简单又灵活的安全框架--Shiro构架和身份认证流程

       Apache Shiro是一款强大易用的安全框架,它可以在任何应用环境中使用,能够跟第三方框架良好的耦合,它的设计目标就是简化应用程序的安全工作管理。那Shiro究竟是如何工作的?

       我们先来看看架构总览:

                         

       值得一提的是Shiro不提供用户权限的维护,而是从一个或多个配置好的Realms(相当于DAO)中寻找相关数据,来完成用户的授权管理和身份验证(登录)。

一、Shiro的详细架构

                     

                       (参考http://jinnianshilongnian.iteye.com/blog/2018936)

       1.Subject:任何可以与应用交互的“用户”。

       2.SecurityManager:安全管理器,是Shiro的心脏,负责与其他组件的交互。

       3.Authenticator:验证是否有身份,就是平常说的登录。

       4.Authorizer:授权器,用来判断当前用户是否具有权限进行相关操作。

       5.SessionManager:管理Session的组件。

       6.CacheManager:用来管理用户的身份,权限,角色等的缓存。

       7.Cryptography:用于密码的加密解密加盐值操作。

       8.Realm:代表一个或多个的安全实体数据源。

通过上面的各个组件我们可以完成认证、授权、会话管理、加密/解密、记住我、允许一个用户假装为另一个用户等安全相关功能。

二、身份认证的流程

认证说白了就是登录,下面的例子展示了认证的过程

package com.liugh;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class Quickstart {
    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);

    public static void main(String[] args) {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        // 获取当前的 Subject. 调用 SecurityUtils.getSubject();
        Subject currentUser = SecurityUtils.getSubject();
        // 测试使用 Session
        // 获取 Session: Subject#getSession()
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("---> 检索正确的值[" + value + "]");
        }
        // 测试当前的用户是否已经被认证. 即是否已经登录.
        // 调动 Subject 的 isAuthenticated() 
        if (!currentUser.isAuthenticated()) {
        	// 把用户名和密码封装为 UsernamePasswordToken 对象
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            // rememberme
            token.setRememberMe(true);
            try {
            	// 执行登录. 
                currentUser.login(token);
            } 
            // 若没有指定的账户, 则 shiro 将会抛出 UnknownAccountException 异常. 
            catch (UnknownAccountException uae) {
                log.info("---->没有查询到用户名" + token.getPrincipal());
                return; 
            } 
            // 若账户存在, 但密码不匹配, 则 shiro 会抛出 IncorrectCredentialsException 异常。 
            catch (IncorrectCredentialsException ice) {
                log.info("----> 用户的密码错误 " + token.getPrincipal());
                return; 
            } 
            // 用户被锁定的异常 LockedAccountException
            catch (LockedAccountException lae) {
                log.info("用户: " + token.getPrincipal() + " 被锁定  " +
                        "请与管理员联系解锁它。");
            }
            // 所有认证时异常的父类.
            catch (AuthenticationException ae) {
            }
        }
        log.info("----> 用户 [" + currentUser.getPrincipal() + "] 登录成功.");
        // 测试是否有某一个角色. 调用 Subject 的 hasRole 方法.
        if (currentUser.hasRole("admin")) {
            log.info("----> 当前用户有管理员的角色");
        } else {
            log.info("----> 当前用户是个普通人");
            return; 
        }
        // 测试用户是否具备某一个行为,用户张三是否具备删除操作?
        if (currentUser.isPermitted("user:delete:zhangsan")) {
            log.info("zhangsan 用户具备了删除的操作");
        } else {
            log.info("zhangsan 用户不具备删除的操作");
        }
        // 执行登出. 调用 Subject 的 Logout() 方法.
        System.out.println("---->" + currentUser.isAuthenticated());
        currentUser.logout();
        System.out.println("---->" + currentUser.isAuthenticated());
        System.exit(0);
    }
}

整个过程其实不难,我们总结一下

1. 调用 SecurityUtils.getSubject(),获取当前的 Subject.;
2. 调用 Subject 的 isAuthenticated() 测试有没有登录。
3. 若用户没有被登录。则把用户名和密码封装成 UsernamePasswordToken 对象

  • 创建一个表单页面
  • 把请求提交到 SpringMVC 的 Handler
  • 获取用户名和密码. 

4. 调用 Subject 的 login(AuthenticationToken) 方法进行登录操作 。
5. 自定义 Realm 的方法,从数据库中获取对应的记录,返回给 Shiro。

6. Shior进行密码比对操作。

       在实际开发中,第123步其实都在Spring MVC 的Handler里完成的,如果只需要认证的话,继承AuthenticatingRealm.class并重写抽象方法doGetAuthenticationInfo,进行用户查询,是否被锁定,密码加密加盐值比对操作等。这些要怎么做呢?敬请期待下一篇文章:

简单又灵活的安全框架--Shiro密码比对和授权


 

猜你喜欢

转载自my.oschina.net/liughDevelop/blog/1795897