Shiro | 實現權限驗證完整版

寫在前面的話

提及權限，就會想到安全，是一個十分棘手的話題。這裏只是作爲學校Shiro的一個記錄，而不是，權限就應該這樣設計之類的。

Shiro框架

1、Shiro是基於Apache開源的強大靈活的開源安全框架。

2、Shiro提供了 認證，授權，企業會話管理、安全加密、緩存管理。

3、Shiro與Security對比

4、Shiro整體架構

5、特性

6、認證流程

認證

當我們理解Shiro之後，我們就能比較容易梳理出認證流程，大概就是下面這樣子。

我們來看一段測試代碼：

// 1.構建SecurityManager環境
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
defaultSecurityManager.setRealm(simpleAccountRealm);

// 2.主體提交認證請求
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();

// 3.認證
UsernamePasswordToken token = new UsernamePasswordToken("admin", "admin");
subject.login(token);
System.out.println("是否認證：" + subject.isAuthenticated());

// 4.退出
subject.logout();
System.out.println("是否認證：" + subject.isAuthenticated());

我們發現Shiro真正幫我們做的就是認證這一步，那他到底是如何去認證的呢？

我們把我們登錄的代碼完善一下：

/**
 * 登錄操作，返回登錄認證信息
 * @return 登錄結果
 */
public String login() {
    try {
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(simpleAccountRealm);

        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken("admin", "admin");
        
        subject.login(token);
        if (subject.isAuthenticated())
            return  "登錄成功";
    } catch (IncorrectCredentialsException e1) {
        e1.printStackTrace();
        return "密碼錯誤";
    } catch (LockedAccountException e2) {
        e2.printStackTrace();
        return "登錄失敗，該用戶已被凍結";
    } catch (AuthenticationException e3) {
        e3.printStackTrace();
        return "該用戶不存在";
    } catch (Exception e) {
        e.printStackTrace();
    }
    return "登錄失敗";
}

Realm

1、IniReam

配置文件 user.ini

[users]
Mark=admin,admin
[roles]
admin=user:add,user:delete,user:update,user:select

測試代碼

// IniRealm 測試
@Test
public void testAuthenticationIniRealm () {

    IniRealm iniRealm = new IniRealm("classpath:user.ini");

    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    defaultSecurityManager.setRealm(iniRealm);

    SecurityUtils.setSecurityManager(defaultSecurityManager);
    Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");
    subject.login(token);

    System.out.println("是否認證：" + subject.isAuthenticated());

    subject.checkRole("admin");
    subject.checkPermission("user:delete");

}

2、JdbcRealm

這裏有兩種方案，使用Shiro爲我們提供了SQL語句，或者我們自己寫SQL語句。

第一種：

// JdbcRealm 測試 Shiro SQL
@Test
public void testAuthenticationShiroSQL() {

    JdbcRealm jdbcRealm = new JdbcRealm();
    jdbcRealm.setDataSource(druidDataSource);
    jdbcRealm.setPermissionsLookupEnabled(true);

    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    defaultSecurityManager.setRealm(jdbcRealm);

    SecurityUtils.setSecurityManager(defaultSecurityManager);
    Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("xfsy", "xfsy2018");
    subject.login(token);

    System.out.println("是否認證：" + subject.isAuthenticated());

    subject.checkRole("user");
    subject.checkPermission("user:select");

}

第二種：

// JdbcRealm 測試 Custom SQL
@Test
public void testAuthenticationCustomSQL() {

    JdbcRealm jdbcRealm = new JdbcRealm();
    jdbcRealm.setDataSource(druidDataSource);
    jdbcRealm.setPermissionsLookupEnabled(true);

    /**
     * @see org.apache.shiro.realm.jdbc.JdbcRealm
     */
    String sql = "select pwd from t_user where user_name = ?";
    jdbcRealm.setAuthenticationQuery(sql);

    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    defaultSecurityManager.setRealm(jdbcRealm);

    SecurityUtils.setSecurityManager(defaultSecurityManager);
    Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("test", "123");
    subject.login(token);

    System.out.println("是否認證：" + subject.isAuthenticated());
}

3、自定義Realm

在上面我們已經看過了 JdbcRealm，所以我們也可以依葫蘆畫瓢自定義Ramlm。

第一步：繼承 AuthorizingRealm

第二步：實現認證方法

第三步：實現授權方法

通過AuthorizingRealm，我們完全按照自己的需求實現自己的業務邏輯。

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * @author Wenyi Feng
 * @since 2018-10-22
 */
public class CustomRealmTest extends AuthorizingRealm {

    /**
     * Retrieves the AuthorizationInfo for the given principals from the underlying data store.  When returning
     * an instance from this method, you might want to consider using an instance of
     * {@link org.apache.shiro.authz.SimpleAuthorizationInfo SimpleAuthorizationInfo}, as it is suitable in most cases.
     *
     * @param principals the primary identifying principals of the AuthorizationInfo that should be retrieved.
     * @return the AuthorizationInfo associated with this principals.
     * @see org.apache.shiro.authz.SimpleAuthorizationInfo
     */
    // 授權
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    /**
     * Returns {@code true} if authentication caching should be utilized based on the specified
     * {@link AuthenticationToken} and/or {@link AuthenticationInfo}, {@code false} otherwise.
     * <p/>
     * The default implementation simply delegates to {@link #isAuthenticationCachingEnabled()}, the general-case
     * authentication caching setting.  Subclasses can override this to turn on or off caching at runtime
     * based on the specific submitted runtime values.
     *
     * @param token the submitted authentication token
     * @param info  the {@code AuthenticationInfo} acquired from data source lookup via
     *              {@link #doGetAuthenticationInfo(org.apache.shiro.authc.AuthenticationToken)}
     * @return {@code true} if authentication caching should be utilized based on the specified
     *         {@link AuthenticationToken} and/or {@link AuthenticationInfo}, {@code false} otherwise.
     * @since 1.2
     */
    // 認證
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
            throws AuthenticationException {
        return null;
    }
}

可能Shiro提供的Realm並不能滿足我們的實際開發需求，所以真正弄明白自定義Realm還是有很大幫助的，你覺得呢？

4、安全加密

明文密碼？

好吧，我們看看Shiro爲我們提供的加密方法。

//  Md5Hash md5Hash = new Md5Hash("123456");

Md5Hash md5Hash = new Md5Hash("123456", "admin");
System.out.println(md5Hash.toString());

那我們該怎麼使用了？

在Realm認證中設置鹽值

// 使用admin對密碼進行加密
authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes("admin"));

我們只需要告訴我們的Realm，需要對密碼進行加密就可以了。

CustomRealm customRealm = new CustomRealm();
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
// 加密類型
matcher.setHashAlgorithmName("md5"); 
// 加密次數
matcher.setHashIterations(1); 
customRealm.setCredentialsMatcher(matcher);

權限

1、Shiro爲我們提供的權限

名稱	說明
anon	不校驗
authc	作校驗
roles	需要具有指定角色（一個或多個）才能訪問
perms	需要具有指定角色（一個或多個）才能訪問

2、配置

<!-- 從上往下開始匹配 -->
/login.html = anon
/subLogin = anon
<!--/testRole = roles["admin"]-->
<!--/testRole1 = roles["admin", "admin1"]-->
<!--/testPerms = perms["user:delete"]-->
<!--/testPerms1 = perms["user:delete", "user:update"]-->

3、自定義權限認證

import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

/**
 * @author Wenyi Feng
 * @since 2018-10-22
 */
public class CustomAuthorizationFilter extends AuthorizationFilter {
    
    protected boolean isAccessAllowed(ServletRequest request, 
                                      ServletResponse response, 
                                      Object mappedValue) throws Exception {
        return false;
    }
}

另外，看一下 Shiro Filter

會話管理（Session）

會話管理，就是拿到Session之後，我們怎麼處理。什麼意思？分佈式系統，需要共享Session。

import org.apache.shiro.session.Session;
import org.apache.shiro.session.UnknownSessionException;
import org.apache.shiro.session.mgt.eis.AbstractSessionDAO;

import java.io.Serializable;
import java.util.Collection;

/**
 * 自定義Session操作接口
 * @author Wenyi Feng
 * @since 2018-10-22
 */
public class CustomSessionDAO extends AbstractSessionDAO {
    
    // 創建Session
    protected Serializable doCreate(Session session) {
        return null;
    }

    // 讀session
    protected Session doReadSession(Serializable sessionId) {
        return null;
    }

    // 修改session
    public void update(Session session) throws UnknownSessionException {

    }

    // 刪除session
    public void delete(Session session) {

    }

    // 獲取當前活動的session
    public Collection<Session> getActiveSessions() {
        return null;
    }
}

緩存管理（Cache）

緩存管理同Session管理，可以這樣說，session是一套系統的基礎，緩存決定系統的優化級別，很重要。

另外，我們看一下，Shiro爲我們設計的緩存接口。

package org.apache.shiro.cache;

import java.util.Collection;
import java.util.Set;

public interface Cache<K, V> {
    V get(K var1) throws CacheException;

    V put(K var1, V var2) throws CacheException;

    V remove(K var1) throws CacheException;

    void clear() throws CacheException;

    int size();

    Set<K> keys();

    Collection<V> values();
}

自動登錄

我們只需要爲token設置RememberMe就可以了。

token.setRememberMe(user.getRememberMe());

鏈接

[1] Shiro安全框架入門

[2] 本次測試代碼：ShiroLearn