Shiro 工作流程及其Spring集成配置分享
2017-06-29 16:00
561 查看
1.在读本文之前,请了解一个请求至服务器端的整个过程是怎样的.最好了解Spring MVC
2.深入了解session,cookie,参考文章:http://blog.csdn.net/yangshenhuai/article/details/5897950
一 Shiro 组成部分
Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;
Shiro-Subject 分析:http://blog.csdn.net/u012881904/article/details/53726407
SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。
Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
Realm:可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;
SessionManager:如果写过Servlet就应该知道Session的概念,Session呢需要有人去管理它的生命周期,这个组件就是SessionManager;而Shiro并不仅仅可以用在Web环境,也可以用在如普通的JavaSE环境、EJB等环境;所有呢,Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据;这样的话,比如我们在Web环境用,刚开始是一台Web服务器;接着又上了台EJB服务器;这时想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到Memcached服务器);
SessionDAO:DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;比如想把Session放到Memcached中,可以实现自己的Memcached SessionDAO;另外SessionDAO中可以使用Cache进行缓存,以提高性能;
CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能
Cryptography:密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。
二 Shiro 工作流程
这边工作流程可以切为两个模块,第一个是登录流程,第二个是进入到有权限的任意一个请求,shiro是怎样处理的.
1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必
须通过SecurityUtils. setSecurityManager()设置;
2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自
定义插入自己的实现;
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认
ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
5、Authenticator 会把相应的token 传入Realm,从Realm 获取身份验证信息,如果没有返
回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进
行访问
贴代码进行说明登录
1.当一个请求发起至服务器端时,会进入一个WebSessionManager管理其中,进行获取相应的s
de3e
ession等情况,如果没有session,则会自动创建一个session.
Shiro与之对应的会话管理器有:DefaultWebSessionManager,可以在此类的基础上集成实现自己定义的会话管理器
2.进入登录请求
3.登录请求的细节,我们需要对relam进行重新实现,是为了获取权限和登录时调用的,继承AuthorizingRealm即可
4.当登录后,进入至一个带有权限的请求时
1.请求会进入会话管理器,然后获取其相应的sessionId和session内容,并进行更新.涉及到相应的类为:CachingSessionDAO
2.若是登录后第一次跳转请求,会调用获取权限的方法,然后进行缓存至session中,无需第二次获取
3.进入shiro过滤器内如AuthorizationFilter等过滤器,进行权限校验,true为放行通过
三 Shiro 与Spring 集成
四 参考网址
http://blog.csdn.net/qq_26026975/article/details/73901015
http://jinnianshilongnian.iteye.com/blog/2018398
http://jinnianshilongnian.iteye.com/blog/2018936
http://www.myexception.cn/software-architecture-design/1815507.html
2.深入了解session,cookie,参考文章:http://blog.csdn.net/yangshenhuai/article/details/5897950
一 Shiro 组成部分
Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;
Shiro-Subject 分析:http://blog.csdn.net/u012881904/article/details/53726407
SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。
Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
Realm:可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;
SessionManager:如果写过Servlet就应该知道Session的概念,Session呢需要有人去管理它的生命周期,这个组件就是SessionManager;而Shiro并不仅仅可以用在Web环境,也可以用在如普通的JavaSE环境、EJB等环境;所有呢,Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据;这样的话,比如我们在Web环境用,刚开始是一台Web服务器;接着又上了台EJB服务器;这时想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到Memcached服务器);
SessionDAO:DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;比如想把Session放到Memcached中,可以实现自己的Memcached SessionDAO;另外SessionDAO中可以使用Cache进行缓存,以提高性能;
CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能
Cryptography:密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。
二 Shiro 工作流程
这边工作流程可以切为两个模块,第一个是登录流程,第二个是进入到有权限的任意一个请求,shiro是怎样处理的.
1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必
须通过SecurityUtils. setSecurityManager()设置;
2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自
定义插入自己的实现;
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认
ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
5、Authenticator 会把相应的token 传入Realm,从Realm 获取身份验证信息,如果没有返
回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进
行访问
贴代码进行说明登录
1.当一个请求发起至服务器端时,会进入一个WebSessionManager管理其中,进行获取相应的s
de3e
ession等情况,如果没有session,则会自动创建一个session.
Shiro与之对应的会话管理器有:DefaultWebSessionManager,可以在此类的基础上集成实现自己定义的会话管理器
2.进入登录请求
//新建一个token,用于登录 UsernamePasswordToken userToken = new UsernamePasswordToken(userName,password.trim()); //获取全局的一个Subject,可以通过它,对当前环境的当前用户进行管理,其本质是委托给SecurityManager进行处理 Subject currentUser = SecurityUtils.getSubject(); //进行登录操作,若登录失败,可抛出相应的异常,然后对异常进行解析 currentUser.login(userToken); //若登录成功,则获取session会话,并进行复制 Session session = currentUser.getSession(); session.setAttribute("userId",mUser.getUserId());
3.登录请求的细节,我们需要对relam进行重新实现,是为了获取权限和登录时调用的,继承AuthorizingRealm即可
@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取token //根据业务相关逻辑,和正确的密码等比较 //若校验失败,则抛出异常,常见的异常有: UnknownAccountException();// 没找到帐号 LockedAccountException(); // 帐号锁定 AuthenticationException(ShiroCustomizeException.userInsufficientRightsMSG);//权限不匹配异常 IncorrectCredentialsException();//用户名或密码错误 //若校验成功,则按照自己的需求,放入相关的令牌信息至SimpleAuthenticationInfo中 }
4.当登录后,进入至一个带有权限的请求时
1.请求会进入会话管理器,然后获取其相应的sessionId和session内容,并进行更新.涉及到相应的类为:CachingSessionDAO
2.若是登录后第一次跳转请求,会调用获取权限的方法,然后进行缓存至session中,无需第二次获取
3.进入shiro过滤器内如AuthorizationFilter等过滤器,进行权限校验,true为放行通过
@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { log.info("获取权限"); // 获取令牌中的用户id Long userId = Long.parseLong(principals.getPrimaryPrincipal().toString()); SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); //根据id查找用户角色 authorizationInfo.setRoles(userService.findRoles(userId)); //根据id查找用户权限 authorizationInfo.setStringPermissions(userService.findPermissions(userId)); return authorizationInfo; }
三 Shiro 与Spring 集成
<!-- 会话Cookie模板 --> <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie"> <constructor-arg value="sid" /> <property name="httpOnly" value="true" /> <property name="maxAge" value="-1" /> </bean> <!-- 会话ID生成器 --> <bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator" /> <!-- 会话DAO --> <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO"> <property name="activeSessionsCacheName" value="shiro-activeSessionCache" /> <property name="sessionIdGenerator" ref="sessionIdGenerator" /> </bean> <!-- 会话验证调度器 --> <bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler"> <property name="sessionValidationInterval" value="1800000" /> <property name="sessionManager" ref="sessionManager" /> </bean> <!--自定义的shiro监听器,用于监听shiro的生命周期--> <bean id="shiroSessionListener" class="com.csx.shiro.CsxShiroListener" /> <!-- 会话管理器 --> <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name="globalSessionTimeout" value="1800000" /> <property name="deleteInvalidSessions" value="true" /> <property name="sessionValidationSchedulerEnabled" value="true" /> <property name="sessionValidationScheduler" ref="sessionValidationScheduler" /> <property name="sessionDAO" ref="sessionDAO" /> <property name="sessionIdCookieEnabled" value="true" /> <property name="sessionIdCookie" ref="sessionIdCookie" /> <property name="sessionListeners" ref="shiroSessionListener" /> </bean> <!-- 项目自定义的Realm --> <bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" /> <!-- 安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="shiroDbRealm" /> <property name="sessionManager" ref="sessionManager" /> <property name="cacheManager" ref="shiroCacheManager" /> <!-- Shiro Filter --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /> <!-- 添加各种验证过滤器 --> <property name="filters"> <map> <entry key="roleOrFilter" value-ref="roleOrFilter"/> </map> </property> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性 --> <property name="loginUrl" value="/login.html" /> <property name="unauthorizedUrl" value="/login.html"/> <property name="filterChainDefinitions"> <value> /util/*.do = anon /personal/*.do = roles[personal] </value> </property> </bean> <!-- Shiro生命周期处理器 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> <!-- 自定义异常处理--> <bean id="exceptionResolver" class="com.csx.shiro.ShiroExceptionResolver"></bean>
四 参考网址
http://blog.csdn.net/qq_26026975/article/details/73901015
http://jinnianshilongnian.iteye.com/blog/2018398
http://jinnianshilongnian.iteye.com/blog/2018936
http://www.myexception.cn/software-architecture-design/1815507.html
相关文章推荐
- Shiro在Web环境下集成Spring的大致工作流程
- 基于spring mvc下请求的简单工作流程及其相应配置集成
- SHIRO工作流程及原理及在Spring中集成
- SpringBoot+Shiro+SpringSession的简单集成配置简要步骤
- web项目shiro与spring集成 maven依赖及web配置详解
- 分享知识-快乐自己:SpringBoot集成热部署配置(一)
- 初步学习shiro+redis+springMVC的集成配置,做一下记录文档吧
- spring boot 集成shiro的配置
- 第三部分:shiro集成spring使用cas单点登录配置
- shiro集成spring使用cas单点登录配置
- jersey spring shiro mybatis mysql集成配置
- spring mvc 的工作流程是什么+Spring+Ibatis集成开发实例
- 2017.2.13 开涛shiro教程-第十二章-与Spring集成(一)配置文件详解
- 简单两步快速实现shiro的配置和使用,包含登录验证、角色验证、权限验证以及shiro登录注销流程(基于spring的方式,使用maven构建)
- Spring Shiro CAS 客户端集成配置
- 2017.2.13 开涛shiro教程-第十二章-与Spring集成(一)配置文件详解
- Struts2 Hibernate Spring 整合的基本流程和步骤及其相关配置细节
- 用Spring集成的JOTM配置分布式事务
- spring配置文件的一般写法(集成hibernate) (applicationContext.xml)
- CVSNT配置及其与eclipse集成开发项目管理