spring boot 整合 shiro

最新推荐文章于 2024-04-15 18:08:17 发布

no_surprise

最新推荐文章于 2024-04-15 18:08:17 发布

阅读量293

点赞数

文章标签： spring boot

本文链接：https://blog.csdn.net/No_surprise/article/details/81811188

版权

spring boot 整合 shiro

1.添加shiro依赖

在pom.xml中添加shiro依赖

<!--spring boot 整合shiro依赖-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>${shiro.version}</version>
</dependency>

<!--shiro依赖-->
<dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-all</artifactId>
     <version>${shiro.version}</version>
</dependency>

2.身份认证-用户登陆

2.1 用户实体

创建用户实体SysUser

    @Id
    @GeneratedValue
    private Integer uid;
    @Column(unique =true)
    private String username;//帐号
    private String name;//名称（昵称或者真实姓名，不同系统不同定义）
    private String password; //密码;
    private String salt;//加密密码的盐
    private byte state;//用户状态,0:创建未认证（比如没有激活，没有输入验证码等等）--等待验证的用户 , 1:正常状态,2：用户被锁定.
    @ManyToMany(fetch= FetchType.EAGER)//立即从数据库中进行加载数据;
    @JoinTable(name = "SysUserRole", joinColumns = { @JoinColumn(name = "uid") }, inverseJoinColumns ={@JoinColumn(name = "roleId") })
    private List<SysRole> roleList;// 一个用户具有多个角色

2.2 拦截资源文件过滤器

创建shiro配置类：ShiroConfig
添加shiroFilterFactoryBean()方法
添加拦截链接注意顺序，存在‘**’一定要放在最后，不然配置会失效

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        //shiroFilterFactoryBean对象
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 配置shiro安全管理器 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 指定要求登录时的链接
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 未授权时跳转的界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        Map<String, String> filterChainDefinitionMap = new HashMap<>();
        // 配置不会被拦截的链接 从上向下顺序判断
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/templates/**", "anon");
        filterChainDefinitionMap.put("/login/validate", "anon");
        // 配置退出过滤器,具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/logout", "logout");
        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问【放行】-->
        filterChainDefinitionMap.put("/**", "authc");
        logger.debug("Shiro拦截器工厂类注入成功");
        return shiroFilterFactoryBean;
    }

2.3 添加身份认证realm

在ShiroConfig中添加shiroRealm()

    @Bean
    public ShiroRealm shiroRealm() {
        ShiroRealm shiroRealm = new ShiroRealm();
        return shiroRealm;
    }

实现身份证realm：ShiroRealm，继承AuthorizingRealm，
重写doGetAuthorizationInfo()方法，主要用于访问权限验证（此节暂不实现）
重写doGetAuthenticationInfo()方法，主要用于登陆验证

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        logger.info("登录验证");
        //获取用户的输入的账号.
        String username = (String)authenticationToken.getPrincipal();
        System.out.println(authenticationToken.getCredentials());
        //通过username从数据库中查找 User对象，如果找到，没找到.
        //实际项目中，这里可以根据实际情况做缓存，如果不做，Shiro自己也是有时间间隔机制，2分钟内不会重复执行该方法
        SysUser sysUser = sysUserService.findByUsername(username);
        if(sysUser == null){
            return null;
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                sysUser, //用户名
                sysUser.getPassword(), //密码
                ByteSource.Util.bytes(sysUser.getCredentialsSalt()),//salt=username+salt
                getName()  //realm name
        );
        return authenticationInfo;
    }

2.4 shiro安全管理器

在ShiroConfig中添加securityManager()方法

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(shiroRealm());
        return securityManager;
    }

2.5 密码加密

在ShiroConfig中添加凭证匹配器hashedCredentialsMatcher()
此处只需指定密码加密方式，密码校验交给Shiro的SimpleAuthenticationInfo处理

    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(2);//散列的次数，比如散列两次，相当于 md5(md5(""));
        return hashedCredentialsMatcher;
    }

3.身份认证-权限控制

3.1 角色、权限实体

角色实体

    @Id@GeneratedValue
    private Integer id; // 编号
    private String role; // 角色标识程序中判断使用,如"admin",这个是唯一的:
    private String description; // 角色描述,UI界面显示使用
    private Boolean available = Boolean.FALSE; // 是否可用,如果不可用将不会添加给用户

    //角色 -- 权限关系：多对多关系;
    @ManyToMany(fetch= FetchType.EAGER)
    @JoinTable(name="SysRolePermission",joinColumns={@JoinColumn(name="roleId")},inverseJoinColumns={@JoinColumn(name="permissionId")})
    private List<SysPermission> permissions;

    // 用户 - 角色关系定义;
    @ManyToMany
    @JoinTable(name="SysUserRole",joinColumns={@JoinColumn(name="roleId")},inverseJoinColumns={@JoinColumn(name="uid")})
    private List<SysUser> sysUserList;// 一个角色对应多个用户

权限实体

    @Id@GeneratedValue
    private Integer id;//主键.
    private String name;//名称.
    @Column(columnDefinition="enum('menu','button')")
    private String resourceType;//资源类型，[menu|button]
    private String url;//资源路径.
    private String icon; //图标
    private Integer sort; //排序
    private String permission; //权限字符串,menu例子：role:*，button例子：role:create,role:update,role:delete,role:view
    private Long parentId; //父编号
    private String parentIds; //父编号列表
    private Boolean available = Boolean.FALSE;
    @ManyToMany
    @JoinTable(name="SysRolePermission",joinColumns={@JoinColumn(name="permissionId")},inverseJoinColumns={@JoinColumn(name="roleId")})

3.2 添加链接需要的权限配置

在ShiroConfig的shiroFilterFactoryBean()方法中添加链接权限配置信息

filterChainDefinitionMap.put("/user/list", "authc,perms[user:list]");

shiro内置过滤器
//TODO所有内置过滤器说明

标识	说明	实现类
anno	允许匿名使用	org.apache.shiro.web.filter.authc.AnonymousFilter

4.ajax控制

Shiro没有对ajax作处理，ajax请求要自己添加filter处理
创建ShiroPermsFilter，继承PermissionsAuthorizationFilter
重写onAccessDenied()方法，ShiroRealm的doGetAuthoriaxtionInfo()方法验证失败会调用此方法
根据请求中的 X-Requested-With:XMLHttpRequest 来区分ajax请求、普通请求

    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        String requestedWith = httpServletRequest.getHeader("X-Requested-With");
        if (StringUtils.isNotEmpty(requestedWith) && StringUtils.equals(requestedWith, "XMLHttpRequest")) {
            logger.info("无访问权限-ajax请求");
            //如果是ajax返回指定格式数据
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json");
            Gson gson = new Gson();
            Map<String, Object> resultMap = new HashMap<>();
            resultMap.put("code", "-1");
            resultMap.put("msg", "无访问权限");
            httpServletResponse.getWriter().write(gson.toJson(resultMap));
        }
        else{
            logger.info("无访问权限-普通请求");
            //如果是普通请求进行重定向
            httpServletResponse.sendRedirect("/403");
        }
        return false;
    }

5.缓存功能:ehcache缓存管理器

Shiro引入ehcache缓存，减少查询数据库次数

5.1 添加ehcache缓存依赖

<dependency>
   <groupId>org.hibernate</groupId>
   <artifactId>hibernate-ehcache</artifactId>
</dependency>

<!--shiro添加ehcache缓存 -->
<dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-ehcache</artifactId>
   <version>1.2.6</version>
</dependency>

5.2 在ShiroConfig中添加ehCacheManager()方法

PS:shiro中启用ehcache与hiberate启用ehcache会产生冲突，新版
ehcache中不允许jvm存在两个同名ehcache,所以新增shiro ehcache时应
先判断是否存在

    @Bean
    public EhCacheManager ehCacheManager() {
        CacheManager cacheManager = CacheManager.getCacheManager("shiro");
        if(cacheManager == null){
            logger.info("shiro ehcache不存在，执行初始化");
            try {
                cacheManager = CacheManager.create(ResourceUtils.getInputStreamForPath("classpath:ehcache-shiro.xml"));
            } catch (IOException e) {
                throw new RuntimeException("initialize cacheManager failed");
            }
        }
        EhCacheManager ehCacheManager = new EhCacheManager();
        ehCacheManager.setCacheManager(cacheManager);
        return ehCacheManager;
    }

5.3 添加对应的ehcaceh配置文件：ehcache-shiro.xml

<ehcache>
    <diskStore path="java.io.tmpdir"/>
    <defaultCache
            maxElementsInMemory="10000"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            maxElementsOnDisk="10000000"
            diskExpiryThreadIntervalSeconds="120"
            memoryStoreEvictionPolicy="LRU">
    </defaultCache>
    <!-- 设定缓存的默认数据过期策略 -->
    <cache name="shiro"
           maxElementsInMemory="10000"
           timeToIdleSeconds="120"
           timeToLiveSeconds="120"
           maxElementsOnDisk="10000000"
           diskExpiryThreadIntervalSeconds="120"
           memoryStoreEvictionPolicy="LRU">
    </cache>
</ehcache>

5.4 注入ehcache管理器

在ShiroConfig的securityManager()方法中注入ehcache缓存管理器

securityManager.setCacheManager(ehCacheManager());

6.登陆次数限制功能

限制用户登陆次数，超过一定错误次数之后锁定帐号一段时间
登陆次数限制功能依赖于缓存，用户尝试登陆次数存放于缓存中，锁定帐号时长由缓存失效时间决定

6.1 在缓存配置文件中添加passwordRetryCache

passwordRetryCache缓存用于存放用户尝试登陆的次数信息，登陆失败计数会一直累加，登陆成功则清空对于缓存
timeToIdleSecond来保证锁定时间(帐号锁定之后的最后一次尝试间隔timeToIdleSecond秒之后自动清除)

    <!-- 登录记录缓存 锁定2分钟 -->
    <cache name="passwordRetryCache"
           maxEntriesLocalHeap="10000"
           eternal="false"
           timeToIdleSeconds="120"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="false">
    </cache>

6.2 实现登陆次数限制凭证器

创建RetryLimitHashedCredentialsMatcher，继承HashedCredentialsMatcher
在回调方法doCredentialsMatch()方法中进行身份认证

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        //获取登录用户名
        String username = (String) token.getPrincipal();
        //从ehcache中获取密码输错次数
        AtomicInteger retryCount = passwordRetryCache.get(username);
        if (retryCount == null) {
            //第一次
            retryCount = new AtomicInteger(0);
            passwordRetryCache.put(username, retryCount);
        }
        //retryCount.incrementAndGet()自增：count + 1
        if (retryCount.incrementAndGet() >= loginRetryLimit) {
            //超过次数锁定
            throw new ExcessiveAttemptsException(username + " 在一段时间内尝试登录超过" + loginRetryLimit + "次");
        }
        //否则走判断密码逻辑
        boolean matches = super.doCredentialsMatch(token, info);
        if (matches) {
            // clear retry count  清楚ehcache中的count次数缓存
            passwordRetryCache.remove(username);
        }
        return matches;
    }

6.3 使用登陆次数限制凭证器

在ShiroConfig的hashedCredentialsMatcher()方法中改用登陆次数限制凭证器

    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new RetryLimitHashedCredentialsMatcher(ehCacheManager());
        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(2);//散列的次数，比如散列两次，相当于 md5(md5(""));
        return hashedCredentialsMatcher;
    }

7.rememberMe功能

7.1 rememberMeCookie配置

在ShiroConfig中添加remeberMeCookie()方法，设置cookie过期时间

    @Bean
    public SimpleCookie remeberMeCookie(){
        logger.debug("记住我，设置cookie过期时间！");
        //cookie名称;对应前端的checkbox的name = rememberMe
        SimpleCookie scookie=new SimpleCookie("rememberMe");
        //记住我cookie生效时间1小时 ,单位秒  [1小时]
        scookie.setMaxAge(3600);
        return scookie;
    }

7.2 rememberMe管理器

在ShiroConfig中添加rememberMeManager()方法，配置rememberMe cookie管理器

    @Bean
    public CookieRememberMeManager rememberMeManager(){
        logger.debug("配置cookie记住我管理器！");
        CookieRememberMeManager cookieRememberMeManager=new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(remeberMeCookie());
        return cookieRememberMeManager;
    }

7.3 注入rememberMe管理器

在ShiroConfig的securityManager()方法中注入rememberMe cookie管理器

securityManager.setRememberMeManager(rememberMeManager());

7.4 使用rememberMe功能

实例完整代码地址：https://github.com/crimps/springskill/tree/master/shiroskill

no_surprise

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
spring boot 整合 shiro

spring boot 整合 shiro1.添加shiro依赖在pom.xml中添加shiro依赖&lt;!--spring boot 整合shiro依赖--&gt;&lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&...
复制链接

扫一扫