springboot+shrio简易登录登出和用户权限认证
源码:https://github.com/huangshengz/myJavaDemo
本例子参考:https://www.cnblogs.com/HowieYuan/p/9259638.html
本例子验证主要有两个类
,一个是自定义的拦截类ShiroConfig
,在这里我们自定义了很多需要的操作。
例如:角色权限路径,登录路径
等,一些具体的含义如下:
- anon:无参,开放权限,可以理解为匿名用户或游客
- logout:无参,注销,执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(); 设置的 url
- authc:无参,需要认证
- authcBasic:无参,表示 httpBasic 认证
- user:无参,表示必须存在用户,当登入操作时不做检查
- ssl:无参,表示安全的URL请求,协议为 https
- perms[user]:参数可写多个,表示需要某个或某些权限才能通过,多个参数时写 perms[“user, admin”],当有多个参数时必须每个参数都通过才算通过
- roles[admin]:参数可写多个,表示是某个或某些角色才能通过,多个参数时写 roles[“admin,user”],当有多个参数时必须每个参数都通过才算通过
- rest[user]:根据请求的方法,相当于 perms[user:method],其中 method 为 post,get,delete 等
- port[8081]:当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString 其中 schmal 是协议 http 或 https 等等,
- serverName 是你访问的 Host,8081 是 Port 端口,queryString 是你访问的 URL 里的 ? 后面的参数
第二个类是CustomRealm
。它继承了AuthorizingRealm
类并且重写了登录验证和权限验证
。
在里面我们可以自定义我们的业务逻辑。这个类非常重要,
因为在拦截类ShiroConfig里,securityManager.setRealm(),就是把这个类注入进去,使得拦截能知道用户信息。
这个类doGetAuthenticationInfo 和 doGetAuthorizationInfo一定要区分明白,第一个是身份认证
,例如登录时就是它,而第二个是角色权限认证
,
在里面我们设置了角色权限。
在登录方法里,很明确的把用户信息放入到了UsernamePasswordToken
里,而doGetAuthenticationInfo进行身份认证时,用户信息就从UsernamePasswordToken取。
最后说一下整个流程:
- 项目启动时,Shiro拦截器工厂类ShiroConfig已经成功的注入。
- 然后我们登录的时候,跳转到login方法里,数据会保存到
UsernamePasswordToken
里面,主要是用户名和用户密码。
- 然后就走到了CustomRealm类了的
身份证方法doGetAuthenticationInfo
,在这里,我们根据用户名从数据库里拿到了用户密码与登录密码做比较
,然后判断密码是否正确,然后放行,到此用户登录成功。 - 然后用户访问数据的时候,会调用CustomRealm的
doGetAuthorizationInfo
进行权限认证。