欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

学习shiro框架记的一次随笔

程序员文章站 2022-07-14 15:32:55
...

shiro安全权限框架.
可以做:认证、授权、会话管理、加密、与Web 集成、缓存等

Applciation Code

Subject

shiro SecurityManager UsernamePasswordToken

Realm (相当于securitymanager 的dao)

permitted 被许可 行为

认证 、 角色 、 行为(permitted 可以理解成权限)

用户是否具有某个行为.subject.isPermitted(“权限”);

shiroFilter 配置shiro的过滤器.
securityManager 安全管理器
缓存管理器:cacheManager

realm   [自己编写Realm 需要实现Realm接口]
sessionModel
生命周期管理器:LifecycleBeanPostProcessor 可以自动调用配置在Spring  IOC 容器中的Shiro生命周期方法.
DefaultAdvisorAutoProxyCreator  启用IOC 容器中使用shiro的注解,需要配置该类到容器中。

ShiroFilter 的配置。id必须和web.xml中 文件中的配置的shiroFilter 的name一致。
loginUrl
successUrl
Unauthorized 没有权限 跳转的路径
哪些页面需要保护,以及哪些页面访问需要权限
/logiin.jsp = anno 可以匿名访问
/** = authc 需要认证之后才能访问。

shiro工作流程:

请求  ----> shiroFilter ----> 服务器
			
			applicationContext.xml中配置哪些页面需要认证、哪些页面匿名可以访问。

认证:

1.获取当前Subject 
2.判断是否已登录
3.如果没有认证,则把用户名 、密码封装成UsernamePasswordToken对象
4.调用subject.login方法执行登录,参数AuthenticationToken
5.自定义Realm 的方法,从数据库中获取对应的记录。返回给shiro
	5.1 实际上需要继承AuthenticationgRealm类 实现doGetAuthenticationInfo(AuthenticationToken)方法
6.由shiro 完成密码的对比。

密码的比对:
通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!

MD5盐值加密:
如何把一个字符串加密为 MD5
替换当前 Realm 的 credentialsMatcher 属性. 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可.

为什么使用 MD5 盐值加密:
如何做到:
1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用
SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器
2). 使用 ByteSource.Util.bytes() 来计算盐值.
3). 盐值需要唯一: 一般使用随机字符串或 user id
4). 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值.

======================================================================================================================

一、ShiroFilter拦截器的拦截规则:
1.格式:格式是: “url=拦截器[参数],拦截器[参数]”;

anon(anonymous) 拦截器表示匿名访问(即不需要登录即可访问) 
authc (authentication)拦截器表示需要身份认证通过后才能访问

比如:/login.jsp = anon
/** = authc

2.url 模式使用 Ant 风格模式:
– ?:匹配一个字符,如 /admin? 将匹配 /admin1,但不
匹配 /admin 或 /admin/;

– *:匹配零个或多个字符串,如 /admin 将匹配 /admin、
/admin123,但不匹配 /admin/1; 

– **:匹配路径中的零个或多个路径,如 /admin/** 将匹
配 /admin/a 或 /admin/a/b	

3.URL 权限采取第一次匹配优先的方式,即从头开始
使用第一个匹配的 url 模式对应的拦截器链。 • 如:
– /bb/=filter1
– /bb/aa=filter2
– /
=filter3
– 如果请求的url是“/bb/aa”,因为按照声明顺序进行匹配,那么将使用 filter1 进行拦截。

shirofilter shiro拦截器链。执行了第一个拦截器,还会走下一个拦截器?

二、shiro认证
applicationcode----->subject ----> securitymanager ----->realm

1.认证流程:
1. 获取当前的 Subject. 调用 SecurityUtils.getSubject();
2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated()
3. 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象
1). 创建一个表单页面
2). 把请求提交到 SpringMVC 的 Handler
3). 获取用户名和密码.
4. 执行登录: 调用 Subject 的 login(AuthenticationToken) 方法.UsernamePasswordToken 是AuthenticationToken的实现类。
5. 自定义 Realm 的方法, 从数据库中获取对应的记录, 返回给 Shiro.
1). 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类
2). 实现 doGetAuthenticationInfo(AuthenticationToken) 方法.
6. 由 shiro 完成对密码的比对.

2.密码的比对:
通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!

3.MD5盐值加密
1. 如何把一个字符串加密为 MD5
2. 替换当前 Realm 的 credentialsMatcher[凭证匹配器] 属性. 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可.

  1. 为什么使用 MD5 盐值加密:
    1. 如何做到:
      1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用
      SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器
      2). 使用 ByteSource.Util.bytes() 来计算盐值.
      3). 盐值需要唯一: 一般使用随机字符串或 user id
      4). 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值.

credentials 英 [krəˈdenʃlz] 美 [krəˈdenʃlz]
n. 资格; 资历; 资格证书; 证明书; 证件;

5.多个realm 验证
1.在配置文件中使用list来配置的多个real,所以有先后执行顺序的。

2.认证策略:AuthenticationStrategy
	• FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第
		一个 Realm 身份验证成功的认证信息,其他的忽略;
	• AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和
		FirstSuccessfulStrategy 不同,将返回所有Realm身份验证成功的认证信息;
	• AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有
		Realm身份验证成功的认证信息,如果有一个失败就失败了。
	• ModularRealmAuthenticator 默认是 AtLeastOneSuccessfulStrategy策略

6.授权
1. 授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法
2. AuthorizingRealm 类继承自 AuthenticatingRealm, 但没有实现 AuthenticatingRealm 中的
doGetAuthenticationInfo, 所以认证和授权只需要继承 [AuthorizingRealm]就可以了. 同时实现他的两个抽象方法.

7.shiro 权限注解方式控制权限。

• @RequiresAuthentication:表示当前Subject已经通过login 
	进行了身份验证;即 Subject. isAuthenticated() 返回 true
• @RequiresUser:表示当前 Subject 已经身份验证或者通过记
	住我登录的。 • @RequiresGuest:表示当前Subject没有身份验证或通过记住
	我登录过,即是游客身份。 • @RequiresRoles(value={“admin”, “user”}, logical= 
	Logical.AND):表示当前 Subject 需要角色 admin 和user
• @RequiresPermissions (value={“user:a”, “user:b”},  
	logical= Logical.OR):表示当前 Subject 需要权限 user:a 或 user:b。