spring-boot项目shiro运行流程分析

最新推荐文章于 2024-07-26 19:01:04 发布
最新推荐文章于 2024-07-26 19:01:04 发布
阅读量1.2k 收藏 6
点赞数 1
分类专栏: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reee112/article/details/85633328
版权
java 同时被 2 个专栏收录
11 篇文章 1 订阅
订阅专栏
shiro
1 篇文章 0 订阅
订阅专栏

 

spring-boot框架

1.注入bean交由spring管理

项目debug可以看到,项目初始启动的时候,依次创建"sessionManager","securityManager","shiroFilter"对象交由spring管理

仔细看,是先创建了sessionManager,然后sessionManager为参数创建了securityManager,然后securityManager为参数创建了shiroFilter.

package cn.com.polycis.config;


import cn.com.polycis.modules.sys.oauth2.OAuth2Filter;
import cn.com.polycis.modules.sys.oauth2.OAuth2Realm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Shiro配置
 *

 */
@Configuration
public class ShiroConfig {

    @Bean("sessionManager")
    public SessionManager sessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionValidationSchedulerEnabled(true);
        sessionManager.setSessionIdCookieEnabled(true);
        return sessionManager;
    }

    @Bean("securityManager")
    public SecurityManager securityManager(OAuth2Realm oAuth2Realm, SessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(oAuth2Realm);
        securityManager.setSessionManager(sessionManager);

        return securityManager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        //oauth过滤
        Map<String, Filter> filters = new HashMap<>();
        filters.put("oauth2", new OAuth2Filter());
        shiroFilter.setFilters(filters);

        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/druid/**", "anon");
        filterMap.put("/app/**", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/queryuser", "anon");
//        filterMap.put("/api/**", "anon");
//        filterMap.put("/**", "oauth2");
        filterMap.put("/api/auth", "anon");
       filterMap.put("/api/**", "oauth2");
        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter;
    }

    /**
     * shiro bean生命周期管理
     * @return
     */
    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }



    /**
     *  开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
        proxyCreator.setProxyTargetClass(true);
        return proxyCreator;
    }

    /**
     * 开启aop注解支持
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

}

2. FilterRegistrationBean:shiro拦截器注册类,且可以进行拦截器执行顺序排序

在shiroFilterRegistration()这个方法中可以看到,new了一个spring的拦截器注册类,shiroFilter这个拦截器被注册到了spring中,且设置的拦截器执行顺序仅次于下边的 防xss攻击过滤拦截器.


package cn.com.polycis.config;

import cn.com.polycis.common.xss.XssFilter;
import cn.com.polycis.modules.sys.oauth2.OAuth2Filter;
import cn.com.polycis.modules.sys.oauth2.OAuth2Realm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.filter.DelegatingFilterProxy;

import javax.servlet.DispatcherType;
import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Filter配置
 *
 */
@Configuration
public class FilterConfig {

    @Bean
    public FilterRegistrationBean shiroFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new DelegatingFilterProxy("shiroFilter"));
        //该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理
        registration.addInitParameter("targetFilterLifecycle", "true");
        registration.setEnabled(true);
//spring boot 会按照order值的大小,从小到大的顺序来依次过滤。
        registration.setOrder(Integer.MAX_VALUE - 1);
//所有请求都会过滤
        registration.addUrlPatterns("/*");
        return registration;
    }

    @Bean
    public FilterRegistrationBean xssFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new XssFilter());
//过滤/user的请求
        registration.addUrlPatterns("/user/*");
//        registration.addUrlPatterns("/*");
        registration.setName("xssFilter");
//spring boot 会按照order值的大小,从小到大的顺序来依次过滤。
        registration.setOrder(Integer.MAX_VALUE);
        return registration;
    }


}

3.OAuth2Filter过滤器

标题1的时候shiroFilter这个bean new了一个LinkedHashMap, 看代码filters.put("oauth2", new OAuth2Filter());

把这个OAuth2Filter放进去了,最后加上其他的过滤条件,塞到shiroFilter里了.

package cn.com.polycis.modules.sys.oauth2;

import cn.com.polycis.common.utils.HttpContextUtils;
import cn.com.polycis.common.utils.R;
import com.google.gson.Gson;
import org.apache.commons.lang.StringUtils;
import org.apache.http.HttpStatus;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.UUID;

/**
 * oauth2过滤器
 *
 */
public class OAuth2Filter extends AuthenticatingFilter {

    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求token
        String token = getRequestToken((HttpServletRequest) request);

        if (StringUtils.isBlank(token)) {
            return null;
        }

        return new OAuth2Token(token);
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name())) {
            return true;
        }

        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求token,如果token不存在,直接返回401
        String token = getRequestToken((HttpServletRequest) request);
        if (StringUtils.isBlank(token)) {
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
            httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());

            String json = new Gson().toJson(R.error(HttpStatus.SC_UNAUTHORIZED, "invalid token"));

            httpResponse.getWriter().print(json);

            return false;
        }

        return executeLogin(request, response);
    }

    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setContentType("application/json;charset=utf-8");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
        try {
            //处理登录失败的异常
            Throwable throwable = e.getCause() == null ? e : e.getCause();
            R r = R.error(HttpStatus.SC_UNAUTHORIZED, throwable.getMessage());

            String json = new Gson().toJson(r);
            httpResponse.getWriter().print(json);
        } catch (IOException e1) {

        }

        return false;
    }

    /**
     * 获取请求的token
     */
    private String getRequestToken(HttpServletRequest httpRequest) {

        //从header中获取token
        String token = httpRequest.getHeader("token");

        //如果header中不存在token,则从参数中获取token
        if (StringUtils.isBlank(token)) {
            token = httpRequest.getParameter("token");
        }

        return token;
    }


}

4.Realm类

这个项目只简单使用了登录验证,授权认证没有使用,授权方面的代码忽略.

验证的方式是,企业用户将token放入请求头中,进行验证.

 

package cn.com.polycis.modules.sys.oauth2;


import cn.com.polycis.modules.sys.entity.SysUserEntity;
import cn.com.polycis.modules.sys.entity.SysUserTokenEntity;
import cn.com.polycis.modules.sys.service.ShiroService;
import cn.com.polycis.modules.user.entity.Users;
import cn.com.polycis.modules.user.service.IUsersService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.util.Set;
import java.util.UUID;

import static org.apache.shiro.web.filter.mgt.DefaultFilter.user;

/**
 * 认证
 *
 */
@Component
public class OAuth2Realm extends AuthorizingRealm {
    @Autowired
    private ShiroService shiroService;
    @Autowired
    private IUsersService iUsersService;

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof OAuth2Token;
    }

    /**
     * 授权(验证权限时调用)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
        Long userId = user.getUserId();

        //用户权限列表
        Set<String> permsSet = shiroService.getUserPermissions(userId);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

    /**
     * 认证(登录时调用)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String accessToken = (String) token.getPrincipal();
     

        Users user =  iUsersService.selectbytokne(accessToken);
        if(user ==null){
            throw new LockedAccountException("token有误,请联系管理员");
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, accessToken, getName());
        return info;
    }

}

5.OAuth2Filter过滤器分析

这个filter继承了AccessControlFilter父类

这个父类有个方法:

public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

也有两个抽象方法isAccessAllowed和onAccessDenied.

filter实现了AccessControlFilter的这两个方法:

isAccessAllowed:表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false;

onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返回即可。

 

这两个自己实现的方法就需要自己写判断逻辑了,本项目的登录验证,全要走executeLogin()方法,就让isAccessAllowed方法都返回false了,走了onAccessDenied方法内的executeLogin方法.


debug显示出,在用户调用api时,首先进入了isAccessAllowed方法,返回false后,进入了onAccessDenied方法.然后onAccessDenied()方法内执行了executeLogin(request, response)方法,这个executeLogin内部会调用标题4的doGetAuthenticationInfo方法进行验证.

 

 

 

长江水面写日记
关注
专栏目录
Shiro授权的基本流程,以及和SpringBoot一起实现的流程
weixin_50253745的博客
09-18 327
Shiro授权Shiro的授权流程Shiro授权的多种实现方式Shiro URL 拦截中常用的过滤器SpringBoot+Shiro实现动态授权基本步骤 Shiro的授权流程 用户访问系统资源时的授权流程如下: 系统调用subject主体对象相关方法将用户权限信息(例如isPermitted)递交给SecurityManager SecurityManager将权限检测操作委托给Authorizer授权管理器对象 Authorizer授权管理器将用户信息委托给realm Realm访问数据库获取用户权限
SpringBoot整合shiro流程
huahualongxiu的博客
07-13 193
万事还是先导依赖参考案例(https://www.cnblogs.com/wushaopei/p/11681408.html): <!--shiro 核心--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <vers
SpringBoot入门实战:SpringBoot整合Shiro
最新发布
qq_24428851的博客
07-26 499
SpringBoot是一个用于快速开发Spring应用程序的框架。它的核心是对Spring框架的一层封装,使其更加简单易用。SpringBoot整合Shiro是一种将SpringBootShiro整合的方法,以实现身份验证和授权功能。Shiro是一个强大的Java安全框架,它提供了身份验证、授权、密码存储和会话管理等功能。Shiro可以与Spring框架整合,以实现更强大的安全功能。在本文中,我们将介绍如何将SpringBootShiro整合,以实现身份验证和授权功能。
SpringBoot集成shiro流程
weixin_45335305的博客
12-29 304
SpringBoot集成Shiro步骤: 引入pom jar包 创建shirorealm:在shirorealm里主要做登录验证Authentication,和权限管理Authorization 创建ShiroConfig:配置shiro拦截路劲,并且把shirorealm()(rememberMeManager()和cacheManager())注入到安全管理SecurityManager sh...
springboot整合shiro执行流程与源码解读
weixin_43401380的博客
04-23 601
1.概念说明 2.使用流程说明 3.配置原理说明 1.概念说明   subject:登录主体,一般为用户;   realm:相当于数据源,里面实现用户认证与授权逻辑;可实现多数据源配置(一个项目中连接多种类型的数据库),本文暂不说明.   principals:主体的属性标识,可以是用户名、邮箱、用户id等;   credentials:证明/凭证,只有主体才知道的安全信息, 比如说密码;   Securit
5.shiro源码分析shiro的启动过程
weixin_38312719的博客
07-15 646
概述 通过分析shiro的启动过程,有利于大家理解为什么在使用前要添加一些配置,为什么要这样配置才能起效,阅读这个章节,将会明白为什么. DelegatingFilterProxy(拦截器) DelegatingFilterProxy是我们配置的一个拦截器,对于了解servlet过三大组件或者说做web开发的同学都是知道的,这里DelegatingFilterProxy是一个拦截器,我们知...
spring-boot集成shiro的步骤及代码解析
xiguabobo2的博客
09-15 1162
安全框架 shiro a. 功能 ⅰ. authc 认证 验证用户是否为合法用户 ⅱ. authz 授权 验证某个用户是否有权限访问某个资源 ⅲ. session management 会话管理 管理特定用户的会话,在普通java项目中模拟httpsession的效果 ⅳ. Cryptography 加解密 使用加密算法确保数据安全,同时仍然易于使用。 ⅴ. 支持web ⅵ. 支持缓存 ⅶ. 并发支持 ⅷ. 支持测试
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
spring-boot-shiro-demo
04-22
总的来说,"spring-boot-shiro-demo"项目展示了如何在Spring Boot环境中利用Shiro实现动态权限管理、Session共享和单点登录,这些都是企业级应用中必备的安全特性。通过深入研究和实践这个项目,开发者可以更好地...
shiro-spring-boot-web-starter-1.4.0.jar
02-26
java运行依赖jar包
Spring-Boot-Shiro-Vue
05-10
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,...
spring-boot-shiro:Apache Shiro与Spring Boot的集成
01-30
< artifactId>spring-boot-shiro-starter < version>1.0.0 快速开始 官方推荐采用YAML的方式配置,这里我也建议使用YAML来配置,因为是在配置filter-chain-definitions时,通常我们是希望保证顺序的,使用属性的...
Shiro的快速开始
sjgllllll的博客
02-17 139
官网地址:https://shiro.apache.org/ 第一步导入依赖: <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version>
SpringBoot整合Shiro
hello_cmy的博客
02-16 409
1. shiro简介以及功能描述 Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相 当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。 Authentication:身份认证/登录,验证用户是不...
SHIRO运行流程
MorePowerful的博客
06-05 328
主体提交请求,到Security Manager,它会掉Authenticator来做认证,紧接着,Authenticator通过relams来获取认证信息,从数据库中获取,然后和主体提交过来的认证信息来做比对。权限也一样。 Security Manager是用来提供安全服务的,首先要进行创建 ...
笔记:shirospringboot整合流程及注意事项
FelixZFJ的博客
09-14 261
授权:认证通过之后,获取认证返回的用户对象,然后通过对象中的id属性编写sql,联表查询出对应的角色集合,再通过遍历角色集合返回一个只有角色Id的字符串,编写sql查询出对应的权限信息。注:单表可以直接由mapper/service搞定,多表查询还是需要写到xml中,然后调用对应的方法,返回需要的值。认证:获取token里存储的用户名,然后编写sql返回一个实体类对象,判断实体类是否为空,为空则抛出异常。4.最后需要添加全局异常,需要分别添加认证和授权两个异常,认证需要根据具体的异常设定不同的返回信息。
shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6323
1、shiro架构图 shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
Shiro学习--与SpringMVC整合(数据库,Shiro注解和Shiro标签)
热门推荐
程高伟
03-09 3万+
Shiro与springmvc整合,mysql数据库,包含脚本,shiro注解配置以及shiro标签
Spring-bootShiro整合实现JWT身份验证详解
"这篇文章主要讲解了如何在Spring-boot项目中结合Shiro框架实现JWT(JSON Web Token)的身份验证和权限管理。" 在Spring Boot应用中,集成Shiro和JWT可以帮助我们构建安全、高效的用户认证与授权系统。JWT是一种轻...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值