讨一下shiro的认证与授权流程,并从源码层去解析一下shiro各个组件之间的关系。

认证流程

图片

上面图片中,根据序号,其实我们大概能猜出里shiro的认证流程:

  1. Subject进行login操作,参数是封装了用户信息的token
  2. Security Manager进行登录操作
  3. Security Manager委托给Authenticator进行认证逻辑处理
  4. 调用AuthenticationStrategy进行多Realm身份验证
  5. 调用对应Realm进行登录校验,认证成功则返回用户属性,失败则抛出对应异常

我们从login方法开始debug一下流程,用简要方式追踪shiro源码的认证逻辑:

currentUser.login(token);
|
Subject subject = this.securityManager.login(this, token);
|
AuthenticationInfo info = this.authenticate(token);
|
this.authenticator.authenticate(token);
|
AuthenticationInfo info = this.doAuthenticate(token);
|
Collection<realm> realms = this.getRealms();
doSingleRealmAuthentication(realm, token);
|
AuthenticationInfo info = realm.getAuthenticationInfo(token);
|
AuthenticationInfo info = realm.doGetAuthenticationInfo(token);

ok,一条线下来,从login到委托给authenticator,再最后调用realm的doGetAuthenticationInfo方法。

所以,从源码上来看,如果要实现shiro的认证逻辑,至少要准备一个Realm组件、和初始化securityManager组件。

常见异常

  • DisabledAccountException(禁用的帐号)
  • LockedAccountException(锁定的帐号)
  • UnknownAccountException(错误的帐号)
  • ExcessiveAttemptsException(登录失败次数过多)
  • IncorrectCredentialsException (错误的凭证)
  • ExpiredCredentialsException(过期的凭证)

授权流程

图片

从上图中,我们可以知道授权流程如下:

  • 调用Subject.isPermitted*/hasRole*接口
  • 委托给SecurityManager
  • 而SecurityManager接着会委托给Authorizer
  • Authorizer会判断Realm的角色/权限是否和传入的匹配
  • 匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败

追踪一下源码如下:

currentUser.hasRole("schwartz")
|
this.securityManager.hasRole(this.getPrincipals(), roleIdentifier)
|
this.authorizer.hasRole(principals, roleIdentifier)
|
AuthorizationInfo info = this.getAuthorizationInfo(principal);
return info.getRoles().contains(roleIdentifier)
|
info = this.doGetAuthorizationInfo(principals);(realm)

所以shiro判断用户是否有权限首先会从realm中获取用户所拥有的权限角色信息,然后再匹配当前的角色或权限是否包含,从而判定用户是否有权限!

说到权限,很多人自然会想起权限系统,涉及到几个关键对象:

  • 主体(Subject)
  • 资源(Resource)
  • 权限(Permission)
  • 角色(Role)

通过这几个要素,可以设计出比较合理的权限系统。

Shiro常见3种授权判断方式:

  • 编码实现
Subject subject = SecurityUtils.getSubject();  
if(subject.hasRole(“admin”)) {  
    //有权限  
} else {  
    //无权限  
}
  • 注解实现
@RequiresRoles("admin")  
public void hello() {  
    //有权限  
}  
  • JSP Taglig实现,freemarker等类似
<shiro:hasrole name="admin">  
<!--— 有权限 —-->  
</shiro:hasrole>  

jsp页面引入shiro标签

&lt;%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags"%&gt;

在线会话管理

获取当前会话总人数

@Autowired
private SessionDAO sessionDAO;
//获取会话数量
int size = sessionDAO.getActiveSessions().size()

强制下线

//强制退出
Session session = sessionDAO.readSession(subject.getSession().getId());
sessionDAO.delete(session);
// logout,可作为强制退出
subject.logout();
Assert.isTrue(!subject.isAuthenticated());

结束语

ok,感觉是高度极简的一篇文章,主要把重要的组件和登录、授权几个流程搞清楚之后,其实shiro基本已经学会了,后面我们再学一下shiro的几个主要内置过滤器怎么使用,如何集成SpringBoot,基本就差不多了。


推荐阅读:

分享一套SpringBoot开发博客系统源码,以及完整开发文档!速度保存!

Github上最值得学习的100个Java开源项目,涵盖各种技术栈!

2020年最新的常问企业面试题大全以及答案

</realm></securitymanager>

© 著作权归作者所有

MarkerHub

MarkerHub

粉丝 1824
博文 45
码字总数 69180
作品 0
广州
程序员
私信 提问
加载中

评论(15)

Michael-Js
Michael-Js
赚开源币来了
星星S
正好打算做权限就看到咯
KisChang
KisChang
很好的文章,收藏了!评论支持一下!
一颗老树
一颗老树
为吕一明老师点个赞👍
FrendLin
FrendLin
别断更
半裸剥落蜜汁
自从有了开源币,看了文章就需要回复了
zTestCoder
zTestCoder
虽然不知道啥是开源币,看趋势以后要用,那看完就顺便回复吧
ardorleo
ardorleo
不是同学懒不看源码,如果你不把源码贴出来,还有会有这篇文章吗?
开源中国首席罗纳尔多
开源中国首席罗纳尔多
您好,请问怎么整合SSM和SpringCloud?
ExtremeTalk
ExtremeTalk
shiro有和spring集成的模块,也有spring boot starter,无缝集成,参考官方的相关文档
牛仔豆
牛仔豆
要是能出个极简使用教程就好了。包括部署,帐号管理、角色管理、权限管理,集成在业务中等
酸奶瓶盖儿
酸奶瓶盖儿
同上
一位深情的男子
一位深情的男子
通俗易懂
Shiro学习笔记入门--Hello Shiro

Apache Shiro是Apache的一个安全框架.对比Spring Security,可能没有Spring Security功能多,但是在实际并不需要那么重的东西.shiro简小精悍.大多项目绰绰有余.(JBOSS好像也有个什么安全框架....

浮躁的码农
2015/12/01
818
0
Shiro权限控制框架入门1:Shiro的认证流程以及基本概念介绍

前言:我在最开始学习Shiro这个框架时,在网上搜索到的一个介绍比较全面的教程是:《跟我学Shiro》系列教程。但是在我看了他写的前几篇文章后,我发现虽然他在这个系列教程中把shiro的一些特...

pangfc
2017/01/06
0
0
【权限管理】-- shiro简介

什么是shiro shiro是Apache的一个开源安全框架,相对于Spring Security来说,虽然功能不如其强大,但是如果项目要求并不复杂,那么shiro作为一个小而简单的安全框架来使用就完全足够了,在简...

杜.
03/31
0
0
shiro简单入门

shiro简介绍; Apache Shiro是Java的一个安全框架。 Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等 Authentication:身份认证/登录,验证用户是不是拥有相应的身份;...

xpttxsok
2016/04/24
99
0
【shiro】入门程序

Apache Shiro是一个强大的且易用的java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,可以快速,轻松的获得任何应用程序,从最小的移动应用程序到最大的网络和...

binggetong
2017/12/19
0
0

没有更多内容

加载失败,请刷新页面

加载更多

MySQL 8.0中的 explain analyze(译)

原文地址:https://mysqlserverteam.com/mysql-explain-analyze/ MySQL 8.0.18刚刚发布(译者注:原文发表时间为October 17, 2019),它包含了一个全新的特性来分析和理解查询是如何执行的:ex...

osc_jt4jtar1
14分钟前
18
0
终于有人把 java代理 讲清楚了,万字详解!

什么是代理 代理模式是常用的java设计模式,他的特征是代理类与委托类有同样的接口,代理类主要负责为委托类预处理消息、过滤消息、把消息转发给委托类,以及事后处理消息等。代理类与委托类...

osc_ff00dxfp
15分钟前
27
0
Java中this和super的用法总结

这几天看到类在继承时会用到this和super,这里就做了一点总结,与各位共同交流,有错误请各位指正~ this this是自身的一个对象,代表对象本身,可以理解为:指向对象本身的一个指针。 this的...

osc_mxz6aybo
17分钟前
20
0
LINQ之路 4:LINQ方法语法

书写LINQ查询时又两种语法可供选择:方法语法(Fluent Syntax)和查询语法(Query Expression)。 LINQ方法语法是非常灵活和重要的,我们在这里将描述使用链接查询运算符的方式来创建复杂的查...

osc_7z601p6x
19分钟前
17
0
MyBatis核心配置文件模版

<?xml version="1.0" encoding="UTF-8" ?><!DOCTYPE configuration PUBLIC "-//mybatis.org//DTD Config 3.0//EN""http://mybatis.org/dtd/mybatis-3-config.dtd"> <configuration>   ......

osc_8133ea6r
20分钟前
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部