接上一篇文章shiro框架—通过系统介绍shiro框架中的实现逻辑
项目已分享到GitHub上,如果需要的可以看下,springboot+shiro项目Git下载地址。
shiro在springboot项目中的配置步骤
1、引入依赖
首先shiro的应用,引入的依赖仅仅只有一个,即下边这个。
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.3.2</version>
</dependency>2、shiro在springboot项目中的位置:
以下是shiro在springboot项目中的位置:
主要的文件有四个ShiroConfig 、RetryLimitHashedCredentialsMatcher 、UserRealm 、MShiroFilterFactoryBean 。在这里 `UserOAuthMatcher 没有用到,其实它跟RetryLimitHashedCredentialsMatcher 是一样的意思,都是实现的同一个shiro的接口,用哪一个都可以,我在下边的链接里就不放进UserOAuthMatcher 了。
3、以上配置文件的主要功能:
(1) shiroConfig
关于shiroConfig 的配置主要内容,其实就是下图的这些:
以下是shiroConfig 文件的全部配置。其他的配置文件都是围绕这个文件展开工作的。
package microservice.fpzj.shiro;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.filter.authc.AnonymousFilter;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import org.springframework.web.filter.DelegatingFilterProxy;
import javax.servlet.DispatcherType;
import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
public class ShiroConfig {
@Bean
public FilterRegistrationBean filterRegistrationBean() {
FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
filterRegistration.setFilter(new DelegatingFilterProxy("shiroFilter"));
filterRegistration.setEnabled(true);
filterRegistration.addUrlPatterns("/*"); //过滤规则,即所有的请求
filterRegistration.setDispatcherTypes(DispatcherType.REQUEST);
return filterRegistration;
}
/**
* 这个即是上边调用的shiroFilter过滤器,也就是shiro配置的过滤器
* @return
*/
@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilter(){
/**
*MShiroFilterFactoryBean指向自定义过滤器,自定义过滤器对js/css等忽
*略
**/
ShiroFilterFactoryBean bean = new MShiroFilterFactoryBean();
bean.setSecurityManager(securityManager());
bean.setLoginUrl("/login");
bean.setUnauthorizedUrl("/unauthor");
Map<String, Filter>filters = new LinkedHashMap<>();
// filters.put("perms", urlPermissionsFilter());
filters.put("anon", new AnonymousFilter());
bean.setFilters(filters);
//shiro配置过滤规则少量的话可以用hashMap,数量多了要用LinkedHashMap,保证有序,原因未知
Map<String, String> chains = new LinkedHashMap<>();
chains.put("/login", "anon");
chains.put("/unauthor", "anon");
chains.put("/logout", "anon");
chains.put("/weblogin", "anon");
chains.put("/**", "authc");
bean.setFilterChainDefinitionMap(chains);
return bean;
}
/**
* @see org.apache.shiro.mgt.SecurityManager
* @return
*/
@Bean(name="securityManager")
public DefaultWebSecurityManager securityManager() {
DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
manager.setRealm(userRealm());
//manager.setCacheManager(cacheManager());
manager.setSessionManager(defaultWebSessionManager());
return manager;
}
/**
* @see DefaultWebSessionManager
* @return
*/
@Bean(name="sessionManager")
public DefaultWebSessionManager defaultWebSessionManager() {
DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
//sessionManager.setCacheManager(cacheManager());
sessionManager.setGlobalSessionTimeout(1800000);
sessionManager.setDeleteInvalidSessions(true);
sessionManager.setSessionValidationSchedulerEnabled(true);
sessionManager.setDeleteInvalidSessions(true);
sessionManager.setSessionIdCookie(getSessionIdCookie());
return sessionManager;
}
/**
* 给shiro的sessionId默认的JSSESSIONID名字改掉
* @return
*/
@Bean(name="sessionIdCookie")
public SimpleCookie getSessionIdCookie(){
SimpleCookie simpleCookie = new SimpleCookie("webcookie");
/**
* HttpOnly标志的引入是为了防止设置了该标志的cookie被JavaScript读取,
* 但事实证明设置了这种cookie在某些浏览器中却能被JavaScript覆盖,
* 可被攻击者利用来发动session fixation攻击
*/
simpleCookie.setHttpOnly(true);
/**
* 设置浏览器cookie过期时间,如果不设置默认为-1,表示关闭浏览器即过期
* cookie的单位为秒 比如60*60为1小时
*/
simpleCookie.setMaxAge(-1);
return simpleCookie;
}
/**
* @see UserRealm--->AuthorizingRealm
* @return
*/
@Bean
@DependsOn(value="lifecycleBeanPostProcessor")
public UserRealm userRealm() {
UserRealm userRealm = new UserRealm();
userRealm.setCredentialsMatcher(credentialsMatcher());
//userRealm.setCacheManager(cacheManager());
return userRealm;
}
@Bean(name="credentialsMatcher")
public CredentialsMatcher credentialsMatcher() {
return new RetryLimitHashedCredentialsMatcher();
}
/*@Bean
public EhCacheManager cacheManager() {
EhCacheManager cacheManager = new EhCacheManager();
cacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");
return cacheManager;
}*/
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
return new LifecycleBeanPostProcessor();
}
}下边针对于shiroConfig 文件中的配置,一一说明。
首先该文件的第一个配置为FilterRegistrationBean 。 springboot注入过滤器有多种方式,一种是最简单的@WebFilter注解,一种就是下边的这种,写一个FilterRegistrationBean,然后将自定义过滤器set进去,下边是通过DelegatingFilterProxy 代理的方式,注入容器中名字为shiroFilter 的过滤器,最后设置过滤器的规则。
@Bean
public FilterRegistrationBean filterRegistrationBean() {
FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
/**
*DelegatingFilterProxy做的事情是代理Filter的方法,从application
*context里获得bean,从下边可以理解到,它是将容器中名字为shiroFilter
*的过滤器加入到过滤器注册bean中
**/
filterRegistration.setFilter(new DelegatingFilterProxy("shiroFilter"));
filterRegistration.setEnabled(true);
filterRegistration.addUrlPatterns("/*"); //过滤规则,即所有的请求
filterRegistration.setDispatcherTypes(DispatcherType.REQUEST);
return filterRegistration;
}
既然上边注入的是名字为shiroFilter 的过滤器,那下边就是shiroFilter 的配置
/**
* 这个即是上边调用的shiroFilter过滤器,也就是shiro配置的过滤器
* @return
*/
@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilter(){
/**
*MShiroFilterFactoryBean指向自定义过滤器,自定义过滤器对js/css等忽
*略
**/
ShiroFilterFactoryBean bean = new MShiroFilterFactoryBean();
bean.setSecurityManager(securityManager());
bean.setLoginUrl("/login");
bean.setUnauthorizedUrl("/unauthor");
Map<String, Filter>filters = new LinkedHashMap<>();
// filters.put("perms", urlPermissionsFilter());
/**
* shiro自己的过滤器,anon,表示不拦截的路径,authc,表示拦截的路径
**/
filters.put("anon", new AnonymousFilter());
bean.setFilters(filters);
/*
*shiro配置过滤规则少量的话可以用hashMap,数量多了要用
*LinkedHashMap,保证有序,原因未知。
*,anon,表示不拦截的路径,authc,表示拦截的路径。匹配时,首先匹配
*anon的,然后最后匹配authc
**/
Map<String, String> chains = new LinkedHashMap<>();
chains.put("/login", "anon");
chains.put("/unauthor", "anon");
chains.put("/logout", "anon");
chains.put("/weblogin", "anon");
chains.put("/**", "authc");
bean.setFilterChainDefinitionMap(chains);
return bean;
}
以上的shiroFilter 配置中,又引入了我们的第二个配置文件,名字为MShiroFilterFactoryBean ,该类继承了ShiroFilterFactoryBean 类,通过名字,应该大体能知道,它是shiro的过滤器工厂类,而我们的MShiroFilterFactoryBean 类就是一个自定义的shiro过滤器,为什么要自己写一个过滤器呢?
在当前的shiro框架中,无法拦截那种.js 、.css 、.html 、.jsp 等等带有. 的请求路径,对于前三种这种静态资源,我们可以不纳入shiro拦截,即可以在不登录的情况下访问成功,但是我们现在有这样的需求,即对.jsp 也要拦截起来,那就需要自定义shiro过滤器了,即现在MShiroFilterFactoryBean 类存在的意义。关于该类的解释,在后边再说,我们继续shiroConfig 文件的介绍。
在上边的配置中,其实就是自定义了一个shiro过滤器,然后对其进行了一些操作,其中bean.setLoginUrl("/login") 是在项目启动后,如果没有登录的情况下,会被shiro强制请求的路径,即为/login ;
另外,bean.setSecurityManager(securityManager()); 这句的配置,即引入设置shiro的控制中心,即securityManager ,安全管理器;即所有与安全有关的操作都会与securityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;关于subject ,你就理解为是每一个访问系统的用户对象即可,所有的访问用户的情况都是一种subject 的体现,它们又统一被securityManager 管理,这个在第一篇里已经说过。
通过上边的shiroFilter 的配置之后,然后再看securityManager。
/**
* @see org.apache.shiro.mgt.SecurityManager
* @return
*/
@Bean(name="securityManager")
public DefaultWebSecurityManager securityManager() {
DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
manager.setRealm(userRealm());
//manager.setCacheManager(cacheManager());
manager.setSessionManager(defaultWebSessionManager());
return manager;
}
以上又引入了我们的第三个配置文件,即UserRealm 文件,改文件又引出了我们的一个概念,Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
在这里的UserRealm 类继承于AuthorizingRealm ,该类的作用其实有用户密码验证、权限授权等。这个也会在后边贴出来,先继续讲shiroConfig 文件。
通过上边的manager.setSessionManager(defaultWebSessionManager()); 然后引入下边的配置
/**
* @see DefaultWebSessionManager
* @return
*/
@Bean(name="sessionManager")
public DefaultWebSessionManager defaultWebSessionManager() {
DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
//sessionManager.setCacheManager(cacheManager());
sessionManager.setGlobalSessionTimeout(1800000);
sessionManager.setDeleteInvalidSessions(true);
sessionManager.setSessionValidationSchedulerEnabled(true);
sessionManager.setDeleteInvalidSessions(true);
sessionManager.setSessionIdCookie(getSessionIdCookie());
return sessionManager;
} 上边的配置,主要是对session的配置,比如,超时时间的设置等,基本上都是跟session相关的配置。另外,上边还有getSessionIdCookie() 方法的引用,众所周知,浏览器与后台系统交互的方式,是以后台存储session,然后将该session对应key,以字符串的形式返给浏览器,并在浏览器中以cookie 的形式记录起来,方便后续的访问,如果浏览器丢失了这个cookie,那就会失去与后台系统的联系,必须重新登录,才能重新再生成这个cookie。而getSessionIdCookie() 方法,即是对cookie在浏览器那里的名字的定义,如下:
/**
* 给shiro的sessionId默认的JSSESSIONID名字改掉
* @return
*/
@Bean(name="sessionIdCookie")
public SimpleCookie getSessionIdCookie(){
SimpleCookie simpleCookie = new SimpleCookie("webcookie");
/**
* HttpOnly标志的引入是为了防止设置了该标志的cookie被JavaScript读取,
* 但事实证明设置了这种cookie在某些浏览器中却能被JavaScript覆盖,
* 可被攻击者利用来发动session fixation攻击
*/
simpleCookie.setHttpOnly(true);
/**
* 设置浏览器cookie过期时间,如果不设置默认为-1,表示关闭浏览器即过期
* cookie的单位为秒 比如60*60为1小时
*/
simpleCookie.setMaxAge(-1);
return simpleCookie;
} 以上配置起的名字为webcookie ,这个webcookie 就是浏览器那边存储后台传入过来的cookie 的key。整个的大体流程,我理解的如下:
以后再请求,只要浏览器没有清除cookie ,上边关于session 的超时时间没有超时,就可以正常访问系统。之所以,这里要给sessionid 起一个名字webcookie 这是防止浏览器访问多个系统的时候,恰巧碰上两个系统在浏览器那边存储sessionid 对应的key正好相同,即session污染 ,造成访问系统出现问题。如果不设置,shiro默认的sessionid 在前端浏览器的名字为cookie 。
关于session污染 的异常,我遇到的是下边这个:
Found 'sid' cookie value [1a22b751-0542-4e74-a8e7-59942692f6ae]
22:13:37 DEBUG net.sf.ehcache.Cache - mx-master-SessionCache cache - Miss
22:13:37 DEBUG o.a.shiro.mgt.DefaultSecurityManager - Resolved SubjectContext context session is invalid. Ignoring and creating an anonymous (session-less) Subject instance.
org.apache.shiro.session.UnknownSessionException: There is no session with id [1a22b751-0542-4e74-a8e7-59942692f6ae] 如果出现There is no session with id 的异常,不出意外的话,就是上边的配置有问题,需要有cookie 的配置,相关的文章,你可以看这一篇一个项目两个web模块会导致shiro的session污染 ,可以得到解释。
继续shiroconfig 文件的配置,然后再后边就是如下配置:
@Bean
@DependsOn(value="lifecycleBeanPostProcessor")
public UserRealm userRealm() {
UserRealm userRealm = new UserRealm();
userRealm.setCredentialsMatcher(credentialsMatcher());
//userRealm.setCacheManager(cacheManager());
return userRealm;
}
@Bean(name="credentialsMatcher")
public CredentialsMatcher credentialsMatcher() {
return new RetryLimitHashedCredentialsMatcher();
}
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
return new LifecycleBeanPostProcessor();
} 上边有userRealm 类的注入,而在前边securityManager 的配置的时候,它引入了userRealm ,就是在这里对userRealm 类注入的。
另外,上边userRealm 方法中设置了一个credentialsMatcher() ,该方法对应的就是new RetryLimitHashedCredentialsMatcher() 类,这里就引入了我们第四个配置文件RetryLimitHashedCredentialsMatcher 类,该类,继承于HashedCredentialsMatcher 类,而HashedCredentialsMatcher 你如果往上找,其实就是实现了CredentialsMatcher 接口,所以这里注入的时候,可以以自定义的RetryLimitHashedCredentialsMatcher 类注入成CredentialsMatcher ,该类的功能主要是将用户输入的密码与查询到的密码进行比较,也就是密码比较器。
这个shiroConfig 类写的有点多,我理解的也有点不足,有些片面,如果有不对的地方,请读者帮我指正,我及时改过来。
另外提到的另外三个配置文件,先不写了,放到下一篇吧,今天写的有点多了。先贴上shiro的这四个配置文件的下载地址shiro的配置
下一篇文章shiro框架—shiro配置介绍(二)
2553
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
