shiro+spring boot:权限管理自定义完整流程

最新推荐文章于 2022-11-25 23:57:29 发布
最新推荐文章于 2022-11-25 23:57:29 发布
阅读量580 收藏 1
点赞数
分类专栏: springboot 文章标签: shiro spring java 过滤器 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xueping_wu/article/details/117636125
版权

shiro+spring boot:权限管理自定义完整流程

权限管理自定义完整步骤

步骤1 自定义token认证:UsernamePasswordToken

在shiro包中新建CustomUsernamePasswordToken类,继承自UsernamePasswordToken。覆写该类的2个方法:getPrincipal方法、getCredentials方法。

public class CustomUsernamePasswordToken extends UsernamePasswordToken() {
   private String token;
   
   public CustomUsernamePasswordToken(String token) {
       this.token = token;
   }

   @Override
   public Object getPrincipal(){
       return token;
   }

   @Override
   public Object getCredentials(){
       return token;
   }
}

步骤2 自定义过滤器:AccessControlFilter

基本流程:
1:通过过滤器拦截用户请求接口,从request中获取到用户认证信息(比如token),如果没有获取到用户认证信息的话,返回提示写入到response响应给前端。
2:将前端传来的认证信息(如token)整合成我们自定义的shiro用户认证UsernamePasswordToken;
3:主体提交认证
4:对用户认证抛出的异常进行try catch封装处理用户认证抛出的异常,写入response响应前端。

在shiro包中新建CustomAccessControlFilter类,继承自AccessControlFilter,该类覆写2个方法:isAccessAllowed方法、onAccessDenied方法。

public class  CustomAccessControlFilter extends AccessControlFilter{
  /** 如果返回true,就流转到下一个链式调用
      如果返回false,就会流转到onAccessDenied方法
      这里一般我们可以直接返回false,在onAccessDenied里面处理
  */
  @Override
  protected boolean  isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception{
      return false;
  }

  /** 如果返回true,就会流转到下一个链式调用
      如果返回false,就不会再继续流转了
  */
  @override
  protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
      HttpServletRequest request = (HttpServvletRequest) servletRequest;
      log.info("request 接口地址:{}", request.getRequestURI());
      log.info("request 接口的请求方式:{}", request.getMethod());
      /**
          需要做3步:
          1)取出用户认证信息,比如token或者cookie。并进行校验,如果检验错误,则需要返回false,并将提示写入response响应前端
          2) 携带了通过验证的认证信息后,则将认证信息整合成步骤1中自定义的 shiro用户认证的UsernamePasswordToken
          3)根据shiro用户认证的UserrnamePasswordToken,主体提交认证getSubject

         以上3步需根据你的具体的需要进行编写,比如你的用户认证是token,还是cookie,还是session。所以以下代码仅供参考流程。
         以下代码中,默认约定好由前端是把认证信息放入request的header中的"TOKEN"字段里面。获取了 token以后,不为空的话就直接封装为自定义的shiro用户认证的customUsernamePasswordToken,最后提交认证。当然如果这个过程中有异常,则将信息写入到response响应给前端。
      */
      String accessToken = request.getHeader("TOKEN");
      try {
          if (StringUtils.isEmpty(accessToken)) {
              throw new BusinessException(4010001, "认证token不能为空,请重新登录获取");
           }
          CustomUsernamePassword customUsernamePasswordToken = new CustomUsernamePasswordToken(accessToken);
          getSubject(servletReques,servletResponse).login(customUsernamePasswordToken);
      } catch (BusinessException e) {
          customResponse(servletResponse, e.getCode(), e.getMsg());
          return false;
      } catch (AuthenticationException e){
          if (e.getCause() instanceof BusinessException) {
              BusinessException  exception = (BusinessException)  e.getCause();
              customResponse(servletResponse, exception.getCode(), exception.getMsg());
         } else {
              customResponse(servletResponse, 4010001, "认证token不能为空,请重新登录获取");
         }
         return false;
      } catch (Exception e) {
          customResponse(servletResponse, 5000001, "系统服务异常");
          return false;
      }
      return true;
  }

  /** 自定义响应前端方法
  */
  private void customResponse(ServletResponse response, int code, String msg) {
     try {
         DataResult result = DataResult.getResult(code, msg);
         response.setContentType(MediaType.APPLICATION_JSON_UTF8_AVLUE);
         response.setCharacterEncoding("UTF-8");
         String str = JSON.toJsonString(rresult);
         OutputStream outputStream = response.getOutputStream();
         outputStream.write(str.getBytes("UTF-8"));
         outputStream.flush();
     } catch (IOException e) {
         log.error("CustomResponse_error:{}", e);
     }  
  } 
}

步骤3 自定义Realm:AuthorizingRealm

自定义realm中定义了 用户认证的逻辑,以及通过认证后,用户有哪些角色信息和权限信息,shiro从而来判断该用户 是否可以访问该资源。
1、用户认证业务逻辑:在步骤2的主体提交认证信息后(onAccessDenied中getSubject),会流转到用户认证器(ModularRealmAuthentication),用户认证器会通过自定义域中 的doGetAuthenticationInfo方法获取用户认证凭证
注:用户认证底层代码一开始会通过supports方法判断所传入的AuthenticationToken是否是有效的,因此我们自定义的realm中还需要覆写supports方法。其中shiro里面的doSingleRealmAuthentication的源代码如下:

protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
    if (!realm.supports(token)) {
         String msg = "Realm [" + realm + "] does not suport authentication token  [" + token + "]";
         throw new UnsupportedTokenException(msg);
    }  else {
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        if (info == null) {
            String msg = "Realm [" + realm + "] wasunable to find account data for the submitted AuthenticationToken [" + token + "]";
            throw new UnknownAccountException(msg);
        } else {
            return info;
        }
    }
}

2、用户授权的业务逻辑:即主体提交授权后(eg:subject.checkRoles(“admin”),@RequiresPermissions(“role:add”)),授权器(ModularRealmAuthorizer)就会通过自定义域的doGetAuthorizationInfo方法获取该用户所拥有的角色信息、权限信息。然后判断该用户是否有权访问该资源。

在shiro包中新建一个CustomRealm继承自AuthorizingRealm,并且覆写其中3个方法:doGetAuthenticationInfo方法、doGetAuthorizationInfo方法、support方法。

public class CustomRealm extends AuthorizingRealm {
    @Override
    public boolean supports (AuthenticationToken token) {
        return token instanceof CustomUsernamePasswordToken;
    }

    @Override
    protected Authentication Info doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //首先把前端传来的token进行强转
        CustomUsernamePasswordToken customUsernamePasswordToken = (CustomUsernamePasswordToken) token;
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(customUsernamePasswordToken.getPrincipal(), customUsernamePasswordToken.getCredentials(), this.getName()); 
        return info;
    }
    
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 注:在本例中,是将用户角色信息和权限信息在用户第一次登录的时候,就已经写入到token里面了,所以可以通过JwtTokenUtils工具类直接取出来放入SimpleAuthorizationInfo中。
        // 实际开发中,请根据你自己从前端拿到的数据,来判断该用户有哪些角色信息和权限信息,然后放入SimpleAuthorizationInfo中。
        String accessToken = (String) principals.getPrimaryPrincipal();
        Claims claimsFromToken = JwtTokenUtils.getClaimsFromToken(accessToken);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        if (claimsFromToken.get("角色信息") != null) {
            info.addStringPermissions((Collection<String> claimsFromToken.get("角色信息")));
        }
        if (claimsFromToken.get("权限信息") != null) {
            info.addStringPermissions((Collection<String> claimsFromToken.get("权限信息")));
        }
        return info;
    }
}

步骤4 自定义认证匹配方法:HashedCredentialsMatcher

shiro在第3步中获取到AuthenticationInfo之后,还需要判断该用户是否有权限可以登录认证,即执行assertCredentialsMatch方法。然后在assertCredentialsMatch方法中,实际是使用CredentialsMatcher类的doCredentialMatch进行判断是否匹配。但是shiro中自带的doCredentialsMatch方法有时并不能满足我们自定义的需求,因此这时也需要我们再自己自定义重写。以下为shiro中部分源码:

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) thorws AuthenticationException {
    // 如果缓存中没有Authentication的话,从第3步骤中自定义的doGetAuthenticationInfo中获取,并且存入缓存中
    Authentication Info info = getCachedAuthenticationInfo(token);
    if (info == null) {
        info = doGetAuthenticationInfo(token);
        log.debug("Looked up AuthnetiocationInfo [{}] from doGetAuthenticationInfo", info);
        if (token != null && info != null) {
            cacheAuthenticationInfoIfPossible(token, info);
        }
    } else {
        log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
    }

    // 获取到doGetAuthenticationInfo后,再通过assertCredentialsMatch方法验证是否匹配
    if (info != null) {
        assertCredentialsMatch(token, info);
    } else {
        log.debug("No Authnetication Info found for submitted AuthenticationToken [{}]. Returning null.", token);
    }
    
    return info;
}

protected void assertCredentialMatch (AuthenticationToken token, AuthenticationInfo info) thorws AuthenticationException {
    CredentialsMatcher cm = getCredentialsMatcher();
    if (cm != null) {
        if (!cm.doCredentialMatch(token, info)) {
            String msg = "报错信息,此处省略";
            throw new IncorrectCredentialsException(msg);
        }
    } else {
        throw new AuthenticationException("报错西悉尼,此处省略");
    }
}

public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
    Object tokenHashedCredentials = hashProvidedCredentials(token, info);
    Object accountCredentials = getCredentials(info);
    return equals(tokenHashedCredentials, accountCredentials);
}

因此我们在shiro包中自定义CustomHashedCredentialsMatcher继承自HashedCredentialsMatcher, 需要覆写其中的1个方法:doCredentialsMatch方法。

public class CustomHashedCredentialsMatcher extends HashedCredentialsMatcher {
    // 本例中使用了redis,可根据你的实际情况进行改写
    @Autowired
    private RedisService redisService;

    // 以下为本例的判断token是否有效的逻辑,具体请根据你的需求逻辑来进行编写。
    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        CustomUsernamePasswordToken customUsernamePasswordToken = (CustomUsernamePasswordToken) token;
        String accessToken = (String) customUsernamePasswordToken.getCredentials();
        String userId = JwtTokenUtils.getUserId(accessToken);
        log.info("doCredentialsMatch...userId={}", userId);
        // 判断用户是否删除
        if (redisService.hasKey(Constant.DELETED_USER_KEY + userId)) {
            throw new BusinessException(BaseResponseCode.ACCOUNT_HAS_DELETED_ERROR);
        } 
        // 判断用户是否被锁定
        if (redisService.hasKey(Constant.ACCOUNT_LOCK_KEY + userId)) {
            throw new BusinessException(BaseResponseCode.ACCOUNT_LOCK);
        }
        // 检验token
        if(!JwtTokenUtil.validateToken(accessToken)) {
            throw new BusinessException(BaseResponseCode.TOKEN_PAST_DUE);
        }
        return true;
    }
}

步骤5 自定义shiro策略配置:ShiroConfig

在config包中新建ShiroConfig类进行shiro的策略配置

@Configuration
public class ShiroConfig {
    @Bean
    public CustomHashedCredentialsMatcher customHashedCredentialsMatcher() {
        return new CustomHashedCredentialsMatcher();
    }
    
    @Bean
    public CustomRealm customRealm() {
        CustomRealm customRealm = new CustomRealm();
        customRealm.setCredentialsMatcher(customHashedCredentialsMatcher);
        return customRealm;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager defaultWehbSecurityManager = new DefaultWebSecurityManager();
        defaultWehbSecurityManager.setRealm(customRealm());
        return defaultWehbSecurityManager;
    }
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        
        LinkedHashMap<String, Filter> linkedHashMap = new LinkedHashMap<>();
        linkedHashMap.put("token", new CustomAccessControlFilter());
        shiroFilterFactoryBean .setFilters(linkedHashMap);
        // 配置拦截策略
        LinkedHashMap<String, String> hashMap = new LinkedHashMap<>();
        hashMap.put("/api/usr/login", "anon");
        hashMap.put("/swagger/**", "anon");
        hashMap.put("/druid/**", "anon");
        hashMap.put("/**", "token,authc");
        shiroFilterFactoryBean.setFilterEFINITIONMap(hashMap);
        return shiroFilterFactoryBean;   
    }

    /** 开启shiro aop注解支持
    */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}
koping_wu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot 集成Shiro自定义Filter
坤哥的博客
11-25 1万+
网上自定义Filter的实现很多,这里我提供一种Springboot在代码中的实现。Shiro提供的Filter我这里不一一介绍了,一般基于web会话的都是使用authc(这是FormAuthenticationFilter)。根据我无状态的登陆需求,选择了AccessControlFilter,网上也有说这个是最被广泛使用的,具体还是看自己需求吧。Filter代码:/** * @author C
shiroAccessControlFilter
Tuling2020的博客
09-27 830
6、AccessControlFilter AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等: Java代码 abstractbooleanisAccessAllowed(ServletRequestrequest,ServletResponseresponse,ObjectmappedVal...
shiroAccessControlFilter()
m0_67390788的博客
08-24 578
到此基本的拦截器就完事了,如果我们想进行访问的控制就可以继承AccessControlFilter;onAccessDenied:表示访问拒绝时是否自己处理,如果返回true表示自己不处理且继续拦截器链执行,返回false表示自己已经处理了(比如重定向到另一个页面)。onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返回即可。isAccessAllowed:即是否允许访问,返回true表示允许;
Spring Boot 2.x + shiro 前后端分离实战-自定义 AccessControlFilter token校验 实战篇 (十)
深入Java世界:探索编程之美与技术深度
09-23 525
Spring Boot 2.x + shiro 前后端分离实战-自定义 AccessControlFilter token校验自定义 token 自定义 token public class CustomPasswordToken extends UsernamePasswordToken { private String token; public CustomPasswordToken(String token) { this.token = token; }
Spring---apache.shiro--过滤器Filter---AccessControlFilter抽象类
IT艺术家-rookie的博客
11-17 432
Superclass for any filter that controls access to a resource and may redirect the user to the login page if they are not authenticated. This superclass provides the method {@link #saveRequestAndRedirectToLogin(javax.servlet.ServletRequest, javax.servlet..
shiro学习22-shiro提供的filter-AccessControlFilter
iteye_14612的博客
02-20 1816
这个类的javadoc中说明了这个类才是限制应用中的资源能否被访问的filter,我们先看的onPreHandle方法: publicboolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { return isAccessA...
spring boot+shiro 权限认证管理案例
12-20
Spring Boot 和 Apache Shiro 的整合是企业级应用中常见的权限认证和安全管理方案。Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
总结来说,Spring Boot集成Shiro实现动态加载权限的关键在于创建自定义 Realm,重写授权方法,并配置Shiro的相关组件,如SecurityManager和缓存管理器。通过这种方式,我们能够在用户角色和权限发生变化时,实时更新...
Shiro+Spring Security学习文档
07-23
在IT安全领域,Apache ShiroSpring Security是两个非常重要的框架,它们主要用于应用程序的安全管理,包括身份验证、授权、会话管理和加密等。本学习文档集合了这两个框架的相关知识,旨在帮助开发者深入理解和...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
Spring BootShiro实现权限管理
11-06
5. **启动和测试**:完成以上配置后,启动Spring Boot应用,通过浏览器访问受保护的URL,Shiro会根据用户角色和权限进行拦截和授权。 通过Spring BootShiro的结合,我们可以轻松实现权限控制,包括登录认证、角色...
Shiro学习之过滤器详解
zkcJava的博客
09-14 4107
Shiro默认过滤器详解一、过滤器种类二、过滤器详解1. 继承关系及结构2. filter过滤器简介3. shiro过滤器分析3.1 AbstractFilter3.2 NameableFilter3.3 OncePerRequestFilter3.4 AdviceFilter3.5 PathMatchingFilter3.6 AccessControlFilter3.7 AuthenticationFilter3.8 AuthenticatingFilter3.9 FormAuthenticationFi
shiro 自定义拦截器
qq_38930240的博客
01-29 4529
1.拓展 OncePerRequestFilter  用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截器链;另外提供 enabled 属性,表示是否开启该拦截器实例,默认 enabled=true 表示开启,如果不想让某个拦截器工作,可以设置为 false 即可。 保证一次请求只调用一次 doFilterInternal,即如内部的 forward 不会再多执行一次 doFi...
shiro加入自定义过滤器
it_boy_elite的博客
12-02 4634
##SpringBootShiro添加过滤器 自定义filter继承AdviceFilter package com.itdage.filter; import org.apache.shiro.web.filter.AccessControlFilter; import org.apache.shiro.web.filter.authz.AuthorizationFilter; ...
spring boot配置shiro自定义shiro filter匹配异常
qq_46416934的博客
04-22 916
原文地址:http://www.hillfly.com/2017/179.html 最近忙着研究在 Springboot 上使用 Shiro 的问题。刚好就遇到个诡异事,百度 Google 也没找到啥有价值的信息,几番周折自己解决了,这里稍微记录下。 自定义 FilterTOC Shiro 支持自定义 Filter 大家都知道,也经常用,这里我也用到了一个自定义 Filter,主要用于验证接口调用的 AccessToken 是否有效。 // AccessTokenFilter.java public cl
shiro AccessControlFilter运行步骤
最新发布
weixin_45925436的博客
11-25 888
shiroAccessControlFilter介绍
通过Shiro完成组织机构的登录、查询、退出操作
mr_foxsand的专栏
05-23 550
版权声明:严禁用于任何商业用途的转发! 参考文档:Shiro基于组织机构的登录验证_sas???的博客-CSDN博客 需求: 1.多组织下实现用户组织认证登录 2.登录后任意请求获取当前登录组织信息 实现思路: 实现代码: package org.bluedream.core.config.shiro; import lombok.Data; import lombok.NoArgsConstructor; import org.apache.shiro.authc.U..
Shiro系列教程 AccessControlFilter源码分析
热门推荐
大新博客
04-26 2万+
AccessControlFiltershiro-web模块当中比较重要的类,所有的拦截器都继承此类,分析此类源码对应使用其它的filter有很大的帮助。 下图是shiro-web 提供的filter,每种filter都对应了不同的权限拦截规则,本文主要分析AccessControlFilter。   AccessControlFilter的继承关系   ServletConte...
JavaWeb】shiro认证、授权源码流程
qq_43654226的博客
05-06 226
概述前提(代码不全,可略过此篇博客) 1、自定义UsernamePasswordToken:UsenamePasswordToken一个简单的用户名/密码身份验证令牌,可支持最广泛的身份验证机制,所以我希望的认证能够围绕token进行 @Data @AllArgsConstructor public class CustomUsernamePasswordToken extends Usernam...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值