集成shiro

最新推荐文章于 2024-04-21 05:17:31 发布
置顶 最新推荐文章于 2024-04-21 05:17:31 发布
阅读量3.2k 收藏
点赞数 1
分类专栏: ♥ JAVA项目 文章标签: 安全 java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ma15732625261/article/details/122555029
版权

基础概念

1、UsernamePasswordToken,用来封装用户登录信息
    public UsernamePasswordToken(final String username, final char[] password,
                                 final boolean rememberMe, final String host) {
        this.username = username;
        this.password = password;
        this.rememberMe = rememberMe;
        this.host = host;
    }
2、 SecurityManager,Shiro 的核心部分,负责安全认证与授权。

3、Subject,Shiro 的一个抽象概念,包含了用户信息
   Subject currentUser = SecurityUtils.getSubject();
        if (currentUser.isAuthenticated()) {
            UserBO userBO = (UserBO) currentUser.getPrincipal();
            if (null != userBO) {
                return userBO;
            }
        }

4、Realm,根据项目的需求,验证doGetAuthorizationInfo和授权doGetAuthenticationInfo的逻辑在 Realm 中实现。

5、AuthenticationInfo,用户的角色信息集合,认证时使用。
   new SimpleAuthenticationInfo(user, user.getPassword(), getName());

6、AuthorizationInfo,角色的权限信息集合(当前用户有哪些角色,可以访问哪个uri),授权时使用。

7、DefaultWebSecurityManager,安全管理器,开发者自定义的 Realm 需要注入到 DefaultWebSecurityManager 进行管理才能生效
    @Bean("customSecurityManager")
    DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
        defaultSecurityManager.setRealm(realm());
        defaultSecurityManager.setSessionManager(sessionManager());
        return defaultSecurityManager;
    }

8、ShiroFilterFactoryBean,Shiro 的基本运行机制是开发者定制规则(Filter)Shiro去执行
    shiroFilterFactoryBean.setFilterChainDefinitionMap( shiroService.loadFilterChainDefinitionMap());

首先shiro独立于容器,因为需要引用容器内部的类,所以先将shiro对应的配置类加入到容器,具体实现ApplicationContextAware接口,重写方法

 @Override
 public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        Realm userRealm = applicationContext.getBean(WesRealm.class);
        DefaultWebSecurityManager defaultWebSecurityManager = (DefaultWebSecurityManager) applicationContext.getBean(SecurityManager.class);
        defaultWebSecurityManager.setRealm(userRealm);
 }

shiro如何获取当前用户信息和验证,这就用到了我们的realm,简单的realm只是给类,要想被shiro这个大家庭接受,需要“自降”身价,认AuthorizingRealm为父(这也是普通类的福分了,毕竟地位一下子不一样了)

获取当前用户的角色和资源

    /**
     * 获取当前用户有哪些角色给SimpleAuthorizationInfo的roles
     * 获取当前用户可访问哪些资源给SimpleAuthorizationInfo的stringPermissions
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            throw new AuthorizationException("PrincipalCollection method argument cannot be null.");
        }

       if (principals.getPrimaryPrincipal() instanceof UserBO) {
            UserBO userBO = (UserBO) principals.getPrimaryPrincipal();
            List<String> userUriList = userService.queryUrlListByUserId(userBO.getUserID());
            SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
            List<String> roleIdList = userService.getRoleIdListByUserId(userBO.getUserID());
            if (CollectionUtil.isNotEmpty(roleIdList)) {
                authorizationInfo.addRoles(roleIdList);
            }
            for (String uri : userUriList) {
                authorizationInfo.addStringPermission(uri);
            }
            return authorizationInfo;
        }
        return null;
    }

验证当前用户密码等

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //该参数是是登录时UsernamePasswordToken的值
        WesUserToken wesUserToken = (WesUserToken) authenticationToken;
        if (wesUserToken.getUsername() == null) {
            throw new AccountException("Null usernames are not allowed by this realm.");
        }
        //可判断用户是否存在,密码是否正确
        UserBO user = userService.getUserWithTokenByName(wesUserToken.getUsername());
        if (user == null) {
            throw new UnknownAccountException("No account found for admin [" + wesUserToken.getUsername() + "]");
        }
        //将user赋值给SimpleAuthenticationInfo,方便权限判断时获取,要不怎么知道当前是谁
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(), getName());
        if (user.getSalt() != null) {
            //加盐,这块根据项目需要
            authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(user.getSalt()));
        }
        return authenticationInfo;
    }

具体看下AuthenticationToken参数

public class WesUserToken extends UsernamePasswordToken {
    //登录时赋值currentUser.login(new WesUserToken(userBO.getUserName(), userBO.getPassword()));
    public WesUserToken(final String username, final String password) {
        super(username, password.toCharArray(), false, null);
    }
}

当前realm还是比较独立的,没有归为shiro,如何处理呢?再shiro的配置类中,将其设为bean并绑给DefaultWebSecurityManager

    
    @Bean("customSecurityManager")
    DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
        defaultSecurityManager.setRealm(realm());
        return defaultSecurityManager;
    }

    @Bean
    public Realm realm() {
        WesRealm realm = new WesRealm();
        return realm;
    }

这样用户的信息补充完了,具体整个系统我们要拦截哪些资源呐?配置filter

    /**
     * 以下参数也可以new,我习惯使用bean
     * @param shiroService 自己的具体校验哪些url的配置及其更新
     * @param tokenCheckFilter 自定义的过滤规则
     * @param securityManager 
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactory(
            @Qualifier("shiroService") ShiroService shiroService,
            @Qualifier("tokenCheckFilter") TokenCheckFilter tokenCheckFilter,
            @Qualifier("customSecurityManager") SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String, Filter> filtersMap = new LinkedHashMap<>();
        // 定义过滤器名称,注意这个"token"后面要考 【注:map里面key值对于的value要为authc才能使用自定义的过滤器】
        filtersMap.put("token", tokenCheckFilter);
        //filtersMap.put("corn", myFormAuthenticationFilter);
        shiroFilterFactoryBean.setFilters(filtersMap);
        //登录url,这个前后端分离其实是不需要,具体后面再说
        shiroFilterFactoryBean.setLoginUrl("/wes/passport/account/unlogin");
        shiroFilterFactoryBean.setFilterChainDefinitionMap( shiroService.loadFilterChainDefinitionMap());
        return shiroFilterFactoryBean;
    }

    @Bean
    public ShiroService shiroService() {
        return new ShiroServiceImpl();
    }

    @Bean
    public TokenCheckFilter tokenCheckFilter(){
        return new TokenCheckFilter();
    }

具体的拦截什么?

    @Override
    public Map<String, String> loadFilterChainDefinitionMap(){
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        List<AuthView> list = authViewService.getAll();
        if (CollectionUtil.isNotEmpty(list)) {

            Map<Integer, List<AuthView>> viewTypeMap = list.stream().collect(Collectors.groupingBy(AuthView::getType));

            List<String> buttonList = viewTypeMap.getOrDefault(2, new ArrayList<>()).stream().map(AuthView::getUrl).collect(Collectors.toList());
            for (String viewUrl : buttonList) {
                String[] urlNum = viewUrl.split(StrUtil.COLON);
                filterChainDefinitionMap.put(urlNum[0], "authc,token");
            }

           /…………逻辑同上,注意这个filterChainDefinitionMap.put的先后顺序,先上后下
        }
        filterChainDefinitionMap.put("/**", "anon");
        return filterChainDefinitionMap;
    }

如何拦截?看我们“token” filtersMap.put("token", tokenCheckFilter);经测试要继承FormAuthenticationFilter哦,这块跟具体的业务逻辑有很强的关系


    /**
     * 判断是否拥有权限 true:认证成功  false:认证失败
     * mappedValue 访问该url时需要的权限
     * subject.isPermitted 判断访问的用户是否拥有mappedValue权限
     */
    @Override
    public boolean isAccessAllowed(ServletRequest httpRequest, ServletResponse response, Object mappedValue) {

        HttpServletRequest request = (HttpServletRequest) httpRequest;
        String requestUri = request.getRequestURI();
        requestUri = requestUri.replaceAll(DOUBLE_SLASH, SINGLE_SLASH);

        UserTokenCheck paramUser = getInfoFromCookie(request.getCookies());
        log.info("拦截器 当前{} user{}", requestUri, paramUser);
        if (interceptorUtil.checkParamSimple(paramUser)) {
            interceptorUtil.login(paramUser.getUserId());
            return true;
        }

        List<AuthView> list = authViewService.getAll();
        if (CollectionUtil.isNotEmpty(list)) {

            Map<Integer, List<AuthView>> viewTypeMap = list.stream().collect(Collectors.groupingBy(AuthView::getType));
            List<String> allowList = viewTypeMap.getOrDefault(0, new ArrayList<>()).stream().map(AuthView::getUrl).collect(Collectors.toList());
            if (CollectionUtil.isNotEmpty(allowList) && interceptorUtil.checkContainsUri(requestUri, allowList)) {
                interceptorUtil.login(paramUser.getUserId());
                return true;
            }
        return true;
    }

当验证失败是,覆盖父类发方法,该部分与业务强相关,由于历史原因以下处理方式只能流泪,注释调的那套处理方式是比较推荐滴

 @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        Subject subject = getSubject(request, response);
        // If the subject isn't identified, redirect to login URL
        if (subject.getPrincipal() == null) {
            //跳转至登录页
            //saveRequestAndRedirectToLogin(request, response);
            throw ErrorCodes.ERROR_COOKIE_MISS.exception();
        } else {
            //给前端提示无接口访问权限的错误码
            //saveRequestAndReturnApiAccessError(request, response);
            throw ErrorCodes.ERROR_ROLE_NOT_RIGHT.exception();
        }
        //return true;
    }

    @Override
    protected void redirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
//        JSONObject jsonObject = new JSONObject();
//        jsonObject.put("returnCode", "1000005");
//        jsonObject.put("returnUserMsg", "登陆时间过长,请重新登陆");
//        try {
//            flushMsgStrToClient(response, jsonObject);
//        } catch (ServletException e) {
//            e.printStackTrace();
//        }
        throw ErrorCodes.ERROR_ROLE_NOT_RIGHT.exception();
    }

    public static void flushMsgStrToClient(ServletResponse response, Object object)
            throws IOException, ServletException {
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().write(JSONObject.toJSONString(object));
        response.getWriter().flush();
    }

    protected void saveRequestAndReturnApiAccessError(ServletRequest request, ServletResponse response) {
        saveRequest(request);
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("returnCode", "1000001");
        jsonObject.put("returnUserMsg", "无权限请求对应api接口");
        try {
            flushMsgStrToClient(response, jsonObject);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

先这样done

星辰_mya
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Spring Boot 集成Shiro和CAS
08-30
Spring Boot 集成 Shiro 和 CAS 本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 ...
集成Shiro
weixin_69620038的博客
03-20 76
Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。
Springboot整合Shiro框架入门
web15285868498的博客
04-08 5302
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
shiro(三)shiro实战——Spring 集成 Shiro(案例),2024年最新阿里面试不成功的暗示
最新发布
2401_84435518的博客
04-21 691
一个 记住我 的 Subject 不是匿名的,是有一个已知的身份ID(也就是subject.getPrincipals()是非空的)。即:这个被记住的身份 ID 是在之前的session 中被认证的。:要求当前的 Subject 是一个 “guest”,也就是他们必须是在之前的 session 中没有被验证或记住才能被注解的类/实例/方法访问或调用。:要求当前的 Subject 被允许一个或多个权限,以便执行注解的方法,比如:@RequiresPermissions(“account:create”)
Shiro】Springboot集成Shiro
专注于Java领域开发 关注我 带你玩转Java
06-22 1636
Springboot集成Shiro
你知道什么是shiro吗?手把手教你集成shiro
KRYST4L123的博客
02-26 209
目前,使用 Apache Shiro 来的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。:域,Shiro 从 Realm 获取安全数据(如用户、角色、权限),也就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;时,代表商品列表需要权限验证,此时不会去走自定义的过滤器;
shiro框架-集成spring-集成springboot
ytyDaMoTou的博客
05-19 536
一 简介 Apache Shiro 是一个强大且易用的 Java 安全框架 Shiro可以帮我们完成 :认证、授权、加密、会话管理、与 Web 集成、缓存等。 主要功能: Subject(用户):当前的操作用户 获取当前用户Subject sj = SecurityUtils.getSubject() SecurityManager(安全管理器):Shiro的核心,负责与其他组件进行交互,实现 subject 委托的各种功能 ......
springmvc集成shiro登录权限示例代码
08-31
SpringMVC 集成 Shiro 是为了实现Web应用的安全管理,包括用户身份验证(Authentication)和权限授权(Authorization)。Shiro 提供了一套简洁而强大的安全框架,能够轻松地处理登录、权限控制、会话管理等常见的...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
"spring boot 1.5.4 集成shiro+cas实现单点登录和权限控制" Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能...
springmvc集成shiro
08-29
springmvc集成shiro安全框架,实现用户身份认证、权限管理
spring boot 集成 shiro
05-03
**Spring Boot 集成 Shiro 深度解析** Spring Boot 是一款基于 Spring 的轻量级框架,它简化了 Spring 应用的初始搭建以及开发过程。而 Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和...
SpringWeb集成Shiro
小凯的博客
03-06 374
SpringWeb集成Shiro的demo
springboot整合shiro
2301_77664771的博客
07-08 189
创建mapper,生成PermissionMapper。在shiroConfig配置类中添加内容。添加application文件内容。依然无效:html标签不生效。只显示当前用户具有的权限。
shiro】springboot如何集成shiro中间件(案例)
别倒在黎明之前的博客
08-19 240
Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份 认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加 密。易于理解的 Java Security API;简单的身份认证(登录),支持多种数据源(LDAP,JDBC 等);对角色的简单的签权(访问控制),也支持细粒度的鉴权;支持一级缓存,以提升应用程序的性能;
Springboot集成shiro框架:
Li_582258的博客
12-03 2316
shiro整合springboot项目
Spring Boot篇----- 集成Shiro
he123456lei的博客
12-11 1280
Spring Boot篇----- 集成Shiro
Springboot集成shiro框架
weixin_35654814的博客
03-17 914
Shiro是一个功能强大且易于使用的Java安全框架,可以运行在JavaSE和JavaEE项目中,可执行身份验证、授权、加密和会话管理。
jfinal集成shiro
04-11
要在JFinal中集成Shiro,你需要进行以下步骤: 1. 添加Shiro依赖:在你的项目中添加Shiro的依赖,可以通过Maven或者手动下载jar包的方式引入。 2. 创建Shiro配置类:创建一个继承自JFinal的JFinalConfig类,并重写...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值