15、Shiro 实战:Shiro授权流程分析
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。上一篇讲解了Shiro授权的相关基础知识,并实验了“roles”拦截器的效果。可惜的是没有给用户进行授权工作,所以没有验证拥有角色后的权限校验工作。下面就来讲解一下Shiro的授权流程。
之前我们使用过认证的Realm,他是进行登录认证时提供认证数据的关键类,其继承了AuthenticatingRealm父类,并实现了doGetAuthenticationInfo抽象方法提供认证数据。那么我们的授权数据获取,继承AuthenticatingRealm是不够的,需要继承AuthenticatingRealm的子类AuthorizingRealm,并实现其抽象方法doGetAuthorizationInfo。
因为AuthorizingRealm授权Realm是AuthenticatingRealm认证Realm的子类,所以AuthorizingRealm既可以提供授权数据也可以提供认证数据,所以要实现认证与授权,只需要继承AuthorizingRealm类即可。
这里写一个Test类,继承AuthorizingRealm:
package com.test.shiro.realms;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class TestRealm extends AuthorizingRealm{
//用于授权的方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
// TODO Auto-generated method stub
return null;
}
//用于认证的方法
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
// TODO Auto-generated method stub
return null;
}
}
可以看到,继承了AuthorizingRealm中之后,就要实现其两个方法:doGetAuthenticationInfo、doGetAuthorizationInfo上面两个方法分别用于为校验提供认证信息和授权信息。因为Subject的login方法会调用Realm的doGetAuthenticationInfo获取认证信息进行密码比对,而Subject的hasRole、hasPermission等方法会调用Realm的doGetAuthorizationInfo获取授权信息进行权限判定。
这里需要注意的一点,当我们配置了多个Realm授权时,如何判定是授权通过呢?
我们通过Subject的hasRole源码可看到:
上面可以看到执行了securityManager的hasRole方法,而securityManager根据不同情况会继承不同的类:
而其中的ModularRealmAuthorizer就是当有多个Realm时,securityManager继承的类。此时securityManager的hasRole的实现为ModularRealmAuthorizer父类的实现:
可以从上面的方法中得知,当配置有多个Realm时,只要一个Realm有该权限,那么就直接通过。
下面我们来实现授权Realm:
之前在Shiro3工程中有一个认证Realm为ShiroRealm,其继承了AuthenticatingRealm父类并实现了doGetAuthenticationInfo为系统的登录认证提供认证信息:
package com.test.shiro.realms;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.util.ByteSource;
import com.test.shiro.po.User;
public class ShiroRealm extends AuthenticatingRealm{
private static Map<String,User> userMap = new HashMap<String,User>();
static{
//使用Map模拟数据库获取User表信息
userMap.put("administrator", new User("administrator","5703a57069fce1f17882d283132229e0",false));//密码明文:aaa123
userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1",false));//密码明文:aaa123
userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95",false));//密码明文:bbb321
userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e",true));//密码明文:ccc213
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
System.out.println("[ShiroRealm]");
//1.把AuthenticationToken转换为UsernamePasswordToken
UsernamePasswordToken userToken = (UsernamePasswordToken) token;
//2.从UsernamePasswordToken中获取username
String username = userToken.getUsername();
//3.调用数据库的方法,从数据库中查询Username对应的用户记录
System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");
//Map模拟数据库取数据
User u = userMap.get(username);
//4.若用户不行存在,可以抛出UnknownAccountException
if(u==null){
throw new UnknownAccountException("用户不存在");
}
//5.若用户被锁定,可以抛出LockedAccountException
if(u.isLocked()){
throw new LockedAccountException("用户被锁定");
}
//7.根据用户的情况,来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo
//以下信息是从数据库中获取的
//1)principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体对象
Object principal = u.getUsername();
//2)credentials:密码
Object credentials = u.getPassword();
//3)realmName:当前realm对象的name,调用父类的getName()方法即可
String realmName = getName();
//4)credentialsSalt盐值
ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值
SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);
info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
return info;
}
public static void main(String[] args) {
User u = null;
Iterator<String> it = userMap.keySet().iterator();
while(it.hasNext()){
u = userMap.get(it.next());
String hashAlgorithmName = "MD5";//加密方式
Object crdentials = u.getPassword();//密码原值
ByteSource salt = ByteSource.Util.bytes(u.getUsername());//以账号作为盐值
int hashIterations = 1024;//加密1024次
Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
System.out.println(u.getUsername()+":"+result);
}
}
}
我们修改之前Shiro3工程中的ShiroRealm,将其原来继承的AuthenticatingRealm父类更换为AuthorizingRealm类,并实现其doGetAuthorizationInfo方法用于提供授权信息:
//给Shiro的授权验证提供授权信息
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
//1.从principals中获取登录用户的信息
Object principal = principals.getPrimaryPrincipal();
//2.利用登录用户的信息获取当前用户的角色(有数据库的话,从数据库中查询)
Set<String> roles = new HashSet<String>();//放置用户角色的set集合(不重复)
roles.add("user");//放置所有用户都有的普通用户角色
if("administrator".equals(principal)){
roles.add("admin");//当账号为administrator时,添加admin角色
}
//3.创建SimpleAuthorizationInfo,并设置其roles属性
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
//4.返回SimpleAuthorizationInfo对象
return info;
}
由于这里我们没有数据库,仅仅用数据模拟角色添加,设置当登录账号为“adminstrator”时,为其添加admin角色。
记得上一篇我们在shiroFilter中配置了User.jsp与admin.jsp的访问权限:
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.jsp"/>
<property name="successUrl" value="/list.jsp"/>
<property name="unauthorizedUrl" value="/index.jsp"/>
<!--
配置哪些页面需要受保护.
以及访问这些页面需要的权限.
1). anon 可以被匿名访问
2). authc 必须认证(即登录)后才可能访问的页面.
3). logout 登出
4). roles 角色过滤器
-->
<property name="filterChainDefinitions">
<value>
/login.jsp = anon
/userAuth/login = anon
/userAuth/logout = logout
/User.jsp = roles[user]
/admin.jsp = roles[admin]
everything else requires authentication:
/** = authc
</value>
</property>
</bean>
然后主页list.jsp:
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>首页</title>
</head>
<body>
登录成功!欢迎访问首页O(∩_∩)O
<a href="userAuth/logout">登出</a>
<br/><br/>
<a href="admin.jsp">Admin Page</a>
<br/><br/>
<a href="User.jsp">User Page</a>
</body>
</html>
User.jsp:
<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>user page</title>
</head>
<body>
This is User page. <br>
</body>
</html>
admin.jsp:
<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>admin page</title>
</head>
<body>
This is Admin page. <br>
</body>
</html>
无权限时unauthorizedUrl指向的index.jsp页面:
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>提示</title>
</head>
<body>
抱歉,没有权限访问该资源!<br>
</body>
</html>
下面使用jack普通用户登录:
然后点击User Page,发现可以进入:
然后点击Admin Page,发现没有权限:
接下来换administrator账号登录,然后点击User Page,发现可以进入:
再去点击Admin Page,发现也可以进入:
至此,我们实现了Shiro的一个完整的授权流程。