Java API 개발에서 권한 제어를 위해 Apache Shiro 사용

Java API 개발에서 권한 제어를 위해 Apache Shiro를 사용하세요

인터넷 기술이 발전하면서 점점 더 많은 애플리케이션이 API 기반 아키텍처를 채택하고 있습니다. 이 아키텍처의 경우 데이터나 서비스는 API 형식으로 외부 시스템이나 애플리케이션에 노출됩니다. 이 경우 사용자 권한 제어가 매우 중요합니다. 이 기사에서는 주로 Apache Shiro를 사용하여 Java API의 권한 문제를 관리하는 방법을 소개합니다.

Apache Shiro 개요

Apache Shiro는 애플리케이션에서 보안 인증, 권한 부여, 비밀번호 관리, 세션 관리와 같은 기본 기능을 제공하기 위한 Apache Software Foundation의 오픈 소스 프레임워크입니다. Apache Shiro는 Java 개발자가 보안 문제에 대한 걱정 없이 비즈니스 로직에 집중할 수 있게 해주는 간단하고 사용하기 쉬운 보안 프레임워크입니다.

Apache Shiro의 주요 구성 요소는 다음과 같습니다.

1. 제목: 애플리케이션과 상호 작용하는 사용자를 나타내며, 이는 사람, 프로그램, 서비스 등이 될 수 있습니다. 각 주제에는 사용자의 신원을 나타내는 데 사용할 수 있는 보안 관련 "주체" 세트가 있습니다.
2. SecurityManager: 애플리케이션의 보안 작업을 관리하는 데 사용됩니다. 주요 업무는 인증, 권한 부여, 암호화 등입니다.
3. Realm: 사용자, 역할, 권한 등과 같은 애플리케이션 데이터를 얻는 데 사용됩니다. 데이터는 데이터베이스, 파일 등에 저장될 수 있습니다.
4. SessionManager: 생성, 무효화, 유지 관리 등 각 사용자의 세션 정보를 관리합니다.
5. 세션: 사용자 로그인 상태 등 각 사용자의 세션 정보를 유지합니다.
6. 암호화: 암호화, 해싱 알고리즘 등의 보안 서비스를 제공합니다.

위 구성 요소를 기반으로 Shiro는 Java 애플리케이션에서 보안 모듈을 개발하는 데 사용할 수 있는 완전한 보안 프레임워크를 제공합니다.

권한 제어를 위해 Apache Shiro를 사용하세요

Java API를 개발하는 과정에서 사용자 권한을 제어해야 하는 경우가 종종 있습니다. Shiro는 이 기능을 구현하기 위해 유연하고 효율적인 솔루션을 제공합니다. 구체적인 구현 방법은 아래와 같습니다.

1. Shiro 종속성 패키지 소개

먼저 Shiro의 관련 종속성 패키지를 프로젝트에 추가해야 합니다. 예를 들어 Maven 프로젝트에서는 pom.xml에 다음 코드를 추가할 수 있습니다.

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.5.3</version>
</dependency> 

2. Realm 클래스 정의

Shiro에서 Realm은 사용자, 역할, 권한과 같은 관련 데이터를 정의하는 역할을 담당합니다. 이를 Shiro 프레임워크와 통합합니다. 따라서 권한 제어를 위한 첫 번째 단계는 Realm 클래스를 정의하는 것입니다.

다음과 같이 Realm 클래스를 사용자 정의하여 데이터베이스에서 사용자 관련 정보를 얻는 기능을 구현할 수 있습니다.

public class MyRealm extends AuthorizingRealm {
    
    // 根据用户名获取用户即其角色、权限等相关信息
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 获取当前用户的身份信息
        String username = (String) principalCollection.getPrimaryPrincipal();
        
        // 从数据库中查询用户及其角色
        User user = userService.loadByUsername(username);
        List<Role> roles = roleService.getRolesByUsername(username);
        
        // 添加角色
        List<String> roleNames = new ArrayList<>();
        for (Role role : roles) {
            roleNames.add(role.getName());
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRoles(roleNames);
        
        // 添加权限
        List<String> permissionNames = new ArrayList<>();
        for (Role role : roles) {
            List<Permission> permissions = permissionService.getPermissionsByRoleId(role.getId());
            for (Permission permission : permissions) {
                permissionNames.add(permission.getName());
            }
        }
        info.addStringPermissions(permissionNames);
        
        return info;
    }
    
    // 根据用户名和密码验证用户
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 获取用户提交的身份信息
        String username = (String) authenticationToken.getPrincipal();
        String password = new String((char[]) authenticationToken.getCredentials());
        
        // 根据用户名查询用户
        User user = userService.loadByUsername(username);
        if (user == null) {
            throw new UnknownAccountException();
        }
        
        // 验证用户密码
        String encodedPassword = hashService.hash(password, user.getSalt());
        if (!user.getPassword().equals(encodedPassword)) {
            throw new IncorrectCredentialsException();
        }
        
        // 如果验证成功，则返回一个身份信息
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password, getName());
        return info;
    }
}

위 코드에서는 AuthorizingRealm에서 제공하는 doGetAuthorizationInfo 메서드와 doGetAuthenticationInfo 메서드를 구현하여 사용자를 얻습니다. 클래스 역할 및 권한 정보를 추상화하고 사용자의 신원을 확인합니다. 이러한 메소드는 UserService, RoleService, PermissionService 및 기타 서비스 계층을 호출하여 사용자 데이터를 얻기 위해 데이터베이스의 관련 정보를 쿼리합니다.

3. Shiro 필터 구성

Java API에서는 요청을 가로채고 사용자 권한을 제어하도록 Shiro 필터를 구성할 수 있습니다. Shiro Filter는 웹 애플리케이션에서 권한 필터링, 세션 관리 등에 사용할 수 있는 서블릿 필터입니다.

Shiro Filter를 구성할 때 Shiro의 보안 관리자, 사용자 정의 Realm 클래스, 로그인 페이지 작성 등을 구성해야 합니다. 예는 다음과 같습니다.

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        // 设置登录URL
        shiroFilter.setLoginUrl("/login");
        // 设置无权访问的URL
        shiroFilter.setUnauthorizedUrl("/unauthorized");
        
        // 配置拦截器规则
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/home", "authc");
        filterChainDefinitionMap.put("/admin/**", "roles[admin]");
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilter;
    }

    @Bean
    public SecurityManager securityManager(MyRealm myRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm);

        return securityManager;
    }
    
    @Bean
    public MyRealm myRealm(HashService hashService,
                           UserService userService,
                           RoleService roleService,
                           PermissionService permissionService) {
        return new MyRealm(userService, roleService, permissionService, hashService);
    }
    
    @Bean
    public HashService hashService() {
        return new SimpleHashService();
    }
}

위 코드에서는 @Configuration 주석을 사용하여 Shiro 관련 매개변수를 구성하기 위한 ShiroConfig 클래스를 정의합니다. 이 클래스에서는 Shiro 필터, 보안 관리자 및 사용자 정의 Realm 클래스를 구성하기 위한 shirFilter() 메서드, securityManager() 메서드 및 myRealm() 메서드를 정의합니다. 해당 방법에서는 UserService, RoleService, PermissionService, HashService 등과 같은 종속성을 사용하여 종속성 주입을 통해 관련 서비스를 주입하여 권한 제어 및 사용자 확인을 달성할 수 있습니다.

4. Shiro를 Java API의 권한 제어에 사용

위 단계를 완료한 후 Shiro를 Java API의 권한 제어에 사용할 수 있습니다. 특정 구현에서는 Shiro가 제공하는 Subject 클래스를 사용하여 현재 사용자를 나타낼 수 있습니다. hasRole(), isPermitted() 및 이 클래스의 다른 메소드를 통해 사용자에게 특정 역할이나 권한이 있는지 확인할 수 있습니다. 예는 다음과 같습니다.

@Controller
public class ApiController {

    @RequestMapping("/api/test")
    @ResponseBody
    public String test() {
        Subject currentUser = SecurityUtils.getSubject();
        if (currentUser.hasRole("admin")) {
            return "Hello, admin!";
        } else if (currentUser.isAuthenticated()) {
            return "Hello, user!";
        } else {
            return "Please login first!";
        }
    }
}

위 코드에서는 ApiController 클래스를 정의하고 그 안에 test() 메서드를 정의합니다. 이 메서드에서는 먼저 현재 사용자 Subject 개체를 얻은 다음 hasRole(), isPermitted() 및 기타 메서드를 호출하여 권한을 판단합니다.

요약

권한 제어는 Java API 개발에서 매우 중요한 문제입니다. Apache Shiro는 Java 개발자가 사용자 인증, 권한 부여, 비밀번호 관리, 세션 관리 및 기타 기능을 신속하게 구현하는 데 도움이 되는 편리하고 사용하기 쉬운 보안 프레임워크를 제공합니다. 이 기사의 소개를 통해 독자들이 Shiro를 사용하여 Java API 개발에서 권한 제어 기능을 구현하는 방법을 명확하게 이해할 수 있기를 바랍니다.

위 내용은 Java API 개발에서 권한 제어를 위해 Apache Shiro 사용의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!