springboot入门_shiro

shiro是apache的一款开元安全框架，可以进行用户身份的认证，授权，session管理，加密等。相对于springsecurity来说比较简单，容易理解和使用。下来我们实现在springboot项目中使用shiro框架。

我们使用RBAC(基于角色的访问控制)来设计角色权限关系，有3个实体：用户，角色，权限，在RBAC中用户拥有某一种角色，角色拥有一个或者多个资源，所以表结构设计如下：

用户信息
  DROP TABLE IF EXISTS `user_info`;
  CREATE TABLE `user_info` (
    `id` int(11) NOT NULL AUTO_INCREMENT,
    `username` varchar(50) DEFAULT NULL,
    `password` varchar(32) DEFAULT NULL,
    `email` varchar(50) DEFAULT NULL,
    `usertype` char(1) DEFAULT NULL,
    PRIMARY KEY (`id`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
 
 角色信息
 DROP TABLE IF EXISTS `role_info`;
 CREATE TABLE `role_info` (
   `id` int(11) NOT NULL AUTO_INCREMENT,
   `rolename` varchar(50) DEFAULT NULL,
   `roledesc` varchar(100) DEFAULT NULL,
   PRIMARY KEY (`id`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
 
 用户角色关系
 DROP TABLE IF EXISTS `user_role`;
 CREATE TABLE `user_role` (
   `id` int(11) NOT NULL AUTO_INCREMENT,
   `userid` int(11) NOT NULL,
   `roleid` int(11) NOT NULL,
   PRIMARY KEY (`id`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
 
 资源(权限)信息
 DROP TABLE IF EXISTS `resource_info`;
 CREATE TABLE `resource_info` (
   `id` int(11) NOT NULL AUTO_INCREMENT,
   `resourceName` varchar(50) NOT NULL,
   `resourceUrl` varchar(50) NOT NULL,
   `resourceType` char(1) NOT NULL COMMENT '1-菜单；2-按钮',
   `resourcePid` int(11) DEFAULT NULL COMMENT '上级，按钮上级为菜单',
   PRIMARY KEY (`id`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
 
 角色资源关系
 DROP TABLE IF EXISTS `role_resource`;
 CREATE TABLE `role_resource` (
   `id` int(11) NOT NULL AUTO_INCREMENT,
   `roleId` int(11) NOT NULL,
   `resourceId` int(11) NOT NULL,
   PRIMARY KEY (`id`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

 

下来实现springboot项目与shiro的整合，创建springboot项目并使用mybatis做数据库访问，不清楚springboot整合mybatis的朋友可以看我之前的笔记，我们假设已经有了项目，这里只说整合shiro。

1 在pom文件中添加对shiro的依赖

<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.4.0</version>
</dependency>

2 创建shiro配置信息类，完成配置

@Configuration
public class ShiroConfig {
    
    /**
     * shiro 过滤器
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        shiroFilter.setLoginUrl("/login");//登录失败后默认跳转到登录地址去
        shiroFilter.setSuccessUrl("/main");//登录成功后跳转地址
        
        /**
         * 过滤器链, 从前往后 顺序判断
         */
        Map<String, String> filterChain = new LinkedHashMap<String, String>();
        //记住我或者认证登录通过可以访问
        filterChain.put("/main", "user");
        
        filterChain.put("/js/**", "anon");//设置静态资源可以匿名访问
        filterChain.put("/logout", "logout");//logout shiro已经做了实现
        filterChain.put("/login", "anon");//可匿名访问
        
        filterChain.put("/**", "authc");// 除了上边配置的路径及资源外，其他访问都需要认证，此项必须放在最后
        shiroFilter.setFilterChainDefinitionMap(filterChain);
        
        shiroFilter.setUnauthorizedUrl("/unAuthPage");//没有授权的页面
        return shiroFilter;
    }
    
    /**
     * 安全管理器
     * @return
     */
    @Bean
    public DefaultWebSecurityManager securityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(getShiroRealm());//自定义realm
        securityManager.setRememberMeManager(rememberMeManager());//记住我管理器
        return securityManager;
    }
    
    /**
     * 自定义的realm
     * @return
     */
    @Bean
    public ShiroRealm getShiroRealm(){
        ShiroRealm shiroRealm = new ShiroRealm();
        shiroRealm.setCredentialsMatcher(credentialsMatcher());//凭证匹配器
        return shiroRealm;
    }
    
    /**
     * 凭证匹配器 (密码的校验交给了shiro的SimpleAuthenticationInfo处理)
     * @return
     */
    @Bean
    public HashedCredentialsMatcher credentialsMatcher(){
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName("MD5");//散列算法名称,如:md5
        credentialsMatcher.setHashIterations(2);//散列算法的次数
        return credentialsMatcher;
    }
    
    /**
     * 记住我管理器
     * @return
     */
    @Bean
    public CookieRememberMeManager rememberMeManager(){
        CookieRememberMeManager rememberMeManager = new CookieRememberMeManager();
        rememberMeManager.setCipherKey(Base64.decode("2AvVhdsgUs0FSA3SDFAdag=="));
        rememberMeManager.setCookie(cookie());
        return rememberMeManager;
    }
    
    /**
     * 记住我 cookie
     * @return
     */
    @Bean
    public SimpleCookie cookie(){
        SimpleCookie rememberMeCookie = new SimpleCookie("rememberMe");
        rememberMeCookie.setHttpOnly(true);
        rememberMeCookie.setMaxAge(60);//记住我生效时间，单位 秒
        return rememberMeCookie;
    }
    
    /**
     * shiro生命周期
     * @return
     */
    @Bean
    public LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
    
}

2 自定义的realm，实现认证和授权

public class ShiroRealm extends AuthorizingRealm {
    
    @Autowired
    private UserInfoService userInfoService;
    @Autowired
    private UserRoleService userRoleService;
    @Autowired
    private ResourceInfoService resourceInfoService;

    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Set<String> permissionsSet = new HashSet<String>();//用来存放用户所拥有的权限资源
        //当前用户
        UserInfoEntity userInfo = (UserInfoEntity) principals.getPrimaryPrincipal();//如果认证方法中保存的是用户账号，此处获取的是用户的账号，如果存的是用户对象，则此处获取的是用户对象
        //当前用户角色
        UserRole userRole = userRoleService.selectByUserId(userInfo.getId());
        if(userRole != null){
            List<ResourceInfo> resourceList = resourceInfoService.selectByRoleId(userRole.getRoleId());
            if(resourceList != null && resourceList.size()>0){
                for(int i=0; i<resourceList.size(); i++){
                    ResourceInfo ri = resourceList.get(i);
                    permissionsSet.add(ri.getResourceUrl());
                }
            }
        }
        info.setStringPermissions(permissionsSet);
        return info;
    }

    /**
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authToken) throws AuthenticationException {
        //将AuthenticationToken转换为UsernamePasswordToken
        UsernamePasswordToken token = (UsernamePasswordToken) authToken;
        //获取用户名
        String username = token.getUsername();
        //判断当前用户名在数据库中是否存在
        UserInfoEntity userInfo = userInfoService.selectByEmail(username);
        if(userInfo == null){
            throw new UnknownAccountException("账户不存在");
        }
        //从数据库对象获取的密码
        String password = userInfo.getPassword();
        
        //认证的实体信息，可以是用户实体，也可以是用户账号
        Object principal = userInfo;
        //认证的密码
        Object credentials = password;
        //加密的颜
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);//使用登录的账号(唯一性)作为颜
        
        //通过SimpleAuthenticationInfo 认证
        SimpleAuthenticationInfo authInfo = null;
        authInfo = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, this.realmName());
        return authInfo;
    }
    
    public String realmName(){
        return "shiroRealm";
    }
}

3 登录实现

@Controller
public class LoginController {
    
    private static final Logger logger = LogManager.getLogger(LoginController.class);
    
    @RequestMapping("/login")
    public String login(){
        logger.info("跳转至登录页。。。");
        return "login";
    }
    
    @RequestMapping(value="/login",method=RequestMethod.POST)
    @ResponseBody
    public String doLogin(@RequestParam("username") String username, @RequestParam("password") String password, 
            @RequestParam(value = "rememberMeParam", required = false) String rememberMeParam, Map<String, Object> map){
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        
        //记住我
        if("Y".equals(rememberMeParam)){
            token.setRememberMe(true);
        }
        
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
        } catch (UnknownAccountException e) {
            //e.printStackTrace();
            logger.info("账号不存在");
        } catch (IncorrectCredentialsException e) {
            //e.printStackTrace();
            logger.info("密码不正确");
        }
        
        if(subject.isAuthenticated()){
            map.put("result", "success");
            logger.info("登录成功。。。");
        }else{
            map.put("result", "faile");
            map.put("msg", "账号或密码错误");
        }
        return JSON.toJSONString(map);
    }
    
    @RequestMapping("/main")
    public String main(Model model){
        Subject subject = SecurityUtils.getSubject();
        UserInfoEntity userInfo = (UserInfoEntity) subject.getPrincipal();
        model.addAttribute("currentUser", userInfo);
        return "main";
    }
    
    @RequestMapping("/unAuthPage")
    public String unAuthPage(){
        return "unAuth";
    }
    
    @RequestMapping("/logout")
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "redirect:/login";
    }

}

4 退出 退出功能shiro已经为我做了实现，我们只需要调用Subject的logout()方法即可实现用户退出。

5 测试 

在没有登录的情况下，如果我们访问main方法，会被shiroFilter拦截，并将请求转向loginUrl方法引导用户登录；登录成功后会跳转至successUrl；

在页面上我们使用shiro的标签来做权限过滤，需要在页面引入shiro标签库：<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>，可以在菜单或者按钮上加上权限过滤标签如：

<shiro:hasPermission name="your perMission">
　　<a href=".....">用户管理</a>
</shiro:hasPermission>

 

在加载页面时，遇到shiro标签时会去后台查询用户权限信息，如果用户拥有当前标签中name属性指定的权限信息时会加载并显示当前shiro标签包含的页面元素信息，否则不会显示