SpringBoot整合Shiro
| 阿里云国内75折 回扣 微信号:monov8 |
| 阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
简介
Shiro是一个功能强大和易于使用的Java安全框架为开发人员提供一个直观而全面的解决方案的认证授权加密会话管理。
Shiro 四个主要的功能
Authentication身份认证/登录验证用户是不是拥有相应的身份
Authorization授权即权限验证判断某个已经认证过的用户是否拥有某些权限访问某些资源一般授权会有角色授权和权限授权
Session Management会话管理即用户登录后就是一次会话在没有退出之前它的所有信息都在会话中会话可以是普通JavaSE环境的也可以是如Web环境的web 环境中作用是和 HttpSession 是一样的
Cryptography加密保护数据的安全性如密码加密存储到数据库而不是明文存储
Shiro 的其它几个特点
Web SupportWeb支持可以非常容易的集成到Web环境
Caching缓存比如用户登录后其用户信息、拥有的角色/权限不必每次去查这样可以提高效率
Concurrencyshiro支持多线程应用的并发验证即如在一个线程中开启另一个线程能把权限自动传播过去
Testing提供测试支持
Run As允许一个用户假装为另一个用户如果他们允许的身份进行访问
Remember Me记住我这个是非常常见的功能即一次登录后下次再来的话不用登录了。
Shiro 的架构有 3 个主要概念Subject SecurityManager和Realms
Subject主体相当于是请求过来的“用户”
SecurityManager 管理着所有 Subject负责进行认证和授权、及会话、缓存的管理是 Shiro 的心脏所有具体的交互都通过 SecurityManager 进行拦截并控制
Realm一般我们都需要去实现自己的Realm 可以有1个或多个 Realm即当我们进行登录认证时所获取的安全数据来源(帐号/密码)
环境搭建
创建SpringBoot项目springboot-shiro-first导入Shiro依赖包
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.7.1</version>
</dependency>编写简单的前端代码
index.html
<!DOCTYPE html >
<html lang="en" xmlns:th="http://www.thymeleaf.org" >
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>首页</h1>
<p th:text="${msg}"></p>
<a href="/user/add">add</a> |
<a href="/user/update">update</a>
</body>
</html>add.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>add</h1>
</body>
</html>update.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>update</h1>
</body>
</html>编写controller
@RestController
public class UserController {
@RequestMapping({"/","/index"})
public String toIndex(Model model) {
model.addAttribute("msg","hello, Shiro!");
return "index";
}
@RequestMapping("/user/add")
public String add() {
return "user/add";
}
@RequestMapping("/user/update")
public String update() {
return "user/update";
}
}编写Shiro配置类ShiroConfig
package com.tomato.jackson.config;
import com.tomato.jackson.entity.UserRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
/**
* @author gf
* @date 2023/1/30
*/
@Configuration
public class ShiroConfig {
// ShiroFilterFactoryBean
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager defaultWebSecurityManager) {
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
// 设置安全管理器
bean.setSecurityManager(defaultWebSecurityManager);
return bean;
}
// DefaultWebSecurityManager
@Bean(name = "securityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
// 关联 UserRealm
securityManager.setRealm(userRealm);
return securityManager;
}
// 创建 realm 对象, 需要自定义类
// @Bean(name = "userRealm")
@Bean
public UserRealm userRealm() {
return new UserRealm();
}
}
注意
以上代码为Shiro配置类的固定写法需要创建ShiroFilterFactoryBean过滤器对象、DefaultWebSecurityManager对象、自定义Realm对象
通过@Qualifier标签拿到userRealm()方法创建的Bean对象绑定到getDefaultWebSecurityManager()方法中的参数userRealm上
编写自定义的Realm类需要继承AuthorizingRealm抽象类
package com.tomato.jackson.entity;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
/**
* @author gf
* @date 2023/1/30
*/
public class UserRealm extends AuthorizingRealm {
// 授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行了=>授权doGetAuthorizationInfo");
return null;
}
// 认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("执行了=>认证doGetAuthenticationInfo");
return null;
}
}
测试页面跳转
首页
新增add
更新update
登录拦截
果点击add、update时要设置拦截功能在进行页面跳转过程中首先会跳转到一个登录界面。Shiro可以通过拦截器链实现该功能常见的拦截器有
anon任何人都可以访问
authc只有认证后才可以访问
logout只有登录后才可以访问
roles[角色名]只有拥有特定角色才能访问
perms["行为"]只有拥有某种行为的才能访问
代码实现步骤如下
手动创建拦截跳转页面
login.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
<title>登录</title>
<!--semantic-ui-->
<link href="https://cdn.bootcss.com/semantic-ui/2.4.1/semantic.min.css" rel="stylesheet">
</head>
<body>
<!--主容器-->
<div class="ui container">
<div class="ui segment">
<div style="text-align: center">
<h1 class="header">登录</h1>
</div>
<div class="ui placeholder segment">
<div class="ui column very relaxed stackable grid">
<div class="column">
<div class="ui form">
<!--<form th:action="@{/login}" method="post">-->
<form action="/login" method="post">
<div class="field">
<label>Username</label>
<div class="ui left icon input">
<input type="text" placeholder="username" name="username">
<i class="user icon"></i>
</div>
</div>
<div class="field">
<label>Password</label>
<div class="ui left icon input">
<input type="password" name="password">
<i class="lock icon"></i>
</div>
</div>
<input type="submit" class="ui blue submit button"/>
</form>
</div>
</div>
</div>
</div>
</div>
</div>
<script th:src="@{/js/jquery-3.1.1.min.js}"></script>
<script th:src="@{/js/semantic.min.js}"></script>
</body>
</html>并编写相应controller
@RequestMapping("/toLogin")
public String toLogin() {
return "去登陆";
}编写登录拦截功能
登录拦截功能代码的实现需要在ShiroConfig类中getShiroFilterFactoryBean(...)添加以下代码
// (1)设置拦截器链 : anon authc logout roles perms
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/user/**","authc");
bean.setFilterChainDefinitionMap(filterMap);
// (2)设置拦截登录的请求(拦截之后跳转的页面)
bean.setLoginUrl("/toLogin");
filterMap.put("/user/**","authc");表示路径user下的所有请求必须通过认证才会跳转
bean.setLoginUrl("/toLogin");表示路径user下的所有请求会跳转到URL为/toLogin的登录页面进行认证
测试拦截功能
点击add/update提示去登录
如果删除代码
// (2)设置拦截登录的请求(拦截之后跳转的页面)
bean.setLoginUrl("/toLogin");点击add、update时跳转失败
用户认证
用户在跳转页面时需要经过验证否则不能跳转到界面里登录拦截实现了拦截功能此时需要在登录界面输入相应的用户名和密码进行验证来判断输入的用户是否可以通过验证并进行界面跳转。步骤如下
前端登录界面输入用户名和密码跳转到相应的controller进行处理。编写一个对应的controller
@PostMapping("/login")
public String login(@RequestParam("username") String username, @RequestParam("password")String password) {
// 获取当前用户
Subject subject = SecurityUtils.getSubject();
// 封装用户的登录数据
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
// 执行登录方法
try {
subject.login(token);
return "index";
} catch(UnknownAccountException e) { //用户名不存在
return "login";
} catch (IncorrectCredentialsException e) { // 密码不存在
return "login";
}
}此时进行登录测试会发现自动执行了UserRealm类中的doGetAuthenticationInfo(...)认证方法
2023-01-31 14:13:00.225 INFO 16612 --- [nio-8080-exec-2] o.a.c.c.C.[Tomcat].[localhost].[/] : Initializing Spring DispatcherServlet 'dispatcherServlet'
2023-01-31 14:13:00.226 INFO 16612 --- [nio-8080-exec-2] o.s.web.servlet.DispatcherServlet : Initializing Servlet 'dispatcherServlet'
2023-01-31 14:13:00.226 INFO 16612 --- [nio-8080-exec-2] o.s.web.servlet.DispatcherServlet : Completed initialization in 0 ms
执行了=>认证doGetAuthenticationInfo在UserRealm类补全的doGetAuthenticationInfo(...)认证方法代码
// 认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("执行了=>认证doGetAuthenticationInfo");
// 模拟获取数据库中的用户名和密码
String uname = "root";
String pwd = "123456";
UsernamePasswordToken userToken = (UsernamePasswordToken) token;
System.out.println(userToken.getUsername());
// 验证用户名是否输入正确
if (!userToken.getUsername().equals(uname)) {
// 用户名输入错误, return null 表示抛出异常 UnknownAccountException
return null;
}
// 验证密码是否输入正确, 由 Shiro 自动完成
return new SimpleAuthenticationInfo("", pwd, "");
}测试登陆效果
根据登录逻辑如果用户名和密码正确返回index,否则返回login
注意SimpleAuthenticationInfo()中传入的密码需要String类型传入int类型认证失败
用户授权
如果需要实现部分用户可以访问add页面部分页面可以访问update页面需要用到用户授权功能实现步骤如下
在ShiroConfig配置类getShiroFilterFactoryBean(...)方法中添加如下代码
// 授权// 携带 user:add 字符串的用户才能有权限访问 user 文件夹下的 add 页面
filterMap.put("/user/add","perms[user:add]");
filterMap.put("/user/update","perms[user:update]");表示如果想访问/user文件夹下的add资源需要用户具有user:add权限
之后登录认证成功之后输入正确的用户名和密码发现报错未授权错误401
此时执行了UserRealm类中的授权方法
需要在UserRealm类中的授权方法编写授权代码
用户未授权可以跳转到自定义未授权页面而不是401页面
ShiroConfig类getShiroFilterFactoryBean(...)方法添加
// 设置未授权跳转页面
bean.setUnauthorizedUrl("/unauth");类MyController添加
@RequestMapping("/unauth")@ResponseBodypublicStringunauth(){return"用户未授权访问权限!";}测试如果用户未授权跳转到以下界面
在UserRealm类中的授权方法编写授权代码
// 授权@OverrideprotectedAuthorizationInfodoGetAuthorizationInfo(PrincipalCollection principalCollection){System.out.println("执行了=>授权doGetAuthorizationInfo");SimpleAuthorizationInfo info =newSimpleAuthorizationInfo();// 为所有用户增加 user:add 权限//info.addStringPermission("user:add");// 获取当前登录用户Subject subject =SecurityUtils.getSubject();// 获取认证方法中查到的当前登录用户信息 : User 对象User currentUser =(User) subject.getPrincipal();// 获取当前用户在数据库中查询到的拥有的权限, 并为当前用户设置该权限
info.addStringPermission(currentUser.getPerms());return info;}对象subject通过getPrincipal()方法获得当前User用户User用户的信息是在认证代码中数据库查询到的修改认证代码如下所示通过return返回了一个SimpleAuthenticationInfo对象将user对象作为SimpleAuthenticationInfo对象的第一个参数传入之后授权代码便可以通过getPrincipal()方法获得当前User用户的信息了。
// 认证@OverrideprotectedAuthenticationInfodoGetAuthenticationInfo(AuthenticationToken token){
// ...returnnewSimpleAuthenticationInfo(user, user.getPwd(),"");}通过addStringPermission()为当前User用户设置与数据库对应一致的权限数据库表usetest增加权限字段perms对应的User实体类也增加perms属性
@Data//Lombok标签@AllArgsConstructor@NoArgsConstructorpublicclassUser{//属性名称要与数据库对应表字段名称一致(不区分大小写)privateint id;privateString username;privateString pwd;privateString perms;}