浅谈Shiro框架在Spring Boot中的认证应用

最新推荐文章于 2023-07-08 21:41:09 发布
最新推荐文章于 2023-07-08 21:41:09 发布
阅读量261 收藏
点赞数
分类专栏: 软件测试 测试开发 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hogwarts_ziqi/article/details/129287219
版权

通常,公司的项目都会有严格的认证和授权操作,在Java开发领域常见的安全框架有Shiro和Spring Security。Apache Shiro是一个开源的轻量级Java安全管理框架,提供认证、授权、密码管理、缓存管理等功能,相对于Spring Security框架更加直观,易用,同时也能提供健壮的安全性。

对于Spring Boot项目,Shiro官方提供了shiro-spring-boot-web-starter来简化Shiro在Spring Boot中的配置,不需要手动整合。

Shiro 核心组件

Shiro有三大核心组件,即Subject,SecurityManager和Realm,如图所示:

835×305 38.2 KB

Spring Boot 整合 Shiro

1. 管理shiro版本号

<properties>
    <shiro.version>1.6.0</shiro.version>
    <java.version>1.8</java.version>
    <jmeter.version>5.4.1</jmeter.version>
</properties>


<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>${shiro.version}</version>
</dependency>

3. ShiroConfig类

①. 创建ShiroConfig配置类,并添加注解@Configuration

②. 在配置类中创建3个Bean,ShiroFilterFactoryBean、DefaultWebSecurityManager和 Realm

3.1 创建Realm Bean

Realm Bean是ShiroConfig配置类中的第1个Bean,此处只展示一个LdapReam Bean。注解@DependsOn表示组件依赖,下图中表示依赖lifecycleBeanPostProcessor。LifecycleBeanPostProcessor用来管理shiro Bean的生命周期,在LdapReam创建之前先创建lifecycleBeanPostProcessor。

925×175 24.3 KB

3.2在ShiroConfig中添加SecurityManager配置

Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。modularRealmAuthenticator是shiro提供的realm管理器,用来设置realm生效, 通过setAuthenticationStrategy来设置多个realm存在时的生效规则。

@Bean(name = "securityManager")
public DefaultWebSecurityManager securityManager(SessionManager sessionManager, MemoryConstrainedCacheManager memoryConstrainedCacheManager) {
    DefaultWebSecurityManager dwsm = new DefaultWebSecurityManager();
    dwsm.setSessionManager(sessionManager);
    dwsm.setCacheManager(memoryConstrainedCacheManager);
    dwsm.setAuthenticator(modularRealmAuthenticator());
    return dwsm;
}

重写ModularRealmAuthenticator,只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息。

@Bean
public ModularRealmAuthenticator modularRealmAuthenticator() {
    UserModularRealmAuthenticator modularRealmAuthenticator = new UserModularRealmAuthenticator();
    modularRealmAuthenticator.setAuthenticationStrategy(new FirstSuccessfulStrategy());
    return modularRealmAuthenticator;
}

①. 构建ShiroFilterFactoryBean对象,用于创建过滤工厂

@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager sessionManager) {
//构建ShiroFilterFactoryBean对象,负责创建过滤器工厂
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//设置登录路径
    shiroFilterFactoryBean.setLoginUrl("/login");    
//注意:必须设置SecuritManager
shiroFilterFactoryBean.setSecurityManager(sessionManager);
//设置访问未授权的需要跳转到的路径
    shiroFilterFactoryBean.setUnauthorizedUrl("/403");
//设置登录成功访问路径
    shiroFilterFactoryBean.setSuccessUrl("/");
//自定义的过滤设置注入到shiroFilter中
    shiroFilterFactoryBean.getFilters().put("apikey", new ApiKeyFilter());
    shiroFilterFactoryBean.getFilters().put("csrf", new CsrfFilter());
    shiroFilterFactoryBean.getFilters().put("user", new UserAuthcFilter());
//定义map指定请求过滤规则
    Map<String, String> filterChainDefinitionMap = shiroFilterFactoryBean.getFilterChainDefinitionMap();
    ShiroUtils.loadBaseFilterChain(filterChainDefinitionMap);
    ShiroUtils.ignoreCsrfFilter(filterChainDefinitionMap);
    filterChainDefinitionMap.put("/**", "apikey, csrf, authc");
    return shiroFilterFactoryBean;
}

Shiro有两种方式可进行精度控制,一种是过滤器方式,根据访问的URL进行控制,该种方式允许使用*匹配URL,可以进行粗粒度控制;另一种是注解的方式,实现细粒度控制,但只能是在方法上控制,无法控制类级别访问。本文将使用第一种方式编写过滤器文件。

过滤器的类型有很多,本文代码只用到anon和authc两种类型。

定义一个Map类型的filterChainDefinitionMap,使用ShiroFilterChainDefinition来控制请求路径的鉴权与授权。

创建ShiroUtils类,自定义静态方法loadBaseFilterChain()和ignoreCsrfFilter()方法,判断哪些请求路径需要用户登录才能访问,哪些不需要登录就能访问,实现粗粒度控制。

关键代码(节选):

public static void loadBaseFilterChain(Map<String, String> filterChainDefinitionMap){
        filterChainDefinitionMap.put("/resource/**", "anon");
        filterChainDefinitionMap.put("/*.worker.js", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/signin", "anon");
}

IgnoreCsrfFilter()方法定义的是authc类型的过滤设置,authc表示只有登录后才有权限访问。

public static void ignoreCsrfFilter(Map<String, String> filterChainDefinitionMap) {
    filterChainDefinitionMap.put("/", "apikey, authc"); // 跳转到 / 不用校验 csrf
    filterChainDefinitionMap.put("/language", "apikey, authc");// 跳转到 /language 不用校验 csrf
    filterChainDefinitionMap.put("/test/case/file/preview/**", "apikey, authc"); // 预览测试用例附件 不用校验 csrf
}


@EventListener
public void handleContextRefresh(ContextRefreshedEvent event) {
    ApplicationContext context = event.getApplicationContext();
    List<Realm> realmList = new ArrayList<>();
    LocalRealm localRealm = context.getBean(LocalRealm.class);
    LdapRealm ldapRealm = context.getBean(LdapRealm.class);
    realmList.add(localRealm);
    realmList.add(ldapRealm);
context.getBean(DefaultWebSecurityManager.class).setRealms(realmList);
}

4. 自定义LdapRealm

Realm可由Shiro提供,也可以自定义。自定义Realm一般继承AuthorizingRealm,然后实现getAuthenticationInfo()和getAuthorizationInfo()方法,来完成身份认证和权限获取。

/**
 * 登录认证
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//构造一个UsernamePasswordToken
    UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
    String userId = token.getUsername();
    String password = String.valueOf(token.getPassword());
    return loginLdapMode(userId, password);
}

在loginLdapMode()方法中,通过传过来的userId调用userService里的方法获取user,然后对user进行判断,若通过验证,返回一个AuthenticationInfo实现。

private AuthenticationInfo loginLdapMode(String userId, String password) {
    String email = (String) SecurityUtils.getSubject().getSession().getAttribute("email");
    UserDTO user = userService.getLoginUser(userId, Arrays.asList(UserSource.LDAP.name(), UserSource.LOCAL.name()));
    if (user == null) {
        user = userService.getUserDTOByEmail(email, UserSource.LDAP.name(), UserSource.LOCAL.name());
        if (user == null) {
            throw new UnknownAccountException(Translator.get("user_not_exist") + userId);
        }
        userId = user.getId();
    }
SessionUser sessionUser = SessionUser.fromUser(user);
    SessionUtils.putUser(sessionUser);
    return new SimpleAuthenticationInfo(userId, password, getName());
}

doGetAuthorizationInfo()则用于获取权限相关信息,PrincipalCollection 是一个身份集合。首先通过getPrimaryPrincipal()得到传入的用户名,然后调用getAuthorizationInfo()方法,再根据用户名调用 UserService接口获取角色及权限信息,并将得到的用户roles放到authorizationInfo中,并返回。

/**
 * 授权
 */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    String userId = (String) principals.getPrimaryPrincipal();
    return getAuthorizationInfo(userId, userService);
}
public static AuthorizationInfo getAuthorizationInfo(String userId, UserService userService) {
    SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
    UserDTO userDTO = userService.getUserDTO(userId);
    Set<String> roles = userDTO.getRoles().stream().map(Role::getId).collect(Collectors.toSet());
    authorizationInfo.setRoles(roles);
    return authorizationInfo;
}

应用案例-登录认证

1. 流程分析

结合上面Shiro框架在Spring Boot中关键配置,梳理了一下登录认证的流程分析图。

1080×328 85.3 KB

客户端提交用户账号和密码,在Controller中拿到账号和密码封装到token对象,然后借助subject的login方法,把数据提交给SecurityManager,使用Authenticator处理token,Authenticator从Realm列表中获取LdapRealm,LdapRealm从token中获取数据,交给authenticate进行比对,对比通过返回AuthenticationInfo。

2. 登录实现

@PostMapping(value = "/signin")
public ResultHolder login(@RequestBody LoginRequest request) {
    SessionUser sessionUser = SessionUtils.getUser();
    if (sessionUser != null) {
        if (!StringUtils.equals(sessionUser.getId(), request.getUsername())) {
            return ResultHolder.error(Translator.get("please_logout_current_user"));
        }
    }   SecurityUtils.getSubject().getSession().setAttribute("authenticate", UserSource.LOCAL.name());
    return userService.login(request);
}

在login方法中,把用户名和密码封装为UsernamePasswordToken对象token,然后通过SecurityUtils.getSubject()获取Subject对象,并将前面获取token对象作为参数。若调用subject.login(token)时不抛出任何异常,说明认证通过,调用subject.isAuthenticated()返回true表示当前的用户已经登录。后续可以根据subject实例获取用户信息。

public ResultHolder login(LoginRequest request) {
        String login = (String) SecurityUtils.getSubject().getSession().getAttribute("authenticate");
        String username = StringUtils.trim(request.getUsername());
        String password = "";
        if (!StringUtils.equals(login, UserSource.LDAP.name())) {
            password = StringUtils.trim(request.getPassword());
            ……
        }
        UsernamePasswordToken token = new UsernamePasswordToken (username, password, login);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
            if (subject.isAuthenticated()) {
                UserDTO user = (UserDTO) subject.getSession().getAttribute(ATTR_USER);
               ……
                                return ResultHolder.success(subject.getSession().getAttribute("user"));
} else {
        return ResultHolder.error(Translator.get("login_fail"));
    }
} catch (ExcessiveAttemptsException e) {
    throw new ExcessiveAttemptsException(Translator.get("excessive_attempts"));
}
……
}

总结

Apache Shiro 是一个功能强大且灵活的开源安全框架,它可以很好地处理身份认证、授权、企业会话管理等,简单易用,可以使项目的验证架构更加完善。本文演示Spring Boot集成Shiro框架,从身份认证和授权的配置情况进行说明,并演示了基础的身份验证功能,如有不足,请多指教。

测试人子期
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合shiro实现登录验证
c1225992531的博客
08-02 8339
springboot整合shiro实现登录验证 今天第一次接触springboot,本来是要学习springbootshiro整合的,但是由于springboot结构还不太了解,所以先来了解一下springbootspringboot可以快速创建一个机遇spring的项目,而且让这个项目跑起来只需要很少的配置就可以了,主要有以下核心功能: 1.独立运行的spring项目:springboo...
详解Spring Boot 集成Shiro和CAS
08-30
本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 的集成方式。 Shiro 介绍 Shiro 是一个开源的 Java 安全框架,由 Apache 软件...
SpringBoot整合Shiro权限框架
06-03
SpringBoot整合Shiro权限框架,可以参考我的博客文章进行学习https://blog.csdn.net/sujin_/article/details/80558287
springboot-Shiro框架的使用
Java___world的博客
05-04 195
什么是Shiro? 是一款主流的java安全框架,不依赖任何容器,可以运行在java SE和Java EE项目,它的主要作用是对访问系统的用户进行身份认证,授权,会话管理,加密等操作。 以上功能其实是可以用过滤器替代的,但是当遇到大型项目是在使用过滤器就会很不方便了,框架的使用更加的方便。 Shiro就是用来解决安全管理的系统化框架Shiro核心组件 UsernamePasswordToken : 用来封装用户的登陆信息,使用用户的登陆信息来创建令牌Token SecurityManager :
springboot整合shiro框架
醉代码的博客
01-09 293
1、这里的需要添加一个配置过滤器,shiroFilter可拦截springboot所有的访问请求,访问设置需要在ShiroFilter进行配置,参数为SecurityManager的类型。2、这里的securityManager是安全管理器,也需要在配置进行设置,参数为realms自定义类。3、这里的realms自定义类为授权和认证的实现操作。
Shirospringboot快速实现
m0_62586364的博客
01-07 253
Shirospringboot快速实现
spring boot整合shiro安全框架过程解析
08-25
spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 首先,我们需要添加shiro的依赖项,包括...
spring boot+shiro 权限认证管理案例
12-20
Spring Boot 和 Apache Shiro 的整合是企业级应用常见的权限认证和安全管理方案。Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。...
spring boot集成shiro详细教程(小结)
08-28
Spring Boot 集成 Shiro 是一个常见的需求,特别是在项目需要使用身份验证和授权机制时。下面将详细介绍 Spring Boot 集成 Shiro 的过程,并阐述相关知识点。 知识点一:Shiro 简介 Shiro 是一个开源的安全框架...
如何在Spring boot加入shiro支持
08-25
下面将详细介绍如何在Spring Boot项目添加Shiro支持。 首先,你需要在项目的`pom.xml`文件引入Shiro的相关依赖。这里有两个关键的依赖:`shiro-spring`和`shiro-core`。它们分别是SpringShiro的整合包和Shiro...
springboot+shiro框架整合笔记
weixin_43876005的博客
03-14 247
springboot+shiro整个登陆授权
Springboot集成Shiro实现认证
serdonty的博客
12-25 371
Springboot集成Shiro实现认证Apache Shiro是什么?Apache Shiro的主要APISubjectSecurityManagerRealmApache ShiroSpringboot集成依赖引入开发集成shiro的配置类注册跨域过滤器开发和配置安全数据源配置shiro过滤器拦截规则定义在配置文件application.yaml配置shiro登录示例退出示例其它相关类和...
shiro认证- SpringBoot(20)
weixin_43831002的博客
08-10 189
Spring Security安全框架外,应用非常广泛的就是Apache的强大又灵活的开源安全框架 Shiro,在国内使用量远远超过Spring Security。它能够用于身份验证、授权、加密和会话管理, 有易于理解的API,可以快速、轻松地构建任何应用程序。而且大部分人觉得从Shiro入门要比 Spring Security 简单。...
springboot整和shiro安全框架的基本使用
qq_55272229的博客
10-03 918
shiro安全框架springboot的整合完成mvc'和前后端分离开发
如何用Springboot快速整合shiro安全框架
qhdttt的博客
04-01 363
咱们先来普及一下什么是shiroshiro原名Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等高级应用。再就是前端resources里面的static和templates,由于文件过多不变多写,如果小伙伴们想要源码可以直接私聊我博客账号。controller层MyController类。config层配置两个类。
Springboot整合Shiro实现登录认证
qq_42077317的博客
07-08 1052
另外,如果我们想要控制对于接口访问权限,也可以使用Shiro相关注解实现,比如像 @RequestPermissions这样的注解就可以进行控制用户的权限,这里就不做过多说明了。Realm,可以有1个或多个Realm,即安全实体数据源,即用于获取安全实体的;Shiro 是一个功能强大且易于使用的轻量级Java安全框架,包括身份验证、授权、加密及会话管理,使用Shiro易于理解的API,可以轻松地保护任何应用程序。SecurityManager即安全管理器,可以视为拦截器,拦截请求,并转至shiro处理。
SpringBoot整合Shiro认证流程浅析
weixin_40598838的博客
06-15 280
在权限控制,通常使用的框架ShiroSpring Security,大型项目Shiro较常用,Spring Security通常用在小型项目,在权限控制又分为认证和授权两种,现在就认证流程做个浅析
Springboot整合Shiro认证功能
我能在河边钓一整天的鱼
05-12 222
搭建springboot框架 这里我使用的springboot版本是2.2.1,前端没用框架,模板引擎使用thmyleaf,完整jar包如下 <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId>...
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 780
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache ShiroJava 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
shiro框架整合spring boot
最新发布
09-01
1. 在Spring Boot的pom.xml文件添加Shiro和Web依赖: ```xml <groupId>org.apache.shiro <artifactId>shiro-spring-boot-web-starter <version>1.8.0 <groupId>org.apache.shiro <artifactId>shiro-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值