摘要:后面的文章將圍繞著集成來進行展開。表示當(dāng)前已經(jīng)身份驗證或者通過記住我登錄的�����。表示當(dāng)前需要角色和���。參考資料系列十五安全框架一基本功能權(quán)限管理學(xué)習(xí)資料使用手冊跟開濤學(xué)博客版跟開濤學(xué)版官方文檔
導(dǎo)讀:
在閱讀這篇文章之前假設(shè)你已經(jīng)對Apache Shiro(后面統(tǒng)一用Shiro作為代指)有了一定的了解�,如果你還對Shiro不熟悉的話在這篇文章的結(jié)尾附有相關(guān)的學(xué)習(xí)資料��,關(guān)于Shiro是用來做什么的這里有個不錯的介紹����,在后面的文章中就不在對其進行描述了。后面的文章將圍繞著 Spring Boot 集成Shiro 來進行展開�。
快速上手:
1.引入pom依賴
org.apache.shiro
shiro-spring
1.2.5
2.實現(xiàn)相關(guān)的 用戶,角色�����,權(quán)限等代碼的編寫:
由于篇幅原因這里不進行展開 提供一個參考
3.實現(xiàn)Realm:
AbstractUserRealm繼承AuthorizingRealm����,并重寫doGetAuthorizationInfo(用于獲取認證成功后的角色���、權(quán)限等信息) 和 doGetAuthenticationInfo(驗證當(dāng)前登錄的Subject)方法:
public abstract class AbstractUserRealm extends AuthorizingRealm {
private static final Logger logger = LoggerFactory.getLogger(AbstractUserRealm.class);
@Autowired
private UserRepository userRepository;
//獲取用戶組的權(quán)限信息
public abstract UserRolesAndPermissions doGetGroupAuthorizationInfo(User userInfo);
//獲取用戶角色的權(quán)限信息
public abstract UserRolesAndPermissions doGetRoleAuthorizationInfo(User userInfo);
/**
* 獲取授權(quán)信息
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String currentLoginName = (String) principals.getPrimaryPrincipal();
Set userRoles = new HashSet<>();
Set userPermissions = new HashSet<>();
//從數(shù)據(jù)庫中獲取當(dāng)前登錄用戶的詳細信息
User userInfo = userRepository.findByLoginName(currentLoginName);
if (null != userInfo) {
UserRolesAndPermissions groupContainer = doGetGroupAuthorizationInfo(userInfo);
UserRolesAndPermissions roleContainer = doGetGroupAuthorizationInfo(userInfo);
userRoles.addAll(groupContainer.getUserRoles());
userRoles.addAll(roleContainer.getUserRoles());
userPermissions.addAll(groupContainer.getUserPermissions());
userPermissions.addAll(roleContainer.getUserPermissions());
} else {
throw new AuthorizationException();
}
//為當(dāng)前用戶設(shè)置角色和權(quán)限
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.addRoles(userRoles);
authorizationInfo.addStringPermissions(userPermissions);
logger.info("###【獲取角色成功】[SessionId] => {}", SecurityUtils.getSubject().getSession().getId());
return authorizationInfo;
}
/**
* 登錄認證
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken authenticationToken) throws AuthenticationException {
//UsernamePasswordToken對象用來存放提交的登錄信息
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
//查出是否有此用戶
User user = userRepository.findByLoginName(token.getUsername());
if (user != null) {
// 若存在�����,將此用戶存放到登錄認證info中��,無需自己做密碼對比���,Shiro會為我們進行密碼對比校驗
return new SimpleAuthenticationInfo(user.getLoginName(), user.getPassword(), getName());
}
return null;
}
protected class UserRolesAndPermissions {
Set userRoles;
Set userPermissions;
public UserRolesAndPermissions(Set userRoles, Set userPermissions) {
this.userRoles = userRoles;
this.userPermissions = userPermissions;
}
public Set getUserRoles() {
return userRoles;
}
public Set getUserPermissions() {
return userPermissions;
}
}
@Component
public class UserRealm extends AbstractUserRealm {
@Override
public UserRolesAndPermissions doGetGroupAuthorizationInfo(User userInfo) {
Set userRoles = new HashSet<>();
Set userPermissions = new HashSet<>();
//TODO 獲取當(dāng)前用戶下?lián)碛械乃薪巧斜?及權(quán)限
return new UserRolesAndPermissions(userRoles, userPermissions);
}
@Override
public UserRolesAndPermissions doGetRoleAuthorizationInfo(User userInfo) {
Set userRoles = new HashSet<>();
Set userPermissions = new HashSet<>();
//TODO 獲取當(dāng)前用戶下?lián)碛械乃薪巧斜?及權(quán)限
return new UserRolesAndPermissions(userRoles, userPermissions);
}
}
4.創(chuàng)建Shiro配置類:
這是最重要的一步等價于常規(guī)的Spring web應(yīng)用的配置文件���,將相關(guān)的配置托管給Spring 管理。
@Configuration
public class ShiroConfiguration {
private static final Logger logger = LoggerFactory.getLogger(ShiroConfiguration.class);
/**
* Shiro的Web過濾器Factory 命名:shiroFilter
* * @param securityManager * @return
*/
@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
logger.info("注入Shiro的Web過濾器-->shiroFilter", ShiroFilterFactoryBean.class);
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//Shiro的核心安全接口,這個屬性是必須的
shiroFilterFactoryBean.setSecurityManager(securityManager);
//要求登錄時的鏈接(可根據(jù)項目的URL進行替換),非必須的屬性,默認會自動尋找Web工程根目錄下的"/login.jsp"頁面
shiroFilterFactoryBean.setLoginUrl("/login");
//登錄成功后要跳轉(zhuǎn)的連接,邏輯也可以自定義�����,例如返回上次請求的頁面
shiroFilterFactoryBean.setSuccessUrl("/index");
//用戶訪問未對其授權(quán)的資源時,所顯示的連接
shiroFilterFactoryBean.setUnauthorizedUrl("/403");
/*定義shiro過濾器,例如實現(xiàn)自定義的FormAuthenticationFilter�,需要繼承FormAuthenticationFilter **本例中暫不自定義實現(xiàn),在下一節(jié)實現(xiàn)驗證碼的例子中體現(xiàn) */
/*定義shiro過濾鏈 Map結(jié)構(gòu) * Map中key(xml中是指value值)的第一個"/"代表的路徑是相對于HttpServletRequest.getContextPath()的值來的 * anon:它對應(yīng)的過濾器里面是空的,什么都沒做,這里.do和.jsp后面的*表示參數(shù),比方說login.jsp?main這種 * authc:該過濾器下的頁面必須驗證后才能訪問,它是Shiro內(nèi)置的一個攔截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter */
Map filterChainDefinitionMap = new LinkedHashMap();
// 配置退出過濾器,其中的具體的退出代碼Shiro已經(jīng)替我們實現(xiàn)了
filterChainDefinitionMap.put("/logout", "logout");
// :這是一個坑呢���,一不小心代碼就不好使了;
//
filterChainDefinitionMap.put("/login", "anon");//anon 可以理解為不攔截
filterChainDefinitionMap.put("/reg", "anon");
filterChainDefinitionMap.put("/plugins/**", "anon");
filterChainDefinitionMap.put("/pages/**", "anon");
filterChainDefinitionMap.put("/api/**", "anon");
filterChainDefinitionMap.put("/dists/img/*", "anon");
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
@Bean
public EhCacheManager ehCacheManager() {
EhCacheManager cacheManager = new EhCacheManager();
return cacheManager;
}
/**
* 不指定名字的話����,自動創(chuàng)建一個方法名第一個字母小寫的bean * @Bean(name = "securityManager") * @return
*/
@Bean
public SecurityManager securityManager(UserRealm userRealm) {
logger.info("注入Shiro的Web過濾器-->securityManager", ShiroFilterFactoryBean.class);
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(userRealm);
//注入緩存管理器;
securityManager.setCacheManager(ehCacheManager());//這個如果執(zhí)行多次���,也是同樣的一個對象;
return securityManager;
}
/**
* Shiro生命周期處理器 * @return
*/
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
return new LifecycleBeanPostProcessor();
}
/**
* 開啟Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP掃描使用Shiro注解的類,并在必要時進行安全邏輯驗證 * 配置以下兩個bean(DefaultAdvisorAutoProxyCreator(可選)和AuthorizationAttributeSourceAdvisor)即可實現(xiàn)此功能 * @return
*/
@Bean
@DependsOn({"lifecycleBeanPostProcessor"})
public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
advisorAutoProxyCreator.setProxyTargetClass(true);
return advisorAutoProxyCreator;
}
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
return authorizationAttributeSourceAdvisor;
}
}
5.實現(xiàn)登錄/退出等操作:
@Controller
public class SecurityController {
private static final Logger logger = LoggerFactory.getLogger(SecurityController.class);
@Autowired
private UserService userService;
@GetMapping("/login")
public String loginForm() {
return "login";
}
@PostMapping("/login")
public String login(@Valid User user, BindingResult bindingResult, RedirectAttributes redirectAttributes) {
if (bindingResult.hasErrors()) {
return "login";
}
String loginName = user.getLoginName();
logger.info("準備登陸用戶 => {}", loginName);
UsernamePasswordToken token = new UsernamePasswordToken(loginName,user.getPassword());
//獲取當(dāng)前的Subject
Subject currentUser = SecurityUtils.getSubject();
try {
//在調(diào)用了login方法后,SecurityManager會收到AuthenticationToken,并將其發(fā)送給已配置的Realm執(zhí)行必須的認證檢查
//每個Realm都能在必要時對提交的AuthenticationTokens作出反應(yīng)
//所以這一步在調(diào)用login(token)方法時,它會走到MyRealm.doGetAuthenticationInfo()方法中,具體驗證方式詳見此方法
logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證開始");
currentUser.login(token);
logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證通過");
} catch (UnknownAccountException uae) {
logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證未通過,未知賬戶");
redirectAttributes.addFlashAttribute("message", "未知賬戶");
} catch (IncorrectCredentialsException ice) {
logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證未通過,錯誤的憑證");
redirectAttributes.addFlashAttribute("message", "密碼不正確");
} catch (LockedAccountException lae) {
logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證未通過,賬戶已鎖定");
redirectAttributes.addFlashAttribute("message", "賬戶已鎖定");
} catch (ExcessiveAttemptsException eae) {
logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證未通過,錯誤次數(shù)過多");
redirectAttributes.addFlashAttribute("message", "用戶名或密碼錯誤次數(shù)過多");
} catch (AuthenticationException ae) {
//通過處理Shiro的運行時AuthenticationException就可以控制用戶登錄失敗或密碼錯誤時的情景
logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證未通過,堆棧軌跡如下");
ae.printStackTrace();
redirectAttributes.addFlashAttribute("message", "用戶名或密碼不正確");
}
//驗證是否登錄成功
if (currentUser.isAuthenticated()) {
logger.info("用戶[" + loginName + "]登錄認證通過(這里可以進行一些認證通過后的一些系統(tǒng)參數(shù)初始化操作)");
return "redirect:/index";
} else {
token.clear();
return "redirect:/login";
}
}
@GetMapping("/logout")
public String logout(RedirectAttributes redirectAttributes) {
//使用權(quán)限管理工具進行用戶的退出�����,跳出登錄��,給出提示信息
SecurityUtils.getSubject().logout();
redirectAttributes.addFlashAttribute("message", "您已安全退出");
return "redirect:/login";
}
@GetMapping("/reg")
@ResponseBody
public Result reg(@Valid User user, BindingResult bindingResult) {
if (bindingResult.hasErrors()) {
return Result.error("用戶信息填寫不完整");
}
userService.save(user);
return Result.ok();
}
}
6.前端頁面編寫:
一個簡單 form表單提交的demo
擴展:
權(quán)限注解:
@RequiresAuthentication
表示當(dāng)前Subject已經(jīng)通過login進行了身份驗證��;即Subject. isAuthenticated()返回true�����。
@RequiresUser
表示當(dāng)前Subject已經(jīng)身份驗證或者通過記住我登錄的�����。
@RequiresGuest
表示當(dāng)前Subject沒有身份驗證或通過記住我登錄過���,即是游客身份����。
@RequiresRoles(value={“admin”, “user”}, logical= Logical.AND)
表示當(dāng)前Subject需要角色admin和user����。
@RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR)
表示當(dāng)前Subject需要權(quán)限user:a或user:b����。
標簽
代碼驗證:
(暫時忽略)留待補充
結(jié)語:
Shiro 作為一款安全框架為我們提供了常用的功能,已經(jīng)足夠應(yīng)對絕大多數(shù)的業(yè)務(wù)需要��,在下一篇文章中將介紹一款更加強大的安全框架 Spring Security�。
參考資料:
Spring Boot系列(十五) 安全框架Apache Shiro(一)基本功能
Spring Boot Shiro 權(quán)限管理
學(xué)習(xí)資料:
Apache Shiro 使用手冊
《跟開濤學(xué)Shiro》 - 博客版
跟開濤學(xué) Shiro - wiki版
官方文檔
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/11245.html
