基于Shiro的认证授权

已于 2022-09-16 17:29:09 修改
阅读量247 收藏 1
点赞数 1
分类专栏: 三、集成框架 文章标签: java 数据库 服务器
于 2022-08-21 16:57:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Andy_Laux/article/details/126452670
版权

核心架构

在这里插入图片描述

Subject即主体,Subject记录了当前的操作用户信息,外部应用通过Subject向SecurityManager安全管理器进行认证和授权;

  • Principal :用户登录信息
  • Credential:凭证信息,如密码,证书等

SecurityManager即安全管理器,shiro通过SecurityManager来管理内部组件实例,通过来提供安全管理的各种服务;

  • Authenticator :认证管理器
  • Authorizer:授权管理器
  • Realm:域,SecurityManager进行安全认证需要通过Realm域来获取用户认证及权限数据信息(一个SecurityManager安全管理器中可以有多个Realm域)
  • SessionManager:会话管理,用来管理用户登录成功后的会话session
    • sessionDAO:即管理session的DAO接口,比如:保存session,删除session等
  • CacheManager:缓存管理,用于缓存用户认证信息及权限信息,提高系统性能;(可以集成第三方redis作为缓存管理器)

Cryptography即密码管理,提供了一套加密、解密的组件,比如MD5,散列算法等加密方式;

数据库设计

在这里插入图片描述

  • 用户表 sys_user 登录用户基本信息存储表
  • 角色表 sys_role 一组权限相同的人身份统称
  • 资源表 sys_resource 菜单、权限合集
  • 用户-角色关联表 sys_user_role_map 用户(一对多)角色
  • 角色-资源关联表 sys_role_resource_map 角色(一对多)资源

框架集成

pom坐标

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.7.1</version>
</dependency>

 <!-- shiro redis  -->
<dependency>
    <groupId>org.crazycake</groupId>
    <artifactId>shiro-redis</artifactId>
    <version>2.8.24</version>
</dependency>

shiro-redis 组件,提供了shiro的登录会话,认证信息、权限信息的第三方redis的缓存支持(集成后便不用手动对登录会话、认证授权信息进行保存,移除、shiro-redis组件会自动处理)

配置类详解

Shiro-Redis缓存配置
/**
 * Redis链接信息配置
*/
@Bean
public RedisManager redisManager() {
    RedisManager redisManager = new RedisManager();
    redisManager.setHost(host);
    redisManager.setPort(port);
    redisManager.setExpire(1800);
    redisManager.setTimeout(0);
    return redisManager;
}

/**
 * shiro的realm域中认证和授权所支持的缓存管理器
*/
public RedisCacheManager cacheManager() {
    RedisCacheManager redisCacheManager = new RedisCacheManager();
    redisCacheManager.setRedisManager(redisManager());
    redisCacheManager.setKeySerializer(new StringSerializer());
    return redisCacheManager;
}
Realm域
@Bean
public ShiroUserRealm shiroUserRealm() {
    // 创建自定义的 userRealm 对象
    ShiroUserRealm userRealm = new ShiroUserRealm();
    // 设置 userRealm 的 CredentialsMatcher密码校验器
    HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
    // 设置加密算法
    matcher.setHashAlgorithmName("md5");
    // 设置散列次数
    matcher.setHashIterations(6);
    userRealm.setCredentialsMatcher(matcher);
    userRealm.setCacheManager(cacheManager());
    // 开启redis缓存认证
    userRealm.setAuthenticationCachingEnabled(true);
    // 认证信息缓存key前缀
    userRealm.setAuthenticationCacheName("user:authentication");
    // 开启redis缓存授权
    userRealm.setAuthorizationCachingEnabled(true);
    // 权限信息缓存key前缀
    userRealm.setAuthorizationCacheName("user:authorization");
    return userRealm;
}
会话Session配置
 /**
 * redis session 会话的dao层实现 依赖 shiro-redis
 * 提供了一套关于会话的新增,移除等DAO层功能
 */
@Bean
public RedisSessionDAO redisSessionDAO() {
    RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
    redisSessionDAO.setRedisManager(redisManager());
    return redisSessionDAO;
}


/**
 * session 会话管理器 (在SecurityManager中指定会话管理器即可)
 */
@Bean
public SessionManager sessionManager() {
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    sessionManager.setSessionDAO(redisSessionDAO());
    // 配置会话监听
    Collection<SessionListener> listeners = new ArrayList<>();
    sessionManager.setSessionListeners(listeners);
    return sessionManager;
}
SecurityManager安全管理器配置

@Bean
public DefaultSecurityManager defaultSecurityManager(){
    DefaultSecurityManager defaultSecurityManager = new DefaultWebSecurityManager(userRealm());
    defaultSecurityManager.setSessionManager(sessionManager());
    return defaultSecurityManager;
}

@Bean
public DefaultSecurityManager defaultSecurityManager(){
    DefaultSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
    defaultSecurityManager.setRealm(userRealm());
    defaultSecurityManager.setSessionManager(sessionManager());
    return defaultSecurityManager;
}
配置Realm域

  • 可以通过**DefaultWebSecurityManager**有参构造方法来设置Realm域(单个/多个)
    在这里插入图片描述

  • 也可以通过调用setRealm/setRealms方法来设置realm域
    在这里插入图片描述

Shiro自定义拦截器过滤链规则
 @Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultSecurityManager defaultSecurityManager) {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    shiroFilterFactoryBean.setSecurityManager(defaultSecurityManager);
    /*
     * 设置Shiro 内置过滤器
     * anon: 无需认证(登陆)可以访问
     * authc: 必须认证才可以访问
     * user: 如果使用 rememberMe 的功能可以直接访问
     * perms: 该资源必须得到资源权限才可以访问
     * role: 该资源必须得到角色权限才可以访问
     */
    Map<String, String> filterMap = new LinkedHashMap<>();
    // 登录接口放行
    filterMap.put("/login", "anon");
    filterMap.put("/logout", "anon");
    filterMap.put("/send/email/*", "anon");
    /*
     * 查询当前系统所有的菜单权限,全部加入shiro进行权限认证
     * 比如:
     * /user/add : perms[user:add]
     * /log/view : perms[user:view]
     */
    List<SysResource> sysResources = sysResourceService.listResource();
    for (SysResource sysResource : sysResources) {
        // 菜单url:权限
        filterMap.put(sysResource.getRequestUrl(), "perms[" + sysResource.getPermission() + "]");
    }
    // 其余所有的接口都需要经过认证
    filterMap.put("/**", "authc");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
    // 未登录
    shiroFilterFactoryBean.setLoginUrl("/unLogin");
    // 未授权
    shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized");
    return shiroFilterFactoryBean;
}

Realm域

/**
 * 用户名、密码权限认证域
 * <p>
 * 在使用shiro-redis缓存时,
 * 1.登录成功:
 * - 开始保存缓存认证信息
 * - key :AuthenticationToken = UserNamePasswordToken.username 也就是用户名
 * - value :new SimpleAuthenticationInfo的第一个参数值(用户详细信息)
 * 2.退出登录:
 * - AuthenticatingRealm.clearCachedAuthenticationInfo()中清除用户认证缓存信息
 * - Object key = getAuthenticationCacheKey(principals); // key 取的是 new SimpleAuthenticationInfo的第一个参数
 * - 与我们缓存的认证信息key不一致,此时需要重写getAvailablePrincipal()方法来指定我们删除的key是什么
 *
 * </p>
 *
 * @author Sky
 * @date 2022/4/15
 */
public class ShiroUserRealm extends AuthorizingRealm {

    @Resource
    private ISysUserService sysUserService;
    @Resource
    private ISysRoleService sysRoleService;
    @Resource
    private ISysResourceService sysResourceService;


    /**
     * 授权
     *
     * @param principals 凭证
     * @return {@link AuthorizationInfo}
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 用户权限信息
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        // 获取当前用户的信息
        SysUser sysUser = (SysUser) SecurityUtils.getSubject().getPrincipal();
        // 初始化授权信息
        authorizationInfo(authorizationInfo, sysUser.getId(), Constants.SUPER_ADMIN.equals(sysUser.getSuperAdmin()), sysRoleService, sysResourceService);
        return authorizationInfo;
    }

    /**
     * 身份验证
     *
     * @param token 令牌
     * @return {@link AuthenticationInfo}
     * @throws AuthenticationException 身份验证异常
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken userDetail = (UsernamePasswordToken) token;
        // 根据用户名获取系统用户
        SysUser sysUser = sysUserService.getUserByUsername(userDetail.getUsername());
        if (sysUser == null) {
            // 用户不存在
            throw new UnknownAccountException();
        } else if (!sysUser.getEnabledFlag()) {
            // 账号被禁用
            throw new DisabledAccountException();
        }
        // 用户的密码,为了数据安全,密码不做缓存
        String password = sysUser.getPassword();
        sysUser.setPassword(null);
        return new SimpleAuthenticationInfo(sysUser,
                password,
                new CustomByteSource(sysUser.getSalt()),
                this.getName());
    }

    /**
     * 多个Realm域时,具体执行那个Realm通过此条件判断
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;
    }
    
   /**
     * 解决退出登录时,当主体为对象,删除key与缓存key不一致问题
     * 指定缓存key
     *
     * @param principals 主要凭证 new SimpleAuthenticationInfo 第一个参数
     * @return 用户名 username
     */
    @Override
    protected Object getAvailablePrincipal(PrincipalCollection principals) {
        return ((SysUser) principals.getPrimaryPrincipal()).getUsername();
    }

   /**
     * 授权信息
     * 超级管理员拥有全部角色全部资源权限
     *
     * @param authorizationInfo 授权信息
     * @param userId            用户id
     * @param superAdmin        超级管理员
     */
    protected void authorizationInfo(SimpleAuthorizationInfo authorizationInfo, Long userId, Boolean superAdmin, ISysRoleService sysRoleService, ISysResourceService sysResourceService) {
        // 用户角色信息
        List<SysRole> roles = superAdmin ? sysRoleService.listRole() : sysRoleService.listRoleByUserId(userId);
        roles.forEach(e -> authorizationInfo.addRole(e.getRoleCode()));
        // 用户资源信息
        List<SysResource> sysResources = superAdmin ? sysResourceService.listResource() : sysResourceService.listResourceByUserId(userId);
        sysResources.forEach(e -> authorizationInfo.addStringPermission(e.getPermission()));
    }
}

认证时几种错误状态:

  • UnknownAccountException:用户名错误
  • IncorrectCredentialsException:密码错误
  • DisabledAccountException:账号被禁用
  • LockedAccountException:账号被锁定
  • ExcessiveAttemptsException:登录失败次数过多
  • ExpiredCredentialsException:凭证过期

Shiro工具类

  public class ShiroUtils {
      
    /**
     * 加密方式
     */
    public static final String ENCRYPTION_TYPE = "md5";

    /**
     * 加密次数
     */
    public static final Integer ENCRYPTION_NUM = 6;

    private ShiroUtils() {
    }


    /**
     * 生成加密后的密码
     *
     * @param password 密码
     * @param salt     盐
     * @return md5 散列6次的加密密码
     */
    public static String generate(String password, String salt) {
        CustomByteSource byteSalt = new CustomByteSource(salt);
        return new SimpleHash(ENCRYPTION_TYPE, password, byteSalt, ENCRYPTION_NUM).toString();
    }


    /**
     * 获得当前系统用户
     *
     * @return {@link SysUser}
     */
    public static SysUser getCurrentSysUser() {
        return (SysUser) SecurityUtils.getSubject().getPrincipal();
    }

    /**
     * 获取当前主体
     *
     * @return Subject
     */
    public static Subject getSubject() {
        return SecurityUtils.getSubject();
    }

    /**
     * 是否登录
     *
     * @return true登录false未登录
     */
    public static boolean isLogin() {
        Subject subject = getSubject();
        if (subject != null) {
            // 登录状态下
            return subject.isAuthenticated();
        }
        return Boolean.FALSE;
    }

    /**
     * 注销
     */
    public static void logout() {
        getSubject().logout();
    }

  }

解决使用盐加密后缓存无序列化

异常信息:java.io.NotSerializableException:org.apache.shiro.util.SimpleByteSource

public class CustomByteSource implements ByteSource, Serializable {

    private static final long serialVersionUID = 1L;

    private byte[] bytes;
    private String cachedHex;
    private String cachedBase64;

    public CustomByteSource() {
    }

    public CustomByteSource(byte[] bytes) {
        this.bytes = bytes;
    }

    public CustomByteSource(char[] chars) {
        this.bytes = CodecSupport.toBytes(chars);
    }

    public CustomByteSource(String string) {
        this.bytes = CodecSupport.toBytes(string);
    }

    public CustomByteSource(ByteSource source) {
        this.bytes = source.getBytes();
    }

    public CustomByteSource(File file) {
        this.bytes = (new CustomByteSource.BytesHelper()).getBytes(file);
    }

    public CustomByteSource(InputStream stream) {
        this.bytes = (new CustomByteSource.BytesHelper()).getBytes(stream);
    }

    public static boolean isCompatible(Object o) {
        return o instanceof byte[] || o instanceof char[] || o instanceof String || o instanceof ByteSource || o instanceof File || o instanceof InputStream;
    }

    public void setBytes(byte[] bytes) {
        this.bytes = bytes;
    }

    @Override
    public byte[] getBytes() {
        return this.bytes;
    }

    @Override
    public String toHex() {
        if (this.cachedHex == null) {
            this.cachedHex = Hex.encodeToString(this.getBytes());
        }
        return this.cachedHex;
    }

    @Override
    public String toBase64() {
        if (this.cachedBase64 == null) {
            this.cachedBase64 = Base64.encodeToString(this.getBytes());
        }

        return this.cachedBase64;
    }

    @Override
    public boolean isEmpty() {
        return this.bytes == null || this.bytes.length == 0;
    }

    @Override
    public String toString() {
        return this.toBase64();
    }

    @Override
    public int hashCode() {
        return this.bytes != null && this.bytes.length != 0 ? Arrays.hashCode(this.bytes) : 0;
    }

    @Override
    public boolean equals(Object o) {
        if (o == this) {
            return true;
        } else if (o instanceof ByteSource) {
            ByteSource bs = (ByteSource) o;
            return Arrays.equals(this.getBytes(), bs.getBytes());
        } else {
            return false;
        }
    }

    private static final class BytesHelper extends CodecSupport {
        private BytesHelper() {
        }

        public byte[] getBytes(File file) {
            return this.toBytes(file);
        }

        public byte[] getBytes(InputStream stream) {
            return this.toBytes(stream);
        }
    }
}
Neoooo、
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
资源树的查询以及返回前端
sinat_35821285的博客
06-22 1677
部门,用户,角色,资源它们之间的表结构以及关系对应如下。部门菜单和 资源菜单 都是树形结构。现需要将资源的树结构信息进行查询然后以树形状态返回给前台。 因为多处需要用到树形结构,所以我们建立一个树的工具类的这个一个实体对象(TreeUtil)。其中包含需要查询的level,以及可能用到树形结构需要传入的参数,如userId,resourceId,roleId等。 传入userId的情况是:...
Shiro认证授权
编程小白养成手记
08-12 481
shiro实战教程 一、权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源,用户首先经过身份认证通过后,如果该用户有访问这个资源的权限才可以继续访问。 1.2用户身份认证 概念 所谓的身份认真就是判断一个用户是否是合法用户的过程。最常见的就是通过用户输入用户名和密码来校验,看
浅谈shiro的SecurityManager类结构
08-29
下面小编就为大家带来一篇浅谈shiro的SecurityManager类结构。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot + spring security + token + rbac 角色权限验证(前后端分离)
奔波儿灞07的博客
07-16 3792
前言:最近做项目的时候,需要角色和权限的认证,前后端分离,查阅一番资料后,网上的大多都不符合项目的使用标准,于是自己写个博客跟大家分享一番,有什么欠缺的地方留言讨论 文章目录: 首先需要了解Spring Security的过滤链和认证流程 其次了解流程之后需要根据项目的需求做一些认证的变动(不过大体是一样的) 建立数据库脚本,引用security的配置,开始愉快的写代码了 代码放Gi...
oracle权限的视图字段DEF,Oracle角色、权限的一些常用视图
weixin_32434033的博客
04-05 609
Oracle角色、权限的一些常用视图ORACLE中数据字典视图分为3大类, 用前缀区别,分别为:USER,ALL 和 DBA,许多数据字典视图包含相似的信息。USER_*:有关用户所拥有的对象信息,即用户自己创建的对象信息ALL_*:有关用户可以访问的对象的信息,即用户自己创建的对象的信息加上其他用户创建的对象但该用户有权访问的信息DBA_*:有关整个数据库中对象的信息(这里的*可以为TABLES...
存储过程循环插入表中
奋斗不息
06-04 284
查出角色表T_SYS_ROLE,循环然后插入角色资源表T_SYS_ROLE_RESOURCE declare --游标,从角色表T_SYS_ROLE取出所有数据 cursor ROLE_ID_cursor is SELECT ROLE_ID from T_SYS_ROLE; new_ROLE_ID ROLE_ID_cursor%rowtype; BEGIN --DBMS_OUTPUT.ENABLE(buffer_size => null); --表示输出buf
Shiro权限认证
BestRiven的博客
04-25 172
Shiro权限认证 一、框架搭建 各种依赖见SSM+Shiro搭建笔记 二、登陆认证 1、最简单的用户名+密码登陆 首先需要一个login.jsp页面用来登陆 <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c...
shiro认证授权
08-03
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本文将深入探讨 Shiro 的核心概念,包括认证授权,并结合提供的 `shiro-demo` 代码...
Shiro登录授权认证功能
09-26
通过以上步骤,我们可以实现一个基于Shiro的Spring Boot应用,实现登录授权认证功能,确保只有经过身份验证并拥有相应权限的用户才能访问特定的资源。同时,Shiro的灵活性使得它可以轻松适应各种复杂的安全需求。
shiro认证授权框架详解
11-18
shiro 认证授权框架详解 Shiro 认证授权框架是 Java 中一种流行的认证授权解决方案,提供了完整的认证授权机制,能够满足大多数应用程序的安全需求。Shiro 框架的核心思想是将认证授权分离,认证负责验证用户...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
shiro权限认证授权
02-26
### 一、Shiro认证 **1. 用户身份验证(Authentication)** 用户身份验证是验证用户身份的过程,确保用户是他们声称的那个人。在Shiro中,这个过程通常涉及以下步骤: - **凭证匹配**:用户提供的登录信息(如...
SpringCloud微服务实战——搭建企业级开发框架(二十一):基于RBAC模型的系统权限设计
全栈程序猿的专栏
10-23 948
  RBAC(基于角色的权限控制)模型的核心是在用户和权限之间引入了角色的概念。取消了用户和权限的直接关联,改为通过用户关联角色、角色关联权限的方法来间接地赋予用户权限,从而达到用户和权限解耦的目的,RBAC介绍原文链接。 ######RABC的好处 职能划分更谨慎。对于角色的权限调整不仅仅只影响单个用户,而是会影响关联此角色的所有用户,管理员下发/回收权限会更为谨慎; 便于权限管理。对于批量的用户权限调整,只需调整用户关联的角色权限即可,无需对每一个用户都进行权限调整,既大幅提升权限调整的效率,又降低漏
Shiro认证授权过程
weixin_44736853的博客
07-30 2260
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
Shiro的验证和授权
m0_73783997的博客
04-14 53
Shiro验证和授权
shiro----------------7.配置sessionmanager
New_CJ的博客
11-30 1098
/** * 配置sessionmanager,由redis存储数据 */ @Bean(name = "sessionManager") @DependsOn(value = "lifecycleBeanPostProcessor") public ShiroSessionManager sessionManager(@Qualifier("shiroRedisTemplate") Redi...
spring boot 集合 shiro
qq_30436011的博客
04-09 150
1、基础配置 @Configuration public class ShiroConfig { /** * myRealm */ @Bean public ShiroRealm shiroRealm(ConfigParam configParam) { ShiroRealm shiroRealm = new ShiroRealm(); shiroRealm.setConfigParam(configParam);
配置Java开发环境
最新发布
Broken_x的博客
07-10 1621
Java开发环境配置
写一段基于shiro安全认证的springboot程序
04-20
非常感谢您的提问,我可以为您提供以下基于shiro安全认证的springboot程序的代码示例: 1. 添加依赖 ```xml <groupId>org.apache.shiro <artifactId>shiro-spring-boot-web-starter <version>1.6.0 ``` 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值