本文章介紹市面上常用的兩大安全框架shiro與springSecurity;
shiro
【1】什么是Shiro
Shiro是Apache旗下一個開源框架,它將軟件系統的安全認證相關的功能抽取出來,實現用戶身份 認證,權限授權、加密、會話管理等功能,組成了一個通用的安全認證框架。
【2】Shiro 的特點
Shiro 是一個強大而靈活的開源安全框架,能夠非常清晰的處理認證、授權、管理會話以及密碼加密。如下是它所具有的特點:
易于理解的 JAVA Security API;
簡單的身份認證(登錄),支持多種數據源(LDAP,JDBC 等);
對角色的簡單的簽權(訪問控制),也支持細粒度的鑒權;
支持一級緩存,以提升應用程序的性能;
內置的基于 POJO 企業會話管理,適用于 Web 以及非 Web 的環境;
異構客戶端會話訪問;
非常簡單的加密 API;
不跟任何的框架或者容器捆綁,可以獨立運行。
【2】Shiro 的核心組件
Subject
Subject主體,外部應用與subject進行交互,subject將用戶作為當前操作的主體,這個主體:可以是一 個通過瀏覽器請求的用戶,也可能是一個運行的程序。Subject在shiro中是一個接口,接口中定義了很多認證授相關的方法,外部程序通過subject進行認證授,而subject是通過SecurityManager安全管理器進行認證授權
SecurityManager
SecurityManager權限管理器,它是shiro的核心,負責對所有的subject進行安全管理。通過 SecurityManager可以完成subject的認證、授權等,SecurityManager是通過Authenticator進行認 證,通過Authorizer進行授權,通過SessionManager進行會話管理等。SecurityManager是一個接 口,繼承了Authenticator, Authorizer, SessionManager這三個接口
Authenticator
Authenticator即認證器,對用戶登錄時進行身份認證
Authorizer
Authorizer授權器,用戶通過認證器認證通過,在訪問功能時需要通過授權器判斷用戶是否有此功能的操作 權限。
Realm(數據庫讀取+認證功能+授權功能實現)
Realm領域,相當于datasource數據源,securityManager進行安全認證需要通過Realm獲取用戶權限數據
SessionManager
SessionManager會話管理,shiro框架定義了一套會話管理,它不依賴web容器的session,所以shiro 可以使用在非web應用上,也可以將分布式應用的會話集中在一點管理,此特性可使它實現單點登錄。
SessionDAO
SessionDAO即會話dao,是對session會話操作的一套接
CacheManager
CacheManager緩存管理,將用戶權限數據存儲在緩存,這樣可以提高性能
Cryptography
Cryptography密碼管理,shiro提供了一套加密/解密的組件,方便開發。比如提供常用的散列、加/解密等 功能
【3】Shiro認證的基本流程
流程如下:
1、Shiro把用戶的數據封裝成標識token,token一般封裝著用戶名,密碼等信息
2、使用Subject門面獲取到封裝著用戶的數據的標識token SessionManager會話管理,shiro框架定義了一套會話管理,它不依賴web容器的session,所以shiro 可以使用在非web應用上,也可以將分布式應用的會話集中在一點管理,此特性可使它實現單點登錄。 SessionDAO即會話dao,是對session會話操作的一套接口 比如: 可以通過jdbc將會話存儲到數據庫 也可以把session存儲到緩存服務器 CacheManager緩存管理,將用戶權限數據存儲在緩存,這樣可以提高性能 Cryptography密碼管理,shiro提供了一套加密/解密的組件,方便開發。比如提供常用的散列、加/解密等功能
3、Subject把標識token交給SecurityManager,在SecurityManager安全中心中,SecurityManager 把標識token委托給認證器Authenticator進行身份驗證。認證器的作用一般是用來指定如何驗證,它規定本次認證用到哪些Realm
4、認證器Authenticator將傳入的標識token,與數據源Realm對比,驗證token是否合法
【5】shiro身份授權的基本流程
流程如下:
1、首先調用
Subject.isPermitted/hasRole接口,其會委托給SecurityManager。
2、SecurityManager接著會委托給內部組件Authorizer;
3、Authorizer再將其請求委托給我們的Realm去做;Realm才是真正干活的;
4、Realm將用戶請求的參數封裝成權限對象。再從我們重寫的doGetAuthorizationInfo方法中獲取從 數據庫中查詢到的權限集合。
5、Realm將用戶傳入的權限對象,與從數據庫中查出來的權限對象,進行一一對比。如果用戶傳入的 權限對象在從數據庫中查出來的權限對象中,則返回true,否則返回false。 進行授權操作的前提:用戶必須通過認證。
【6】shiro示例代碼
坐標
<!--shiro和spring整合-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.3.2</version>
</dependency>
<!--shiro核心包-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.3.2</version>
</dependency>
配置文件:
@Configuration
public class ShiroConfig {
//1.創建realm
@Bean
public PurviewRealm getRealm() {
return new PurviewRealm();
}
//2.創建安全管理器
@Bean
public SecurityManager getSecurityManager(PurviewRealm realm) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(realm);
return securityManager;
}
//3.配置shiro的過濾器工廠再web程序中,shiro進行權限控制全部是通過一組過濾器集合進行控制
@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
//1.創建過濾器工廠
ShiroFilterFactoryBean filterFactory = new ShiroFilterFactoryBean();
//2.設置安全管理器
filterFactory.setSecurityManager(securityManager);
//3.通用配置(跳轉登錄頁面,為授權跳轉的頁面)
filterFactory.setLoginUrl("/autherror");//跳轉url地址
//4.設置過濾器集合
//key = 攔截的url地址
//value = 過濾器類型
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/login", "anon");//當前請求地址可以匿名訪問
filterMap.put("/checkgroup/**", "authc");//當前請求地址必須認證之后可以訪問
//......
//在過濾器工程內設置過濾器
filterFactory.setFilterChainDefinitionMap(filterMap);
return filterFactory;
}
/**
* 開啟aop注解支持
*
* @param securityManager
* @return
*/
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager);
return advisor;
}
/**
* 開啟Shiro的注解(如@RequiresRoles,@RequiresPermissions)
*
* @return
*/
@Bean
public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
advisorAutoProxyCreator.setProxyTargetClass(true);
return advisorAutoProxyCreator;
}
}
realm
/**
* 自定義的realm
*/
public class PurviewRealm extends AuthorizingRealm {
public void setName(String name) {
super.setName("purviewRealm");
}
@Autowired
private UserService userService;
/**
* 授權方法
* 操作的時候,判斷用戶是否具有響應的權限
* 一定先認證再授權
* 先認證 -- 安全數據
* 再授權 -- 根據安全數據獲取用戶具有的所有操作權限
*/
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//1.獲取已認證的用戶數據
User user = (User) principalCollection.getPrimaryPrincipal();//得到唯一的安全數據
//2.根據用戶數據獲取用戶的權限信息(所有角色,所有權限)
Set<String> roles = new HashSet<>();//所有角色
Set<String> perms = new HashSet<>();//所有權限
for (Role role : user.getRoles()) {
roles.add(role.getName());
for (Permission perm : role.getPermissions()) {
perms.add(perm.getCode());
}
}
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setStringPermissions(perms);
info.setRoles(roles);
return info;
}
/**
* 認證方法
* 參數:傳遞的用戶名密碼
*/
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//1.獲取登錄的用戶名密碼(token)
UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;
String username = upToken.getUsername();//用戶錄入的賬號
//2.根據用戶名查詢數據庫
//MyBatis情景下:user對象中包含ID,name,pwd(匿名)
//JPA情景下:user對象中包含ID,name,pwd(匿名),set<角色>,set<權限>
User user = userService.findByName(username);
//3.判斷用戶是否存在或者密碼是否一致
if (user != null) {
//4.如果一致返回安全數據
//構造方法:安全數據,密碼(匿名),混淆字符串(salt),realm域名
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), this.getName());
return info;
}
//5.不一致,返回null(拋出異常)
return null;
}
/**
* @param
* @return bean標簽 init-method屬性
* @Description 自定義密碼比較器
*/
@PostConstruct
public void initCredentialsMatcher() {
//指定密碼算法
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher(DigestsUtil.SHA1);
//指定迭代次數
hashedCredentialsMatcher.setHashIterations(DigestsUtil.COUNTS);
//生效密碼比較器
setCredentialsMatcher(hashedCredentialsMatcher);
}
}
為需要權限的接口加上注解
@PostMApping("/findPage")
@RequiresPermissions("group-find")//需要group-find權限訪問
public PageResult findPage(@RequestBody QueryPageBean queryPageBean) {
PageResult pageResult = checkGroupService.pageQuery(queryPageBean);
return pageResult;
}
springSecurity
【1】什么是springSecurity
Spring Security是一個能夠為基于Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Control ,DI:Dependency Injection 依賴注入)和AOP(面向切面編程)功能,為應用系統提供聲明式的安全訪問控制功能,減少了為企業系統安全控制編寫大量重復代碼的工作。
【2】springSecurity的特點
1、與Spring無縫整合
2、全面的權限控制
3、專門為web開發而設計
- 舊版本不能脫離Web環境使用
- 新版本對整個框架進行了分層抽取,分成了核心模塊和Web模塊。單獨引入核心模塊就可以脫離Web環境
4、重量級
【3】springSecurity核心功能
- 認證
- 授權
- 攻擊防護 (防止偽造身份)
其核心就是一組過濾器鏈,項目啟動后將會自動配置。核心的就是 Basic Authentication Filter 用來認證用戶的身份,一個在spring security中一種過濾器處理一種認證方式。
【4】springSecurity示例代碼
坐標
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
啟動類上加注解
@SpringBootApplication
@EnableTransactionManagement
@ServletComponentScan
@EnableScheduling
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)//開啟springSecurity支持
public class TakeOutApplication {
public static void main(String[] args) {
SpringApplication.run(TakeOutApplication.class, args);
}
}
給需要權限的接口添加注解
@GetMapping("/page")
@PreAuthorize("hasAuthority('user-find')")
public Result<Page> page(int page, int pageSize, String name) {
//控制層代碼
//......
return null;
}
配置類
/**
* @version 1.0
* @Author Harris
* @since 2022/8/18
*/
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests() //所有請求
.antMatchers("/employee/**").authenticated() //所有/employee/**的請求必須認證通過
.anyRequest().permitAll()
.and()
.exceptionHandling()
.accessDeniedHandler(new MyAccessFail())
.authenticationEntryPoint((request, response, ex) -> {
PrintWriter out = response.getWriter();
out.println("NoLogin"); //自定義未登錄跳轉(前后端分離)
})
.and()
.formLogin() //允許表單登錄
.loginProcessingUrl("/login")
.successForwardUrl("/employee/login-success"); //自定義登錄成功的頁面地址
}
}
認證接口
/**
* @version 1.0
* @Author Harris
* @since 2022/8/26
*/
@Component
public class SpringDataUserDetailsService implements UserDetailsService {
@Autowired
private EmployeeService employeeService;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//1.根據頁面提交的用戶名username查詢數據庫
User byName = employeeService.findByName(username);
if (byName == null) {
return null;
}
//獲取權限
List<String> permissions = employeeService.findPermissionsByUserId(String.valueOf(byName.getId()));
String[] perarray = new String[permissions.size()];
permissions.toArray(perarray);
UserDetails userDetails = org.springframework.security.core.userdetails.User
.withUsername(byName.getName())
.password(byName.getPassword())
.authorities(perarray)
.build();
return userDetails;
}
}
總結
Shiro特點
- 內置的基于 POJO 企業會話管理,適用于 Web 以及非 Web 的環境;
- 異構客戶端會話訪問;
- 非常簡單的加密 API;
- 不跟任何的框架或者容器捆綁,可以獨立運行。
Spring Security特點
- 不能脫離Spring;
- spring-security對spring結合較好,項目是spring-boot等搭建的,使用起來更加方便;
- 有更好的spring社區進行支持;
- 支持oauth授權。
相同點
- 認證功能
- 授權功能
- 加密功能
- 會話管理
- 緩存支持
不同點
- Spring Security是一個重量級的安全管理框架;Shiro則是一個輕量級的安全管理框架
- Spring Security 基于Spring開發,項目若使用Spring作為基礎,配合Spring Security 做權限更便捷,而Shiro需要和Spring 進行整合開發;
- Spring Security 功能比Shiro更加豐富些,例如安全維護方面;
- Spring Security 社區資源相對于Shiro更加豐富;
- Shiro 的配置和使用比較簡單,Spring Security 上手復雜些;
- Shiro 依賴性低,不需要任何框架和容器,可以獨立運行, Spring Security依賴Spring容器;
- Shiro 不僅僅可以使用在web中,它可以工作在任何應用環境中。在集群會話時Shiro最重要的一個好處或許就是它的會話是獨立于容器的;
