Shiro在集团统一账号权限管理系统中的应用20160121

精品文档集团统一账号权限管理系统Shiro的应用中科软科技股份有限公司2016年1月目录第1章SHIRO简介31.1SHIRO是什么31.2SHIRO框架结构51.2.1外部使用结构51.2.2内部调用结构6第2章单点登录72.1概述72.2REALM的配置72.2.1定义实体与关系72.2.2定义REALM82.3单点登录机制8第3章身份验证93.1概述93.2身份验证机制9第4章授权104.1概述104.2授权机制10第5章加密115.1概述115.2加密与密码验证机制11第6章会话管理126.1概述126.2会话管理机制126.3会话监听机制136.4会话存储机制13第7章缓存管理13第8章授予身份及切换身份13第9章总结14摘要在当今经济形势的驱动下，保险行业有着快速、深度、长远的发展，因保险公司内部寿险、财险、车险等部门急速壮大，分别成立子公司，保险公司集团化随之而产生。鉴于保险行业的变化，保险软件系统大而全的应用部署，按照模块、层次、序列等方式划分为独立的专项应用系统。对于繁多的应用系统，集团统一的账号权限管理系统孕育而生。本文主要就太天平洋保险公司，从业务的实际现状、系统核心设计、系统核心功能以及功能优缺点等方面阐述Shiro在集团统一账号权限系统中的应用。账号权限系统主要应用Shiro的特性，使账号权限统一管理，带来的优质体验；：对各个系统的权限监管；方便客户权限的申请，以及各个权限系统的切换；高效的管理账号权限，以避免多次重复的账户权限维护；良好的保险系统群扩展结构等。关键字：Shiro ,低耦合第1章 SHIRO简介1.1 SHIRO是什么Apache Shiro是Java的一个强大而灵活的开源安全框架，能够非常清晰、简单的处理身份验证、授权、管理会话、密码加密等常见的Subject（主体）所面临的问题。Shiro不依赖与环境，JavaSE可以，JavaEE也可以，非常容易的开发出足够好的应用。Apache Shiro是的致力于易于使用和理解。安全对于一般开发者而言，是很复杂的，甚至是痛苦的。但在使用Shiro过程中，没必要这样。Shiro框架会将复杂的地方掩盖，给开发者一个干净而直观的API，来简化开发人员对安全问题的解决办法。Apache Shiro基本功能点如下图所示：Authentication：身份验证/登录，验证用户他是谁；Authorization：授权，即权限验证，验证已认证的用户是否拥有某个权限；Session Manager：会话管理，即Session，用户登录后就是一次会话，在没有退出之前或限定时间内，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的；Cryptography：加密，数据的安全性的管理；Web Support：Web支持，可以非常容易的集成到Web环境；Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限等信息进行缓存管理，不必每次访问数据库去查，这样以实现提高效率的目的；Concurrency：Shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；Testing：提供测试支持；Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；Remember Me：记住我，非常常见使用的功能。Shiro视图在所有应用程序环境下实现以下目标：从最简单的命令应用程序到最大的企业应用，不强制依赖其他第三方框架、，容器，或应用服务器。项目的最终目标是整合到这些环境中，尽可能地将其自身的功能更加强大、便捷！1.2 SHIRO框架结构1.2.1 外部使用结构从Shiro框架外部来看， 其结构如下图所示：应用代码直接交互的对象是Subject，也就是说Shiro的对外的API核心就是Subject，其每个API的含义：Subject：主体，代表当前“用户”，这个用户不一定是具体的人，与当前应用交互的任何东西都是Subject。所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；可以把Subject认为是一个门面；SecurityManager才是实际的执行者；SecurityManager：安全管理器，即所有由安全有关的操作都会与SecurityManager交互，且它管理着所有的Subject。它是Shiro的核心，它负责与后边介绍的其他组件进行交互。Realm：Shiro从Realm获取安全数据（如用户、角色、权限）。可以把Realm看成DataSource，即安全数据源。也就是说，最简单的一个Shiro应用：1.应用代码通过Subject来进行认证和授权，而Subject又委托给SecurityManager；2.需要给SecurityManager注入Realm，从而让SecurityManager能得到合法的用户及其权限进行判断。1.2.2 内部调用结构从Shiro框架内部接口、对象跳转来看，其结构如下图所示：Subject：主体，可以看到主体可以是任何可以与应用交互的“用户”；SecurityManager：Shiro的核心，所有具体的交互都通过SecurityManager进行控制；它管理着所有Subject、且负责进行认证和授权、及会话、缓存等任务的管理；Authenticator：认证器，负责主体认证的，这是一个扩展点，用户可进行自定义用户验证的实现方式。其需要认证策略（Authentication Strategy），即什么情况下算用户认证通过；Authrizer：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的那些功能。这也是一个扩展点；Realm：可以有1个或多个Realm，可以认为是安全实体数据源，即用于获取安全实体的。可以是JDBC实现，也可以是LDAP实现等等。由用户提供。因数据格式的不同，所有在应用中都需要实现自己的Realm；SessionManager：Shiro抽象了一个自己的Session来管理主体与应用之间交互的数据，因此Shiro可以不依赖环境进行Session的管理；SessionDAO：数据访问对象，用于会话的CRUD，比如想把Session保存到数据库，那么可以实现自己的SessionDAO，通过JDBC写入到数据库；另外SessionDAO中可以使用Cache进行缓存，以提高性能；CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；这些数据基本很少改变，放到缓存中后可以提高访问的性能；Cryprography：密码模块，Shiro提供了一些常见的加密组件，用于密码加密/解密。第2章 单点登录2.1 概述太平洋保险公司（以下简称“太保”）在对系统集成管理过程中，由统一账号权限管理系统来实现单点登录，很好的解决了如下方面的问题： l 账号权限管理集中统一化；l 账号开通、注销、权限变更信息化，提高工作效率；l 账号情况日常监控与定期审阅，流程、权限合规；l 避免账号或权限不当导致的风险。2.2 REALM的配置2.2.1 定义实体与关系用户、角色、权限是目前多数系统共有的元素，用户-角色之间是多对多关系，角色-权限之间是多对多关系；且用户和权限之间通过角色建立关系。l 在太保账户权限系统中，创建用户，以及用户与角色之间的关系（授权）；l 接入系统创建角色、权限、以及角色与权限之间的关系。此设计的优点如下： 权限的多样性得以实现。接入系统可以按照自身系统的设计模式，将权限应该对应到资源（如菜单、URL、页面按钮、Java方法等）中，具体的资源形式只与自身系统相关，与账号权限系统无关，进行最大化的解耦； 角色即为权限的集合，当权限对应的资源验收完成后上线时，权限所属的角色已经确定，相应的权限与相应的角色建立关系（属于业务需求开发内容）。权限与角色的关系有着业务性较强、规则较为复杂等特点，放入接入系统实现，得以术业有专攻； 用户管理、授权管理得以统一有效的管理。所有的接入系统都有着无差别的用户群体，账号权限系统的用户、授权管理，一方面体现其统一性：使每个系统账号统一，利于监管；另一方面体现其高效性：此前的多个系统账号维护，只需在当前一个系统维护，例如入职、离职等。2.2.2 定义REALMRealm，Shiro从Realm获取安全数据源（如用户、角色、权限），就是说SecurityManager的验证用户身份、用户授权、SessionManager等均需要通过Realm来实现数据持久化。对于当前的太保账号权限管理系统，只有一个数据源，一个Realm就可以支持，但考虑系统的扩展型，还是按照多Realm结构进行定义。根据功能不同，Realm的接口实现与继承关系如下图：其实现类含义内容：l AuthorizingRealm：授权l AuthenticatingRealm：身份验证l CachingRealm：带有缓存实现2.3 单点登录机制账号权限系统基于单点登录，设计模式如下：1) 公司员工均使用员工工号作为账号。用户信息（表LDUser）还包含证件、联系方式、部门、职位等信息，将接入系统需要用户的所有信息纳入用户信息中；2) 用户的创建、修改、删除等权限，只分配给账号权限系统的账户维护员，账号权限系统在对用户创建、修改、删除时，通过Webservices接口将动作指令分发给接入系统，使用户状态保持一致；3) 接入系统创建角色时，通过Webservices接口将角色写入账号权限系统；4) 账号权限系统在对用户授权后，将用户与角色关系一并分发给接入系统；5) 账号权限系统作为接入系统的唯一入口，系统对用户每次登陆、退出、登陆差错等轨迹进行记录，作为日常监控、日常审阅、合规核查的备案；6) 用户通过账号权限系统验证后，可以访问已分配角色的所有接入系统，无需再次进行身份验证；7) 用户进入接入系统后，在其中实现该用户角色权限集合，即角色到权限的实现由各个系统完成，以方便实现每个系统的灵活性。第3章 身份验证3.1 概述身份验证，即在应用中他是谁，系统中是否分配唯一ID。一般提供如身份ID和标示信息来表明名他的身份。如提供用户名、密码等信息。在Shiro中，用户需要提供principals（身份）和credentials（证明）给Shiro，从而应用能验证用户身份。Principals：身份，即主体的标识属性，可以是任何东西（具有唯一性），如员工工号、邮箱等。一个主体可以有多个Principals，但只有一个Primary Principals，一般是用户名/员工工号/邮箱/手机号。Credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证书等。最常见的principals和credentials组合就是用户名/密码了。太保以员工工号作为用户名。3.2 身份验证机制账号权限系统的身份验证机制如下：l 前台页面对录入的账号、密码有效性进行初步判断，例如非空、非法字符、过长等，以及对验证码的校验；l 获取前台信息，创建UsernamePasswordToken对象，由Subject调用login(token)，其会自动委托给SecurityManager。在此之前必须通过SecurityUtils设置SecurityManager；l SecurityManager负责真正的身份验证逻辑，他委托给认证器Authenticator进行身份验证；l Authenticator使用ModularRealmAuthenticator调用Authenticavtion Strategy进行多Realm身份验证。详情请参照2.2 Realm配置；l Realm身份验证时，对于验证不通过的用户，按照用户分类返回异常信息：（1） 内网用户（公司员工），精确地返回用户名错误，或密码错误（2） 外网用户（代理机构、被保险人等），为防止外网用户恶意访问，返回异常信息均为用户名或密码错误。l 验证通过则返回一个Authenticator实例。第4章 授权4.1 概述授权，也叫访问机制，即在应用中控制谁能访问那些资源（如访问菜单/数据操作等）。在授权中的几个关键对象：l 主体，即访问应用的用户，在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。l 资源，在应用中用户可以访问的任何东西，比如JSP页面、数据操作、某个业务夜晚方法等。用户只有授权后才能访问。l 权限，安全策略中的原子授权单位，通过权限我们可以表示在应用中，用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源。如：核保权限对应的新单核保。l 角色，代表了权限集合，一般情况下会赋予用户角色而不是权限，即这样用户可以拥有一组权限，赋予权限时比较方便。例如：契约权限组、理赔权限组等。4.2 授权机制账号权限系统的授权机制如下：l 只针对已身份验证通过的主体，才进行授权；l 当点击接入系统连接时，系统首先调用Subject.hasRole*接口，其会委托给SecurityManager，而SecurityManager接着会委托给Authorizer;l Authorizer是真正的授权者，其先会调用Realm的实现类，获取Subject相应的接入系统角色，Authorizer判断是否包含此系统，如果匹配到，进入该系统应用，否则提示授权失败。第5章 加密5.1 概述在涉及到密码存储问题上，应该加密/生成密码摘要存储，而不是存储明文密码。系统中对用户添加加密算法属性，密码加密算法有多种，就太保账号权限系统而言，大体分为两类：可逆：针对公司内部应用系统，因密码安全性要求不是很高，可能会选择可逆算法，使用中科软框架中的LisIDEA算法，不在赘累述。不可逆：密码加密后不可逆，当存在外部用户时使用。加密步骤如下：1) 创建一个DefaultHashService，指定使用MD5算法；2) 通过privateSalt将证件号设置为私盐，生成一个随机数，作为公盐，将两张合并产生一个新盐；3) 构建一个HashRequest，传入算法、密码明文、私盐+公盐、迭代次数（2次）。即可产生出密文。5.2 加密与密码验证机制加密与密码验证核心算法一致，现将密码验证机制进行阐述，如下：l 获取用户的加密属性、私盐、公盐、密码密文、以及2个小时内密码重试次数和当天密码重试次数；l 如果2个小时内密码重试超过5次，则抛出ExcessiveAttemptsException异常，提示2个小时后再次重试。如果当天密码重试次数超过10次，锁定用户，则抛出LockedAccountException异常。l 根据加密属性，判断使用的加密算法，将token. getCredentials()进行加密；l 将密码密文与加密后的credential进行对比匹配，如果不匹配，则抛出IncorrectCredentialsException异常。如果匹配，则更新重试次数为0。第6章 会话管理6.1 概述所谓会话，即用户访问应用时，保持的连接关系，在多次交互中，应用能够识别出当前访问的用户是谁，且可以在多次交互中保持一些数据。如访问一些网站时登录成功后，网站可以记住用户，且在退出之前都可以识别当前用户是谁。会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro的核心组件，顶层组件SecurityManager直接继承了SessionManager，且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager，DefaultSecurityManager及DefaultWebSecurityManager默认SecurityManager都继承了SessionsSecurityManager。6.2 会话管理机制太保的账户权限管理系统，作为一个单点登录的框架，其会话管理生命周期会跨越应用系统。通过以下几点阐述会话管理：l 用户身份验证成功后，查询是否存在有有效Session存在，如果不存在，通过SessionFactory创建Session；如果存在，则抛出KickOutException异常； l 当接入系统通过WebServices接口返回至账号权限系统时，获取Session，同时更新Session；l 当接入系统退出或关闭时，通过WebServices接口将Session删除；l 账号权限系统退出或关闭时，将Session删除。6.3 会话监听机制会话监听器用于监听会话创建、过期及停止事件：l 登录、退出或关闭、系统跳转时，监听器进行相应的处理和判断；l 监听器每次先去缓存中获取Session，如果没有，再到持久层中获取； 6.4 会话存储机制考虑到系统灵活性及稳定性，对会话进行CRUD，实现模式如下:AbstractSessionDAO提供了SessionDAO的基础实现，如生成会话ID等；MemorySessionDAO直接在内存中进行会话维护，包括创建、更新、删除、获取等。第7章 缓存管理缓存机制，是为了系统更高效的工作。账号权限系统提供了CacheManagerAware接口的实现，提供了缓存的一些基础实现；另外AuthenticatingRealm及AuthorizingRealm分别