2019独角兽企业重金招聘Python工程师标准>>>

很多朋友都问过我同样一个问题:“Smart 目前有身份认证与权限管理等安全控制功能吗?”

当听到这样的问题时,我真的非常不好意思,实在是没有这方面的特性。不过当我学习了 Shiro 以后,让我萌发了一个想法:

能否提供一个更加 Smart 的 Shiro 框架呢?

大家知道,Smart 是一款轻量级 Java Web 开发框架,此外,Smart 还提供了一系列的模块,之前开发过一款 Smart SSO 模块,它是不依赖于 Smart 框架的,可以在任何的 Web 项目中使用。

那么,能否再开发一款 Smart Security 模块呢?同样它也不依赖于 Smart 框架,仍然可以在其它 Web 项目中使用。也就是说,只需要拿到 smart-security.jar 这个包,并将其放入到 lib 目录下,最后只需少量的配置即可使用 Shiro 提供的安全控制功能。

为达到以上的目标,我首先创建了一个应用场景:

用户必须登录成功后,才能看到用户空间页面,否则跳转到登录页面要求用户进行身份认证。

这应该是一个很典型的案例,我们如何在普通的 Web 应用中使用 Shiro 呢?

在 Web 应用中使用 Shiro

首先,需要在 web.xml 中做如下配置:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://java.sun.com/xml/ns/javaeehttp://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"version="3.0"><listener><listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class></listener><filter><filter-name>ShiroFilter</filter-name><filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class></filter><filter-mapping><filter-name>ShiroFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping></web-app>

然后,需要在 classpath 下或 WEB-INF 目录下新增一个 shiro.ini 文件:

[main]
authc.loginUrl=/loginds = org.apache.commons.dbcp.BasicDataSource
ds.driverClassName = com.mysql.jdbc.Driver
ds.url = jdbc:mysql://localhost:3306/sample
ds.username = root
ds.password = rootpasswordMatcher = org.apache.shiro.authc.credential.PasswordMatcherjdbcRealm = org.apache.shiro.realm.jdbc.JdbcRealm
jdbcRealm.dataSource = $ds
jdbcRealm.authenticationQuery = select password from user where username = ?
jdbcRealm.userRolesQuery = select r.role_name from user u, user_role ur, role r where u.id = ur.user_id and r.id = ur.role_id and u.username = ?
jdbcRealm.permissionsQuery = select p.permission_name from role r, role_permission rp, permission p where r.id = rp.role_id and p.id = rp.permission_id and r.role_name = ?
jdbcRealm.permissionsLookupEnabled = true
jdbcRealm.credentialsMatcher = $passwordMatcher
securityManager.realms = $jdbcRealmcacheManager = org.apache.shiro.cache.MemoryConstrainedCacheManager
securityManager.cacheManager = $cacheManager[urls]
/ = anon
/space/** = authc

以上使用了 Shiro 的 JdbcRealm 来提供认证与授权服务,并提供了 Cache 功能,此外还有密码安全支持。

最后,就可以在代码里使用 Shiro 提供的 API 进行编程了。

Shiro 提供了几个常用 API,掌握了这些 API 的用法,基本上就会用 Shiro 了,这些 API 包括:

  • org.apache.shiro.SecurityUtils

  • org.apache.shiro.subject.Subject

  • org.apache.shiro.authc.UsernamePasswordToken

  • org.apache.shiro.authc.AuthenticationException

  • org.apache.shiro.authc.credential.PasswordService

  • org.apache.shiro.authc.credential.DefaultPasswordService

总结一下,我们需要在 web.xml 中整合 Shiro(一大堆的配置),需要提供一个 Shiro 的配置文件(又是一大堆配置),还需要在代码里使用 Shiro API(需要学习 Shiro 文档及其 JavaDoc)。

这简直就是在自找麻烦!

大家应该知道,Spring 有较强的系统整合能力,将 Shiro 整合到 Spring 中是否会变得简单呢?

Spring 与 Shiro 整合

首先,需要在 web.xml 中做如下配置:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://java.sun.com/xml/ns/javaeehttp://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"version="3.0"><context-param><param-name>contextConfigLocation</param-name><param-value>classpath:spring.xmlclasspath:spring-shiro.xml</param-value></context-param><listener><listener-class>org.springframework.web.context.ContextLoaderListener</listener-class></listener><filter><filter-name>shiroFilter</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class><init-param><param-name>targetFilterLifecycle</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>shiroFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping><servlet><servlet-name>dispatcherServlet</servlet-name><servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class><init-param><param-name>contextConfigLocation</param-name><param-value>classpath:spring-mvc.xml</param-value></init-param></servlet><servlet-mapping><servlet-name>dispatcherServlet</servlet-name><url-pattern>/</url-pattern></servlet-mapping></web-app>

  1. 需要通过 ContextLoaderListener 这个监听器来读取 spring.xml 与 spring-shiro.xml 这两个 Spring 配置文件,而 Spring MVC 框架需要读取 spring-mvc.xml 配置文件。

  2. Spring 的 DelegatingFilterProxy 将拦截所有的请求,并将请求的委托给 ShiroFilter 来处理。

要实现请求委托,需要在 spring-shiro.xml 中做如下配置:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans.xsd"><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager"/><property name="loginUrl" value="/login"/><property name="filterChainDefinitions"><value>/ = anon/space/** = authc</value></property></bean><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="jdbcRealm"/><property name="cacheManager" ref="cacheManager"/></bean><bean id="jdbcRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm"><property name="dataSource" ref="dataSource"/><property name="authenticationQuery" value="select password from user where username = ?"/><property name="userRolesQuery" value="select r.role_name from user u, user_role ur, role r where u.id = ur.user_id and r.id = ur.role_id and u.username = ?"/><property name="permissionsQuery" value="select p.permission_name from role r, role_permission rp, permission p where r.id = rp.role_id and p.id = rp.permission_id and r.role_name = ?"/><property name="permissionsLookupEnabled" value="true"/><property name="cacheManager" ref="cacheManager"/><property name="credentialsMatcher" ref="passwordMatcher"/></bean><bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/><bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"/><bean id="passwordMatcher" class="org.apache.shiro.authc.credential.PasswordMatcher"/><bean id="passwordService" class="org.apache.shiro.authc.credential.DefaultPasswordService"/></beans>

  1. 首先,通过 Spring 的 ShiroFilterFactoryBean 来创建 ShiroFilter,并在其中注入了 SecurityManager,此外只需在这里配置 loginUrl 与相关的 Filter Chain 即可。

  2. 随后,提供了相关 Bean 的定义,包括:SecurityManager、JdbcRealm、LifecycleBeanPostProcessor、CacheManager、PasswordMatcher、PasswordService 等。

  3. 需要注意的是,这里同时将 cacheManager 注入到 securityManager 与 jdbcRealm 中才能让 Cache 生效(目前尚未阅读源码,原因不详)。

  4. 必须提供 LifecycleBeanPostProcessor 才能让 Web 容器启动与关闭时调用 Shrio 的生命周期方法,同时需要确保 web.xml 中的 DelegatingFilterProxy 的 targetFilterLifecycle 参数要为 true 才行。

  5. 最后,其中 PasswordMatcher 与 PasswordService 是为密码加密与解密提供服务的。

看来 Spring 只是将 shiro.ini 中的配置转移到 spring-shiro.xml 中了,并没有对 Shiro 提供一个很好的封装,只是简单的集成而已。

一般情况下,我们不想做太多的配置,能够提供一个简单的安全控制功能即可,我们不需要它应有尽有,而需要它能够简单而实用。

这就是我的想法:

能否对 Shiro 的常用功能做一个封装呢?也就是说,只需对外提供统一的 API,让底层的具体实现变得更加透明,如果将来打算使用其它安全框架,只需改造这个框架即可,这样就无需在每个项目中进行重构了。

它就是 Smart Security 模块。

Smart Security

首先需要申明一下 Smart 模块的设计原则:

1. 提供最实用的功能,忽略不常用的功能,但需要提供扩展机制。
2. 隐藏具体实现细节,底层实现可以任意切换,从而不会影响到应用程序的改动。
3. 可以作为一个独立的模块,无需在 web.xml 里做任何配置,直接把 jar 包拿来就能用。

Smart Security 完全遵循以上设计原则。

配置

使用了 Smart Security 之后,再也不需要配置 web.xml 了。

此外,shiro.ini 也简单了:

[main]
authc.loginUrl = /login[urls]
/ = anon
/space/** = authc

其它的配置将转移到 smart.properties 中:

app.package = demo.shiro
app.home_page = /index.jspjdbc.type = mysql
jdbc.driver = com.mysql.jdbc.Driver
jdbc.url = jdbc:mysql://localhost:3306/sample
jdbc.username = root
jdbc.password = rootsecurity.realms = jdbc
security.jdbc.authc_query = select password from user where username = ?
security.jdbc.roles_query = select r.role_name from user u, user_role ur, role r where u.id = ur.user_id and r.id = ur.role_id and u.username = ?
security.jdbc.perms_query = select p.permission_name from role r, role_permission rp, permission p where r.id = rp.role_id and p.id = rp.permission_id and r.role_name = ?
security.cache = true

注意以上 security 开头的配置项,这样的配置是否更加简单呢?

使用

Smart Security 提供了一个 SmartSecurityHelper 类,包括以下静态方法:

public class SmartSecurityHelper {public static void login(String username, String password, boolean isRememberMe) throws LoginException {...}public static void logout() {...}public static String encrypt(String plaintext) {...}
}

当然还可以扩展其它实用 API,目前只提供了几个常用方法。

我们可以在业务代码中这样使用:

@Service
public class UserServiceImpl implements UserService {@Overridepublic void login(String username, String password, boolean isRememberMe) throws LoginException {SmartSecurityHelper.login(username, password, isRememberMe);}@Overridepublic void register(Map<String, Object> fieldMap) throws RegisterException {// 获取表单数据String username = CastUtil.castString(fieldMap.get("username"));String password = CastUtil.castString(fieldMap.get("password"));// 在 user 表中根据 username 查询用户是否已存在Long userCount = DataSet.selectCount(User.class, "username = ?", username);if (userCount > 0) {throw new RegisterException();}// 加密密码password = SmartSecurityHelper.encrypt(password);// 插入 user 表User user = new User();user.setUsername(username);user.setPassword(password);DataSet.insert(user);}
}

这样我们就通过 SmartSecurityHelper 屏蔽了 Shiro API 的细节了,代码量也精简了许多。

大家或许已经见识过 Shrio 的 JSP 标签了,不错,确实提供了很多有用的标签,但似乎又缺少了几个,导致我们不得不自行扩展,这样就会引用我们自定义的 Taglib,从而增加了前端开发人员的负担。

为了解决这个问题,不妨重新将 Shiro 的标签做一个整理,添加我们自定义的标签,这样前端开发人员只需面对 Smart Security 的 Taglib 就能工作了,如果不够用,我们可以随意扩展。

只需在 JSP 上使用以下 Taglib 定义即可:

<%@ taglib prefix="security" uri="/smart_security" %>

Smart Security 提供了一套比 Shiro 更为详尽的标签(少量扩展,大多数来自于 Shiro):

类型 标签 属性 功能
用户 <security:user> 判断当前用户是否已登录(已认证 或 已记住)
<security:guest> 判断当前用户是否未登录(为游客身份)
<security:authenticated> 判断当前用户是否已认证
<security:notAuthenticated> 判断当前用户是否未认证
<security:principal> type、property、defaultValue 显示当前用户的相关属性
角色 <security:hasRole> name 判断当前用户是否拥有某种角色
<security:lacksRole> name 判断当前用户是否缺少某种角色
<security:hasAnyRoles> name 判断当前用户是否拥有其中某一种角色(逗号分隔,或的关系)
<security:hasAllRoles> name 判断当前用户是否拥有其中所有的角色(逗号分隔,与的关系)
权限 <security:hasPermission> name 判断当前用户是否拥有某种权限
<security:lacksPermission> name 判断当前用户是否缺少某种权限
<security:hasAnyPermissions> name 判断当前用户是否拥有其中某一种权限(逗号分隔,或的关系)
<security:hasAllPermissions> name 判断当前用户是否拥有其中所有的权限(逗号分隔,与的关系)

在 JSP 中可以这样使用:

<%@ page pageEncoding="UTF-8" %>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ taglib prefix="security" uri="/smart_security" %>
<html>
<head><title>首页</title>
</head>
<body><h1>首页</h1><security:guest><p>身份:游客</p><a href="<c:url value="/login"/>">登录</a><a href="<c:url value="/register"/>">注册</a>
</security:guest><security:user><p>身份:<security:principal/></p><a href="<c:url value="/space"/>">空间</a><a href="<c:url value="/logout"/>">退出</a>
</security:user></body>
</html>

那么 Smart Security 应该如何实现呢?我将这个想法做了一个尝试:

http://git.oschina.net/huangyong/smart/tree/master/smart-security

此外,还有一个 Shiro Demo:

http://git.oschina.net/huangyong/shiro_demo

期待您的点评!

补充(2014-04-01)

经过今天上午大家在 QQ 群里的一番激烈讨论后,得到如下反馈:

1. 大多数人不喜欢在 properties 文件里定义那些 SQL 语句
2. Smart Security 可以不用依赖于 DBCP 连接池

今天下午,我开发了一个新特性,在 Smart Security 中提供了一个 ISmartSecurity 接口:

/*** Smart Security 接口*/
public interface ISmartSecurity {/*** 根据用户名获取密码** @param username 用户名* @return 密码*/String getPassword(String username);/*** 根据用户名获取角色名集合** @param username 用户名* @return 角色名集合*/Set<String> getRoleNameSet(String username);/*** 根据角色名获取权限名集合** @param roleName 角色名* @return 权限名集合*/Set<String> getPermNameSet(String roleName);
}

在实际的项目中需要实现该接口,并将之前写在 properties 文件中的 SQL 语句放入实现类中执行,下面用 Smart API 写了一个实现类:

public class SmartSecurity implements ISmartSecurity {@Overridepublic String getPassword(String username) {String sql = "select password from user where username = ?";return DatabaseHelper.queryColumn(sql, username);}@Overridepublic Set<String> getRoleNameSet(String username) {String sql = "select r.role_name from user u, user_role ur, role r where u.id = ur.user_id and r.id = ur.role_id and u.username = ?";return DatabaseHelper.queryColumnSet(sql, username);}@Overridepublic Set<String> getPermNameSet(String roleName) {String sql = "select p.permission_name from role r, role_permission rp, permission p where r.id = rp.role_id and p.id = rp.permission_id and r.role_name = ?";return DatabaseHelper.queryColumnSet(sql, roleName);}
}

只需要简单通过 Smart 提供的 DatabaseHelper 类即可执行这些 SQL 语句并返回相关结果。

最后需要做的事情,就是配置 smart.properties 了:

security.realms = custom
security.custom.class = demo.shiro.SmartSecurity
security.cache = true

只需三行配置即可,实际上只有两行,最后一行是可选的。

目前 security.realms 包括三种:jdbc、ad、custom,下表是详细的配置方式:

配置项 security.realms 种类 相关配置项
jdbc security.jdbc.authc_query
security.jdbc.roles_query
security.jdbc.perms_query
ad security.ad.url
security.ad.system_username
security.ad.system_password
security.ad.search_base
custom security.custom.class

此外,security.realms 可同时配置多个 Realm,用英文逗号分隔。

感谢大家提供的建议!尤其感谢 @哈库纳 的建议。

有兴趣的朋友欢迎加群讨论:120404320

转载于:https://my.oschina.net/huangyong/blog/214927

使用 Smart Security 实现安全控制相关推荐

  1. 精品软件 推荐 ESET Smart Security

    一句话评价一下这软件: 功能好,轻量化,速度快. 探索网路虚拟世界,ESET为您打造更加安全的资安环境 尽情探索虚拟网路世界吧 – 无需担心您的资料与技术安全. ESET Smart Security ...

  2. springboot 访问html_Spring Boot中使用Spring Security进行安全控制

    我们在编写Web应用时,经常需要对页面做一些安全控制,比如:对于没有访问权限的用户需要转到登录表单页面.要实现访问控制的方法多种多样,可以通过Aop.拦截器实现,也可以通过框架实现(如:Apache ...

  3. Spring Boot中使用Spring Security进行安全控制

    我们在编写Web应用时,经常需要对页面做一些安全控制,比如:对于没有访问权限的用户需要转到登录表单页面.要实现访问控制的方法多种多样,可以通过Aop.拦截器实现,也可以通过框架实现(如:Apache ...

  4. ESET NOD32 Antivirus amp; ESET Smart Security下载地址汇总

    新手指南: ESET为公司品牌,ESET NOD32 Antivirus和ESET Smart Security为两个系列的产品,前者被简称为EAV,它实际上就是以前的NOD32,主要功能是防病毒和防 ...

  5. 使用 Spring Boot Security 进行安全控制

    1.美图 2.概述 安全是⼀个企业的底裤,为企业阻挡了外部⾮正常的访问,保证了企业内部数据安全:业内已经有多起因数据泄露露给公司造成重大损失的事件,到现在安全问题越发受到行业内公司的重视.数据泄露露很 ...

  6. Eset易视Smart灵巧护卫Security

    Eset易视Smart灵巧护卫Security是全球著名反病毒厂商ESET最新研发的Eset v3版 安全软件,Eset v2版就是Eset NOD32防病毒系统. 易视灵巧护卫拥有全球最强悍的启发式 ...

  7. 八、springboot整合Spring Security

    springboot整合Spring Security 简介 Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架.它是保护基于Spring的应用程序的事实标准. Spr ...

  8. Spring3之Security

    1.spring security介绍 Spring Security原来叫做Acegi Security,可用于加强任何Java应用的安全,但是最常用于基于Web的应用.下面首先理解几个安全术语: ...

  9. Spring Security Ajax 被拦截

    背景是项目中使用Spring Security 进行安全控制 再使用Ajax的时候会报 403(ajax get  方式是没问题的 post 的时候会报) Spring Security 原本是 防止 ...

最新文章

  1. Python基础之格式化输出函数format()功能详解
  2. 普通行列转换(交叉表,横表变列表)
  3. 剑指offer:写一个函数,求两个整数之和,要求在函数体内不得使用+、-、*、/四则运算符号。
  4. spring和hibernate整合的几种方式详细介绍
  5. 自定义服务器控件(扩展现有 Web 控件)
  6. 玩转oracle 11g(38):rman备份-全库恢复
  7. navicat远程mysql_navicat 远程连接mysql
  8. net.conn read 判断数据读取完毕_1.5 read, write, exit系统调用
  9. 中富之命能有多少钱_邯郸白铁风管工每天工资多少钱?白铁风管价格多少钱你能接受?...
  10. 给老板做PPT必备:文字加拼音
  11. 2D虚拟试衣——服装变形
  12. 第六章 软件项目质量管理
  13. 百度云apkg手机文件怎么打开_ipad上用百度云和notability学习时的各种七七八八
  14. Android电源管理框架
  15. 一、数据库之理论基础
  16. 用SQL分析北京周边城市:天津以及保定房价
  17. Windows 下的 Vim 编程
  18. android 手机内存其他文件在哪里,消失的手机内存去哪了?用它清理手机文件,告诉你手机内存的秘密...
  19. 各星座导演与他们的电影风格【转】]
  20. php 百度逆地理编码,百度地图开放平台 Web服务API --Geocoding API (地理编码和逆地理编码)...

热门文章

  1. 告诉你1年读100本书的方法
  2. redhat linux 9.0 拷贝u盘的文件,Linux redhat 9.0 中挂载U盘的方法!
  3. MySql系列之mysql查询执行过程(附Mysql架构图及实操解析)
  4. 2021 如何自学 Android,一位 5 年中大厂的 Android 老哥跟你聊聊
  5. 炫龙笔记本安装Ubantu系统
  6. 从BAT到ATM,蚂蚁金服的逻辑和风险
  7. CF1520D Same Differences
  8. 雅思考试流程与应试注意事项
  9. 前途汽车2022策略规划正式公布,潜精研思开启品牌崭新篇章
  10. 史上最全MOS管封装管脚外观解读,新手必读!