提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
前言
在这里你可以了解shiro框架,并且学会如何在sping-boot集合shiro框架。
一、shiro框架是什么?
1.1 介绍
Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了
● Authentication: 认证 判断是否为合法用户 有时被称为 "登录”,这是证明用户合法
● Authorization: 授权 前提:认证过了; 判断你是否有权访问某个资源
● Session Management: session管理
● Cryptography: 加解密
1.2名词介绍
● Realm : 域,提供数据的组件
● getAuthencationInfo 入参 Token 出参 Info
● Info 有 Principal + Credentials
● AuthenticationToken:认证令牌,认证入参
● AuthenticationInfo: 认证信息,用户信息
● AuthorizationInfo: 授权信息
● Principal: 经过认证的用户
● Credentials: 凭证=密码
1.3异常类
二、使用步骤
1.导入主要的依赖
代码如下(示例):
<!--mybatis-plus依赖-->
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.4.2</version>
</dependency>
<!--shiro框架的statrer依赖-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-web-starter</artifactId>
<version>1.4.1</version>
</dependency>
<!--lombok-->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
<!--下面是自动代码生成的依赖-->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-generator</artifactId>
<version>3.5.3</version>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.apache.velocity</groupId>
<artifactId>velocity-engine-core</artifactId>
<version>2.1</version>
<scope>test</scope>
</dependency>
2.需要的配置
2.1 自定义Realm
走自定义realm类为了和数据库使用 代码如下(示例):
public class ShiroRealm extends AuthorizingRealm {
@Resource
private EduUserMapper eduUserMapper;
@Resource
private UserRoleMapper userRoleMapper;
@Resource
private RolePermMapper rolePermMapper;
//给角色进行授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//获取登录的用户
EduUser user = (EduUser) principalCollection.getPrimaryPrincipal();
//查询用户的所有角色
List<Role> roleList = userRoleMapper.selectRoleByUserId(user.getUserId());
//对数据进行进行转换
Set<String> collect = roleList.stream().map(Role::getRoleName)
.collect(Collectors.toSet());
List<String> permissions = new ArrayList<>();
//做个判断该用户没角色的情况
if (roleList.size()>0){
//查找该用户所有的权限
permissions = rolePermMapper.selectPermByRoleInId(roleList);
}
SimpleAuthorizationInfo authzInfo = new SimpleAuthorizationInfo();
authzInfo.setRoles(collect);//需要的是Set<String>参数,有哪些角色
authzInfo.setStringPermissions(new HashSet<>(permissions));//有哪些权限
return authzInfo;
}
@Override
//做认证功能
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
Object username = token.getPrincipal();
QueryWrapper<EduUser> wrapper = new QueryWrapper<>();
wrapper.eq("username",username);
EduUser eduUser = eduUserMapper.selectOne(wrapper);
//返回user对象和对象的密码,给认证器或者是SecurityManger帮我们进行验证
return new SimpleAuthenticationInfo(eduUser,eduUser.getPassword(),ShiroRealm.class.getName());
}
}
1.2 application.properties配置
还有mybtis-plus请自行配置
shiro.loginUrl=/login.html
1.3 配置过滤链
sping-boot和shiro自带的过滤链;
这里是使用shiro的过滤链,通过shirofilter将请求代理给内部的过滤器链通过每个过滤器实现功能。
代码配置如下仅供参考:
@Configuration
public class SecurityConfig {
@Bean
public Realm shiroRealm(){
return new ShiroRealm();
}
@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition(){
DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
//配置哪些需要放行的资源 anon表示放行
definition.addPathDefinition("/","anon");
definition.addPathDefinition("/login","anon");
definition.addPathDefinition("/login.html","anon");
definition.addPathDefinition("/css/**","anon");
definition.addPathDefinition("/js/**","anon");
definition.addPathDefinition("/images/**","anon");
definition.addPathDefinition("/fonts/**","anon");
definition.addPathDefinition("/html/**","anon");
//登出
definition.addPathDefinition("/logout","logout");
//访问需要登录的资源拦截器
definition.addPathDefinition("/**","user");
return definition;
}
@Bean
public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){
DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();
/**
* setUsePrefix(false)用于解决一个奇怪的bug。在引入spring aop的情况下。
* 在@Controller注解的类的方法中加入@RequiresRole等shiro注解,会导致该方法无法映射请求,导致返回404。
* 加入这项配置能解决这个bug
*/
defaultAdvisorAutoProxyCreator.setUsePrefix(true);
return defaultAdvisorAutoProxyCreator;
}
}
1.4测试
@RestController
@Slf4j
public class LoginController {
@PostMapping("/login")
public String login(String username,String password){
Subject subject = SecurityUtils.getSubject();
subject.login(new UsernamePasswordToken(username,password));
return "success";
}
@GetMapping("/pay")
public String pay(){
return "success";
}
@GetMapping("/perm")
@RequiresPermissions("teach")
public String perm(){
return "success";
}
}
总结
以上就是今天要讲的内容,本文仅仅简单介绍了spring-boot集成shiro安全框架的操作,而shiro还有大量的知识供我们学习,这里只是一个简单的入门。