Shiro基础及整合SpringBoot

一.Shiro简介

  • Apache Shiro 是 Java 的一个安全( 权限)框架
  • Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。
  • Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、 缓存等

二.功能介绍

  • Authentication身份认证/登录,验证用户是不是拥有相应的身份;
  • Authorization授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户
    对某个资源是否具有某个权限;
  • Session Manager会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中; 会话可以是普通 JavaSE 环境, 也可以是 Web 环境的
  •  Cryptography加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
  •  Web SupportWeb 支持,可以非常容易的集成到Web 环境;
  • Caching缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
  •  Concurrency: Shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去
  • Testing:提供测试支持;
  • Run As允许一个用户假装为另一个用户(如果他们允许) 的身份进行访问
  • Remember Me记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了 

三.Shiro框架工作流程

  • Subject应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外API 核心就是 Subject。 Subject 代表了当前“用户” , 这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,
    机器人等;
    与 Subject 的所有交互都会委托给 SecurityManagerSubject 其实是一个门面, SecurityManager 才是实际的执行者
  • SecurityManager安全管理器;即所有与安全有关的操作都会与SecurityManager 交互;且其管理着所有 Subject;可以看出它是 Shiro的核心,它负责与 Shiro 的其他组件进行交互,它相当于 SpringMVC 中DispatcherServlet 的角色
  • RealmShiro 从 Realm 获取安全数据(如用户、角色、权限), 就是说SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource 
  •  SessionManager管理 Session 生命周期的组件;而 Shiro 并不仅仅可以用在 Web环境, 也可以用在如普通的 JavaSE 环境
  • CacheManager缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少改变,放到缓存中后可以提高访问的性能
  • Cryptography密码模块, Shiro 提高了一些常见的加密组件用于如密码加密/解密。 

四.ShiroFilter

五.认证

1.认证基本流程

  1. 收集用户身份/凭证,即如用户名/密码
  2. 调用 Subject.login 进行登录,如果失败将得到相应的 AuthenticationException 异常, 根据异常提示用户错误信息;否则登录成功
  3. 创建自定义的 Realm 类,继承org.apache.shiro.realm.AuthorizingRealm 类,实现doGetAuthenticationInfo() 方法 

2.认证具体流程

  1.  首先调用 Subject.login(token) 进行登录,其会自动委托给SecurityManager
  2. SecurityManager 负责真正的身份验证逻辑;它会委托给Authenticator 进行身份验证;
  3. Authenticator 才是真正的身份验证者, Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
  4. Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用AuthenticationStrategy 进行多 Realm 身份验证;
  5. Authenticator 会把相应的 token 传入 Realm, 从 Realm 获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问 

六.Realm

  • 一般继承 AuthorizingRealm(授权)即可;其继承了AuthenticatingRealm(即身份验证),而且也间接继承了CachingRealm(带有缓存实现)。
  • Realm 的继承关系: 

  •  Authenticator 的职责是验证用户帐号,是 Shiro API 中身份验证核心的入口点:如果验证成功,将返回AuthenticationInfo 验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException 异常
  • SecurityManager 接口继承了 Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm 进行验证, 验证规则通过 AuthenticationStrategy 接口指定 

七.授权

  1.  授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体( Subject)、资源( Resource)、权限( Permission)、角色( Role)。
  2. 主体(Subject): 访问应用的用户, 在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。
  3. 资源(Resource): 在应用中用户可以访问的 URL, 比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
  4. 权限(Permission): 安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。
  5.  Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)
  6. 角色(Role)权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、 CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。 

八.整合SpringBoot搭建开发环境

1.导入maven依赖

<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring-boot-web-starter -->
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring-boot-web-starter</artifactId>
  <version>1.8.0</version>
</dependency>

2.自定义Realm数据源

Shiro默认读取Shiro.ini配置文件来获得认证授权数据, 实际开发中, 认证授权数据往往存在数据库, 所有需要自定义Realm来代替默认的读取配置文件

/**
 * @author Dracarys
 */
public class CustomRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;
    @Autowired
    private UserResourceDao userResourceDao;

    /**
     * 授权
     * @param principals 用户认证后存放的信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //获取用户认证的信息
        User user = (User) principals.getPrimaryPrincipal();
        //根据用户信息从数据库获取相应的资源授权信息
        List<String> codeList = userResourceDao.queryByuId(user.getId());
        //实例化授权信息
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //将用户对应的资源授权信息传入授权信息对象
        authorizationInfo.addStringPermissions(codeList);
        return authorizationInfo;
    }

    /**
     * 认证
     * @param authenticationToken 用户输入的账户和密码信息认证令牌
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        //获取用户需要认证的信息
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //从数据库获取用户的信息
        User user = userService.doLogin(token.getUsername());
        if(user != null){
            //认证
            return new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
        }
        return null;
    }
}

3.配置Shiro

shiro需要Subject对象来执行login认证操作, 获得Subject依赖于SecurityManager对象和Realm对象, 需要将相关对象实例化并存入IOC容器

/**
 * @author Dracarys
 */
@Configuration
public class ShiroConfig {

    /**
     * 实例化自定义Realm, 并存入IOC容器
     */
    @Bean
    public CustomRealm customRealm(){
        return new CustomRealm();
    }

    /**
     * 实例化安全管理器,配置Realm环境
     * @param customRealm 自定义Realm对象
     */
    @Bean
    public DefaultWebSecurityManager securityManager(CustomRealm customRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(customRealm);
        return securityManager;
    }

    /**
     * 实例化shiro过滤器
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
        filterFactoryBean.setSecurityManager(securityManager);

        Map<String, String> map = filterFactoryBean.getFilterChainDefinitionMap();
        //放行doLogin
        map.put("/doLogin","anon"); //匿名拦截器, 无需登录即可访问
        //拦截所有请求
        map.put("/**","authc");	//需要登录才能访问
        //用户为认证且访问需拦截的请求, 转到登录请求
        filterFactoryBean.setLoginUrl("/login");
        return filterFactoryBean;
    }
}

4.登录认证


    @GetMapping("doLogin")
    public ResponseResult<Void> doLogin(String account,String password) {
        UsernamePasswordToken token = new UsernamePasswordToken(account,password);
        SecurityUtils.getSubject().login(token);
        return new ResponseResult<>(200,"登录成功");
    }

5.添加授权注解@RequiresPermissions

@GetMapping("list")
@RequiresPermissions("user:list")
public ResponseResult<Void> getList() {
    return new ResponseResult<>(200,"查询用户列表");
}

6.自定义全局异常类, 捕获登录授权产生的异常

/**
 * 全局异常处理器
 */
@RestControllerAdvice
public class GlobalException {
	/**
    * 账户不存在
    */
    @ExceptionHandler(value = {UnknownAccountException.class})
    public ResponseResult<Void> unknownAccountExceptionHandler(UnknownAccountException e) {
        return new ResponseResult<>(421,"账户不存在");
    }
    /**
    * 密码错误
    */
    @ExceptionHandler(value = {IncorrectCredentialsException.class})
    public ResponseResult<Void> incorrectCredentialsExceptionHandler(IncorrectCredentialsException e) {
        return new ResponseResult<>(422,"密码错误");
    }
    /**
    * 其它异常
    */
    @ExceptionHandler(value = {Exception.class})
    public ResponseResult<Void> exceptionHandler(Exception e) {
        return new ResponseResult<>(500,"服务器出错啦");
    }

    /**
     * 无权限
     */
    @ExceptionHandler(UnauthorizedException.class)
    public ResponseResult<Void> unauthorizedException(){
        return new ResponseResult<>(403, "无此权限,请联系管理员");
    }
}
posted @ 2021-10-23 10:00  清霜半落沙痕浅  阅读(215)  评论(0编辑  收藏  举报