Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
使用shiro首先就是导入相关依赖
<!-- springboot中shiro的环境启动包 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-web-starter</artifactId>
<version>1.9.0</version>
</dependency>
<!-- thymeleaf整合shiro的包-->
<dependency>
<groupId>com.github.theborakompanioni</groupId>
<artifactId>thymeleaf-extras-shiro</artifactId>
<version>2.1.0</version>
</dependency>
随后编写配置类
其中大部分代码都是固定架构
@Configuration
public class ShiroConfig {
/**
* ShiroFilterFactoryBean
* Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL
*/
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("getSecManager") DefaultWebSecurityManager secManager){
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
//设置安全管理器
bean.setSecurityManager(secManager);
/*
添加shiro的内置过滤器
anon:无需认证可以访问
authc:必须认证才能访问
user:必须拥有记住我功能才能用
perms:拥有某个资源的权限才能访问
role:拥有某个角色权限才能访问
*/
//登录拦截
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/toAdd","anon");
filterMap.put("/toUpdate","perms[Update]");
//设置登录的请求
bean.setLoginUrl("/toLogin");
//设置没有权限的请求的访问地址
bean.setUnauthorizedUrl("/unAuthorized");
bean.setFilterChainDefinitionMap(filterMap);
return bean;
}
/**
* DefaultWebSecurityManager
* DefaultWebSecurityManager类主要定义了设置subjectDao,获取会话模式,设置会话模式,设置会话管理器,是否是http会话模式等操作
*/
@Bean(name = "getSecManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
//关联自定义的UserRealm
defaultWebSecurityManager.setRealm(userRealm);
return defaultWebSecurityManager;
}
/**
* realm对象
* Realm是一个接口,在接口中定义了根据token获得认证信息的方法。
*/
@Bean
public UserRealm userRealm(){
return new UserRealm();
}
/**
* 整合shiro和Thymeleaf
* @return
*/
@Bean
public ShiroDialect shiroDialect(){
return new ShiroDialect();
}
}
重新自定义UserReaml类,其中重写认证和授权方法
public class UserRealm extends AuthorizingRealm {
@Autowired
UserService userService;
/**
*
* 认证
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//获取token令牌 里面是控制层封装好的前端传过来的数据
UsernamePasswordToken userToken = (UsernamePasswordToken) token;
//数据库中拿出用户信息,与输入的用户信息进行比对。
User user = userService.selectOneByUsername(userToken.getUsername());
if (user==null){
return null;
}
Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession();
session.setAttribute("loginUser",user);
//第一个参数将查出来的user传给授权中,然后第二个参数比对密码。有一定的加密
return new SimpleAuthenticationInfo(user,user.getPassword(),"");
}
/**
*
* 授权
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
//获取当前用户
Subject subject = SecurityUtils.getSubject();
//将认证中传进去的真正的user拿出来
User principal = (User) subject.getPrincipal();
//为这个user开启权限。
simpleAuthorizationInfo.addStringPermission("Update");
return simpleAuthorizationInfo;
}
}
控制器层 三个控制器尤其重要
/**
* 这个是注销方法
* @return
*/
@RequestMapping("logout")
public String logout(){
Subject subject = SecurityUtils.getSubject();
subject.logout();//删除session会话
return "login";
}
/**
* 没有权限的跳转方法
* @return
*/
@RequestMapping("unAuthorized")
public String unAuthorized(){
return "unAuthorized";
}
/**
*
* @param username
* @param password
* @param model
* @return 登录方法
*/
@RequestMapping("login")
public String login(String username, String password, Model model){
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username,password);
try {
subject.login(token);
return "index";
}catch (UnknownAccountException uae){
model.addAttribute("msg","用户名错误");
return "login";
}catch (IncorrectCredentialsException ice){
model.addAttribute("msg","密码错误");
return "login";
}catch (LockedAccountException lae){
model.addAttribute("msg","用户已经被锁定不能登录,请与管理员联系!");
return "login";
}
}
前端整合
<!--假设session中没有-->
<div th:if="${session.loginUser==null}">
ssss
</div>
<!--假设没有权限-->
<div shiro:hasPermission="权限名">
<a th:href="@{toAdd}">add</a>
</div>
<a th:href="@{/logout}">注销</a>