接上一篇shiro框架—shiro配置介绍(一)
项目已分享到GitHub上,如果需要的可以看下,springboot+shiro项目Git下载地址。
关于shiro在springboot的配置,共有四个基本配置文件主要的文件有四个ShiroConfig 、RetryLimitHashedCredentialsMatcher 、UserRealm 、MShiroFilterFactoryBean。
因为上一篇仅仅写完了shiroconfig 类的配置,虽然在上一篇最下边,我已经附上了所有文件的下载链接,但是我觉得还是要写一下剩下的三个配置文件,写一下我对shiro配置的理解。下边是剩余三个配置文件,即RetryLimitHashedCredentialsMatcher 、UserRealm 、MShiroFilterFactoryBean 的配置详情。
1.UserRealm 类的配置内容
具体代码如下:
package microservice.fpzj.shiro;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import microservice.fpzj.core.models.Permission;
import microservice.fpzj.core.models.Role;
import microservice.fpzj.core.models.User;
import microservice.fpzj.service.jwt.UserService;
/**
* 验证用户登录
*
* @author Administrator
*/
@Component("userRealm")
public class UserRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
public UserRealm() {
setName("UserRealm");
// 采用MD5加密
setCredentialsMatcher(new HashedCredentialsMatcher("md5"));
}
/**
*权限资源角色配置,如果在jsp里加入了shiro的标签配置,将会在访问那个jsp页
* 面的时候触发这个方法,这里先不考虑这个方法的逻辑。
**/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
User user = (User)principals.getPrimaryPrincipal();
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
return info;
}
//登录验证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken upt = (UsernamePasswordToken) token;
char[] passwords = upt.getPassword();
String pwd = new String(passwords);
if(!StringUtils.isEmpty(pwd)){ //如果密码不是空,表示是本地登录
User user = this.userService.findUserByUserName(upt.getUsername());
if(user == null){
throw new AuthenticationException("no_user");
}
boolean res =true;
for(Role r:user.getRoles()){
if(r.getSiteid()==2){
res = false;
break;
}
}
if(res){
throw new AuthenticationException("no_permission");
}
if(user!=null && !user.isDeleted()){
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(
user, //用户对象
user.getPasswd(), //密码
ByteSource.Util.bytes(user.getUserid()+user.getUsername()),//salt=username+salt
getName()); //realm name
return info;
}
return null;//getAuthenticationInfoMethod(upt.getUsername());
}else{
/**
*如果密码是空,表示是远程登录,从username位置获得token,
*暂时不考虑这种情况,这里只走上边if里边
**/
String username = userService.getUsernameFromToken(upt.getUsername());
return getAuthenticationInfoMethod(username);
}
}
public AuthenticationInfo getAuthenticationInfoMethod(String username){
User user = userService.findUserByUserName(username);
if(user == null){
throw new AuthenticationException("no_user");
}
if(user != null){
boolean res =true;
for(Role r:user.getRoles()){
if(r.getSiteid()==2){
res = false;
break;
}
}
if(res){
throw new AuthenticationException("no_permission");
}
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(
user, //用户对象
user.getPasswd(), //密码
ByteSource.Util.bytes(user.getUserid()+user.getUsername()),//salt=username+salt
getName()); //realm name
return info;
}
return null;
}
} 以上主要看登录验证方法doGetAuthenticationInfo 在该方法里,通过从自己写的userService 接口,先根据用户名查询出用户对象,即调用findUserByUserName 方法,获取用户对象下的角色roles,通过判断用户下的角色集合中,是否含有siteId 为2的,如果含有siteId 为2的,则让通过登录,如果没有当前siteId 的角色,则登录失败,站点siteId 表示系统类别,2在我们多系统里为业务系统,还有门户系统、后台系统等。
siteId我在第一篇里已经写了,shiro框架—关于shiro框架的简单介绍及用户表的建立维护
2.RetryLimitHashedCredentialsMatcher 类的配置内容
具体代码如下:
package microservice.fpzj.shiro;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.springframework.beans.factory.annotation.Autowired;
import microservice.fpzj.core.models.User;
import microservice.fpzj.service.jwt.UserService;
/**
*
* @author ZML
*
*/
public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher {
@Autowired
private UserService userService;
@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
if(token instanceof UsernamePasswordToken){
UsernamePasswordToken userToken = (UsernamePasswordToken) token;
User user = userService.findUserByUserName(userToken.getUsername());
char[] passwordchars =userToken.getPassword();
String password = new String(passwordchars);
if("".equals(password)){ //token字符串登录
boolean flg = userService.verifyToken(userToken.getUsername());
return flg;
}else{ //账号密码登录
boolean res = userService.passwordVerify(password,user.getPasswd(),user.getUserid()+user.getUsername());
return res;
}
}
return false;
}
} 上一篇已经说过,RetryLimitHashedCredentialsMatcher类,继承于HashedCredentialsMatcher 类,对于HashedCredentialsMatcher 类,你如果往上找,就会发现,其实就是实现了CredentialsMatcher 接口,最后又在shiroConfig 配置文件中,将该类注入到我们的spring容器中供UserRealm 调用,加入到shiro 框架里,这样就可以扩展我们自定义的这个RetryLimitHashedCredentialsMatcher 类,该类的功能主要是将用户输入的密码与查询到的密码进行比较,也就是密码比较器。
上边方法doCredentialsMatch 的逻辑里,有verifyToken 这样的方法,其实这个是针对于那种没有账号密码,只有token 字符串的密钥登录的方式。这里先不说这一种。
userService 里是我们自己提前写好的一系列针对于用户验证的接口,因为shiro 不会去维护用户、权限、角色这些东西,需要我们自己维护,关于建表的那些步骤,我在第一篇里已经写了,shiro框架—关于shiro框架的简单介绍及用户表的建立维护,比如这里的passwordVerify 方法 ,通过名字可以理解,是验证密码的接口,这些会在下一篇写出来。
3.MShiroFilterFactoryBean 类的配置内容
还记得在上一篇文章shiro框架—shiro配置介绍(一) 里,提到过 MShiroFilterFactoryBean 继承于 ShiroFilterFactoryBean 类,是我们自己自定义的shiroFilter ,该类在shiroConfig 里注入到spring 容器中,另外,因为shiro 的拦截是对所有请求进行拦截,关于.js 、.css 、.html 、.png等静态资源的请求,应该是不要拦截的,所以我们需要在自定义shiroFilter 里对这些静态资源进行过滤,对我们项目来说,这就是这个MShiroFilterFactoryBean 的存在的意义。
具体配置如下:
package microservice.fpzj.shiro;
import java.io.IOException;
import java.util.HashSet;
import java.util.Set;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.filter.mgt.FilterChainManager;
import org.apache.shiro.web.filter.mgt.FilterChainResolver;
import org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver;
import org.apache.shiro.web.mgt.WebSecurityManager;
import org.apache.shiro.web.servlet.AbstractShiroFilter;
import org.springframework.beans.factory.BeanInitializationException;
/**
* 自定义shiro过滤规则
* @author Administrator
*
*/
public class MShiroFilterFactoryBean extends ShiroFilterFactoryBean{
// 对ShiroFilter来说,需要直接忽略的请求
private Set<String> ignoreExt;
public MShiroFilterFactoryBean() {
super();
ignoreExt = new HashSet<>();
ignoreExt.add(".jsp");
// ignoreExt.add(".png");
}
@Override
protected AbstractShiroFilter createInstance() throws Exception {
org.apache.shiro.mgt.SecurityManager securityManager = getSecurityManager();
if (securityManager == null) {
String msg = "SecurityManager property must be set.";
throw new BeanInitializationException(msg);
}
if (!(securityManager instanceof WebSecurityManager)) {
String msg = "The security manager does not implement the WebSecurityManager interface.";
throw new BeanInitializationException(msg);
}
FilterChainManager manager = createFilterChainManager();
PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
chainResolver.setFilterChainManager(manager);
return new MSpringShiroFilter((WebSecurityManager) securityManager, chainResolver);
}
private final class MSpringShiroFilter extends AbstractShiroFilter {
protected MSpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resolver) {
super();
if (webSecurityManager == null) {
throw new IllegalArgumentException("WebSecurityManager property cannot be null.");
}
setSecurityManager(webSecurityManager);
if (resolver != null) {
setFilterChainResolver(resolver);
}
}
@Override
protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse,
FilterChain chain) throws ServletException, IOException {
HttpServletRequest request = (HttpServletRequest)servletRequest;
String str = request.getRequestURI().toLowerCase();
// 因为ShiroFilter 拦截所有请求(在上面我们配置了urlPattern 为 * ,当然你也可以在那里精确的添加要处理的路径,这样就不需要这个类了),而在每次请求里面都做了session的读取和更新访问时间等操作,这样在集群部署session共享的情况下,数量级的加大了处理量负载。
// 所以我们这里将一些能忽略的请求忽略掉。
// 当然如果你的集群系统使用了动静分离处理,静态资料的请求不会到Filter这个层面,便可以忽略。
boolean flag = true;
int idx = 0;
if(( idx = str.indexOf(".")) > 0 ){
str = str.substring(idx);
/**
*如果不是jsp则为false,即除了.jsp,其他的都不需要拦截
**/
if(!ignoreExt.contains(str.toLowerCase())){
flag = false;
}
}
if(flag){
super.doFilterInternal(servletRequest, servletResponse, chain);
}else{
chain.doFilter(servletRequest, servletResponse);
}
}
}
}
通过以上的配置,就会将所有不是.jsp 的又带有.资源全部放开,即,没有登录的情况下,可以访问到,其他带有. 的资源则全部被shiro拦截。
4.注意点
以上的配置文件中,你会看到有很多的userService 中的方法,我没有贴出来,后边我也都会贴出来,但是,其实这样的逻辑基本都是数据库查询的逻辑。
比如:
下面的这个是根据用户名获取用户对象的方法,因为用户名是唯一的,这个应该很容易写出来,就是根据用户名字段去匹配用户表的一条对象记录。
User user = userService.findUserByUserName(upt.getUsername())下面的这个是验证账号密码的方法。
boolean flag = userService.passwordVerify(password,user.getPasswd(),user.getUserid()+user.getUsername())下面的这个是根据token字符串获取用户名,token是一种jwt字符串,是一种很长的字符串,这里主要用于那种没有用户名,只有一个令牌token字符串,通过这个token字符串,来到后台验证的时候,需要通过这个字符串转换成用户名,然后再根据用户名,调用上边的方法获取用户对象。这里先不考虑这种的登录,只考虑正常的那种账号密码的登录方式。
String username = userService.getUsernameFromToken(upt.getUsername())下面的这个是验证客户端传入的token字符串是否有效的接口。同样这里不考虑这种的登录方式。
boolean flag = userService.verifyToken(userToken.getUsername())下一篇文章shiro配置用户名和密码的注意
412
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
