权限控制框架Shiro简单介绍及配置实例

Shiro是什么

Apache Shiro是一个非常易用的Java安全框架它能提供验证、授权、加密和Session控制。Shiro非常轻量级而且API也非常易于理解可以使用Shiro完成从APP到企业级应用的所有权限控制。

宏观视图

从宏观来看Shiro架构中有3个重要概念Subjct、SecurityManager和Realms。

Subject

Subject实际上是正在执行的用户的抽象“用户”这里可以指自然人第三方服务代理账户或者其他。

Subject被绑定在SecurityManager上当我们与Subject交互时实际上是与SecurityManager交互。

SecurityManager

SecurityManager是Shiro权限架构的核心内部维护了一系列安全组件。然而我们一旦将其配置完成真正给用户强相关的就是Subject接口了。

当我们操作subject时实际上就是在操作SecurityManager。

Realms

Reamls是Shiro与我们应用的安全数据沟通的桥梁在Realm中真正实现用户登录与授权的逻辑。

从这个角度上来讲Realms其实是一个安全领域的DAO发将相关数据封装并提供给Shiro当使用Shiro时我们必须制定至少一个Realms。

SecurityManager可以配置多个Realms但是至少一个。

Shiro已经提供了默认的DAO实现如LDAP和JDBC另外我们也能实现自己的DAO例如使用Redis。

细节视图

Subject(org.apache.shiro.subject.Subject)

与当前软件交互的安全视角内的用户抽象用户、第三方服务

SecurityManager(org.apache.shiro.mgt.SecurityManager)

Shiro安全框架的核心像保护伞一样管理着和协调其内部组件确保其协调运行。它也维护着每个用户的Shiro角色因此它知道用户的所有安全操作。

Authenticator(org.apache.shiro.authc.Authenticator)

负责执行和验证用户登录行为的组件当一个用户试图登录该逻辑是由Authenticator执行的。Authenticator知道如何去协调一个或者更多的realms这些realms保存着用户信息。而且realms中的数据被取出用来验证用户。

Authentication Strategy(org.apache.shiro.)

如果配置了多个realmsAuthentication Strategy将负责协调各Realms的判断逻辑。

Authorizer(org.apache.shiro.authz.Authorizer)

用户控制用户访问主要是决定用户能否访问某些资源。类似于AuthenticatorAuthorizer也知道如何协调多个数据源并据此判断这些用户能否执行某个给定的Action。

SessionManager(org.apache.shiro.session.mgt.SessionManager)

SessionManager知道怎样创建和管理用户Session生命周期从而为用户提供一个健壮的Session体验。这种机制是Shiro的独创即使不是Web工程Shiro也能提供内置的Session机制。

SessionDao负责存取Session。

  • SessionDao(org.apache.shiro.session.mgt.eis.SessionDao)

SessionDao替SessionManager完成Session的CRUD操作它允许任何Session保存方式Redis/Memcache/DB..

CacheManager(org.apache.shiro.cache.CacheManager)

用来保存Shiro使用的鉴权数据可以使用任何现有的cache产品。

Cryptography(org.apache.shiro.crypto.*)

加密工具包根据需要使用

Realms(org.apache.shiro.realm.Realm)

真正与安全相关数据例如账户我们可以创建任意多的Realm。

配置实例

<?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"

    default-lazy-init="true" xmlns:util="http://www.springframework.org/schema/util"

    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.0.xsd

        http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-4.0.xsd

        http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.0.xsd">

 

    <description>Shiro Configuration</description>

    <!-- Shiro Filter -->

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

        <!-- 安全管理器 -->

        <property name="securityManager" ref="securityManager" />

        <!-- 登陆的Url,暂时没用 -->

        <property name="loginUrl" value="" />

        <!-- 登录成功的Url,未用 -->

        <property name="successUrl" value="/web/index.html" />

        <!-- 为通过验证的URL -->

        <property name="unauthorizedUrl" value="/index.html" />

        <property name="filters">

            <map>

                <entry key="authc" value-ref="formAuthenticationFilter" />

            </map>

        </property>

        <property name="filterChainDefinitions">

            <ref bean="shiroFilterChainDefinitions" />

        </property>

    </bean>

    <!-- Shiro权限过滤过滤器定义 -->

    <bean name="shiroFilterChainDefinitions" class="java.lang.String">

        <constructor-arg>

            <value>

                <!-- anon表示不校验 -->

                /bower_components/** = anon

                

                /info/home/Vh1/**=anon

                /=anon                <!-- 剩余请求均经过authc -->

                /** = authc            

            </value>

        </constructor-arg>

    </bean>

    <!-- Form认证过滤器 -->

    <bean id="formAuthenticationFilter"

        class="com.xxxx.xxxx.system.security.FormAuthenticationFilter" />

    <!-- 定义Shiro安全管理配置 -->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <!-- 单realm应用。如果有多个realm使用‘realms’属性代替 -->

        <!-- 管理认证和授权 -->

        <property name="realm" ref="systemAuthorizingRealm" />

        <!-- 仅shiro适用 -->

        <property name="cacheManager" ref="shiroCacheManager" />

        <!-- 分布式或单机session缓存 -->

        <property name="sessionManager" ref="sessionManager" />

        <!-- 自动登录使用,暂时没有使用 -->

        <property name="rememberMeManager" ref="rememberMeManager" />

    </bean>

 

    <bean id="systemAuthorizingRealm"

        class="com.emcc.xxxx.system.security.shiro.SystemAuthorizingRealm" />

 

    <!-- 自定义会话管理配置 -->

    <bean id="sessionManager"

        class="com.emcc.xxxx.system.security.shiro.session.SessionManager">

        <!-- Redis/本地保存 -->

        <property name="sessionDAO" ref="sessionDAO" />

        <!-- 会话超时时间配置在system.properties 单位毫秒 -->

        <property name="globalSessionTimeout" value="${session.sessionTimeout}" />

        <!-- 定时清理失效会话, 清理用户直接关闭浏览器造成的孤立会话 -->

        <property name="sessionValidationInterval" value="${session.sessionTimeoutClean}" />

        <property name="sessionValidationSchedulerEnabled" value="false" />

        <!-- 配置cookie中sessionid的key -->

        <property name="sessionIdCookie" ref="sessionIdCookie" />

        <property name="sessionIdCookieEnabled" value="true" />

    </bean>

 

    <!-- 指定本系统SESSIONID, 默认为: JSESSIONID 问题: 与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID,

        当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重新分配值导致登录会话丢失! -->

    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">

        <constructor-arg name="name" value="web.session.id" />

    </bean>

    <!-- 自定义Session存储容器,集群环境使用 <bean id="sessionDAO" class="com.emcc.xxxx.system.security.shiro.session.JedisSessionDAO">

        <property name="sessionIdGenerator" ref="idGen" /> <property name="sessionKeyPrefix"

        value="${redis.keyPrefix}_session_" /> </bean> -->

    <!-- 自定义Session存储容器开发环境使用 -->

    <bean id="sessionDAO"

        class="com.emcc.xxxx.system.security.shiro.session.CacheSessionDAO">

        <property name="sessionIdGenerator" ref="idGen" />

        <property name="activeSessionsCacheName" value="activeSessionsCache" />

        <property name="cacheManager" ref="shiroCacheManager" />

    </bean>

 

    <!-- rememberMe管理器 -->

    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">

        <!-- rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度128 256 512 位 -->

        <property name="cipherKey"

            value="#{T(org.apache.shiro.codec.Base64).decode(‘4AvVhmFLUs0KTA3Kprsdag==‘)}" />

        <property name="cookie" ref="rememberMeCookie" />

    </bean>

    <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">

        <constructor-arg value="rememberMe" />

        <property name="httpOnly" value="true" />

        <property name="maxAge" value="2592000" /><!-- 30天 -->

    </bean>

    <!-- 定义授权缓存管理器 <bean id="shiroCacheManager" class="com.emcc.xxxx.system.security.shiro.cache.SessionCacheManager"

        /> -->

    <!-- 定义授权缓存管理器 -->

    <bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

        <property name="cacheManager" ref="cacheManager" />

    </bean>

 

    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

 

    <!-- securityManager -->

    <bean        class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">

        <property name="staticMethod"

            value="org.apache.shiro.SecurityUtils.setSecurityManager" />

        <property name="arguments" ref="securityManager" />

    </bean>

 

    <!-- AOP式方法级权限检查 -->

 

    <!-- AOP式方法级权限检查 这两个类主要用于注解 -->

    <bean        class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

        <property name="securityManager" ref="securityManager" />

    </bean>

 </beans>
时间: 2024-10-29 19:06:06

权限控制框架Shiro简单介绍及配置实例的相关文章

了解权限控制框架shiro 之实际应用.

Apache Shiro 1.权限控制分为 a.粗粒度 URL 级别权限控制     b.细粒度方法级别权限控制 2.使用shiro进行权限控制主要有四种主要方式 : a. 在程序中 通过 Subject 编程方式进行权限控制 b. 配置 Filter 实现 URL 级别粗粒度权限控制 c. 配置代理,基于注解实现细粒度权限控制 d. 在页面中使用 shiro 自定义标签实现 页面显示权限控制 3.shiro实际应用之基本配置: a.用父工程引入shiro b.配置web.xml c.配置app

Shiro权限控制框架入门1:Shiro的认证流程以及基本概念介绍

前言:我在最开始学习Shiro这个框架时,在网上搜索到的一个介绍比较全面的教程是:<跟我学Shiro>系列教程.但是在我看了他写的前几篇文章后,我发现虽然他在这个系列教程中把shiro的一些特性介绍地非常全面详细,但是整个教程的叙述方式还是有很大缺陷的.文章与文章之间并没有很好地串联起来,每篇文章介绍的东西都过于分散了,如果是对shiro完全不了解的新手来看的话完全是一场噩梦.就像一个网友评价的这样: 看了看这个教程,看完之后都想放弃shiro了,完全看不懂,后来百度了很多别的资料才理解了sh

Universal-Image-Loader(UIL)图片加载框架使用简单介绍

这个也是最近项目中使用到的第三方图片加载框架,在这里也自己总结一下,简单的介绍一些使用的方式. UIL图片加载框架特点 简介: 项目地址:https://github.com/nostra13/Android-Universal-Image-Loader 异步加载图片或者加载大量图片经常会遇到图片错乱或者OOM等相关问题.UIL图片缓存,目前使用最广泛的图片缓存,支持主流图片缓存的绝大多数特性. 我们看下该图片加载的三级缓存原理 特点: 1.多线程下载图片,图片可以来源于网络,文件系统,项目文件

erp权限验证框架Shiro

  权限验证框架Shiro Shiro简介 1.1. 什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能: 认证(Authentication):用户身份识别,常被称为用户"登录",判断用户是否登陆,如果未登陆,则拦截其请求 授权(Authorization):访问控制.当用户登陆后,判断其身份是否有权限访问相应的资源,如果没有权限则拦截 密码加密(Cryptography):保护或隐藏数据防止被偷窃.将MD5进行二次封装

权限框架 - shiro 简单入门实例

前面的帖子简单的介绍了基本的权限控制,可以说任何一个后台管理系统都是需要权限的 今天开始咱们来讲讲Shiro 首先引入基本的jar包 1 <!-- shiro --> 2 <dependency> 3 <groupId>org.apache.shiro</groupId> 4 <artifactId>shiro-core</artifactId> 5 </dependency> 6 <dependency> 7

client高性能组件化框架React简单介绍、特点、环境搭建及经常使用语法

[本文源址:http://blog.csdn.net/q1056843325/article/details/54729657 转载请加入该地址] 明天就是除夕了 预祝大家新春快乐 [ ]~( ̄▽ ̄)~* 天天饭局搞得我是身心疲惫= = 所以更新比較慢 今天想跟大家分享的就是这个大名鼎鼎的React框架 简单介绍 React是近两年非常流行的框架 流行到什么程度呢? 我看了一下Github上的数据 React达到了5w8+的star 在JavaScript中star排名第4 受欢迎程度可见一斑

权限控制框架

基本概念 权限系统设计模型分析(DAC,MAC,RBAC,ABAC) 权限控制和OAuth How is OAuth 2 different from OAuth 1? Oauth 1.0,1.0a 和 2.0 的之间的区别有哪些? 几类框架 shiro 极客学院-跟我学 Shiro 或 W3Cschool-跟我学 Shiro,两者内容一样,挑一个看着顺眼的学习即可30分钟学会如何使用Shiro spring security 使用 Spring Security 保护 Web 应用的安全适合初

快速生成沙盒目录的路径,多图片下载的原理(SDWebImage框架的简单介绍)

一.快速生成沙盒目录的路径 这个类主要是为了方便你快速拿到沙盒目录里文件夹的路径 给NSString写个分类 NSString+CHG.h #import <Foundation/Foundation.h> @interface NSString (CHG) // 用于生成文件在caches目录中的路径 - (instancetype)cacheDir; // 用于生成文件在document目录中的路径 - (instancetype)docDir; // 用于生成文件在tmp目录中的路径 -

Java日志框架-logback的介绍及配置使用方法(转)

说明:内容估计有些旧,2011年的,但是大体意思应该没多大变化,最新的配置可以参考官方文档. 一.logback的介绍 Logback是由log4j创始人设计的又一个开源日志组件.logback当前分成三个模块:logback-core,logback- classic和logback-access.logback-core是其它两个模块的基础模块.logback-classic是log4j的一个改良版本.此外logback-classic完整实现SLF4J API使你可以很方便地更换成其它日志