SpringBoot整合Shiro

SpringBoot整合Shiro

Shiro:由apache出品的简单的java安全框架。某些用途和Security相似。

Shiro核心组件

UsernamePasswordToken Shiro用来封装用户登录信息,使用用户的登录信息创建Token。

SecurityManager Shiro的核心部分,负责安全认证和授权。

Suject Shiro的抽象概念,包含用户信息。

Realm 开发者自定义的模块,根据项目的需求,验证和授权的逻辑都写在Realm中。

AuthenticationInfo 用户的角色信息集合,认证时使用。

AuthorzationInfo 角色的权限信息集合,授权时使用。

DefaultWebSecurityManager 安全管理器,开发者自定义的Realm需要注入到DefaultWebSecurityManager进行管理才能生效。

ShiroFilterFactoryBean 过滤器工厂,使上面的组件得以运行。

总体流程

用户在访问业务时,首先会被Shiro安全框架所拦截,用户通过UsernamePasswordToken拿到自己的Token,SecurityManager负责安全认证和授权,其中认证信息都在AuthenticationInfo 中获得,授权信息都在AuthorzationInfo 中获得。AuthenticationInfo 和AuthorzationInfo 中的逻辑信息都由Realm编写。最终用户根据Shiro判断的权限可以访问到不同的页面。

SpringBoot整合Shiro

所需依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.1.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.woongcha</groupId>
    <artifactId>springboot-shiro</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>springboot-shiro</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.5.3</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.47</version>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.3.1.tmp</version>
        </dependency>
        
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

application.xml

spring:
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    username: root
    password: 123456
    url: jdbc:mysql://localhost:3306/myspringboot

  thymeleaf:
    prefix: classpath:/templates/
    suffix: .html
mybatis-plus:
  configuration:
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

详解认证逻辑的实现

ublic class AccountRealm extends AuthorizingRealm {

    private AccountService accountService;

    /**
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        Account account = accountService.findByUsername(token.getUsername());
        if(account != null){
            return new SimpleAuthenticationInfo(account,account.getPassword(),getName());
        }
        return null;
    }
}

​ 客户端页面传递的username和password会直接封装到token里面,在调用token.getUsername()方法拿到用户名与数据库中的用户名做对比,如果为空,直接跳出验证;如果不为空,说明用户名在数据库当中,存在用户名为token中的用户。然后调用SimpleAuthenticationInfo函数,当前台传入的密码和account.getPassword()(数据库中的密码)比较,如果密码相等,就通过;如果不一样,抛出异常。

详解DefaultWebSecurityManager Realm ShiroFilterFactoryBean 逻辑的实现

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(securityManager);
        return factoryBean;
    }

    @Bean
    public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm") AccountRealm accountRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(accountRealm);
        return manager;
    }
    @Bean
    public AccountRealm accountRealm(){
        return new AccountRealm();
    }
}

利用Ioc容器原理,依次将AccountRealm DefaultWebSecurityManager ShiroFilterFactoryBean 注入容器并取出,使三个组件连通。

编写认证和授权规则

认证过滤器:

anon:无需认证

authc:必须认证

authcBasic:需要通过HttpBasic认证

user:不一定通过认证,只要曾经被Shiro记录过即可。

授权过滤器:

perms:必须拥有某个权限

role:必须拥有某个角色

port:请求的端口必须是指定值。

rest:请求必须基于Restful ,POST,GET,PUT,DELETE

ssl:必须是安全的URL请求,符合HTTPS协议。

创建三个页面分配赋予不同权限main.html,manage.html,administrator.html

访问权限如下:

1 必须登录才能访问 main

2 用户必须有manage权限 manage.html

3用户必须有administrator角色 administrator.html

具体步骤

在ShiroConfig中预设登录界面,不使用默认的login界面

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(securityManager);
        //权限设置
        Map<String,String> map = new Hashtable<>();
        map.put("/main","authc");
        map.put("/manage","perms[manage]");
        map.put("/administrator","roles[administrator]");
        factoryBean.setFilterChainDefinitionMap(map);
        //设置登陆页面
        factoryBean.setLoginUrl("/login");
        return factoryBean;

    }

    @Bean
    public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm") AccountRealm accountRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(accountRealm);
        return manager;
    }
    @Bean
    public AccountRealm accountRealm(){
        return new AccountRealm();
    }
}

controller层

@Controller
public class AccountController {
    @GetMapping("/{url}")
    public String redirect(@PathVariable("url") String url) {
        return url;
    }    
	@PostMapping("/login")
    public String login(String username, String password, Model model) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            subject.login(token);
            return "index";
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            model.addAttribute("msg", "用户名错误!");
            return "login";
        } catch (IncorrectCredentialsException e) {
            model.addAttribute("msg", "密码错误!");
            e.printStackTrace();
            return "login";
        }
    }

subject.login(token) 将验证的部分交给Shiro来做,通过subject的login方法,验证身份。

登陆页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <link rel="shortcut icon" href="#"/>
</head>
<body>
<form action="/login" method="post">
    <table>
        <span th:text="${msg}" style="color: red"></span>
        <tr>
            <td>用户名:</td>
            <td>
                <input type="text" name="username"/>
            </td>
        </tr>
        <tr>
            <td>密码:</td>
            <td>
                <input type="password" name="password"/>
            </td>
        </tr>
        <tr>
            <td>
                <input type="submit" value="登录"/>
            </td>
        </tr>
    </table>
</form>
</body>
</html>

总结:在Shiro Config文件中,通过依赖注入的方式将三个模块串联起来,只需编写ShiroFilterFactoryBean的业务逻辑即可,且在controller层中,将验证的部分交给Shiro来做,通过subject的login方法,验证身份,达到登陆验证的目的。

©️2020 CSDN 皮肤主题: 1024 设计师:上身试试 返回首页