4. Shiro框架授权过程实现
4.1 授权流程分析
授权即对用户资源访问的授权(是否允许用户访问此资源),用户访问系统资源时的授权流程如图-7所示:
图-7
其中授权流程分析如下:
- 系统调用subject相关方法将用户信息(例如isPermitted)递交给SecurityManager。
- SecurityManager将权限检测操作委托给Authorizer对象。
- Authorizer将用户信息委托给realm。
- Realm访问数据库获取用户权限信息并封装。
- Authorizer对用户授权信息进行判定。
思考:思考不使用shiro如何完成授权操作?intercetor,aop。
4.2 添加授权配置
在SpringShiroConfig配置类中,添加授权时的相关配置:
配置advisor对象,Shiro框架底层会通过此对象的matchs方法返回值(类似切入点)决定是否创建代理对象,进行权限控制。
@Bean
public AuthorizationAttributeSourceAdvisor
authorizationAttributeSourceAdvisor (SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager);
return advisor;
}
说明:使用框架最重要的尊重规则,框架规则指定了什么方式就使用什么方式。
4.3 授权服务端实现
4.3.1 核心业务分析
授权时,服务端核心业务以及API分析,如图-8所示:
图-8
4.3.2 Dao实现
- 业务描述及设计实现。
基于登陆用户ID,认证信息获取登陆用户的权限信息,并进行封装。
- 关键代码分析及实现。
第一步:在SysUserRoleDao中定义基于用户id查找角色id的方法(假如方法已经存在则无需再写),关键代码如下:
List<Integer> findRoleIdsByUserId(Integer id);
第二步:在SysRoleMenuDao中定义基于角色id查找菜单id的方法,关键代码如下:
List<Integer> findMenuIdsByRoleIds(Integer[] roleIds);
第三步:在SysMenuDao中基于菜单id查找权限标识的方法,关键代码如下:
List<String> findPermissions(Integer[] menuIds);
4.3.3 Mapper实现
- 业务描述及设计实现。
基于Dao中方法,定义映射元素。
- 关键代码分析及实现。
第一步:在SysUserRoleMapper中定义findRoleIdsByUserId元素。关键代码如下:
<select id="findRoleIdsByUserId"
resultType="int">
select role_id
from sys_user_roles
where user_id=#{userId}
</select>
第二步:在SysRoleMenuMapper中定义findMenuIdsByRoleIds元素。关键代码如下:
<select id="findMenuIdsByRoleIds"
resultType="int">
select menu_id
from sys_role_menus
where role_id in
<foreach collection="roleIds"
open="("
close=")"
separator=","
item="item">
#{item}
</foreach>
</select>
第三步:在SysMenuMapper中定义findPermissions元素,关键代码如下:
<select id="findPermissions"
resultType="string">
select permission <!-- sys:user:update -->
from sys_menus
where id in
<foreach collection="menuIds"
open="("
close=")"
separator=","
item="item">
#{item}
</foreach>
</select>
4.3.4 Service实现
- 业务描述及设计实现。
在ShiroUserReam类中,重写对象realm的doGetAuthorizationInfo方法,并完成用户权限信息的获取以及封装,最后将信息传递给授权管理器完成授权操作。
- 关键代码分析及实现。
修改ShiroUserRealm类中的doGetAuthorizationInfo方法,关键代码如下:
@Service
public class ShiroUserRealm extends AuthorizingRealm {
@Autowired
private SysUserDao sysUserDao;
@Autowired
private SysUserRoleDao sysUserRoleDao;
@Autowired
private SysRoleMenuDao sysRoleMenuDao;
@Autowired
private SysMenuDao sysMenuDao;
/**通过此方法完成授权信息的获取及封装*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//1.获取登录用户信息,例如用户id
SysUser user = (SysUser)principals.getPrimaryPrincipal();
Integer userId = user.getId();
//2.基于用户id获取用户拥有的角色(sys_user_roles)
List<Integer> roleIds = sysUserRoleDao.findRoleIdsByUserId(userId);
if(roleIds==null||roleIds.size()==0)
throw new AuthorizationException();
//3.基于角色id获取菜单id(sys_role_menus)
Integer[] array={};
List<Integer> menuIds = sysRoleMenuDao.findMenuIdsByRoleIds(roleIds.toArray(array));
if(menuIds==null||menuIds.size()==0)
throw new AuthorizationException();
//4.基于菜单id获取权限标识(sys_menus)
List<String> permissions = sysMenuDao.findPermissions(menuIds.toArray(array));
//5.对权限标识信息进行封装并返回
Set<String> set=new HashSet<>();
for(String per:permissions){
if(!StringUtils.isEmpty(per)){
set.add(per);
}
}
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setStringPermissions(set);
return info;//返回给授权管理器
}
}
4.4 授权访问实现描述
在需要进行授权访问的业务层方法上,添加执行此方法需要的权限标识,参考代码@RequiresPermissions(“sys:user:update”)
说明:此要注解一定要添加到业务层方法上。
5. Shiro扩展功能应用
5.1 Shiro缓存配置
当我们进行授权操作时,每次都会从数据库查询用户权限信息,为了提高授权性能,可以将用户权限信息查询出来以后进行缓存,下次授权时从缓存取数据即可。
Shiro中内置缓存应用实现,其步骤如下:
第一步:在SpringShiroConfig中配置缓存Bean对象(Shiro框架提供)。
@Bean
public CacheManager shiroCacheManager(){
return new MemoryConstrainedCacheManager();
}
说明:这个CacheManager对象的名字不能写cacheManager,因为Spring容器中已经存在一个名字为cacheManager的对象了.
第二步:修改securityManager的配置,将缓存对象注入给SecurityManager对象。
@Bean
public SecurityManager securityManager(
Realm realm,
CacheManager cacheManager) {
DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();
sManager.setRealm(realm);
sManager.setCacheManager(cacheManager);
return sManager;
}
说明:对于Shiro框架而言,还可以借助第三方的缓存产品(例如Redis)对用户的权限信息进行cache操作.
5.2 Shiro记住我
记住我功能是要在用户登录成功以后,假如关闭浏览器,下次再访问系统资源(例如首页doIndexUI)时,无需再执行登录操作。
5.2.1 客户端业务实现
在页面上选中记住我,然后执行提交操作,将用户名,密码,记住我对应的值提交到控制层,如图-9所示:
图-9
其客户端login.html中关键JS实现:
function doLogin(){
var params={
username:$("#usernameId").val(),
password:$("#passwordId").val(),
isRememberMe:$("#rememberId").prop("checked"),
}
var url="user/doLogin";
console.log("params",params);
$.post(url,params,function(result){
if(result.state==1){
//跳转到indexUI对应的页面
location.href="doIndexUI?t="+Math.random();
}else{
$(".login-box-msg").html(result.message);
}
return false;//防止刷新时重复提交
});
}
5.2.2 服务端业务实现
服务端业务实现的具体步骤如下:
第一步:在SysUserController中的doLogin方法中基于是否选中记住我,设置token的setRememberMe方法。
@RequestMapping("doLogin")
@ResponseBody
public JsonResult doLogin(
boolean isRememberMe,
String username,
String password) {
//1.封装用户信息
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
if(isRememberMe) {
token.setRememberMe(true);
}
//2.提交用户信息
Subject subject=SecurityUtils.getSubject();
subject.login(token);//token会提交给securityManager
return new JsonResult("login ok");
}
第二步:在SpringShiroConfig配置类中添加记住我配置,关键代码如下:
@Bean
public RememberMeManager rememberMeManager() {
CookieRememberMeManager cManager = new CookieRememberMeManager();
SimpleCookie cookie=new SimpleCookie("rememberMe");
cookie.setMaxAge(7*24*60*60);
cManager.setCookie(cookie);
return cManager;
}
第三步:在SpringShiroConfig中修改securityManager的配置,为securityManager注入rememberManager对象。
@Bean
public SecurityManager securityManager(
Realm realm,CacheManager cacheManager
RememberMeManager rememberManager) {
DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();
sManager.setRealm(realm);
sManager.setCacheManager(cacheManager);
sManager.setRememberMeManager(rememberManager);
return sManager;
}
第四步:修改shiro的过滤认证级别,将/=author修改为/=user。
@Bean
public ShiroFilterFactoryBean shiroFilterFactory(
SecurityManager securityManager) {
ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();
sfBean.setSecurityManager(securityManager);
//假如没有认证请求先访问此认证的url
sfBean.setLoginUrl("/doLoginUI");
//定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
LinkedHashMap<String,String> map = new LinkedHashMap<>();
//静态资源允许匿名访问:"anon"
map.put("/bower_components/**","anon");
map.put("/build/**","anon");
map.put("/dist/**","anon");
map.put("/plugins/**","anon");
map.put("/user/doLogin","anon");
map.put("/doLogout", "logout");//自动查LoginUrl
//除了匿名访问的资源,其它都要认证("authc")后访问
map.put("/**","user");//authc
sfBean.setFilterChainDefinitionMap(map);
return sfBean;
}
说明:查看浏览器cookie设置,可在浏览器中输入如下语句。
chrome://settings/content/cookies