使用shiro来管理权限

最新推荐文章于 2023-05-31 10:23:06 发布
最新推荐文章于 2023-05-31 10:23:06 发布
阅读量223 收藏
点赞数
分类专栏: 后台 文章标签: 权限管理 shrio Spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39409615/article/details/102367653
版权

前言

最近公司我负责的一个服务(spring-boot spring-could)需要在接口级别做权限控制,本来想着是在controller层加上注解,再通过切面(aop)来实现。后来发现网上有现成的框架spring shiro 以及spring security。某位大佬曾经说过:不要重复造轮子。本着这个原则去了解了这两个框架。

选型

简单看了一下两个框架最后选择了spring shiro。这里说一下原因spring security接口设计有点问题,对用户的入侵有点太强了,扩展性不够。简单举个列子 使用security需要实现下面的接口。

IMG_2811

这个接口只有一个方法,用户用户名获得用户相关的信息,及其权限信息。

我的那个微服务,需要通过用户及用户当前选择的数据源来获得权限信息(每个用户的每个数据源都具有不同的权限)。

这里就明显不符合要求。所以最后选择了spring shiro

整合过程

依赖

     <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.5.0-SNAPSHOT</version>
        </dependency>

配置

@Configuration
public class ShiroConfig {
    private static String[] withOutAuthUrl = new String[]{
            "/auth/**",
            "/error",
            "/actuator/*",
            "/",
            "/**/*swagger*/**"
    };

    @Bean
    public SessionsSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
      	//定义AuthorizingRealm
        securityManager.setRealm(new WebRealm());
      	//设置缓存管理器这里使用内存
        securityManager.setCacheManager(new MemoryConstrainedCacheManager());
				//关闭shiro自带的session
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorAuthorizingRealmageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);

        return securityManager;
    }

    @Bean(name = "shiroFilterFactoryBean")
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, Filter> filterMap = Maps.newHashMap();
        shiroFilterFactoryBean.setFilters(filterMap);
      	//添加自定义过滤器
        filterMap.put("authFilter", new ShiroAuthFilter());
		//定义过滤规则 注意使用 有序的map 否则过滤器 规则 是混乱的
        Map<String, String> filterRuleMap = Maps.newLinkedHashMap();
      	//通过过滤器 AnonymousFilter 的url
        for (String url : withOutAuthUrl) {
            filterRuleMap.put(url, "anon");
        }
      	//其他都通过 ShiroAuthFilter
        filterRuleMap.put("/**", "authFilter");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterRuleMap);
        return shiroFilterFactoryBean;
    }
    /**
     * 下面的代码是添加注解支持
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        // 强制使用cglib,防止重复代理和可能引起代理出错的问题
        // https://zhuanlan.zhihu.com/p/29161098
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
}

自定义token 这个token是包含自己需要用来做权限的所有信息的实体,在我这主要包含,当前用户及其选择的数据源的信息

/**
 * @author jianganwei
 * @date 2019/9/29
 */
public class AuthToken implements AuthenticationToken {
    private AuthModel authModel;

    public AuthToken(AuthModel authModel) {
        this.authModel = authModel;
    }
    @Override
    public Object getPrincipal() {
        return authModel;
    }

    @Override
    public Object getCredentials() {
        return authModel;
    }
}

定义AuthorizingRealm

@Component
@Slf4j
public class WebRealm extends AuthorizingRealm {

		//获得权限信息接口,这个接口的结果会缓存,不会每次都调用
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        AuthModel authModel = (AuthModel)principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
      //这里从数据获得权限信息 一下为测试代码
        if(authModel.getDataSourceEntity().getGraphBean().equals("ick_graph")){
            authorizationInfo.addStringPermission("schema:read");
        }else {
            authorizationInfo.addStringPermission("dataSource:get");
        }

        log.debug("授权:{}", authModel);
        return authorizationInfo;
    }

  	/**
  	*添加对自定义的token的支持
  	**/
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof AuthToken;
    }

		//认证接口
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        log.debug("认证");
        return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(), authenticationToken.getCredentials(), WebRealm.class.getTypeName());
    }
}

自定义过滤器

@Component
@Slf4j
public class ShiroAuthFilter extends AccessControlFilter {
    private static String[] withOutDataSourceUrl = new String[]{
            "/user/dataSource",
            "/dataSource/all"
    };
    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    /**
     * 表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返回即可。
     *
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        log.info("onAccessDenied");
        return false;
    }


    /**
     * 表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false;
     * (感觉这里应该是对白名单(不需要登录的接口)放行的)
     * 如果isAccessAllowed返回true则onAccessDenied方法不会继续执行
     * 这里可以用来判断一些不被通过的链接(个人备注)
     * * 表示是否允许访问 ,如果允许访问返回true,否则false;
     *
     * @param request
     * @param response
     * @param mappedValue 表示写在拦截器中括号里面的字符串 mappedValue 就是 [urls] 配置中拦截器参数部分
     * @return
     * @throws Exception
     */

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        String url = getPathWithinApplication(request);
        log.debug("当前用户正在访问的 url => {} ", url);
        log.debug("subject.isPermitted(url);{}", subject.isPermitted(url));
        AuthService authService = SpringUtils.getBean(AuthService.class);
       //FeignClient 远程调用 用户中心微服务获得用户信息
        AuthModel authModel = authService.getUserInfoFromAuth3Client((HttpServletRequest) request);
        if (null == authModel) {
          //未登录 
            response401(response);
            return false;
        }
     		//从cookie中获得数据源信息
        DataSourceEntity dataSourceEntity = authService.getDataSourceFromCookie((HttpServletRequest) request);
        authModel.setDataSourceEntity(dataSourceEntity);
        if (Stream.of(withOutDataSourceUrl).anyMatch(x ->
                antPathMatcher.match(x, url))) {
            log.debug("接口:{} 不需要选择数据源", url);
            getSubject(request, response).login(new AuthToken(authModel));
            return true;
        }
        if (null == dataSourceEntity) {
            response402(response);
            return false;
        }
      	//这个方法最终会调用WebRealm#doGetAuthenticationInfo 				//表示通过认证
        getSubject(request, response).login(new AuthToken(authModel));
        return true;
    }


    private void response401(ServletResponse response) {
        try {
            response.getWriter().write(JSON.toJSONString(new ResultData("401", "not choose dataSource", "")));
            response.getWriter().flush();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    private void response402(ServletResponse response) {
        try {
            response.getWriter().write(JSON.toJSONString(new ResultData("402", "not choose dataSource", "")));
            response.getWriter().flush();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

问题

在修改了权限后需要清空缓存,当我是用下面的方法清除缓存的时候发现清除不掉

sessionsSecurityManager.getCacheManager().getCache(WebRealm.class.getName() + ".authorizationCache").remove(authModel);

跟它的源码发现内存的缓存使用Map来做的,我传入的AuthModel 是不同的对象,需要用SimplePrincipalCollection来包装一下。
IMG_2821

sessionsSecurityManager.getCacheManager().getCache(WebRealm.class.getName() + ".authorizationCache").remove(new SimplePrincipalCollection(authModel, WebRealm.class.getTypeName()));

注意复写AuthModel的hashcode及equels方法

懒的话可以将对象转为jsonString

public class AuthToken implements AuthenticationToken {
    private AuthModel authModel;

    public AuthToken(AuthModel authModel) {
        this.authModel = authModel;
    }
    @Override
    public Object getPrincipal() {
        return JSON.toJSONString(authModel);
    }

    @Override
    public Object getCredentials() {
        return JSON.toJSONString(authModel);
    }
}

需要用到的时候转回来就好了

jiang_anwei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限管理系统 shiro + ssm实现
09-22
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,
ShiroSpringboot 关于 Shiro 权限配置 以及 相关问题解决
CodeMan丶
03-26 858
1、权限配置首先涉及到用户、权限、角色三张表,三张表的关系为用户与角色为一对多,角色与权限为一对多 2、配置shiro的相关目录 3、引入shiro相关依赖 <!--shiro --> <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> ...
Shiro权限认证框架的整合及相关配置
weixin_45223281的博客
11-04 174
原文地址:http://www.kjyfx.com/4154.html 一、Shrio主要核心功能 三个核心组件:Subject, SecurityManager 和 Realms Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。Subje...
actuator
雪儿的博客
05-06 502
服务端引入依赖 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-actuator&lt;/artifactId&gt; &lt;/depen...
Spring Boot Actuator 基本配置以及使用 Shiro 进行安全认证
最新发布
梦想触手可及
05-31 1505
***模块提供了生产级别的功能,比如健康检查、审计、指标收集、HTTP跟踪等,帮助我们更好地管理 **_Spring Boot _**应用。
Shiro权限管理框架详解
02-24
基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证...
SpringBoot+MyBatis+Shiro权限管理系统
12-23
适合学习SpringBoot、MyBatis、Shiro的开发小白,包含源码和数据脚本,文章地址:https://blog.csdn.net/u013343114/article/details/111592137
shiro权限管理案例加文档
01-12
总的来说,“shiro权限管理案例加文档”会是一个全面的资源,涵盖了Shiro的各个方面,帮助开发者理解和应用Shiro进行权限管理,提升应用程序的安全性。通过深入学习和实践,我们可以更好地利用Shiro来满足项目的安全...
bootshiro权限管理系统-其他
06-12
bootshiro是基于springboot+shiro+jwt的真正restful URL资源无状态认证权限管理系统的后端,前端usthe。区别于一般,提供页面可配置式的,动态的 restful api 安全管理支持。数据传输动态秘钥加密,jwt过期刷新,...
Shiro入门
_夜渐凉
07-12 439
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
Shiro+SpringBoot】JWT+Shiro安全的解决用户授权认证地址过滤问题
芒果味的博客
12-05 631
JWT的应用场景 关于JWT是什么,可理解为使用带签名的token来做用户和权限验证,现在流行的公共开放接口用的OAuth 2.0协议基本也是类似的套路。这里只是说下选择使用jwt不用session的原因。 首先,是要支持多端,一个api要支持H5, PC和APP三个前端,如果使用session的话对app不是很友好,而且session有跨域攻击的问题。 Shir...
java项目权限控制的理解和示例(基于shiro和传统拦截器filter两种方式)
小黄鸡kimhuhg
08-16 4347
shiro spring filter 权限控制 java项目 maven
关于实现shiro权限拦截遇到的一些坑
lao_hu_的博客
11-24 1008
shiro自定义拦截时,响应json格式数据
一起来学SpringBoot | 第十五篇:actuator与spring-boot-admin 可以说的秘密
唐亚峰
05-31 3248
SpringBoot 是为了简化 Spring 应用的创建、运行、调试、部署等一系列问题而诞生的产物,自动装配的特性让我们可以更好的关注业务本身而不是外部的XML配置,我们只需遵循规范,引入相关的依赖就可以轻易的搭建出一个 WEB 工程 一起来学SpringBoot | 第十四篇:强大的 actuator 服务监控与管理 中介绍了actuator 的作用,细心的朋友可能会发现通过http...
ShiroShiroFilterFactoryBean的filterChainDefinitionMap配置
core815的专栏
07-22 1万+
通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[permissive]");//jwt[permissive]就是一个普...
shiro 认证filter 的原理
热门推荐
xiaoliuliu2050的专栏
02-08 1万+
正常情况下,如果我们只是简单的用户名,密码登录,则我们做认证 只要配置默认认证过滤器就好了, 如下: 1   配置文件配置登录认证 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="loginUrl" va
authc过滤器 shiro_Shiro过滤器
weixin_42208901的博客
01-14 475
Shiro内置过滤器认证相关过滤器:anon(不需要任何认证直接可以访问),authBasic(也就是httpBasic),authc(需要认证之后才可以访问),user(需要当前存在用户才可以访问),logout(退出)授权相关的过滤器:perms(后面跟[ ] 里面加参数,表示具备一些权限才可以访问),roles(与前者相似),ssl(要求是安全的协议才可以访问,比如https),port(后...
基于Shiro,JWT实现微信小程序登录完整例子
weixin_30446197的博客
11-28 309
小程序官方流程图如下,官方地址 :https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html: 如果此图理解不清楚的地方,也可参看我的博客 :https://www.cnblogs.com/ealenxie/p/9888064.html 本文是对接微信小程序自定义登录的一个完整...
SpringBoot整合Shiro搭建权限管理组织系统.docx
07-12
SpringBoot整合Shiro搭建权限管理组织系统.docxSpringBoot整合Shiro搭建权限管理组织系统.docxSpringBoot整合Shiro搭建权限管理组织系统.docxSpringBoot整合Shiro搭建权限管理组织系统.docxSpringBoot整合Shiro搭建权限管理组织系统.docxSpringBoot整合Shiro搭建权限管理组织系统.docxSpringBoot整合Shiro搭建权限管理组织系统.docxSpringBoot整合Shiro搭建权限管理组织系统.docxSpringBoot整合Shiro搭建权限管理组织系统.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值