基于 SpringBoot+Shiro+Redis 实现动态权限管理

最新推荐文章于 2024-06-05 18:02:56 发布
最新推荐文章于 2024-06-05 18:02:56 发布
阅读量1w 收藏 49
点赞数 7
分类专栏: Spring Boot 文章标签: shiro springboot redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/batter_hwb/article/details/83792775
版权

一、背景

最近学了 Apache Shiro,刚好有个新项目需要完成,所以整理一下如何通过整合 SpringBoot + Shiro + Redis 实现登录认证和动态的权限管理的知识点。
实现过程中主要有两个问题待解决:

  1. 如何实现登录认证?
  2. 如何实现动态的权限管理?

本文主要是对下面这两个问题进行解决。

二、登录认证

1、导包
SpringBoot 相关的包不再赘述,Shiro 所需要的包为:

        <!-- shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>

        <!-- shiro-ehcache -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro.version}</version>
        </dependency>

由于需要使用到 Redis 去集成 Shiro 实现缓存,所以引入开源插件 shiro-redis

	    <dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>3.1.0</version>
        </dependency>

2、登录
在登录的 Contoller 方法接收前台传入的用户名和密码封装成 UsernamePasswordToken 对象,然后交给 SecurityUtils.getSubject() 的主体,调用 login 登陆方法,调用登录方法后,shiro 会委托 SecurityManager 进行身份认证,最终的认证逻辑实现写在我们自定义的 Realm 中。登录方法实现大致为:

	@GetMapping("/login")
	public ResultHelper login(String userName, String password) {
	     log.info("loginId:{},password:{}", userName, password);
	     // 空值判断
	     if (StringUtils.isBlank(userName) || StringUtils.isBlank(password)) {
	         return ResultHelper.fail("登录账号或密码为空!");
	     }
	     Subject subject = SecurityUtils.getSubject();
	     UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
	     String failMsg = "";
	     try {
	         subject.login(token);
	         Map<String, String> data = MapHelper.ofHashMap("token", subject.getSession().getId());
	         return ResultHelper.loginSuccess(data);
	     } catch (UnknownAccountException e) {
	         failMsg = "用户不存在";
	     } catch (IncorrectCredentialsException e) {
	         failMsg = "密码错误!";
	     } catch (LockedAccountException e) {
	         failMsg = "登录失败,该用户已被冻结";
	     } catch (Exception e) {
	         log.error("系统内部异常!!{}", e);
	         return ResultHelper.internalServerError(e);
	     }
	     return ResultHelper.loginFail(failMsg);
	 }

3、自定义 Realm 实现
为了实现登录认证和授权的方法,我们需要自定义 Realm 继承 AuthorizingRealm,然后重写 doGetAuthenticationInfo 方法实现身份认证和 doGetAuthorizationInfo 方法实现授权。
doGetAuthenticationInfo:认证方法,根据前台传入的用户名和其他条件从数据库中找出账号对应的信息,并与前台传入的密码进行比对(shiro 将数据库中取出的密码跟 token 进行匹配)判断是否登录成功。这边还可以做其他的操作,比如账号的冻结判断等。具体实现代码如下:

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken authToken = (UsernamePasswordToken) token;
        // 获取用户输入的账号
        String userName = authToken.getUsername();
        Optional<SysUser> optional = userService.getUserByUserName(userName);

        if (!optional.isPresent()) {
            log.error("账号:{} 不存在!", userName);
            throw new UnknownAccountException(String.format("账号【%s】不存在!", userName));
        }

        SysUser user = optional.get();
        if (user.getStatus() == 0) {
            log.warn("账号:{} 已被冻结!", user.getUserName());
            // 账号冻结
            throw new LockedAccountException(String.format("账号【%s】已冻结!", userName));
        }
		// 封装 SimpleAuthenticationInfo 对象与 UsernamePasswordToken 对象进行密码对比
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                user,
                user.getPassword(),
                ByteSource.Util.bytes(user.getCredentialsSalt()),
                getName()
        );
        return authenticationInfo;
    }

doGetAuthorizationInfo:授权方法,shiro 并不是在认证之后就马上对用户授权,而是在认证通过之后,接下来要访问的资源或者目标方法需要权限的时候才会调用 doGetAuthorizationInfo() 方法进行授权。具体实现代码如下:

   @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        log.info("授权...");
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        SysUser user = (SysUser) principals.getPrimaryPrincipal();
        if (null == user) {
            log.error("授权失败,用户信息为空!!!");
            return null;
        }
        try {
            // 添加用户角色
            List<SysRole> roles = roleService.findRoleByUserId(user.getId());
            roles.forEach(role -> authorizationInfo.addRole(role.getRoleName()));

            // 添加用户权限
            List<SysAuthority> auths = authService.findAuthByUserId(user.getId());
            auths.forEach(auth -> authorizationInfo.addStringPermission(auth.getId()));
        } catch (Exception e) {
            log.error("出现异常啦!!", e);
        }
        return authorizationInfo;
    }

二、动态权限管理

1、权限动态加载
为了实现动态的权限配置,所以将链接的权限配置近数据库,然后在项目启动或者权限有变更(新增、删除、更新)的时候将数据库中的权限信息加载进 shiro。

package com.easytouch.easyworking.service.impl;

import com.easytouch.easyworking.entity.SysAuthority;
import com.easytouch.easyworking.mapper.SysAuthorityMapper;
import com.easytouch.easyworking.service.SysAuthorityService;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.filter.mgt.DefaultFilterChainManager;
import org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver;
import org.apache.shiro.web.servlet.AbstractShiroFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.*;

/**
 * @author Hinbo
 * create date 2018/11/5 20:26
 */
@Slf4j
@Service
public class SysAuthorityServiceImpl implements SysAuthorityService {

    @Autowired
    private SysAuthorityMapper authMapper;

    @Override
    public Map<String, String> loadFilterChainDefinitions() {
        List<SysAuthority> authorities = authMapper.findAuthorities();
        // 权限控制map.从数据库获取
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        if (authorities.size() > 0) {
            String uris;
            String[] uriArr;
            for (SysAuthority authority : authorities) {
                if (StringUtils.isBlank(authority.getPermission())) {
                    // 权限为空则不处理
                    continue;
                }
                uris = authority.getUri();
                uriArr = uris.split(";");
                for (String uri : uriArr) {
                    filterChainDefinitionMap.put(uri, authority.getPermission());
                }
            }
        }
        // 退出登录
        filterChainDefinitionMap.put("/logout", "logout");
        // 配置不会被拦截的链接 顺序判断
        filterChainDefinitionMap.put("/druid/**", "anon");
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/**", "authc");
        return filterChainDefinitionMap;
    }

    @Override
    public void updatePermission(ShiroFilterFactoryBean shiroFilterFactoryBean) {
        synchronized (this) {
            AbstractShiroFilter shiroFilter;
            try {
                shiroFilter = (AbstractShiroFilter) shiroFilterFactoryBean.getObject();
            } catch (Exception e) {
                log.error("get ShiroFilter from shiroFilterFactoryBean error!");
                throw new RuntimeException("get ShiroFilter from shiroFilterFactoryBean error!");
            }

            PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter.getFilterChainResolver();
            DefaultFilterChainManager manager = (DefaultFilterChainManager) filterChainResolver.getFilterChainManager();

            // 清空旧的权限控制
            log.info("清空旧的权限控制...");
            manager.getFilterChains().clear();
            shiroFilterFactoryBean.getFilterChainDefinitionMap().clear();
            // 重新加载权限控制
            shiroFilterFactoryBean.setFilterChainDefinitionMap(loadFilterChainDefinitions());

            // 重新构建权限控制的过滤链
            log.info("重新构建权限控制的过滤链...");
            Map<String, String> chains = shiroFilterFactoryBean.getFilterChainDefinitionMap();
            for (Map.Entry<String, String> entry : chains.entrySet()) {
                String url = entry.getKey();
                String chainDefinition = entry.getValue().trim().replace(" ", "");
                manager.createChain(url, chainDefinition);
            }
        }
    }
}

2、自定义角色过滤器
主要是实现对登录用户角色的校验。

public class CustomRolesAuthorizationFilter extends RolesAuthorizationFilter {

    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;
        // 如果没有角色限制,直接放行
        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }
        // 判断是否有角色权限
        for (int idx = 0; idx < rolesArray.length; idx++) {
            if (subject.hasRole(rolesArray[idx])) {
                return true;
            }
        }
        return false;
    }
}

3、shiro 配置
shiro 提供了一系列的接口让我们实现对 shiro,包含 SessionManager、用户认证信息和用户信息缓存等。直接上代码

/**
 * Shiro 配置
 * @author Hinbo
 * create date 2018/11/1 15:47
 */
@Slf4j
@Configuration
public class ShiroConfig {

    @Autowired
    private RedisProperties redisProperties;
    @Autowired
    private SysAuthorityService authorityService;

    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        log.info("Shiro 权限过滤...");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 权限过滤 Filter
        Map<String, Filter> filterMap = new LinkedHashMap<>(1);
        filterMap.put("roles", rolesAuthorizationFilter());
        shiroFilterFactoryBean.setFilters(filterMap);

        //配置 shiro 默认登录界面地址
        shiroFilterFactoryBean.setLoginUrl("/unLogin");

        // 配置无权限的访问地址
        shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(authorityService.loadFilterChainDefinitions());
        return shiroFilterFactoryBean;
    }

    @Bean
    public CustomRolesAuthorizationFilter rolesAuthorizationFilter() {
        return new CustomRolesAuthorizationFilter();
    }

    /**
     * 凭证匹配器(由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了)
     * @return HashedCredentialsMatcher
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 使用 MD5 散列算法
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 散列次数
        hashedCredentialsMatcher.setHashIterations(2);
        return hashedCredentialsMatcher;
    }

    @Bean
    public AuthShiroRealm authShiroRealm() {
        AuthShiroRealm authShiroRealm = new AuthShiroRealm();
        authShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return authShiroRealm;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(authShiroRealm());
        // 自定义 session 管理,使用 Redis
        securityManager.setSessionManager(sessionManager());
        // 自定义缓存实现,使用 Redis
        securityManager.setCacheManager(cacheManager());
        return securityManager;
    }

    /**
     * 自定义 SessionManager
     * @return sessionManager
     */
    @Bean
    public SessionManager sessionManager() {
        EwSessionManager sessionManager = new EwSessionManager();
        sessionManager.setSessionDAO(redisSessionDAO());
        return sessionManager;
    }

    /**
     * 配置shiro redisManager,使用的是shiro-redis开源插件
     */
    public RedisManager redisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost(redisProperties.getHost());
        redisManager.setPort(Integer.parseInt(redisProperties.getPort()));
        redisManager.setPassword(redisProperties.getPassword());
        redisManager.setDatabase(Integer.parseInt(redisProperties.getDatabase()));
        return redisManager;
    }

    /**
     * cacheManager 缓存 redis 实现
     */
    @Bean
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager());
        return redisCacheManager;
    }

    /**
     * RedisSessionDAO shiro sessionDao层的实现 通过redis
     */
    @Bean
    public RedisSessionDAO redisSessionDAO() {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(redisManager());
        redisSessionDAO.setKeyPrefix("shiro:user:");
        return redisSessionDAO;
    }

    /**
     * 开启 Shiro aop 注解支持
     * 用代理方式;所以需要开启代码支持
     * @param securityManager securityManager
     * @return advisor
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}
Hinbo
关注
  • 7
    点赞
  • 49
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
Redis 权限管理手册
qq_25241721的博客
09-15 452
某些规则只是单个单词,用于激活或删除标志,或对用户 ACL 执行给定的更改。其他规则是与命令或类别名称或键模式等连接的字符前缀。通过一个个的指定命令设置用户ACL比较繁琐,这里可以通过命令类别进行实现,ACL类别对于创建一次包含或排除大量命令的ACL规则非常有用,而无需指定每个命令。off: 禁用用户,不允许使用此用户进行身份验证,但是已经过身份验证的连接仍然有效。,无论默认用户配置如何,则新连接将不通过身份验证启动,并且将要求用户发送带有 AUTH 选项的。on:启用用户,允许使用该用户进行身份验证。
SpringBoot+Shiro学习之数据库动态权限管理Redis缓存
qq_20954959的博客
02-16 1万+
发现问题,需找解决思路。之前我们整合Shiro,完成了登录认证和权限管理实现,登录认证没什么说的,需要实现AuthorizingRealm中的doGetAuthenticationInfo方法进行认证,但是我们在实现doGetAuthorizationInfo权限控制这个方法的时候发现以下两个问题: 第一个问题:我们在ShiroConfig中配置链接权限的时候,每次只要有一个新的链接,或则权限需要
SpringBoot整合Shiro+Redis框架权限管理
李长渊的博客
03-28 495
Shiro整合Redis注解版本
分布式ShiroSpringBoot项目Shiro整合Redis
最新发布
shyの个人笔记
06-05 726
分布式ShiroSpringBoot项目Shiro整合Redis
SpringBoot+SpringSession+Redis实现session共享及唯一登录
热门推荐
xjj1040249553的专栏
09-12 9万+
最近在学习springboot,session这个点一直困扰了我好久,今天把这些天踩的坑分享出来吧,希望能帮助更多的人。 一、pom.xml配置 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-da...
基于SpringBoot整合redisshiro
Starrk的盗梦空间
03-30 1万+
项目代码:https://gitee.com/starrk110/shiroRedisSpringboot.git 实现功能:shiro的认证及权限控制,缓存及session使用redis管理,remenberme功能。(框架基于SSM,使用了mybatis-plus增强) 1:主要使用jar包(见最后) 2:安装redis 安装redisredis哨兵/集群部署请自行完成这不...
springboot +shiro+redis实现session共享(方案二)1
08-08
"Spring Boot + Shiro + Redis 实现 Session 共享方案二" 1. 概述 本文档旨在介绍如何使用 Spring Boot、ShiroRedis...通过使用 Redis 作为 Session 存储和 Shiro 权限控制,可以实现高效、可靠的 Session 共享。
springboot+shiro+redis整合
03-12
通过以上步骤,我们成功地将SpringBootShiroRedis整合在一起,实现了基于Shiro的安全控制和Redis的Session共享。这种架构方案适用于大型分布式系统,能够提供稳定、高效且安全的用户体验。在实际应用中,还可以...
Springboot+Shiro+Redis实现RBAC用户权限管理
07-22
本文将详细探讨如何使用SpringbootShiroRedis实现基于RBAC(Role-Based Access Control)的用户权限管理,并结合org.creazycake插件进行Redis整合。 **Springboot** 是一个由Pivotal团队提供的开源框架,它...
springboot+shiro+redis
05-23
springboot+shiro+redis+druid+mybatis+swagger+thymeleaf,实现了druid数据源监控,统一异常处理,redis缓存session实现session共享,shiro权限控制的后台项目。本人不会写前端页面,项目页面复制于码云开源项目,...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
总的来说,这个系统通过SpringBoot构建基础框架,利用Shiro进行权限控制,结合JWT实现无状态认证,借助Jedis提升性能,运用MybatisPlus简化数据库操作,实现了基于URL的权限管理。这种设计不仅提高了系统的安全性,...
SSM+Shiro+Redis实现项目的权限管理
05-06
SSM+Shiro+Redis实现项目权限控制管理的小Demo,内含各种工具类.
基于Spring Boot、Mybatis、Redis的SSO单点登录系统demo
05-29
基于Spring Boot、Mybatis、Redis的SSO单点登录系统demo,内含一个母系统,2个子测试系统,也可以当成整合demo来学习
spring boot 集成shiroredis (绝不坑你)
super小靖
08-29 3万+
spring boot 集成shiroredis (绝不坑你) 最近两天一直在弄shiro跟spring boot的整合,网上讨论的很多,但是真正搞懂的人很少,都是抄抄抄,我现在就将我这两天的所有结果分享给大家,供大家参考。 跟spring mvc 的集成很相像,但是也有很多不同的地方,主要体现在springboot 跟mvc的配置差异上。配置shiro,如果要跑起来,非常简答,跟...
springboot集成shiro,使用token登陆,使用redis缓存
myth_g的博客
08-27 1万+
1.准备用户数据,这里我将数据写死存储; public class Constant implements Serializable { public static final String USERNAME = "gaoyang"; public static final String PASSWORD = "123456"; public static final ...
springboot使用shiro-整合redis作为缓存(十)
这个名字想了很久
09-03 3万+
原文地址,转载请注明出处:&amp;amp;amp;amp;nbsp;http://blog.csdn.net/qq_34021712/article/details/79746413&amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp;©王赛超&amp;amp;amp;amp;nbsp; 说在前面 本来的整合过程是顺着博客的顺序来的
Redis 6.0 权限控制命令 ACLs 详解
商亮的技术手册
05-31 9584
目录 1. 前言 2. 什么是 ACL 2. 什么时候使用 ACLs 3.ACL 规则 启动或禁用用户 启用或禁用命令 允许或禁止访问某些 KEY 为用户配置有效密码 4. ACL 常用命令 ACL LIST ACL SETUSER ACL GETUSER ACL DELUSER ACL USERS ACL WHOAMI ACL CAT ACL SAVE ACL LOAD ACL GENPASS ACL LOG ACL HELP 1. 前言 在使用 Redi.
springboot整合shiro+redis
夏微凉秋微暖的博客
11-01 357
之前整合过ssm+shiro+ehcache,也弄过ssh,这次把springboot+redis整合进去   对应的pom: &lt;!--shiro--&gt; &lt;!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --&gt; &lt;dependency&gt; &lt;gro...
使用springbootredis实现redis权限认证
weixin_30618985的博客
07-06 213
一、引言 登录权限控制是很多系统具备的功能,实现这一功能的方式有很多,其中使用token是现在用的比较多的 好处:可以防止CSRF攻击 二、功能实现: 用户登录成功后,后台生成一个token并存在redis中,同时给此用户的token设置时限,返回一个token给调用者,同时自定义一个@AuthToken注解,被该注解标注的API请求都需要进行token效验,效验通过才可以正常访问,实现接口级的鉴...
springboot+shiro+redis实现单点登录源码
09-17
在Spring Boot中使用Shiro来处理认证和授权,可以通过配置Shiro的Realm来实现用户的登录认证和权限控制。将用户的信息存储在Redis中,利用Redis的持久化特性来实现用户登录状态的共享和存储。 首先,在Spring Boot...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值