Springboot2.x整合shrio进行简单的登录、登出与角色鉴权
首先说明一下,整合shrio主要需要我们独立书写的是配置类与Controller层shrio的核心对象subject,所以这里只贴了配置类与Controller层,而且博主也是才接触到shiro,如果有什么解析的不太对的,还望指出大家一起进步:
首先需要独立引入依赖:
<!--导入shrio核心依赖-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.2.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>1.4.0</version>
</dependency>
<!--这个是阿帕奇老铁的工具类,集合判空很好用,还有很多其他功能,反正爽就对了-->
<dependency>
<groupId>commons-collections</groupId>
<artifactId>commons-collections</artifactId>
<version>3.2.1</version>
</dependency>
Shrio的配置类之AuthRealm:
/**
* 认证授权的配置类,主要还是与数据源打交道的
*/
public class AuthRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
@Override
/**
* 作为授权使用,需要覆盖这个方法来实现
*
*/
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//授权实际上是在认证登录以后,把获取的User对象放入到了session中
//将session中的user对象取出来,使用的是principals.fromRealm这个方法
//传入的参数是这个类的名字,我们使用迭代器,进行遍历,将其取出
User user= (User) principals.fromRealm(this.getClass().getName()).iterator().next();
//声明权限的集合
List<String> permissionList = new ArrayList<>();
//声明角色的集合
List<String> roleNameList= new ArrayList<>();
//拿到当前所有的角色
Set<Role> roles = user.getRoles();
//遍历所有的角色
//实现判断一下角色集合,只有当角色集合不为空的时候才能进行判断
if (CollectionUtils.isNotEmpty(roles)){
//将角色挨个遍历出来
for (Role role: roles){
//每次遍历角色的时候,将角色名取出来放进提前定义好的角色集合里
roleNameList.add(role.getRname());
//再拿到每个角色的权限列表
Set<Permission> permissions = role.getPermissions();
if ( CollectionUtils.isNotEmpty(permissions)){
for (Permission permission:permissions){
//将每一个权限的name放到我们之前定义好的permissionLiST里
//因为我们本质上还是根据permissionname进行判断一个用户是否有某个权限
permissionList.add(permission.getName());
}
}
}
}
//创建实例zationInfo的实例,将我们获取到的权限加入到对象中
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//将权限授权添加给授权信息实例(SimpleAuthorizationInfo)
info.addStringPermissions(permissionList);
//处理simpleAuthorizationInfo的时候,同样为他加上角色授权
info.addRoles(roleNameList);
return info;
}
@Override
/**
* 作为认证登录使用,需要覆盖这个方法来实现
*/
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//1.将传入的token强转为shiro的UsernamePasswordToken类型
UsernamePasswordToken usernamePasswordToken=(UsernamePasswordToken) token;
//2.从里面取出对应的Username
String username = usernamePasswordToken.getUsername();
//3.调用我们之前写过的根据Username查询User实体的方法,得到User实体
User user = userService.findByUserName(username);
//4.将用户里的数据转换成AuthenticationInfo对象
//传入参数为:刚查询到的user对象,密码,当前这个类的名字(我们通过反射获得)
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user,user.getPassword(),this.getClass().getName());
//返回就行了
return simpleAuthenticationInfo;
}
}
shiro的配置类之CredentialMatcher:
/**
* 继承shrio为我们提供的Matcher接口,从而实现自定义加密规则的功能,然后再将这个类注入到
* AuthRealm中就好
*/
public class CredentialMatcher extends SimpleCredentialsMatcher {
/**
* 覆盖重写默认的Match的方法
*
* @param token
* @param info
* @return
*/
@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
//将传递过来的token转化成UsernamePasswordToken
UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
//从usernamePasswordToken中取出password
//但是这个类返回的值是char型数组,我们需要将其转换成string
//这是前端传递过来的密码
String password = new String(usernamePasswordToken.getPassword());
//现在我们需要再拿出我们数据库里的密码,也就是我们刚才为info对象传入的值
String dbpassword = (String) info.getCredentials();
//这样两个密码都有了,中间规则就可以由我们来定义了
//我们这里就直接看它两个是否相同就好了
//这里的this代指的是SimpleCredentialsMatcher对象
return this.equals(password, dbpassword);
}
}
shrio核心配置类也是我们主要进行改写的类:
**
* 将这个类设置为配置类,springboot启动的时候会自动将她加入到我们的容器中
*/
@Configuration
public class ShiroConfiguraion {
/**
* 定义shiroFilter,也就是shiro拦截器
* 其中需要的参数为:
* 1.manager安全调度管理者(这里暂时来看只是配置了加密规则)
* 2.我们自定义的url
* 3.还有对url自定义的规则
* @param manager
* @return
*/
@Bean("shiroFilter")
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") SecurityManager manager){
//实例化一个shrio工厂Bean
ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
//注入我们之前定义的mananger
factoryBean.setSecurityManager(manager);
//这里之前,基本上前面都是死的,这里就是要配置成我们自己的了
//定义登录的url(页面)
factoryBean.setLoginUrl("/login");
//定义登录成功后跳转到的url(页面)
factoryBean.setSuccessUrl("/index");
//定义我们没有权限访问的时候跳转的url(页面)
factoryBean.setUnauthorizedUrl("/unauthorized");
//配置我们的请求该怎样进行拦截,也就是该使用什么拦截器进行拦截?
//key:代表我们访问的请求,value:我们使用什么样的拦截器
LinkedHashMap<String,String> filterChainDefinitionMap = new LinkedHashMap<>();
//举例说明
//第一个参数代表url,第二个代表要求(或者说,如果要访问这个页面需要的权限:比如这里需要用户登录)
//其中第二个参数是shrio规定的,我们想要赋予什么权限,就要写shrio个我们规定的语言
//这是DefaultFilter设置的枚举,(可以理解为映射成拦截器)进而对应的不同权限,所以背就好了
filterChainDefinitionMap.put("/index","authc");
//这里是初始登录页面,初始页面就是不需要任何校验,任何人都可以访问,用anon标识
filterChainDefinitionMap.put("/login","anon");
//这里是注册用户的页面,同样设置为谁都可以访问
filterChainDefinitionMap.put("/loginUser","anon");
//设置访问页面的访问权限,这个可以校验角色名称,进而进项权限控制,我们需要先把我们的角色名称放到授权列表里
filterChainDefinitionMap.put("/admin","roles[管理者]");
//这个应该是登录的user用户,谁都可以访问,但是具体的user意思我还不是很理解,,,等等学了之后再更新,,
filterChainDefinitionMap.put("/**","user");
//这里我们需要将我们配置的拦截规则赋值给factoryBean
factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
//返回我们自定义的配置bean对象参数为:
// 1.manager安全调度管理者(这里暂时来看只是配置了加密规则)
// 2.我们自定义的url
// 3.还有对url自定义的规则
return factoryBean;
}
/**
* 配置总的安全调度管理者,注意这都是shiro家的东西哦
* @param authRealm
* @return
*/
@Bean("securityManager")
public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm){
//创建一个SecurityManager的实例,安全的总调度管理者
DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
//将authRealm放入实例的SecurityManager对象中
manager.setRealm(authRealm);
return manager;
}
/**
* 将最下面定义好的密码比较器通过spring的注解传入到这个配置bean中
*
* @param matcher
* @return
*/
@Bean("authRealm")
public AuthRealm authRealm(@Qualifier("credentialMatcher") CredentialMatcher matcher){
//声明一个authRealm的实例
AuthRealm authRealm = new AuthRealm();
//给出密码比较器
authRealm.setCredentialsMatcher(matcher);
//返回我们自己定义的authRealm(可以理解为官方的数据源管理者)
return authRealm;
}
/**
* 为配置类创建配置Bean,交给spring容器
* 自定义校验规则
* 也就是密码比较器或者说是采用了什么方式进行加密
* @return
*/
@Bean("credentialMatcher")
public CredentialMatcher credentialMatcher(){
//返回自定义的校验规则
return new CredentialMatcher();
}
/**
* 配置我们自己定制的shiro与spring的关联
* 这样spring在使用shiro进行操作的时候,就是我们自定义的securityManager
* @param securityManager
* @return
*/
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager securityManager){
Controller层的书写:
主要还是登录功能,引入了Shiro的核心对象subject的介绍
jsp页面就省略不写了,不过springboot2整合jsp页面教程网上也一堆,等我以后再写吧基本上就是加依赖建包没啥了
@Controller
public class DemoController {
/**
* 直接访问login页面
* @return
*/
@RequestMapping("/login")
public String login(){
return "login";
}
/**
* 登录后的页面
* @return
*/
@RequestMapping("/index")
public String index(){
return "index";
}
/**
* 初始的登录页面
*/
@RequestMapping("/loginUser")
public String loginUser(@RequestParam("username") String username,
@RequestParam("password") String password,
HttpSession session
){
//根据前端传递过来的name和passowrd生成shrio的UsernamePasswordToken
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//写shiro的认证逻辑
Subject subject = SecurityUtils.getSubject();
//因为可能出现异常,所以直接try catch
try {
//调用login方法,传入token
subject.login(token);
//如果登录没有出现异常的话,就可以通过getPrincinpal()获取登录用户
User user= (User)subject.getPrincipal();
//将登录用户写到session里
session.setAttribute("user",user);
//执行成功返回到index页面
return "index";
} catch (AuthenticationException e) {
e.printStackTrace();
//出错的话返回登录页面
return "login";
}
}
/**
* 定义一个退出登录的controller
* @return
*/
@RequestMapping("/logout")
public String logout() {
//同样是通过实例化subject,进行权限与登录登出的逻辑操作
//SecurityUtils 是一个抽象类。并且没有任何子类。在其中声明了一个静态属性,三个静态方法。
//静态属性 securityManager-->用来存储当前应用中全局唯一的一个SecurityManager。
// getSubject 静态方法-->这个是 Shiro 中最核心的方法了,用来获取 Subject.
//Subject是Shiro的核心对象,基本所有身份验证、授权都是通过Subject完成
Subject subject = SecurityUtils.getSubject();
if (subject != null) {
subject.logout();
}
return "login";
}
/**
* 只有绑定了管理员权限(角色)的用户才能访问admin接口
* 而绑定是在shiroConfiguration里进行的
* @return
*/
@RequestMapping("/admin")
@ResponseBody
public String admin() {
return "admin success";
}
}
稍微总结一下,如果只看实现的话,我们主要需要运用到shiro的subject对象的各种api,以及shrio核心配置类对不同路径的访问定义不同的权限,至于shrio的延伸,以后应该会更新,另外这里说明一下,这里有好多别人的内容,但是我忘记我学的时候从哪粘贴的了,反正这里先道声抱歉,如果谁看到了可以告诉我,我加一下它的链接
最后补充一点:IDEA中的mavenhelper插件真好用!!!
扫一扫
324
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
