shiro、ehcache教程

1. 权限概述(认证、授权)

1. 系统提供了很多功能，并不是所有的用户登录系统都可以操作这些功能。我们需要对用户的访问进行控制。
   1. 登录用户-【超级管理员】-【客服】-【快递员】-【人事】- 【财务】-角色
2. 认证：系统提供的用于识别用户身份的功能（通常是登录功能）-----让系统知道你是谁
3. 授权：系统提供的赋予用户访问某个功能的能力-----让系统知道你能做什么

 

1. 常见的权限控制的方式

1. 第一种：URL拦截权限控制(基于过滤器或者拦截器)

 

 

1. 第二种：方法注解权限控制(基于代理技术)

 

1. 权限模块数据模型
   1. 权限的表设计

1. 用户表:t_user
2. 用户角色关系表:user_role
3. 角色表:auth_role
4. 角色权限关系表:role_function
5. 权限表:auth_function

 

1. apache shiro
   1. Apache Shiro简介

1. 是一个强大而灵活的开源安全框架，它能够干净利落地处理身份认证，授权，企业会话管理和加密。
2. 使用 Shiro，您就能够为您的应用程序提供安全性而又无需从头编写所有代码。

1. 官网：http://shiro.apache.org/
2. 提供的功能

 

 

• 1. Apache Shiro能做的事情
• 验证用户
• 对用户执行访问控制，如：

判断用户是否拥有角色admin。

判断用户是否拥有访问的权限

• 在任何环境下使用 Session API。例如CS程序。
• 可以使用多个用户数据源。例如一个是oracle用户库，另外一个是mysql用户库。
• 单点登录（SSO）功能。
• “Remember Me”服务 ，类似购物车的功能，shiro官方建议开启。

 

 

1. 1. 单点登录（SSO）【了解】
2. 单点登录（Single Sign On）简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。
3. SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。
4. 举例：登录了淘宝，不用登录也可以天猫

 

1. 1. Shiro的4大功能

 

1. Authentication：身份验证，简称“登录”。
2. Authorization：授权，给用户分配角色或者权限资源
3. Session Management：用户session管理器，可以让CS程序也使用session来控制权限
4. Cryptography：把JDK中复杂的密码加密方式进行封装。

 

1. 1. Shiro其它扩展功能
2. Web Support：主要针对web应用提供一些常用功能。
3. Caching：缓存可以使应用程序运行更有效率。
4. Concurrency：多线程相关功能。
5. Testing：帮助我们进行测试相关功能
6. "Run As"：一个允许用户假设为另一个用户身份（如果允许）的功能，有时候在管理脚本很有用。
7. “Remember Me”：记住用户身份，提供类似购物车功能。
   1. Shiro的下载

1. 访问官网下载shiro-all-1.3.2.jar即可
2. 源码下载：https://github.com/apache/shiro
3. shiro-cas：用于单点登录
4. shiro-quartz:用于定时任务调度

 

1. 1. Shiro的的包结构

 

1. 1. Shiro的工作原理图

 

 

1. 1. Shiro的Subject
2. Subject 是与程序进行交互的对象，可以是人也可以是服务或者其他，通常就理解为用户。
3. 所有Subject 实例都必须绑定到一个SecurityManager上。
4. 我们与一个 Subject 交互，运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。

 

1. 1. Shiro的SecurityManager
2. SecurityManager 是 Shiro的核心，初始化时协调各个模块运行。
3. 然而，一旦 SecurityManager协调完毕，SecurityManager 会被单独留下，且我们只需要去操作Subject即可，无需操作SecurityManager 。
4. 但是我们得知道，当我们正与一个 Subject 进行交互时，实质上是 SecurityManager在处理 Subject 安全操作。

 

1. 1. Shiro的Realm
2. Realms在 Shiro中作为应用程序和安全数据之间的“桥梁”或“连接器”。
3. 他获取安全数据来判断subject是否能够登录，subject拥有什么权限。他有点类似DAO。
4. 在配置realms时，需要至少一个realm。而且Shiro提供了一些常用的 Realms来连接数据源，如
   • LDAP数据源的JndiLdapRealm，
   • JDBC数据源的JdbcRealm，
   • ini文件数据源的IniRealm，
   • properties文件数据源的PropertiesRealm，等等。
5. 我们也可以插入自己的 Realm实现来代表自定义的数据源。
6. 像其他组件一样，Realms也是由SecurityManager控制

 

1. 1. Shiro的知识总结图

 

1. 1. Shiro的过滤器、拦截器
2. Shiro提供了很多过滤器

 

1. anon:例子/admins/**=anon 没有参数，表示可以匿名使用。
2. authc:例如/admins/user/**=authc表示需要认证(登录)才能使用，没有参数
3. roles：例子/admins/user/**=roles[admin],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，当有多个参数时，

例如admins/user/**=roles["admin,guest"],每个参数通过才算通过，相当于hasAllRoles()方法。

1. perms：例子/admins/user/**=perms[user:add:*],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割

例如/admins/user/**=perms["user:add:*,user:modify:*"]，当有多个参数时必须每个参数都通过才通过，想当于isPermitedAll()方法。

1. rest：例子/admins/user/**=rest[user],根据请求的方法，相当于/admins/user/**=perms[user:method] ,其中method为post，get，delete等。
2. port：例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,

其中schmal是协议http或https等，serverName是你访问的host,8081是url配置里port的端口，queryString是你访问的url里的？后面的参数。

1. authcBasic：例如/admins/user/**=authcBasic没有参数表示httpBasic认证
2. ssl:例子/admins/user/**=ssl没有参数，表示安全的url请求，协议为https
3. user:例如/admins/user/**=user没有参数表示必须存在用户，当登入操作时不做检查
4. 注：anon，authcBasic，auchc，user是认证过滤器，perms，roles，ssl，rest，port是授权过滤器

 

1. Shiro与Spring的整合(shiro的认证功能)

以前使用struts的拦截器Interceptor实现【干掉】

1. 实现shiro的认证功能
   1. 步骤：
   2. 第一步：

1. 导入shiro-all-1.3.2.jar包
   1. 第二步：
2. 在web.xml配置一个过滤器代理,（这个代理是属于spring-web.jar里的 ）

<filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>

 

1. 配置完后，直接运行会有正面的错误，需要在spring中配置一个过滤器

 

 

1. 1. 第三步：
2. 配置shiro的一个过滤器bean
3. Shiro提供了一个ShiroFilterFactoryBean 工厂Bean
4. 这个工厂Bean有一些属性要设置

1.  

<!-- 配置shiro的过滤器bean --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"></property> <!-- 登录页面路径 --> <property name="loginUrl" value="/login.jsp"/> <!-- 登录成功后显示的路径 --> <property name="successUrl" value="/index.jsp"></property> <!-- 未授权的页面提示 --> <property name="unauthorizedUrl" value="/unauthorize.jsp"></property> <!-- url拦截规则  --> <property name="filterChainDefinitions"> <value> /validatecode.jsp* = anon /userAction_login = anon /* = authc </value> </property> </bean>   <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">   </bean>

 

1. 1. 第四步:
2. 修改Action的登录逻辑

public String login(){ HttpServletRequest request = ServletActionContext.getRequest();   String checkCodeInSession = (String) request.getSession().getAttribute("key"); if(StringUtils.isNotBlank(checkCodeInSession) && checkCodeInSession.equals(this.checkcode)){ //1.返回当前的用户，未认证状态 Subject subject = SecurityUtils.getSubject();   //2.构造一个用户令牌 String pwd = MD5Utils.md5(model.getPassword()); String name = model.getUsername(); AuthenticationToken token = new UsernamePasswordToken(name,pwd);   try { //登录验证 subject.login(token); //登录失败会抛出异常 } catch (AuthenticationException  e) { //UnknownAccountException this.addActionError("用户名密码不正确"); return "loginfailure"; } User user = (User) subject.getPrincipal(); ServletActionContext.getRequest().getSession().setAttribute("loginUser", user); return "home"; }else{ this.addActionError("验证码不正确"); return "loginfailure"; }     }

 

1. 1. 第五步：
2. 自定义一个Rleam，然后在spring的DefaultWebSecurityManager中注入Realm

public class BOSRealm extends AuthorizingRealm{ @Autowired private IUserDao userDao;   //认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // TODO Auto-generated method stub // TODO Auto-generated method stub UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); User user = userDao.findByUsername(username); if(user == null){ //用户不存在 }else{ //获取密码 String pwd = user.getPassword(); /*返回简单认证信息对象  * principal the 'primary' principal associated with the specified realm  * .credentials the credentials that verify the given principal  * .realmName the realm from where the principal and credentials were acquired  * 参数1：与指定realm关联的主体(用户)  * 参数2：密码  * 参数3：当前类名  * */ SimpleAuthenticationInfo info = new SimpleAuthenticationInfo (user, pwd, this.getClass().getSimpleName()); return info;//返回后，由安全管理器比较密码是否正确 } System.out.println("AuthenticatingRealm-doGetAuthenticationInfo"); return null; }   //授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {     return null; } }

 

1. 1. 第六步：

在securityMananger中配置一个realm

1. Shiro的授权功能初次体验
   1. 步骤：
   2. 第一步：

1. 在spring的filterChainDefinitions多配置一个路径的访问权限
2. page_base_staff = perms["staff"]
   1. 第二步：

1. 在BosRealm中的授权方法中，进行授权

//授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.addStringPermission("staff"); return info; }

 

1. 1. 第三步：
2. 在配置成page_base_staff = roles["staff"]

1. 不改代码情况下，page_base_staff会没有权限访问,需要在第二步中添加角色

 

1. Shiro提供权限的控制方式
   1. URL拦截权限控制
   2. 方法注解权限控制

步骤

1. 1. 1. 第一步：
2. 在spring中配置shiro注解

<!-- 开启shiro注解 --> <!-- 自动代理 --> <bean id="defaultAdvisorAutoProxyCreator"  class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"> <!-- 强制使用cglib为Action创建代理对象 --> <property name="proxyTargetClass" value="true"></property> </bean>   <!-- 切面类 --> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

1. 1. 1. 第二步：
2. 在Action的方法上使用shiro的注解描述执行当前方法需要具有的权限
3. 这里给StaffAction的save方法添加一个staff权限

@RequiresPermissions(value="staff") public String save(){   return "list"; }

 

 

https://www.cnblogs.com/ToddleLobster/articles/7941624.html 

http://www.iteye.com/problems/94322

 

第三步

1. 在spring中配置一个staffAction的Bean

 

1. 在Action中无法注入Service的情况,手动创建一个action的bean即可，这个具体原因还没研究透

 

1. 1. 1. 第五步：

配置一个全局的权限url

 

1. 1. 1. 第六步：
2. 在BOSRealm添加授权staff的权限

 

 

 

1. 1. 页面标签权限控制

第一步：在jsp页面中引入shiro的标签

第二步：使用shiro的标签根据当前用户拥有的权限动态展示页面元素

<shiro:hasPermission name="staff"> <a id="save" icon="icon-save" href="#" class="easyui-linkbutton" plain="true" >保存</a> </shiro:hasPermission>

 

1. 1. 代码级别控制

 

使用ehcache缓存权限数据

第一步：导入ehcache的jar包项目中

第二步：提供ehcache的xml配置文件（可以从jar包中获得）

<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">       <diskStore path="java.io.tmpdir"/>     <defaultCache             maxElementsInMemory="10000"             eternal="false"             timeToIdleSeconds="120"             timeToLiveSeconds="120"             overflowToDisk="true"             maxElementsOnDisk="10000000"             diskPersistent="false"             diskExpiryThreadIntervalSeconds="120"             memoryStoreEvictionPolicy="LRU"             /> </ehcache>

 

第三步：在spring配置文件中添加授权缓存策略

<bean id="realm" class="com.gyf.bos.web.shiro.BOSRealm"></bean> <!-- 注册缓存管理器 --> <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> <!-- 注入ehcache配置文件 --> <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> </bean>   <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="realm"></property> <!-- 注入缓存管理器 --> <property name="cacheManager" ref="cacheManager"/> </bean>

来源：https://my.oschina.net/zhengchen/blog/3098620