安全认证框架-ApacheShiro研究心得.docx

安全认证框架-Apache Shiro研究心得最近因为项目需要，研究了一下Apache Shiro安全认证框架，把心得记录下来。（by西风吹雨 原创） /s/blog_6638b10d0100pd88.htmlApache Shrio是一个安全认证框架，和Spring Security相比，在于他使用了和比较简洁易懂的认证和授权方式。其提供的native-session（即把用户认证后的授权信息保存在其自身提供Session中）机制，这样就可以和HttpSession、EJB Session Bean的基于容器的Session脱耦，到到和客户端应用、Flex应用、远程方法调用等都可以使用它来配置权限认证。1、sessionMode 在普通的WEB项目中，我们可以选择使用native session或者是HttpSession，通过设置securityManager的sessionMode参数为http或native即可。2、realm 我们可以基于jdbc，ldap，text，activeDirectory，jndi等多种方式来获取用户基本信息，角色信息，权限信息等。只需要在securityManager中指定使用相应的realm实现即可，其在这各方面都提供了对应的缺省实现，比如我们常用的基于数据库表的形式来配置用户权限信息，就可以使用其缺省实现的jdbcRealm（org.apache.shiro.realm.jdbc.JdbcRealm）。当然，如果认证信息来自于多方面，多个不同的来源（比如来自两个库中，或者一个数据库，一个是ldap，再配上一个缺省的基于文本的测试用等等），我们可以为securityManager指定realms参数，即把这一组安全配置都配置上。各个具体的realm实现提供了方法来获取用户基本信息、角色、权限等。realm的授权信息可以存放在Cache中，Cache的名称可以通过设置其authorizationCacheName参数指定。3、缓存 目前Shrio缺省提供了基于ehCache来缓存用户认证信息和授权信息的实现。只需要配置org.apache.shiro.web.mgt.DefaultWebSecurityManager 这个 cacheManager并设置给SecurityManager即可。如果项目中已经存在使用的ehCacheManager配置（org.springframework.cache.ehcache.EhCacheManagerFactoryBean），DefaultWebSecurityManager则可以指定使用现有的ehCacheManager，如果不指定，它将自行使用缺省配置创建一个。同时，也可以设置cacheManagerConfigFile参数来指定ehCache的配置文件。下例中的shiro.authorizationCache是用来存放授权信息的Cache，我们在配置realm（如myRealm或jdbcReaml）时，把authorizationCacheName属性设置shiro.authorizationCache来对应。ehcache.xml当我们把securityManager的sessionMode参数设置为native时，那么shrio就将用户的基本认证信息保存到缺省名称为shiro-activeSessionCache 的Cache中org.apache.shiro.web.mgt.DefaultWebSecurityManager 在sessionMode参数设置为native时，缺省使用的是DefaultWebSessionManager来管理Session，该管理类缺省使用的是使用MemorySessionDAO基于内存来保存和操作用户基本认证信息。如果系统内的用户数特别多，我们需要使用CacheSessionDao来基于Cache进行操作，因此，这里需要显示配置一个sessionManager（org.apache.shiro.web.session.mgt.DefaultWebSessionManager）,并配置该sessionManager的sessionDao为CacheSessionDao（org.apache.shiro.session.mgt.eis.CachingSessionDAO，需用其实现类org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO）。配置CacheSessionDao时，我们可以指定属性activeSessionsCacheName的名称来替换掉缺省名 shiro-activeSessionCache。我们再把该sessionManager配置给DefaultWebSecurityManager就可以了。从以上我们可以看出a、我们可以指定sessionManager的sessionDao，在某些情况下，我们也可以通过实现自定义的sessionDao来把用户认证信息保存在memcache，mongodb，ldap，database中，达到和其他应用共享用户认证信息的目的，以此达到SSO的目的（当然，sessionId得一致，这个属于我们可以在应用商定怎么设定一致的sessionId的问题）。b、cacheManager我们也可以自己实现一个，可以根据应用情况来考虑，比如存放在memcache中之类。4、配置 Web项目中，普通的web项目可以采用ini文件来对shiro进行配置。基于spring的项目可以采用和Spring集成的方式配置。基于Spring集成的Web项目的基本配置文件如下：!- If you dont have a pre-built net.sf.ehcache.CacheManager instance to inject, but you wanta specific Ehcache configuration to be used, specify that here.If you dont, a defaultwill be used.: -!- -/login = authc/account = user/manage = user,rolesadmin5、基于url资源的权限管理 我们可以简单配置在shiroFilter的filterChainDefinitions中，也可以考虑通过一个文本文件，我们读入内容后设置进去。或者通过Ini类来装入Ini文件内容，到时取出urls的部分来设置给shiroFilter的filterChainDefinitions。也可以把这部分数据存入数据库表中，到时读出一个Map来设置给shiroFilter的filterChainDefinitionsMap属性。6、url的配置 authc是认证用户（rememberMe的用户也必须再次登录才能访问该url），配置成user才能让rememberMe用户也可以访问。7、rememberMe Cookie的处理 Shiro有一套缺省机制，由CookieRememberMeManager实现。其有一个SimpleCookie类，保存对应的用户信息等。每次保存时，系统把SimpleCookie的信息设置好之后，先用DefaultSerializer把其用jvm缺省序列化方式序列化成byte,然后再用cipherService（缺省是aes加密算法）来加密该byte,最后用Base64.encodeToString(serialized)压缩成一个字符串，再写入名称为rememberMe的Cookie中。读取时，通过把该rememberMe Cookie的内容用byte decoded = Base64.decode(base64)解压出该byte，再用cipherService解密，最后用DefaultSerializer反序列化出来该SimpleCookie类。如果我们有自定义的rememberMe Cookie需要处理，特别是在和其他网站一起SSO，通过访问主域的Cookie来获取记录的用户信息时，我们需要重新实现rememberMeManager（可以考虑继承AbstractRememberMeManager），和根据实际用的序列化方式Serializer来实现一个（比如考虑通用性，用json方式序列化）。在Spring配置中，配置好RememberMeManager，装配上sericerlizer和cipherService（根据实际情况选用适当的加密算法），最