摘要:后面的文章將圍繞著集成來進行展開。表示當前已經身份驗證或者通過記住我登錄的。表示當前需要角色和。參考資料系列十五安全框架一基本功能權限管理學習資料使用手冊跟開濤學博客版跟開濤學版官方文檔
導讀:
在閱讀這篇文章之前假設你已經對Apache Shiro(后面統一用Shiro作為代指)有了一定的了解,如果你還對Shiro不熟悉的話在這篇文章的結尾附有相關的學習資料,關于Shiro是用來做什么的這里有個不錯的介紹,在后面的文章中就不在對其進行描述了。后面的文章將圍繞著 Spring Boot 集成Shiro 來進行展開。
快速上手: 1.引入pom依賴2.實現相關的 用戶,角色,權限等代碼的編寫:org.apache.shiro shiro-spring 1.2.5
由于篇幅原因這里不進行展開 提供一個參考
3.實現Realm:AbstractUserRealm繼承AuthorizingRealm,并重寫doGetAuthorizationInfo(用于獲取認證成功后的角色、權限等信息) 和 doGetAuthenticationInfo(驗證當前登錄的Subject)方法:
public abstract class AbstractUserRealm extends AuthorizingRealm { private static final Logger logger = LoggerFactory.getLogger(AbstractUserRealm.class); @Autowired private UserRepository userRepository; //獲取用戶組的權限信息 public abstract UserRolesAndPermissions doGetGroupAuthorizationInfo(User userInfo); //獲取用戶角色的權限信息 public abstract UserRolesAndPermissions doGetRoleAuthorizationInfo(User userInfo); /** * 獲取授權信息 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { String currentLoginName = (String) principals.getPrimaryPrincipal(); SetuserRoles = new HashSet<>(); Set userPermissions = new HashSet<>(); //從數據庫中獲取當前登錄用戶的詳細信息 User userInfo = userRepository.findByLoginName(currentLoginName); if (null != userInfo) { UserRolesAndPermissions groupContainer = doGetGroupAuthorizationInfo(userInfo); UserRolesAndPermissions roleContainer = doGetGroupAuthorizationInfo(userInfo); userRoles.addAll(groupContainer.getUserRoles()); userRoles.addAll(roleContainer.getUserRoles()); userPermissions.addAll(groupContainer.getUserPermissions()); userPermissions.addAll(roleContainer.getUserPermissions()); } else { throw new AuthorizationException(); } //為當前用戶設置角色和權限 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.addRoles(userRoles); authorizationInfo.addStringPermissions(userPermissions); logger.info("###【獲取角色成功】[SessionId] => {}", SecurityUtils.getSubject().getSession().getId()); return authorizationInfo; } /** * 登錄認證 */ @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken authenticationToken) throws AuthenticationException { //UsernamePasswordToken對象用來存放提交的登錄信息 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; //查出是否有此用戶 User user = userRepository.findByLoginName(token.getUsername()); if (user != null) { // 若存在,將此用戶存放到登錄認證info中,無需自己做密碼對比,Shiro會為我們進行密碼對比校驗 return new SimpleAuthenticationInfo(user.getLoginName(), user.getPassword(), getName()); } return null; } protected class UserRolesAndPermissions { Set userRoles; Set userPermissions; public UserRolesAndPermissions(Set userRoles, Set userPermissions) { this.userRoles = userRoles; this.userPermissions = userPermissions; } public Set getUserRoles() { return userRoles; } public Set getUserPermissions() { return userPermissions; } }
@Component public class UserRealm extends AbstractUserRealm { @Override public UserRolesAndPermissions doGetGroupAuthorizationInfo(User userInfo) { Set4.創建Shiro配置類:userRoles = new HashSet<>(); Set userPermissions = new HashSet<>(); //TODO 獲取當前用戶下擁有的所有角色列表,及權限 return new UserRolesAndPermissions(userRoles, userPermissions); } @Override public UserRolesAndPermissions doGetRoleAuthorizationInfo(User userInfo) { Set userRoles = new HashSet<>(); Set userPermissions = new HashSet<>(); //TODO 獲取當前用戶下擁有的所有角色列表,及權限 return new UserRolesAndPermissions(userRoles, userPermissions); } }
這是最重要的一步等價于常規的Spring web應用的配置文件,將相關的配置托管給Spring 管理。
@Configuration public class ShiroConfiguration { private static final Logger logger = LoggerFactory.getLogger(ShiroConfiguration.class); /** * Shiro的Web過濾器Factory 命名:shiroFilter5.實現登錄/退出等操作:
* * @param securityManager * @return */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { logger.info("注入Shiro的Web過濾器-->shiroFilter", ShiroFilterFactoryBean.class); ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); //Shiro的核心安全接口,這個屬性是必須的 shiroFilterFactoryBean.setSecurityManager(securityManager); //要求登錄時的鏈接(可根據項目的URL進行替換),非必須的屬性,默認會自動尋找Web工程根目錄下的"/login.jsp"頁面 shiroFilterFactoryBean.setLoginUrl("/login"); //登錄成功后要跳轉的連接,邏輯也可以自定義,例如返回上次請求的頁面 shiroFilterFactoryBean.setSuccessUrl("/index"); //用戶訪問未對其授權的資源時,所顯示的連接 shiroFilterFactoryBean.setUnauthorizedUrl("/403"); /*定義shiro過濾器,例如實現自定義的FormAuthenticationFilter,需要繼承FormAuthenticationFilter **本例中暫不自定義實現,在下一節實現驗證碼的例子中體現 */ /*定義shiro過濾鏈 Map結構 * Map中key(xml中是指value值)的第一個"/"代表的路徑是相對于HttpServletRequest.getContextPath()的值來的 * anon:它對應的過濾器里面是空的,什么都沒做,這里.do和.jsp后面的*表示參數,比方說login.jsp?main這種 * authc:該過濾器下的頁面必須驗證后才能訪問,它是Shiro內置的一個攔截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter */ MapfilterChainDefinitionMap = new LinkedHashMap (); // 配置退出過濾器,其中的具體的退出代碼Shiro已經替我們實現了 filterChainDefinitionMap.put("/logout", "logout"); // :這是一個坑呢,一不小心代碼就不好使了; // filterChainDefinitionMap.put("/login", "anon");//anon 可以理解為不攔截 filterChainDefinitionMap.put("/reg", "anon"); filterChainDefinitionMap.put("/plugins/**", "anon"); filterChainDefinitionMap.put("/pages/**", "anon"); filterChainDefinitionMap.put("/api/**", "anon"); filterChainDefinitionMap.put("/dists/img/*", "anon"); filterChainDefinitionMap.put("/**", "authc"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } @Bean public EhCacheManager ehCacheManager() { EhCacheManager cacheManager = new EhCacheManager(); return cacheManager; } /** * 不指定名字的話,自動創建一個方法名第一個字母小寫的bean * @Bean(name = "securityManager") * @return */ @Bean public SecurityManager securityManager(UserRealm userRealm) { logger.info("注入Shiro的Web過濾器-->securityManager", ShiroFilterFactoryBean.class); DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(userRealm); //注入緩存管理器; securityManager.setCacheManager(ehCacheManager());//這個如果執行多次,也是同樣的一個對象; return securityManager; } /** * Shiro生命周期處理器 * @return */ @Bean public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() { return new LifecycleBeanPostProcessor(); } /** * 開啟Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP掃描使用Shiro注解的類,并在必要時進行安全邏輯驗證 * 配置以下兩個bean(DefaultAdvisorAutoProxyCreator(可選)和AuthorizationAttributeSourceAdvisor)即可實現此功能 * @return */ @Bean @DependsOn({"lifecycleBeanPostProcessor"}) public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() { DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator(); advisorAutoProxyCreator.setProxyTargetClass(true); return advisorAutoProxyCreator; } @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) { AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor(); authorizationAttributeSourceAdvisor.setSecurityManager(securityManager); return authorizationAttributeSourceAdvisor; } }
@Controller public class SecurityController { private static final Logger logger = LoggerFactory.getLogger(SecurityController.class); @Autowired private UserService userService; @GetMapping("/login") public String loginForm() { return "login"; } @PostMapping("/login") public String login(@Valid User user, BindingResult bindingResult, RedirectAttributes redirectAttributes) { if (bindingResult.hasErrors()) { return "login"; } String loginName = user.getLoginName(); logger.info("準備登陸用戶 => {}", loginName); UsernamePasswordToken token = new UsernamePasswordToken(loginName,user.getPassword()); //獲取當前的Subject Subject currentUser = SecurityUtils.getSubject(); try { //在調用了login方法后,SecurityManager會收到AuthenticationToken,并將其發送給已配置的Realm執行必須的認證檢查 //每個Realm都能在必要時對提交的AuthenticationTokens作出反應 //所以這一步在調用login(token)方法時,它會走到MyRealm.doGetAuthenticationInfo()方法中,具體驗證方式詳見此方法 logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證開始"); currentUser.login(token); logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證通過"); } catch (UnknownAccountException uae) { logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證未通過,未知賬戶"); redirectAttributes.addFlashAttribute("message", "未知賬戶"); } catch (IncorrectCredentialsException ice) { logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證未通過,錯誤的憑證"); redirectAttributes.addFlashAttribute("message", "密碼不正確"); } catch (LockedAccountException lae) { logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證未通過,賬戶已鎖定"); redirectAttributes.addFlashAttribute("message", "賬戶已鎖定"); } catch (ExcessiveAttemptsException eae) { logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證未通過,錯誤次數過多"); redirectAttributes.addFlashAttribute("message", "用戶名或密碼錯誤次數過多"); } catch (AuthenticationException ae) { //通過處理Shiro的運行時AuthenticationException就可以控制用戶登錄失敗或密碼錯誤時的情景 logger.info("對用戶[" + loginName + "]進行登錄驗證..驗證未通過,堆棧軌跡如下"); ae.printStackTrace(); redirectAttributes.addFlashAttribute("message", "用戶名或密碼不正確"); } //驗證是否登錄成功 if (currentUser.isAuthenticated()) { logger.info("用戶[" + loginName + "]登錄認證通過(這里可以進行一些認證通過后的一些系統參數初始化操作)"); return "redirect:/index"; } else { token.clear(); return "redirect:/login"; } } @GetMapping("/logout") public String logout(RedirectAttributes redirectAttributes) { //使用權限管理工具進行用戶的退出,跳出登錄,給出提示信息 SecurityUtils.getSubject().logout(); redirectAttributes.addFlashAttribute("message", "您已安全退出"); return "redirect:/login"; } @GetMapping("/reg") @ResponseBody public Result6.前端頁面編寫:reg(@Valid User user, BindingResult bindingResult) { if (bindingResult.hasErrors()) { return Result.error("用戶信息填寫不完整"); } userService.save(user); return Result.ok(); } }
一個簡單 form表單提交的demo
擴展:
權限注解:
@RequiresAuthentication 表示當前Subject已經通過login進行了身份驗證;即Subject. isAuthenticated()返回true。 @RequiresUser 表示當前Subject已經身份驗證或者通過記住我登錄的。 @RequiresGuest 表示當前Subject沒有身份驗證或通過記住我登錄過,即是游客身份。 @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND) 表示當前Subject需要角色admin和user。 @RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR) 表示當前Subject需要權限user:a或user:b。
標簽
代碼驗證:
(暫時忽略)留待補充
Shiro 作為一款安全框架為我們提供了常用的功能,已經足夠應對絕大多數的業務需要,在下一篇文章中將介紹一款更加強大的安全框架 Spring Security。
參考資料:Spring Boot系列(十五) 安全框架Apache Shiro(一)基本功能
Spring Boot Shiro 權限管理
Apache Shiro 使用手冊
《跟開濤學Shiro》 - 博客版
跟開濤學 Shiro - wiki版
官方文檔
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/66877.html
摘要:后面的文章將圍繞著集成來進行展開。表示當前已經身份驗證或者通過記住我登錄的。表示當前需要角色和。參考資料系列十五安全框架一基本功能權限管理學習資料使用手冊跟開濤學博客版跟開濤學版官方文檔 導讀: 在閱讀這篇文章之前假設你已經對Apache Shiro(后面統一用Shiro作為代指)有了一定的了解,如果你還對Shiro不熟悉的話在這篇文章的結尾附有相關的學習資料,關于Shiro是用來做什...
摘要:下一代服務端開發下一代服務端開發第部門快速開始第章快速開始環境準備,,快速上手實現一個第章企業級服務開發從到語言的缺點發展歷程的缺點為什么是產生的背景解決了哪些問題為什么是的發展歷程容器的配置地獄是什么從到下一代企業級服務開發在移動開發領域 《 Kotlin + Spring Boot : 下一代 Java 服務端開發 》 Kotlin + Spring Boot : 下一代 Java...
摘要:說明如果你的項目連項目都不是,請自行轉為項目,在按照本教程進行。本教程適用于的項目。處理攔截資源文件問題。 說明 如果你的項目連maven項目都不是,請自行轉為maven項目,在按照本教程進行。本教程適用于spring+springmvc+mybatis+shiro的maven項目。1.修改pom文件依賴 刪除之前的spring依賴,添加springboot依賴 or...
摘要:框架具有輕便,開源的優點,所以本譯見構建用戶管理微服務五使用令牌和來實現身份驗證往期譯見系列文章在賬號分享中持續連載,敬請查看在往期譯見系列的文章中,我們已經建立了業務邏輯數據訪問層和前端控制器但是忽略了對身份進行驗證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護REST API 重拾后端之Spring Boot(一):REST API的搭建...
閱讀 3581·2023-04-26 02:55
閱讀 2849·2021-11-02 14:38
閱讀 4135·2021-10-21 09:39
閱讀 2842·2021-09-27 13:36
閱讀 3943·2021-09-22 15:08
閱讀 2643·2021-09-08 10:42
閱讀 2802·2019-08-29 12:21
閱讀 667·2019-08-29 11:22