Spring Boot2.x 集成 Shiro 权限框架，源码分析

最新推荐文章于 2022-09-14 23:06:40 发布

斌哥谈编程

最新推荐文章于 2022-09-14 23:06:40 发布

阅读量514

点赞数 1

本文链接：https://blog.csdn.net/houpeibin2012/article/details/104464136

版权

文章目录

1. Shiro 框架讲解

定义：Shiro是Apache下的一个开源项目，我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架，提供了认证、授权、加密、会话管理，与spring Security一样都是做一个权限的安全框架，但是与Spring Security相比，在于 Shiro使用了比较简单易懂易于使用的授权方式。shiro属于轻量级框架，相对于security简单的多，也没有security那么复杂。所以我这里也是简单介绍一下shiro的使用。

1.1 三大核心组件

Shiro 有三大核心的组件：Subject、SecurityManager 和 Realm。先来看一下它们之间的关系。

1.1.1 Subject：主体

Subject：主体，代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如网络爬虫，机器人等；即一个抽象概念；但考虑到大多数目的和用途，你可以把它认为是Shiro的“用户”概念。所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；你访问Subject对象其实都是在与SecurityManager里的特定Subject进行交互，你也可以把Subject认为是一个门面；SecurityManager才是实际的执行者；

它包含两个信息：Principals 和 Credentials。看一下这两个信息具体是什么?

Principals：身份。可以是用户名，邮件，手机号码等等，用来标识一个登录主体身份；   
Credentials：凭证。常见有密码，数字证书等等。

说白了，就是需要认证的东西，最常见的就是用户名密码了，比如用户在登录的时候，Shiro 需要去进行身份认证，就需要 Subject 认证主体。

1.1.2 SecurityManager：安全管理器

SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager交互；且它管理着所有Subject；可以看出它是Shiro的核心，它负责与后边介绍的其他组件进行交互，如果学习过SpringMVC，你可以把它看成DispatcherServlet前端控制器；

1.1.3 Realm：域

Realm：域，Shiro从从Realm获取安全数据（如用户、角色、权限），就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；可以把Realm看成DataSource，即安全数据源。

通俗来讲：它是连接 Shiro 和具体应用的桥梁，当需要与安全数据交互的时候，比如用户账户、访问控制等，Shiro 就会从一个或多个 Realms 中去查找。我们一般会自己定制 Realm，这在下文会详细讲解。

1.2 认证和鉴权

1.2.1 身份认证

我们先来分析一下 Shiro 身份认证的过程，如下是官方的一个认证图：
在这里插入图片描述
步骤 1：一般在登录的后台controller类中调用Subject.login 方法，传递创建好的包含终端用户的Principals(身份)和Credentials(凭证)的AuthenticationToken 实例。这只是个门面，实际上要提交到步骤2进行处理。

步骤 2：将 Subject 实例委托应用程序的SecurityManager通过调用securityManager.login(token)开始真正的验证。这里开始真正的认证工作了。

步骤 3，4，5：然后 SecurityManager 就会根据具体的 realm 去进行安全认证了。从图中可以看出，realm 可以自定义（Custom Realm）。在实际应用中，我们都会自定义realm，下面会描述。

1.2.2 资源鉴权

资源鉴权，也就是访问控制，即在应用中控制谁能访问哪些资源。在权限认证中，最核心的三个要素是：权限、角色和用户。

权限（permission）：即操作资源的权利，比如访问某个页面，以及对某个模块的数据的添加，修改，删除，查看的权利；
角色（role）：指的是用户担任的的角色，一个角色可以有多个权限；
用户（user）：在 Shiro 中，代表访问系统的用户，即上面提到的 Subject 认证主体。

一个用户可以有多个角色，而不同的角色可以有不同的权限，也可以有相同的权限。

2. Springboot2.x 集成Shiro

2.1 maven依赖添加

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.5.1</version>
</dependency>

Shiro是用的最新的1.5.1版本，Springboot用的是2.2.4.RELEASE版本。

2.2 自定义Realm

自定义 realm 需要继承 AuthorizingRealm 类，同时，需要重写两个方法：

doGetAuthenticationInfo() 方法：用来验证当前登录的用户，获取认证信息
doGetAuthorizationInfo() 方法：用来为当前登陆成功的用户授予权限和角色

具体实现如下，相关的解释我放在代码的注释中，这样更加方便直观：

package com.ieslab.powergrid.demosvr.shiro;

import com.ieslab.powergrid.demosvr.entity.User;
import com.ieslab.powergrid.demosvr.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import javax.annotation.Resource;
/** <p>Title: SwaggerConfig </p>
 * <p>Description: 自定义realm </p>
 *
 * @author binge
 * @date 2020-2-23 下午7:15:30
 * @version V1.0
 */
public class DemoRealm extends AuthorizingRealm {
   

    @Resource
    private UserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
   
        // 获取用户名
        String username = (String) principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        // 给该用户设置角色，角色信息存在t_role表中取
        authorizationInfo.setRoles(userService.getRoles(username));
        // 给该用户设置权限，权限信息存在t_permission表中取
        authorizationInfo.setStringPermissions(userService.getPermissions(username));
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
   
        // 根据token获取用户名，如果您不知道该该token怎么来的，先可以不管，下文会解释
        String username = (String) authenticationToken.getPrincipal();
        // 根据用户名从数据库中查询该用户
        User user = userService.getByUsername(username);
        if(user != null) {
   
            // 把当前用户存到session中
            SecurityUtils.getSubject().getSession().setAttribute("user", user);
            // 传入用户名和密码进行身份认证，并返回认证信息
            AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), "myRealm");
            return authcInfo;
        } else {
   
            return null;
        }
    }
}

从上面两个方法中可以看出：验证身份的时候是根据用户输入的用户名先从数据库中查出该用户名对应的用户，这时候并没有涉及到密码，也就是说到这一步的时候，即使用户输入的密码不对，也是可以查出来该用户的，然后将该用户的正确信息封装到 authcInfo 中返回给 Shiro，接下来就是Shiro内部的事了，它会根据这里面的真实信息与用户前台输入的用户名和密码进行校验，这个时候就需要校验密码了，如果校验通过就让用户登录，否则跳转到指定页面。

同理，权限验证的时候也是先根据用户名从数据库中获取与该用户名有关的角色和权限，然后封装到 authorizationInfo 中返回给 Shiro，由shiro验证是否存在权限。

下面是UserService 类和user类：

UserService 类中的方法都是模拟的，不是从实际数据库中获取，此处只为了学习。

public class UserService {
   
     /**
     * 获取指定用户
     * @param username 用户名
     * @return
     */
    public User getByUsername(String username) {
   
        <