11

我正在将 Apache Shiro 添加到我的应用程序中,我想知道以下错误消息是否真的准确:

org.apache.shiro.UnavailableSecurityManagerException:调用代码无法访问 SecurityManager,绑定到 org.apache.shiro.util.ThreadContext 或作为 vm 静态单例。这是无效的应用程序配置。

我已经浏览了一下源代码,我得到的印象是,只要我不使用SecurityUtils并且我愿意将 a 传递SecurityManager给需要它的组件,我实际上不需要SecurityManager将使用的静态单例SecurityUtils

我要避免的具体事情是让 Shiro 放入任何东西ThreadLocal或让 Shiro 使用它的ThreadContext支持类。我正在使用 Apache Thrift,并且不想将自己提交给每个请求一个线程的网络设计。我对 Shiro 的要求非常低,所以我将在下面展示我在做什么。

我在我的应用程序中使用 Guice,但我没有使用shiro-guice,因为 Shiro AOP 的东西依赖于SubjectThreadContext. 相反,我从一个极其简单的 Guice 模块开始。

public class ShiroIniModule extends AbstractModule {
    @Override
    protected void configure() {}

    @Provides
    @Singleton
    public SecurityManager provideSecurityManager() {
        return new DefaultSecurityManager(new IniRealm("classpath:shiro.ini"));
    }
}

这不完全是生产质量领域/安全管理器设置,但它足以让我进行测试。接下来,我创建自己的管理器类,其范围非常有限,供我的应用程序的组件使用。我有两个;一个ThriftAuthenticationManager和一个ThriftAuthorizationManager。这是前者:

@Singleton
public class ThriftAuthenticationManager {
    private final Logger log = LoggerFactory.getLogger(ThriftAuthenticationManager.class);

    private final SecurityManager securityManager;

    @Inject
    public ThriftAuthenticationManager(SecurityManager securityManager) {
        this.securityManager = securityManager;
    }

    public String authenticate(String username, String password) throws TException {
        try {
            Subject currentUser = new Subject.Builder(securityManager).buildSubject();

            if (!currentUser.isAuthenticated()) {
                currentUser.login(new UsernamePasswordToken(username, password));
            }

            String authToken = currentUser.getSession().getId().toString();
            Preconditions.checkState(!Strings.isNullOrEmpty(authToken));
            return authToken;
        }
        catch (AuthenticationException e) {
            throw Exceptions.security(SecurityExceptions.AUTHENTICATION_EXCEPTION);
        }
        catch(Throwable t) {
            log.error("Unexpected error during authentication.", t);
            throw new TException("Unexpected error during authentication.", t);
        }

    }
}

而后者:

@Singleton
public class ThriftAuthorizationManager {
    private final Logger log = LoggerFactory.getLogger(ThriftAuthorizationManager.class);

    private final SecurityManager securityManager;

    @Inject
    public ThriftAuthorizationManager(SecurityManager securityManager) {
        this.securityManager = securityManager;
    }

    public void checkPermissions(final String authToken, final String permissions)
            throws TException {
        withThriftExceptions(new Callable<Void>() {
            @Override
            public Void call() throws Exception {
                securityManager.checkPermission(getPrincipals(authToken), permissions);
                return null;
            }
        });
    }

    public void checkPermission(final String authToken, final Permission permission)
            throws TException {
        withThriftExceptions(new Callable<Void>() {
            @Override
            public Void call() throws Exception {
                securityManager.checkPermission(getPrincipals(authToken), permission);
                return null;
            }
        });
    }

    private Subject getSubject(String authToken) {
        return new Subject.Builder(securityManager).sessionId(authToken).buildSubject();
    }

    private PrincipalCollection getPrincipals(String authToken) {
        return getSubject(authToken).getPrincipals();
    }

    private void withThriftExceptions(Callable<Void> callable) throws TException {
        try {
            callable.call();
        }
        catch(SessionException e) {
            throw Exceptions.security(SecurityExceptions.SESSION_EXCEPTION);
        }
        catch(UnauthenticatedException e) {
            throw Exceptions.security(SecurityExceptions.UNAUTHENTICATED_EXCEPTION);
        }
        catch(AuthorizationException e) {
            throw Exceptions.security(SecurityExceptions.AUTHORIZATION_EXCEPTION);
        }
        catch(ShiroException e) {
            throw Exceptions.security(SecurityExceptions.SECURITY_EXCEPTION);
        }
        catch(Throwable t) {
            log.error("An unexpected error occurred during authorization.", t);
            throw new TException("Unexpected error during authorization.", t);
        }
    }
}

我的 Thrift 服务使用上述两个类进行身份验证和授权。例如:

@Singleton
public class EchoServiceImpl implements EchoService.Iface {
    private final Logger log = LoggerFactory.getLogger(EchoServiceImpl.class);

    private final ThriftAuthorizationManager authorizor;

    @Inject
    public EchoServiceImpl(ThriftAuthorizationManager authorizor) {
        this.authorizor = authorizor;
    }

    @Override
    public Echo echo(String authToken, Echo echo) throws TException {
        authorizor.checkPermissions(authToken, "echo");
        return echo;
    }
}

所以,我想我实际上有几个问题。

  1. 我引用的错误实际上是一个错误还是只是一个过分热心的日志消息?

  2. ThreadContext如果我从不使用,我是否需要担心 Shiro 依赖于 a 中的任何东西ShiroUtils

  3. SecurityUtils#setSecurityManager如果我不能保证每个请求一个线程的环境,使用会有什么危害吗?

  4. 我还没有尝试过使用 Shiro 的高级权限 ( org.apache.shiro.authz.Permission)。他们是否依赖 a 中的任何东西ThreadContext或做任何我应该早晚研究的奇怪事情?

  5. 我是否做过任何其他可能给我带来问题的事情,或者我可以改进什么?

4

2 回答 2

9

  1. 仅当您想调用时,引用的错误才是错误SecurityUtils.getSecurityManager()。非常欢迎您手动传递它或将其作为 SecurityUtils 使用之外的依赖项注入。

  2. SecurityUtils 主要是为那些使用 Shiro 的人提供便利,如果他们想使用它的话。Shiro 中只有少数东西真正明确地调用它:一些 Shiro 的 AspectJ 集成调用它,一些 Shiro 的 Web 支持调用它(Servlet 过滤器、JSP 和 JSF 标签库)。然而,在 Shiro 中使用它的这些情况下,它(我认为)总是由模板方法调用,允许您覆盖该方法以在需要时从其他地方获取主题。

  3. SecurityUtils.setSecurityManager只要您对整个 JVM 的单个 SecurityManager 实例感到满意,调用就没有害处。如果您在同一个 JVM 中有多个使用该方法的 Shiro 应用程序,则可能会导致问题。尽管如此,因为静态内存调用和全局状态是邪恶的,如果你能找到另一种引用 SecurityManager 的方法,那就更好了(例如依赖注入)

  4. Shiro 权限不依赖于任何ThreadContext相关的东西。权限检查被委派给一个或多个Realms,他们对允许或不允许什么有最终决定权。大多数领域反过来使用授权Cache来确保权限查找保持良好和响应。但这不是线程状态 - 它是(非静态)应用程序单例状态。

  5. 你的代码看起来很不错。授权检查的一项建议ThriftAuthorizationManager是直接委托给 Subject(Subject 反过来委托给 SecurityManager)。我认为这比目前的方法和更好的自我记录 IMO 快一点:

    return getSubject(authToken).checkPermission(permission);

感谢您分享您的问题。看到框架的非 Web 使用总是很高兴,因为它是为所有工作负载设计的。

于 2013-05-04T20:10:31.310 回答
7

这是我在遇到相同问题时发现的:我将 shiro 过滤器语句添加到我的 web.xml 文件中,然后直接在我的 bean 中调用了 Subject。我补充说:

<filter>
        <filter-name>ShiroFilter</filter-name>
        <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
<filter-mapping>
        <filter-name>ShiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
        <dispatcher>FORWARD</dispatcher>
        <dispatcher>INCLUDE</dispatcher>
        <dispatcher>ERROR</dispatcher>
</filter-mapping>

然后我继续写下面的语句:

Subject subject = SecurityUtils.getSubject();
于 2014-04-12T06:29:13.167 回答