SpringBoot 整合Shiro登录认证
Shiro是Apache旗下的一个开源项目,是一个非常易用的安全框架,提供认证、授权、加密、会话管理等功能,与Spring Security一样属基于权限的安全框架,与之相比,授权方式更简单易懂、易于使用。
主要功能:
验证用户身份;
用户访问权限控制;
支持单点登录(SSO)功能;
可以响应认证、访问控制,或Session事件等…
四大功能:
Authentication(认证):用户身份识别。
Authorization(授权):访问控制,eg:某个用户具有x操作的权限。
Session Management(会话管理):特定于用户的会话管理。
Cryptography(加密):对数据源使用加密算法加密。
三大组件:
Subject:指当前用户,可以是一个人,也可以是第三方服务、守护进程帐户、时钟守护任务或者其它当前和软件交互的任何事件。
SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成框架。
Realms:用于进行权限信息的验证,本质上是一个特定的安全 DAO,用来封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,必须指定至少一个Realm 来实现认证(authentication)/授权(authorization)。
------------------- ok 进入正题---------------------
① 引入依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
② 配置文件ShiroConfig
@Configuration
public class ShiroConfig {
// 将自己的验证方式加入容器
@Bean
public MyShiroRealm myShiroRealm() {
MyShiroRealm myShiroRealm = new MyShiroRealm();
return myShiroRealm;
}
// 权限管理,配置主要是Realm的管理认证
@Bean
public SecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(myShiroRealm());
securityManager.setSessionManager(sessionManager());
return securityManager;
}
// Filter工厂,设置对应的过滤条件和跳转条件
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, String> filterMap = new HashMap<String, String>();
// 登出
filterMap.put("/logout", "logout");
// swagger
filterMap.put("/swagger**/**", "anon");
filterMap.put("/webjars/**", "anon");
filterMap.put("/v2/**", "anon");
// 对所有用户认证
filterMap.put("/**", "authc");
// 登录
shiroFilterFactoryBean.setLoginUrl("/login");
// 首页
shiroFilterFactoryBean.setSuccessUrl("/index");
// 错误页面,认证不通过跳转
shiroFilterFactoryBean.setUnauthorizedUrl("/error");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
return shiroFilterFactoryBean;
}
// 加入注解的使用
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
return authorizationAttributeSourceAdvisor;
}
}
③ ShiroRealm配置
public class MyShiroRealm extends AuthorizingRealm {
@Autowired
private LoginService loginService;
/**
* 用户认证
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
throws AuthenticationException {
// 加这一步的目的是在Post请求的时候会先进认证,然后在到请求
if (authenticationToken.getPrincipal() == null) {
return null;
}
// 获取用户信息
String name = authenticationToken.getPrincipal().toString();
User user = loginService.findByName(name);
if (user == null) {
// 这里返回后会报出对应异常
return null;
} else {
// 这里验证authenticationToken和simpleAuthenticationInfo的信息
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(name,
user.getPassword().toString(), getName());
return simpleAuthenticationInfo;
}
}
/**
* 角色权限和对应权限添加
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
// 获取登录用户名
String name = (String) principalCollection.getPrimaryPrincipal();
// 查询用户名称
User user = loginService.findByName(name);
// 添加角色和权限
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
for (Role role : user.getRoles()) {
// 添加角色
simpleAuthorizationInfo.addRole(role.getRoleName());
for (Permission permission : role.getPermissions()) {
// 添加权限
simpleAuthorizationInfo.addStringPermission(permission.getPermission());
}
}
return simpleAuthorizationInfo;
}
}
④ controller层
@RestController
public class LoginController {
@Autowired
private LoginService loginService;
/**
* POST登录
* @param map
* @return
*/
@PostMapping(value = "/login")
public String login(@RequestBody User user) {
// 添加用户认证信息
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(user.getName(), user.getPassword());
// 进行验证,捕获异常,返回对应信息
SecurityUtils.getSubject().login(usernamePasswordToken);
return "login ok!";
}
/**
* 添加用户
* @param user
* @return
*/
@PostMapping(value = "/addUser")
public String addUser(@RequestBody User user) {
user = loginService.addUser(user);
return "addUser is ok! \n" + user;
}
/**
* 添加角色
* @param role
* @return
*/
@PostMapping(value = "/addRole")
public String addRole(@RequestBody Role role) {
role = loginService.addRole(role);
return "addRole is ok! \n" + role;
}
/**
* @return
*/
@RequiresRoles("admin")
@RequiresPermissions("create")
@GetMapping(value = "/create")
public String create() {
return "Create success!";
}
@GetMapping(value = "/index")
public String index() {
return "index page!";
}
@GetMapping(value = "/error")
public String error() {
return "error page!";
}
/**
* @return
*/
@GetMapping(value = "/login")
public String login() {
return "login";
}
@GetMapping(value = "/logout")
public String logout() {
return "logout";
}
}
⑤ service层
public interface LoginService {
User addUser(User user);
Role addRole(Role role);
User findByName(String name);
}
@Service
@Transactional
public class LoginServiceImpl implements LoginService {
@Autowired
private UserDao userDao;
@Autowired
private RoleDao roleDao;
//添加用户
@Override
public User addUser(User user) {
userDao.save(user);
return user;
}
//添加角色
@Override
public Role addRole(Role role) {
User user = userDao.findByName(role.getUser().getName());
role.setUser(user);
Permission permission1 = new Permission();
permission1.setPermission("create");
permission1.setRole(role);
Permission permission2 = new Permission();
permission2.setPermission("update");
permission2.setRole(role);
List<Permission> permissions = new ArrayList<Permission>();
permissions.add(permission1);
permissions.add(permission2);
role.setPermissions(permissions);
roleDao.save(role);
return role;
}
//根据用户名查询
@Override
public User findByName(String name) {
return userDao.findByName(name);
}
}
⑥ 实体类、dao层比较简单,就暂时省略…