摘要:細粒度權限管理就是數據級別的權限管理。張三只能查看行政部的用戶信息���,李四只能查看開發部門的用戶信息。比如通過的攔截器實現授權。
前言
本文主要講解的知識點有以下:
權限管理的基礎知識
模型
粗粒度和細粒度的概念
回顧URL攔截的實現
Shiro的介紹與簡單入門
一、Shiro基礎知識
在學習Shiro這個框架之前,首先我們要先了解Shiro需要的基礎知識:權限管理
1.1什么是權限管理��?
只要有用戶參與的系統一般都要有權限管理�����,權限管理實現對用戶訪問系統的控制�,按照安全規則或者安全策略控制用戶可以訪問而且只能訪問自己被授權的資源��。
對權限的管理又分為兩大類別:
用戶認證
用戶授權
1.1.1用戶認證
用戶認證�����,用戶去訪問系統,系統要驗證用戶身份的合法性
最常用的用戶身份驗證的方法:1�、用戶名密碼方式����、2��、指紋打卡機���、3���、基于證書驗證方法����。�。系統驗證用戶身份合法,用戶方可訪問系統的資源。
舉個例子:
當我們輸入了自己的淘寶的賬戶和密碼,才能打開購物車
用戶認證的流程:
判斷該資源能否不認證就能訪問【登陸頁面���、首頁】
如果該資源需要認證后才能訪問����,那么判斷該訪問者是否認證了
如果還沒有認證,那么需要返回到【登陸頁面】進行認證
認證通過后才能訪問資源
從用戶認證我們可以抽取出這么幾個概念
subject主體:理解為用戶,可能是程序��,都要去訪問系統的資源���,系統需要對subject進行身份認證
principal身份信息:通常是唯一的���,一個主體還有多個身份信息�,但是都有一個主身份信息(primary principal)【我們可以選擇身份證認證、學生證認證等等都是我們的身份信息】
credential憑證信息:可以是密碼 �、證書����、指紋�。
總結:主體在進行身份認證時需要提供身份信息和憑證信息。
1.1.2用戶授權
用戶授權�,簡單理解為訪問控制�,在用戶認證通過后����,系統對用戶訪問資源進行控制,用戶具有資源的訪問權限方可訪問�。
用戶授權的流程
到達了用戶授權環節�,當然是需要用戶認證之后了
用戶訪問資源�,系統判斷該用戶是否有權限去操作該資源
如果該用戶有權限才能夠訪問,如果沒有權限就不能訪問了
授權的過程可以簡單理解為:主體認證之后��,系統進行訪問控制
subject必須具備資源的訪問權限才可訪問該資源..
權限/許可(permission) :針對資源的權限或許可���,subject具有permission訪問資源����,如何訪問/操作需要定義permission,權限比如:用戶添加���、用戶修改、商品刪除
資源可以分為兩種
資源類型:系統的用戶信息就是資源類型����,相當于java類���。
資源實例:系統中id為001的用戶就是資源實例����,相當于new的java對象����。
1.2權限管理模型
一般地,我們可以抽取出這么幾個模型:
主體(賬號���、密碼)
資源(資源名稱、訪問地址)
權限(權限名稱�����、資源id)
角色(角色名稱)
角色和權限關系(角色id�����、權限id)
主體和角色關系(主體id�����、角色id)
通常企業開發中將資源和權限表合并為一張權限表,如下:
資源(資源名稱��、訪問地址)
權限(權限名稱����、資源id)
合并為:
權限(權限名稱����、資源名稱、資源訪問地址)
1.3分配權限
用戶需要分配相應的權限才可訪問相應的資源。權限是對于資源的操作許可��。
通常給用戶分配資源權限需要將權限信息持久化�,比如存儲在關系數據庫中。把用戶信息、權限管理、用戶分配的權限信息寫到數據庫(權限數據模型)
1.3.1基于角色訪問控制
RBAC(role based access control),基于角色的訪問控制�。
//如果該user是部門經理則可以訪問if中的代碼
if(user.hasRole("部門經理")){
//系統資源內容
//用戶報表查看
}
角色針對人劃分的��,人作為用戶在系統中屬于活動內容,如果該 角色可以訪問的資源出現變更,需要修改你的代碼了����,
if(user.hasRole("部門經理") || user.hasRole("總經理") ){
//系統資源內容
//用戶報表查看
}
基于角色的訪問控制是不利于系統維護(可擴展性不強)���。
1.3.2基于資源的訪問控制
RBAC(Resource based access control)�,基于資源的訪問控制��。
資源在系統中是不變的���,比如資源有:類中的方法�,頁面中的按鈕�。
對資源的訪問需要具有permission權限,代碼可以寫為:
if(user.hasPermission ("用戶報表查看(權限標識符)")){
//系統資源內容
//用戶報表查看
}
建議使用基于資源的訪問控制實現權限管理。
二���、 粗粒度和細粒度權限
細粒度權限管理:對資源實例的權限管理。資源實例就資源類型的具體化,比如:用戶id為001的修改連接���,1110班的用戶信息、行政部的員工。細粒度權限管理就是數據級別的權限管理��。
粗粒度權限管理比如:超級管理員可以訪問戶添加頁面�����、用戶信息等全部頁面。部門管理員可以訪問用戶信息頁面包括 頁面中所有按鈕�。
粗粒度和細粒度例子:
系統有一個用戶列表查詢頁面��,對用戶列表查詢分權限,
如果粗顆粒管理�����,張三和李四都有用戶列表查詢的權限,張三和李四都可以訪問用戶列表查詢����。
進一步進行細顆粒管理�����,張三(行政部)和李四(開發部)只可以查詢自己本部門的用戶信息。
張三只能查看行政部 的用戶信息����,李四只能查看開發部門的用戶信息�����。
細粒度權限管理就是數據級別的權限管理。
2.1如何實現粗粒度權限管理?
粗粒度權限管理比較容易將權限管理的代碼抽取出來在系統架構級別統一處理�����。比如:通過springmvc的攔截器實現授權��。
對細粒度權限管理在數據級別是沒有共性可言�����,針對細粒度權限管理就是系統業務邏輯的一部分�����,在業務層去處理相對比較簡單
比如:部門經理只查詢本部門員工信息�����,在service接口提供一個部門id的參數,controller中根據當前用戶的信息得到該 用戶屬于哪個部門���,調用service時將部門id傳入service,實現該用戶只查詢本部門的員工�����。
2.1.1基于URL攔截
基于url攔截的方式實現在實際開發中比較常用的一種方式�。
對于web系統,通過filter過慮器實現url攔截�,也可以springmvc的攔截器實現基于url的攔截��。
2.2.2使用權限管理框架實現
對于粗粒度權限管理,建議使用優秀權限管理框架來實現����,節省開發成功���,提高開發效率���。
shiro就是一個優秀權限管理框架����。
三�、回顧URL攔截
我們在學習的路途上也是使用過幾次URL對權限進行攔截的
當時我們做了權限的增刪該查的管理系統,但是在權限表中是沒有把資源添加進去����,我們使用的是Map集合來進行替代的。
http://blog.csdn.net/hon_3y/article/details/61926175
隨后,我們學習了動態代理和注解,我們也做了一個基于注解的攔截
在Controller得到service對象的時候����,service工廠返回的是一個動態代理對象回去
Controller拿著代理對象去調用方法�,代理對象就會去解析該方法上是否有注解
如果有注解����,那么就需要我們進行判斷該主體是否認證了,如果認證了就判斷該主體是否有權限
當我們解析出該主體的權限和我們注解的權限是一致的時候�,才放行�����!
http://blog.csdn.net/hon_3y/article/details/70767050
流程:
3.1認證的JavaBean
我們之前認證都是放在默認的Javabean對象上的����,現在既然我們準備學Shiro了���,我們就得專業一點�����,弄一個專門存儲認證信息的JavaBean
/**
* 用戶身份信息����,存入session 由于tomcat將session會序列化在本地硬盤上�����,所以使用Serializable接口
*
* @author Thinkpad
*
*/
public class ActiveUser implements java.io.Serializable {
private String userid;//用戶id(主鍵)
private String usercode;// 用戶賬號
private String username;// 用戶名稱
private List menus;// 菜單
private List permissions;// 權限
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getUsercode() {
return usercode;
}
public void setUsercode(String usercode) {
this.usercode = usercode;
}
public String getUserid() {
return userid;
}
public void setUserid(String userid) {
this.userid = userid;
}
public List getMenus() {
return menus;
}
public void setMenus(List menus) {
this.menus = menus;
}
public List getPermissions() {
return permissions;
}
public void setPermissions(List permissions) {
this.permissions = permissions;
}
}
認證的服務
@Override
public ActiveUser authenticat(String userCode, String password)
throws Exception {
/**
認證過程:
根據用戶身份(賬號)查詢數據庫��,如果查詢不到用戶不存在
對輸入的密碼 和數據庫密碼 進行比對����,如果一致,認證通過
*/
//根據用戶賬號查詢數據庫
SysUser sysUser = this.findSysUserByUserCode(userCode);
if(sysUser == null){
//拋出異常
throw new CustomException("用戶賬號不存在");
}
//數據庫密碼 (md5密碼 )
String password_db = sysUser.getPassword();
//對輸入的密碼 和數據庫密碼 進行比對���,如果一致,認證通過
//對頁面輸入的密碼 進行md5加密
String password_input_md5 = new MD5().getMD5ofStr(password);
if(!password_input_md5.equalsIgnoreCase(password_db)){
//拋出異常
throw new CustomException("用戶名或密碼 錯誤");
}
//得到用戶id
String userid = sysUser.getId();
//根據用戶id查詢菜單
List menus =this.findMenuListByUserId(userid);
//根據用戶id查詢權限url
List permissions = this.findPermissionListByUserId(userid);
//認證通過��,返回用戶身份信息
ActiveUser activeUser = new ActiveUser();
activeUser.setUserid(sysUser.getId());
activeUser.setUsercode(userCode);
activeUser.setUsername(sysUser.getUsername());//用戶名稱
//放入權限范圍的菜單和url
activeUser.setMenus(menus);
activeUser.setPermissions(permissions);
return activeUser;
}
Controller處理認證�����,如果身份認證成功���,那么把認證信息存儲在Session中
@RequestMapping("/login")
public String login(HttpSession session, String randomcode,String usercode,String password)throws Exception{
//校驗驗證碼�,防止惡性攻擊
//從session獲取正確驗證碼
String validateCode = (String) session.getAttribute("validateCode");
//輸入的驗證和session中的驗證進行對比
if(!randomcode.equals(validateCode)){
//拋出異常
throw new CustomException("驗證碼輸入錯誤");
}
//調用service校驗用戶賬號和密碼的正確性
ActiveUser activeUser = sysService.authenticat(usercode, password);
//如果service校驗通過�,將用戶身份記錄到session
session.setAttribute("activeUser", activeUser);
//重定向到商品查詢頁面
return "redirect:/first.action";
}
身份認證攔截器
//在執行handler之前來執行的
//用于用戶認證校驗、用戶權限校驗
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
//得到請求的url
String url = request.getRequestURI();
//判斷是否是公開 地址
//實際開發中需要公開 地址配置在配置文件中
//從配置中取逆名訪問url
List open_urls = ResourcesUtil.gekeyList("anonymousURL");
//遍歷公開 地址,如果是公開 地址則放行
for(String open_url:open_urls){
if(url.indexOf(open_url)>=0){
//如果是公開 地址則放行
return true;
}
}
//判斷用戶身份在session中是否存在
HttpSession session = request.getSession();
ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
//如果用戶身份在session中存在放行
if(activeUser!=null){
return true;
}
//執行到這里攔截�����,跳轉到登陸頁面�����,用戶進行身份認證
request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request, response);
//如果返回false表示攔截不繼續執行handler���,如果返回true表示放行
return false;
}
授權攔截器
//在執行handler之前來執行的
//用于用戶認證校驗����、用戶權限校驗
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
//得到請求的url
String url = request.getRequestURI();
//判斷是否是公開 地址
//實際開發中需要公開 地址配置在配置文件中
//從配置中取逆名訪問url
List open_urls = ResourcesUtil.gekeyList("anonymousURL");
//遍歷公開 地址����,如果是公開 地址則放行
for(String open_url:open_urls){
if(url.indexOf(open_url)>=0){
//如果是公開 地址則放行
return true;
}
}
//從配置文件中獲取公共訪問地址
List common_urls = ResourcesUtil.gekeyList("commonURL");
//遍歷公用 地址�����,如果是公用 地址則放行
for(String common_url:common_urls){
if(url.indexOf(common_url)>=0){
//如果是公開 地址則放行
return true;
}
}
//獲取session
HttpSession session = request.getSession();
ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
//從session中取權限范圍的url
List permissions = activeUser.getPermissions();
for(SysPermission sysPermission:permissions){
//權限的url
String permission_url = sysPermission.getUrl();
if(url.indexOf(permission_url)>=0){
//如果是權限的url 地址則放行
return true;
}
}
//執行到這里攔截����,跳轉到無權訪問的提示頁面
request.getRequestDispatcher("/WEB-INF/jsp/refuse.jsp").forward(request, response);
//如果返回false表示攔截不繼續執行handler�,如果返回true表示放行
return false;
}
攔截器配置:
四、什么是Shiro
shiro是apache的一個開源框架���,是一個權限管理的框架,實現 用戶認證�、用戶授權�����。
spring中有spring security (原名Acegi)�,是一個權限框架��,它和spring依賴過于緊密�,沒有shiro使用簡單�。
shiro不依賴于spring,shiro不僅可以實現 web應用的權限管理�,還可以實現c/s系統����,分布式系統權限管理�,shiro屬于輕量框架,越來越多企業項目開始使用shiro���。
Shiro架構:
subject:主體,可以是用戶也可以是程序�����,主體要訪問系統��,系統需要對主體進行認證、授權���。
securityManager:安全管理器,主體進行認證和授權都 是通過securityManager進行���。
authenticator:認證器,主體進行認證最終通過authenticator進行的���。
authorizer:授權器,主體進行授權最終通過authorizer進行的��。
sessionManager:web應用中一般是用web容器對session進行管理�,shiro也提供一套session管理的方式。
SessionDao: 通過SessionDao管理session數據��,針對個性化的session數據存儲需要使用sessionDao�。
cache Manager:緩存管理器,主要對session和授權數據進行緩存�����,比如將授權數據通過cacheManager進行緩存管理�����,和ehcache整合對緩存數據進行管理�。
realm:域����,領域,相當于數據源����,通過realm存取認證��、授權相關數據。
cryptography:密碼管理��,提供了一套加密/解密的組件�����,方便開發。比如提供常用的散列、加/解密等功能。
比如md5散列算法�。
五����、為什么使用Shiro
我們在使用URL攔截的時候�����,要將所有的URL都配置起來�����,繁瑣、不易維護
而我們的Shiro實現系統的權限管理,有效提高開發效率����,從而降低開發成本�。
六�����、Shiro認證
6.1導入jar包
我們使用的是Maven的坐標就行了
org.apache.shiro
shiro-core
1.2.3
org.apache.shiro
shiro-web
1.2.3
org.apache.shiro
shiro-spring
1.2.3
org.apache.shiro
shiro-ehcache
1.2.3
org.apache.shiro
shiro-quartz
1.2.3
當然了�,我們也可以把Shiro相關的jar包全部導入進去
org.apache.shiro
shiro-all
1.2.3
6.2Shiro認證流程
6.2.1通過配置文件創建工廠
// 用戶登陸和退出
@Test
public void testLoginAndLogout() {
// 創建securityManager工廠,通過ini配置文件創建securityManager工廠
Factory factory = new IniSecurityManagerFactory(
"classpath:shiro-first.ini");
// 創建SecurityManager
SecurityManager securityManager = factory.getInstance();
// 將securityManager設置當前的運行環境中
SecurityUtils.setSecurityManager(securityManager);
// 從SecurityUtils里邊創建一個subject
Subject subject = SecurityUtils.getSubject();
// 在認證提交前準備token(令牌)
// 這里的賬號和密碼 將來是由用戶輸入進去
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
"111111");
try {
// 執行認證提交
subject.login(token);
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
// 是否認證通過
boolean isAuthenticated = subject.isAuthenticated();
System.out.println("是否認證通過:" + isAuthenticated);
// 退出操作
subject.logout();
// 是否認證通過
isAuthenticated = subject.isAuthenticated();
System.out.println("是否認證通過:" + isAuthenticated);
}
6.3小結
ModularRealmAuthenticator作用進行認證,需要調用realm查詢用戶信息(在數據庫中存在用戶信息)
ModularRealmAuthenticator進行密碼對比(認證過程)�。
realm:需要根據token中的身份信息去查詢數據庫(入門程序使用ini配置文件)�,如果查到用戶返回認證信息�,如果查詢不到返回null。
6.4自定義realm
從第一個認證程序我們可以看見����,我們所說的流程,是認證器去找realm去查詢我們相對應的數據。而默認的realm是直接去與配置文件來比對的�����,一般地����,我們在開發中都是讓realm去數據庫中比對。
因此,我們需要自定義realm
public class CustomRealm extends AuthorizingRealm {
// 設置realm的名稱
@Override
public void setName(String name) {
super.setName("customRealm");
}
// 用于認證
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
// token是用戶輸入的
// 第一步從token中取出身份信息
String userCode = (String) token.getPrincipal();
// 第二步:根據用戶輸入的userCode從數據庫查詢
// ....
// 如果查詢不到返回null
//數據庫中用戶賬號是zhangsansan
/*if(!userCode.equals("zhangsansan")){//
return null;
}*/
// 模擬從數據庫查詢到密碼
String password = "111112";
// 如果查詢到返回認證信息AuthenticationInfo
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
userCode, password, this.getName());
return simpleAuthenticationInfo;
}
// 用于授權
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
// TODO Auto-generated method stub
return null;
}
}
6.5配置realm
需要在shiro-realm.ini配置realm注入到securityManager中��。
6.6測試自定義realm
同上邊的入門程序��,需要更改ini配置文件路徑:
同上邊的入門程序����,需要更改ini配置文件路徑:
Factory factory = new IniSecurityManagerFactory(
"classpath:shiro-realm.ini");
6.7散列算法
我們如果知道md5��,我們就會知道md5是不可逆的�,但是如果設置了一些安全性比較低的密碼:111111...即時是不可逆的����,但還是可以通過暴力算法來得到md5對應的明文...
建議對md5進行散列時加salt(鹽),進行加密相當 于對原始密碼+鹽進行散列�。
正常使用時散列方法:
在程序中對原始密碼+鹽進行散列���,將散列值存儲到數據庫中��,并且還要將鹽也要存儲在數據庫中。
測試:
public class MD5Test {
public static void main(String[] args) {
//原始 密碼
String source = "111111";
//鹽
String salt = "qwerty";
//散列次數
int hashIterations = 2;
//上邊散列1次:f3694f162729b7d0254c6e40260bf15c
//上邊散列2次:36f2dfa24d0a9fa97276abbe13e596fc
//構造方法中:
//第一個參數:明文��,原始密碼
//第二個參數:鹽�����,通過使用隨機數
//第三個參數:散列的次數�,比如散列兩次����,相當 于md5(md5(""))
Md5Hash md5Hash = new Md5Hash(source, salt, hashIterations);
String password_md5 = md5Hash.toString();
System.out.println(password_md5);
//第一個參數:散列算法
SimpleHash simpleHash = new SimpleHash("md5", source, salt, hashIterations);
System.out.println(simpleHash.toString());
}
}
6.8自定義realm支持md5
自定義realm
public class CustomRealmMd5 extends AuthorizingRealm {
// 設置realm的名稱
@Override
public void setName(String name) {
super.setName("customRealmMd5");
}
// 用于認證
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
// token是用戶輸入的
// 第一步從token中取出身份信息
String userCode = (String) token.getPrincipal();
// 第二步:根據用戶輸入的userCode從數據庫查詢
// ....
// 如果查詢不到返回null
// 數據庫中用戶賬號是zhangsansan
/*
* if(!userCode.equals("zhangsansan")){// return null; }
*/
// 模擬從數據庫查詢到密碼,散列值
String password = "f3694f162729b7d0254c6e40260bf15c";
// 從數據庫獲取salt
String salt = "qwerty";
//上邊散列值和鹽對應的明文:111111
// 如果查詢到返回認證信息AuthenticationInfo
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
userCode, password, ByteSource.Util.bytes(salt), this.getName());
return simpleAuthenticationInfo;
}
// 用于授權
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
// TODO Auto-generated method stub
return null;
}
}
配置文件:
測試:
// 自定義realm實現散列值匹配
@Test
public void testCustomRealmMd5() {
// 創建securityManager工廠����,通過ini配置文件創建securityManager工廠
Factory factory = new IniSecurityManagerFactory(
"classpath:shiro-realm-md5.ini");
// 創建SecurityManager
SecurityManager securityManager = factory.getInstance();
// 將securityManager設置當前的運行環境中
SecurityUtils.setSecurityManager(securityManager);
// 從SecurityUtils里邊創建一個subject
Subject subject = SecurityUtils.getSubject();
// 在認證提交前準備token(令牌)
// 這里的賬號和密碼 將來是由用戶輸入進去
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
"222222");
try {
// 執行認證提交
subject.login(token);
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
// 是否認證通過
boolean isAuthenticated = subject.isAuthenticated();
System.out.println("是否認證通過:" + isAuthenticated);
}
七、總結
用戶認證和用戶授權是Shiro的基礎�����,用戶認證其實上就是登陸操作���、用戶授權實際上就是對資源攔截的操作���。
權限管理的模型一般我們都將資源放在權限表中進行管理起來���。
我們可以基于角色攔截��,也可以基于資源攔截����。要是基于角色攔截的話����,那么如果角色的權限發生變化了,那就需要修改代碼了��。推薦使用基于資源進行攔截
這次URL攔截�,我們使用一個JavaBean來封裝所有的認證信息。當用戶登陸了之后�,我們就把用戶對菜單欄的訪問�����、對資源的訪問權限都封裝到該JavaBean中
當使用攔截器進行用戶認證的時候,我們只要判斷Session域有沒有JavaBen對象即可了�。
當時候攔截器進行用戶授權的時候�����,我們要判斷JavaBean中的權限是否能夠訪問該資源。
以前URL攔截的方式需要把所有的URL都在數據庫進行管理���。非常麻煩,不易維護���。
我們希望Shiro去認證的時候是通過realm去數據庫查詢數據的。而我們reaml默認是查詢配置文件的數據的����。
因此�����,我們需要自定義reaml,使得它是去數據庫查詢數據。只要繼承AuthorizingRealm類就行了。
當然了���,自定義后的reaml也需要在配置文件中寫上我們的自定義reaml的位置的。
散列算法就是為了讓密碼不被別人給破解�����。我們可對原始的密碼加鹽再進行散列���,這就加大了破解的難度了���。
自定義的reaml也是支持散列算法的�����,相同的,還是需要我們在配置文件中配置一下就好了。
如果文章有錯的地方歡迎指正����,大家互相交流���。習慣在微信看技術文章�����,想要獲取更多的Java資源的同學,可以關注微信公眾號:Java3y
