spring-boot项目shiro运行流程分析

最新推荐文章于 2024-07-26 19:01:04 发布
最新推荐文章于 2024-07-26 19:01:04 发布
阅读量1.2k 收藏 6
点赞数 1
分类专栏: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reee112/article/details/85633328
版权
java 同时被 2 个专栏收录
11 篇文章 1 订阅
订阅专栏
shiro
1 篇文章 0 订阅
订阅专栏

 

spring-boot框架

1.注入bean交由spring管理

项目debug可以看到,项目初始启动的时候,依次创建"sessionManager","securityManager","shiroFilter"对象交由spring管理

仔细看,是先创建了sessionManager,然后sessionManager为参数创建了securityManager,然后securityManager为参数创建了shiroFilter.

package cn.com.polycis.config;


import cn.com.polycis.modules.sys.oauth2.OAuth2Filter;
import cn.com.polycis.modules.sys.oauth2.OAuth2Realm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Shiro配置
 *

 */
@Configuration
public class ShiroConfig {

    @Bean("sessionManager")
    public SessionManager sessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionValidationSchedulerEnabled(true);
        sessionManager.setSessionIdCookieEnabled(true);
        return sessionManager;
    }

    @Bean("securityManager")
    public SecurityManager securityManager(OAuth2Realm oAuth2Realm, SessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(oAuth2Realm);
        securityManager.setSessionManager(sessionManager);

        return securityManager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        //oauth过滤
        Map<String, Filter> filters = new HashMap<>();
        filters.put("oauth2", new OAuth2Filter());
        shiroFilter.setFilters(filters);

        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/druid/**", "anon");
        filterMap.put("/app/**", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/queryuser", "anon");
//        filterMap.put("/api/**", "anon");
//        filterMap.put("/**", "oauth2");
        filterMap.put("/api/auth", "anon");
       filterMap.put("/api/**", "oauth2");
        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter;
    }

    /**
     * shiro bean生命周期管理
     * @return
     */
    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }



    /**
     *  开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
        proxyCreator.setProxyTargetClass(true);
        return proxyCreator;
    }

    /**
     * 开启aop注解支持
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

}

2. FilterRegistrationBean:shiro拦截器注册类,且可以进行拦截器执行顺序排序

在shiroFilterRegistration()这个方法中可以看到,new了一个spring的拦截器注册类,shiroFilter这个拦截器被注册到了spring中,且设置的拦截器执行顺序仅次于下边的 防xss攻击过滤拦截器.


package cn.com.polycis.config;

import cn.com.polycis.common.xss.XssFilter;
import cn.com.polycis.modules.sys.oauth2.OAuth2Filter;
import cn.com.polycis.modules.sys.oauth2.OAuth2Realm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.filter.DelegatingFilterProxy;

import javax.servlet.DispatcherType;
import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Filter配置
 *
 */
@Configuration
public class FilterConfig {

    @Bean
    public FilterRegistrationBean shiroFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new DelegatingFilterProxy("shiroFilter"));
        //该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理
        registration.addInitParameter("targetFilterLifecycle", "true");
        registration.setEnabled(true);
//spring boot 会按照order值的大小,从小到大的顺序来依次过滤。
        registration.setOrder(Integer.MAX_VALUE - 1);
//所有请求都会过滤
        registration.addUrlPatterns("/*");
        return registration;
    }

    @Bean
    public FilterRegistrationBean xssFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new XssFilter());
//过滤/user的请求
        registration.addUrlPatterns("/user/*");
//        registration.addUrlPatterns("/*");
        registration.setName("xssFilter");
//spring boot 会按照order值的大小,从小到大的顺序来依次过滤。
        registration.setOrder(Integer.MAX_VALUE);
        return registration;
    }


}

3.OAuth2Filter过滤器

标题1的时候shiroFilter这个bean new了一个LinkedHashMap, 看代码filters.put("oauth2", new OAuth2Filter());

把这个OAuth2Filter放进去了,最后加上其他的过滤条件,塞到shiroFilter里了.

package cn.com.polycis.modules.sys.oauth2;

import cn.com.polycis.common.utils.HttpContextUtils;
import cn.com.polycis.common.utils.R;
import com.google.gson.Gson;
import org.apache.commons.lang.StringUtils;
import org.apache.http.HttpStatus;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.UUID;

/**
 * oauth2过滤器
 *
 */
public class OAuth2Filter extends AuthenticatingFilter {

    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求token
        String token = getRequestToken((HttpServletRequest) request);

        if (StringUtils.isBlank(token)) {
            return null;
        }

        return new OAuth2Token(token);
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name())) {
            return true;
        }

        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求token,如果token不存在,直接返回401
        String token = getRequestToken((HttpServletRequest) request);
        if (StringUtils.isBlank(token)) {
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
            httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());

            String json = new Gson().toJson(R.error(HttpStatus.SC_UNAUTHORIZED, "invalid token"));

            httpResponse.getWriter().print(json);

            return false;
        }

        return executeLogin(request, response);
    }

    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setContentType("application/json;charset=utf-8");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
        try {
            //处理登录失败的异常
            Throwable throwable = e.getCause() == null ? e : e.getCause();
            R r = R.error(HttpStatus.SC_UNAUTHORIZED, throwable.getMessage());

            String json = new Gson().toJson(r);
            httpResponse.getWriter().print(json);
        } catch (IOException e1) {

        }

        return false;
    }

    /**
     * 获取请求的token
     */
    private String getRequestToken(HttpServletRequest httpRequest) {

        //从header中获取token
        String token = httpRequest.getHeader("token");

        //如果header中不存在token,则从参数中获取token
        if (StringUtils.isBlank(token)) {
            token = httpRequest.getParameter("token");
        }

        return token;
    }


}

4.Realm类

这个项目只简单使用了登录验证,授权认证没有使用,授权方面的代码忽略.

验证的方式是,企业用户将token放入请求头中,进行验证.

 

package cn.com.polycis.modules.sys.oauth2;


import cn.com.polycis.modules.sys.entity.SysUserEntity;
import cn.com.polycis.modules.sys.entity.SysUserTokenEntity;
import cn.com.polycis.modules.sys.service.ShiroService;
import cn.com.polycis.modules.user.entity.Users;
import cn.com.polycis.modules.user.service.IUsersService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.util.Set;
import java.util.UUID;

import static org.apache.shiro.web.filter.mgt.DefaultFilter.user;

/**
 * 认证
 *
 */
@Component
public class OAuth2Realm extends AuthorizingRealm {
    @Autowired
    private ShiroService shiroService;
    @Autowired
    private IUsersService iUsersService;

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof OAuth2Token;
    }

    /**
     * 授权(验证权限时调用)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
        Long userId = user.getUserId();

        //用户权限列表
        Set<String> permsSet = shiroService.getUserPermissions(userId);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

    /**
     * 认证(登录时调用)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String accessToken = (String) token.getPrincipal();
     

        Users user =  iUsersService.selectbytokne(accessToken);
        if(user ==null){
            throw new LockedAccountException("token有误,请联系管理员");
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, accessToken, getName());
        return info;
    }

}

5.OAuth2Filter过滤器分析

这个filter继承了AccessControlFilter父类

这个父类有个方法:

public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

也有两个抽象方法isAccessAllowed和onAccessDenied.

filter实现了AccessControlFilter的这两个方法:

isAccessAllowed:表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false;

onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返回即可。

 

这两个自己实现的方法就需要自己写判断逻辑了,本项目的登录验证,全要走executeLogin()方法,就让isAccessAllowed方法都返回false了,走了onAccessDenied方法内的executeLogin方法.


debug显示出,在用户调用api时,首先进入了isAccessAllowed方法,返回false后,进入了onAccessDenied方法.然后onAccessDenied()方法内执行了executeLogin(request, response)方法,这个executeLogin内部会调用标题4的doGetAuthenticationInfo方法进行验证.

 

 

 

长江水面写日记
关注
专栏目录
Shiro授权的基本流程,以及和SpringBoot一起实现的流程
weixin_50253745的博客
09-18 330
Shiro授权Shiro的授权流程Shiro授权的多种实现方式Shiro URL 拦截中常用的过滤器SpringBoot+Shiro实现动态授权基本步骤 Shiro的授权流程 用户访问系统资源时的授权流程如下: 系统调用subject主体对象相关方法将用户权限信息(例如isPermitted)递交给SecurityManager SecurityManager将权限检测操作委托给Authorizer授权管理器对象 Authorizer授权管理器将用户信息委托给realm Realm访问数据库获取用户权限
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
SpringBoot入门实战:SpringBoot整合Shiro
最新发布
qq_24428851的博客
07-26 505
SpringBoot是一个用于快速开发Spring应用程序的框架。它的核心是对Spring框架的一层封装,使其更加简单易用。SpringBoot整合Shiro是一种将SpringBootShiro整合的方法,以实现身份验证和授权功能。Shiro是一个强大的Java安全框架,它提供了身份验证、授权、密码存储和会话管理等功能。Shiro可以与Spring框架整合,以实现更强大的安全功能。在本文中,我们将介绍如何将SpringBootShiro整合,以实现身份验证和授权功能。
SpringBoot集成shiro流程
weixin_45335305的博客
12-29 304
SpringBoot集成Shiro步骤: 引入pom jar包 创建shirorealm:在shirorealm里主要做登录验证Authentication,和权限管理Authorization 创建ShiroConfig:配置shiro拦截路劲,并且把shirorealm()(rememberMeManager()和cacheManager())注入到安全管理SecurityManager sh...
springboot整合shiro执行流程与源码解读
weixin_43401380的博客
04-23 602
1.概念说明 2.使用流程说明 3.配置原理说明 1.概念说明   subject:登录主体,一般为用户;   realm:相当于数据源,里面实现用户认证与授权逻辑;可实现多数据源配置(一个项目中连接多种类型的数据库),本文暂不说明.   principals:主体的属性标识,可以是用户名、邮箱、用户id等;   credentials:证明/凭证,只有主体才知道的安全信息, 比如说密码;   Securit
5.shiro源码分析shiro的启动过程
weixin_38312719的博客
07-15 646
概述 通过分析shiro的启动过程,有利于大家理解为什么在使用前要添加一些配置,为什么要这样配置才能起效,阅读这个章节,将会明白为什么. DelegatingFilterProxy(拦截器) DelegatingFilterProxy是我们配置的一个拦截器,对于了解servlet过三大组件或者说做web开发的同学都是知道的,这里DelegatingFilterProxy是一个拦截器,我们知...
spring-boot-shiro-demo
04-22
总的来说,"spring-boot-shiro-demo"项目展示了如何在Spring Boot环境中利用Shiro实现动态权限管理、Session共享和单点登录,这些都是企业级应用中必备的安全特性。通过深入研究和实践这个项目,开发者可以更好地...
shiro-spring-boot-web-starter-1.4.0.jar
02-26
java运行依赖jar包
Spring-Boot-Shiro-Vue
05-10
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,...
spring-boot-shiro:Apache Shiro与Spring Boot的集成
01-30
< artifactId>spring-boot-shiro-starter < version>1.0.0 快速开始 官方推荐采用YAML的方式配置,这里我也建议使用YAML来配置,因为是在配置filter-chain-definitions时,通常我们是希望保证顺序的,使用属性的...
Shiro的快速开始
sjgllllll的博客
02-17 140
官网地址:https://shiro.apache.org/ 第一步导入依赖: <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version>
SpringBoot整合Shiro
hello_cmy的博客
02-16 409
1. shiro简介以及功能描述 Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相 当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。 Authentication:身份认证/登录,验证用户是不...
SHIRO运行流程
MorePowerful的博客
06-05 329
主体提交请求,到Security Manager,它会掉Authenticator来做认证,紧接着,Authenticator通过relams来获取认证信息,从数据库中获取,然后和主体提交过来的认证信息来做比对。权限也一样。 Security Manager是用来提供安全服务的,首先要进行创建 ...
笔记:shirospringboot整合流程及注意事项
FelixZFJ的博客
09-14 261
授权:认证通过之后,获取认证返回的用户对象,然后通过对象中的id属性编写sql,联表查询出对应的角色集合,再通过遍历角色集合返回一个只有角色Id的字符串,编写sql查询出对应的权限信息。注:单表可以直接由mapper/service搞定,多表查询还是需要写到xml中,然后调用对应的方法,返回需要的值。认证:获取token里存储的用户名,然后编写sql返回一个实体类对象,判断实体类是否为空,为空则抛出异常。4.最后需要添加全局异常,需要分别添加认证和授权两个异常,认证需要根据具体的异常设定不同的返回信息。
shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6331
1、shiro架构图 shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
Shiro学习--与SpringMVC整合(数据库,Shiro注解和Shiro标签)
程高伟
03-09 3万+
Shiro与springmvc整合,mysql数据库,包含脚本,shiro注解配置以及shiro标签
Springboot+JWT+Shiro集成完全版(带测试示例)
洛雪
05-24 882
相信大家已经对shiro,jwt有基本的概念了,不熟悉的可以看下 jwt:https://blog.csdn.net/Goligory/article/details/104400381 对于shiro等会我贴上代码然后简单分析下 maven引入 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-s...
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值