Spring Boot:基于Apache Shiro实现权限认证和授权

最新推荐文章于 2023-04-04 16:43:41 发布
最新推荐文章于 2023-04-04 16:43:41 发布
阅读量618 收藏 1
点赞数
分类专栏: Spring Boot 文章标签: shiro jwt spring boot 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/erik_tse/article/details/116934814
版权

Apache Shiro简介

Apache Shiro是一个安全开源框架,可用于处理认证、授权、session管理和加解密。

  • Authentication(认证):用户身份识别,通常被称为用户“登录”。

  • Authorization(授权):访问控制,比如某个用户是否具有某个操作的使用权限。

  • Session Management(会话管理):特定于用户的会话管理,甚至在非web或EJB应用程序。

  • Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。

核心概念

  • Subject:代表当前用户,可以是一个人,也可以是第三方服务。

  • SecurityManager:Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。对于 Web 应用一般使用DefaultWebSecurityManager。

  • Realms:Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

Spring Boot集成

添加依赖

<!--apache shiro-->
<dependency>
       <groupId>org.apache.shiro</groupId>
       <artifactId>shiro-spring-boot-web-starter</artifactId>
       <version>1.7.1</version>
</dependency>

自定义ShiroRealm

继承AuthorizingRealm,实现其中的两个方法。

doGetAuthenticationInfo:实现用户认证,通过服务加载用户信息并构造认证对象返回。

doGetAuthorizationInfo:实现权限认证,通过服务加载用户角色和权限信息设置进去。

@Component
@RequiredArgsConstructor
@Slf4j
public class ShiroAuthorizeRealm extends AuthorizingRealm {
   // tokenUtils 为自定义token生产和校验工具类
    private final TokenUtils tokenUtils;

    /**
     * @description: 授权校验
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizeUser user = (SimpleAuthorizeUser) getAvailablePrincipal(principalCollection);
        Set<String> roles = user.getRoles();
        Set<String> perms = user.getPermissions();

        // 将用户用户角色和权限赋值Shiro对象
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setRoles(roles);
        info.setStringPermissions(perms);
        return info;
    }

    /**
     * @description: 认证校验
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String token = (String) authenticationToken.getCredentials();
        if (token == null) {
            throw new UnauthorizedException("token非法无效");
        }

        // 校验token有效性
        SimpleAuthorizationUser user = tokenUtils.getAuthorizationUser(token);
        if (user == null) {
            throw new UnauthorizedException("token已过期");
        }

        // 刷新token,(实现: 用户在线操作不掉线功能)
        tokenUtils.refreshToken(token);

        //查询用户的角色和权限存到SimpleAuthenticationInfo中,这样在其它地方	SecurityUtils.getSubject().getPrincipal()就能拿出用户的所有信息,包括角色和权限
        return new SimpleAuthenticationInfo(user, token, getName());
    }
}

注意:

这里为了方便,自定义TokenUtils,用于生成和获取token;自定义SimpleAuthorizeUser,用于封装登录用户详情和权限信息,方便校验。

自定义AuthenticatingFilter

public class ShiroAuthorizeFilter extends AuthenticatingFilter {

    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
        String token = getToken(request);
        if (token == null) {
            throw new UnauthorizedException("token非法无效");
        }
        return new AuthorizeToken(token);
    }

    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        // OPTIONS方法直接返回true
        if (((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name())) {
            return true;
        }

        //token不存在則返回失敗
        String token = getToken(request);
        if (token == null) {
            return false;
        }

        try {
            return executeLogin(request, response);
        } catch (Exception e) {
            throw new UnauthorizedException("Token失效,请重新登录", e);
        }
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Origin", "true");
        httpResponse.setCharacterEncoding("UTF-8");
        String json = JSON.toJSONString(R.unauthorized("token非法无效,请重新登录"));
        httpResponse.getWriter().print(json);
        return false;
    }

    /**
     * @description: 对跨域提供支持
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }

    private String getToken(ServletRequest request) {
        //获取请求token
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader(AuthConstants.HEADER);
        //如果header中不存在token,则从参数中获取token
        if (StringUtils.isEmpty(token)) {
            token = httpServletRequest.getParameter(AuthConstants.HEADER);
        }
        return token;
    }
}

自定义Token

public class AuthorizeToken extends UsernamePasswordToken {

    private String token;

    public AuthorizeToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

注意:

由于Shiro内部对Token进行UsernamePasswordToken.class类型判断,所以自定义Token要么继承UsernamePasswordToken,要么重写Realm的supports方法。

自定义Configuration

@Configuration
public class ShiroAutoConfiguration extends ShiroWebFilterConfiguration {

    @Bean
    public Realm realm(TokenUtils tokenUtils) {
        return new ShiroAuthorizeRealm(tokenUtils);
    }

    @Bean("securityManager")
    public DefaultWebSecurityManager securityManager(Realm realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        securityManager.setRememberMeManager(null);

        /*
         * 关闭shiro自带的session,详情见文档
         * http://shiro.apache.org/session-management.html#SessionManagement-
         * StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);
        return securityManager;
    }

    @Override
    protected ShiroFilterFactoryBean shiroFilterFactoryBean() {
        //采用父类的默认方法生成shiroFilterFactoryBean
        ShiroFilterFactoryBean shiroFilterFactoryBean = super.shiroFilterFactoryBean();
        //获取shiroFilterFactoryBean里的Filters集合
        Map filters = shiroFilterFactoryBean.getFilters();
        //put进一个自己编写的过滤器,并命名,上面会引用到
        filters.put("auth", new ShiroAuthorizeFilter());
        shiroFilterFactoryBean.setFilters(filters);

        return shiroFilterFactoryBean;
    }

    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
        //-- 可以匿名访问的url
        //登录接口排除
        chainDefinition.addPathDefinition("/login", "anon");
        //登出接口排除
        chainDefinition.addPathDefinition("/logout", "anon");
        //性能监控  TODO 存在安全漏洞
        chainDefinition.addPathDefinition("/actuator/**", "anon");
        //swagger
        chainDefinition.addPathDefinition("/", "anon");
        chainDefinition.addPathDefinition("/doc.html", "anon");
        chainDefinition.addPathDefinition("/swagger-ui.html", "anon");
        chainDefinition.addPathDefinition("/swagger**/**", "anon");
        chainDefinition.addPathDefinition("/webjars/**", "anon");
        chainDefinition.addPathDefinition("/v2/**", "anon");

        //-- 其余资源都需要认证
        chainDefinition.addPathDefinition("/**", "auth");
        return chainDefinition;
    }

    /**
     * 下面的代码是添加注解支持
     *
     * @return
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        /**
         * 解决重复代理问题 github#994
         * 添加前缀判断 不匹配 任何Advisor
         */
        defaultAdvisorAutoProxyCreator.setUsePrefix(true);
        defaultAdvisorAutoProxyCreator.setAdvisorBeanNamePrefix("_no_advisor");
        return defaultAdvisorAutoProxyCreator;
    }

    @Bean
    public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

  1. 声明Bean securityManager,注入自定义Realm

  2. 继承ShiroWebFilterConfiguration,重写shiroFilterFactoryBean方法,并注入自定义filter

  3. 声明Bean shiroFilterChainDefinition,实现全局URL访问控制

  4. 添加注解Processor支持

添加全局异常处理


/**
 * @description: 权限认证全局异常处理,
 * 由于common-core中定义了全局异常处理,所以@Order设置为1,优先执行
 */
@Order(1)
@RestControllerAdvice
@Slf4j
public class AuthorizeGlobalExceptionHandler {

    @ExceptionHandler({AuthorizationException.class, UnauthorizedException.class})
    public R<?> handleException(AuthorizationException e) {
        log.error("权限异常处理:" + e.getMessage(), e);

        String message = "您的权限有误:" + e.getMessage();
        R result = R.unauthorized(message);

        return result;
    }
}

认证和授权流程

  1. 用户登录时生成token信息,设置过期时间,使用Redis存储,这步在登录时实现;

  2. 客户端调用接口时将token作为参数传给服务端,服务端根据token信息认证用户;

  3. Shiro框架通过自定义Filter过滤器捕获并进行认证和权限校验;

  4. 校验成功处理后续请求并返回结果给客户端,失败则抛出异常并返回

详细流程请查看下图

 

验证一下

  1. 请求token不存在或失效

2. 无权限

参考资料

言尭
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
shiro简介及入门
qq_44847231的博客
10-13 455
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiro与web容器的集成 shiro简介 1. 什么是shiro shiroapache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
在本文中,我们将深入探讨如何在Spring Boot应用中集成Apache Shiro框架,以实现动态加载权限的功能。Shiro是一个强大的安全框架,可以帮助我们处理身份验证(登录)、授权权限管理)以及会话管理等问题。 首先,...
有的请求获取的为shirohttpservletrequest 有的请求为request
lipingping951462的专栏
04-30 6476
HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder .getRequestAttributes()).getRequest(); 获取的对象不一样 有的请求获取的为shirohttpservletrequest 有的请求为request 这是由于 <...
ShiroHttpServletRequest转MultipartHttpServletRequest
新的开始的专栏
03-12 3623
项目用到shiro框架时,上传文件时,会遇到拿到的request是ShiroHttpServletRequest,所以需要转一下,有俩种方式 1. ShiroHttpServletRequest shiroRequest = (ShiroHttpServletRequest) httpRequest; CommonsMultipartResolver commonsMultipartResol...
ShiroHttpServletRequest 转HttpServletRequest 类型
Alfred_tfk的博客
03-30 443
ShiroHttpServletRequest 转HttpServletRequest 类型不可强制转换。
SpringBoot-Shiro的使用
qq_42861526的博客
12-15 2154
一、什么是Shiro 权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache ShiroSpring Security。相较于Spring Security 来说 Shiro更加老牌。学习好Shiro对于以后市场上在出现新型权限框架的学习能带来很大便利。因为权限的概念是不变的,变得是框架的实现方式。当然了,对于第一次学
基于Spring BootApache Shiro的企业门户前后端系统设计源码
最新发布
04-11
本源码提供了一个基于Spring BootApache Shiro的企业门户前后端系统设计。项目包含1520个文件,其中包括452个JavaScript文件、319个PNG图片、227个HTML文件、178个Java源文件、99个JPG图片、88个CSS样式文件、24个...
spring-boot-shiroApache ShiroSpring Boot的集成
01-30
Apache ShiroSpring Boot集成 GitHub: : 用法 首先安装到本地仓库。 双向v2.0下为2.0.0版本,主要将Spring Boot升级到2.0.4.RELEASE,Shiro升级到1.4.0 mvn clean install pom.xml < groupId>...
spring boot+shiro 权限认证管理案例
12-20
Spring BootApache Shiro 的整合是企业级应用中常见的权限认证和安全管理方案。Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。...
Spring BootShiro实现权限管理
11-12
Spring BootApache Shiro是两个常用的技术框架,它们可以很好地协同工作,实现用户认证授权功能。下面将详细介绍如何利用这两个工具来搭建一个强大的权限管理系统。 **Spring Boot** Spring BootSpring框架的...
shiro将ServletHttpSession包装成了ShiroHttpSession
十五楼亮哥
11-13 4210
最近在做Oauth SSO单点登录集成,目标有三个: A:各个业务系统在统一门户登录,各业务系统不用再次登录,即SSO; B:原来各业务系统的登录入口暂时保留; C:解决同一个浏览器登录多个账户,session覆盖的问题。 因为业务系统使用的是SpringMVC,并且使用了shiro安全框架。我的实现逻辑是,先执行OauthFilter,后执行Shiro认证。 但是在shiro中session设置...
ShiroHttpServletRequest,文件上传时报错ClassCastException
浅月流苏
04-04 940
第一个方法不适用我们这边,我们没用自己配置的bean,所以用了第二个方法试了一下,发现还是没解决问题,controller不能解决问题,思路还是回到了页面上来,html页面不会有问题,看一下JS发送请求的问题,仔细看了一下提交数据的接口,终于发现了问题,有图片上传的功能,提交请求数据方法直接使用。之前也做过很多次了,开发完成之后自测一下上传,图片上传之后,页面也有返显,但是在提交的时候报错了,看了一下日志,报了java.lang.ClassCastException: org.apache.
解决ShiroHttpServletRequest文件上传的问题
lixiaoyi01的博客
01-10 2091
  如果controller带有request参数不存在下面问题。   前提是要规范代码,controller中不带有request参数,所以request通过上下文去获取 ((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest() 本来想转成 CommonsMultipa...
彻底解决Shiro跨域访问(简单http请求或复杂http请求)
fycghy0803的专栏
05-30 6029
由于shiro使用redirect进行url的跳转,在遇到前端界面与后台业务处理不在一个域名下时,会遇到跨域问题,我们在使用springBoot时,一般会增加一个configuration类的问题允许进行跨跨请求,代码如下所示: @Configuration public class WebConfig extends DefaultWebMvcConfig { @Override ...
Java学习四阶段-03 Apache Shiro安全框架
奔跑的小猫
08-07 215
Shiro安全框架简介 Shiro概述 Shiroapache旗下一个开源安全框架,它对软件系统中的安全认证相关功能进行了抽封装,实现了用户身份认证权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证授权等功能的开发,降低系统...
springmvc集成shiro后,session、request姓汪还是姓蒋?
weixin_34150830的博客
06-18 374
2019独角兽企业重金招聘Python工程师标准>>> ...
spring mvc下shiro的session,request等问题
weixin_30505225的博客
12-27 236
最近的一个项目使用的是spring mvc,权限框架使用的是shiro. 不过有一个问题一直困扰着我,现在的session到底是谁的session,是servlet的还是shiro的. 于是我把spring controller参数里面的HttpServletRequest对象和HttpSession对象打印了出来 这两个对象打印的结果是org.apache.shiro.web.s...
Shiro 与Servlet集成授权(十)
分享我的点点滴滴,在成长路上与你同行!
06-14 656
   Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Struts2/SpringMVC这种web框架的前端控制器,其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。 使用maven来搭建shiro+serlvet授权 (1)pom.xml文件&lt...
搭建权限管理系统:Spring Boot整合Shiro
通过整合 Spring BootShiro,我们可以快速搭建一个完善的权限管理组织系统,实现对用户权限的灵活控制和管理。 总的来说,通过本文的介绍,我们可以了解如何使用 Spring Boot 整合 Shiro 搭建一个权限管理组织...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值