springboot 单体架构之shiro集成
这里使用的是eclipse 开发工具
1.springboot 版本是2.0的,引入了2个shiro 的依赖,如下
<parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.0.1.RELEASE</version> <relativePath /> <!-- lookup parent from repository --> </parent> <!-- 安全框架:密码加密、权限控制、身份验证 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> <!-- shiro+redis缓存插件 --> <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis</artifactId> <version>2.4.2-RELEASE</version> </dependency>
2. shiro 主要分为2部分,第一部分是shiro的配置类,我放在src/main/resources添加config文件夹,新建ShiroConfig。
首先,shiro会配置他的拦截器 shiroFilter(由于swagger和druid的页面也会被拦截,这里要放行,这是个坑),
其次,会配置缓存管理方式,这里我使用的是 shiro-redis (是大神已经写好的redis的自动化管理,自己就不会去写更多的代码了,比如序列化的问题,redis存储问题等)
@Configuration public class ShiroConfig { @Value("${spring.redis.host}") private String host; @Value("${spring.redis.port}") private int port; // @Value("${spring.redis.timeout}") // private int timeout; /** * 修复Spring Boot整合shiro出现UnavailableSecurityManagerException 问题 * 此处设置相当于在web.xml中增加filter */ @Bean public FilterRegistrationBean<DelegatingFilterProxy> delegatingFilterProxy() { FilterRegistrationBean<DelegatingFilterProxy> filterRegistrationBean = new FilterRegistrationBean<DelegatingFilterProxy>(); DelegatingFilterProxy proxy = new DelegatingFilterProxy(); proxy.setTargetFilterLifecycle(true); proxy.setTargetBeanName("shiroFilter"); filterRegistrationBean.setFilter(proxy); return filterRegistrationBean; } /** * SHIRO核心拦截器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); // 必须设置 SecurityManager shiroFilterFactoryBean.setSecurityManager(securityManager); // 拦截器.顺序判断 Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>(); // authc:所有url都必须认证通过才可以访问 // anon:所有url都都可以匿名访问 filterChainDefinitionMap.put("/user/login", "anon"); // 放行静态资源 filterChainDefinitionMap.put("/static/**", "anon"); // swagger2 放行 filterChainDefinitionMap.put("/swagger-ui.html", "anon"); filterChainDefinitionMap.put("/swagger/**", "anon"); filterChainDefinitionMap.put("/webjars/**", "anon"); filterChainDefinitionMap.put("/swagger-resources/**", "anon"); filterChainDefinitionMap.put("/v2/**", "anon"); filterChainDefinitionMap.put("/docs/**", "anon"); // druid 监控放行 filterChainDefinitionMap.put("/druid/**", "anon"); // 退出 过滤器 filterChainDefinitionMap.put("/user/logout", "logout"); // 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 // filterChainDefinitionMap.put("/**", "authc"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); // 配置退出过滤器,如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面 shiroFilterFactoryBean.setLoginUrl("/login.html"); // 登录成功后要跳转的链接 shiroFilterFactoryBean.setSuccessUrl("/index.html"); // 未授权要跳转的链接; shiroFilterFactoryBean.setUnauthorizedUrl("/login.html"); return shiroFilterFactoryBean; } /** * securityManager 安全管理器 (通过 authorize 调用 自定义 realm 数据进行认证和授权) */ @Bean(name = "securityManager") public SecurityManager securityManager(@Qualifier("myRealm") MyRealm myRealm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 设置realm. securityManager.setRealm(myRealm); // 自定义缓存实现 使用redis securityManager.setCacheManager(cacheManager()); // 自定义session管理 使用redis securityManager.setSessionManager(sessionManager()); return securityManager; } /** * 自定义realm; (账号密码校验;权限等) * * @return */ @Bean(name = "myRealm") public MyRealm myRealm() { MyRealm myRealm = new MyRealm(); // 添加 matcher加密算法到 MyRealm myRealm.setCredentialsMatcher(hashedCredentialsMatcher()); return myRealm; } /** * 密码匹配凭证管理器 * * @return */ @Bean(name = "hashedCredentialsMatcher") public HashedCredentialsMatcher hashedCredentialsMatcher() { HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher(); // 采用MD5方式加密 hashedCredentialsMatcher.setHashAlgorithmName("MD5"); // 设置加密次数 hashedCredentialsMatcher.setHashIterations(1024); return hashedCredentialsMatcher; } /** * Shiro生命周期处理器 * * @return */ @Bean(name = "lifecycleBeanPostProcessor") public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor() { return new LifecycleBeanPostProcessor(); } /** * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions 授权注解) * 需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 * * @return */ @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor( @Qualifier("securityManager") SecurityManager securityManager) { AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); return advisor; } /** * 配置shiro redisManager 使用的是shiro-redis开源插件 * * @return */ public RedisManager redisManager() { RedisManager redisManager = new RedisManager(); redisManager.setHost(host); redisManager.setPort(port); redisManager.setExpire(1800);// 配置缓存过期时间 //redisManager.setTimeout(timeout); // redisManager.setPassword(password); return redisManager; } /** * cacheManager 缓存 redis实现 使用的是shiro-redis开源插件 * * @return */ public RedisCacheManager cacheManager() { RedisCacheManager redisCacheManager = new RedisCacheManager(); redisCacheManager.setRedisManager(redisManager()); return redisCacheManager; } /** * RedisSessionDAO shiro sessionDao层的实现 通过redis 使用的是shiro-redis开源插件 */ @Bean public RedisSessionDAO redisSessionDAO() { RedisSessionDAO redisSessionDAO = new RedisSessionDAO(); redisSessionDAO.setRedisManager(redisManager()); return redisSessionDAO; } /** * shiro session的管理 */ @Bean public DefaultWebSessionManager sessionManager() { DefaultWebSessionManager sessionManager = new DefaultWebSessionManager(); sessionManager.setSessionDAO(redisSessionDAO()); return sessionManager; } /*@Bean(name = "redisTemplate") public RedisTemplate<String, String> redisTemplate(RedisConnectionFactory factory) { RedisTemplate<String, String> template = new RedisTemplate<>(); RedisSerializer<String> redisSerializer = new StringRedisSerializer(); template.setConnectionFactory(factory); // key序列化方式 template.setKeySerializer(redisSerializer); // value序列化 template.setValueSerializer(redisSerializer); // value hashmap序列化 template.setHashValueSerializer(redisSerializer); // key haspmap序列化 template.setHashKeySerializer(redisSerializer); // return template; }*/ }
3.shiro 的另一个重要部分是realm的配置,其中包含2个方面,一是权限的自定义设定,二是登入认证的自定义设定,我放在src/main/resources添加realm文件夹,新建MyRealm。由于业务的原因,我这里只做了登入的认证,即加密算法MD5的认证
public class MyRealm extends AuthorizingRealm { @Autowired private UserService userService; /** * 在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO. * Shiro的认证过程最终会交由Realm执行,这时会调用Realm的getAuthenticationInfo(token)方法。 * 该方法主要执行以下操作: * * 检查提交的进行认证的令牌信息 根据令牌信息从数据源(通常为数据库)中获取用户信息 对用户信息进行匹配验证。 * 验证通过将返回一个封装了用户信息的AuthenticationInfo实例。 * 验证失败则抛出AuthenticationException异常信息。而在我们的应用程序中要做的就是自定义一个Realm类,继承AuthorizingRealm抽象类,重载doGetAuthenticationInfo(),重写获取用户信息的方法。 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 1.从主体传过来的认证信息中,获取用户名,密码 String account = (String) token.getPrincipal(); // String password = new String((char[]) token.getCredentials()); // 2.通过用户名去到数据库中获取凭证 AdminUser adminUser = this.userService.findUserByAccount(account); // 判断用户是否存在 if (adminUser == null) { throw new UnknownAccountException(); } // 判断用户是否有效 if (adminUser.getAdminIsenable() == 0) { throw new LockedAccountException(); } // 3.加密:MD5+salt,在这里添加盐值,以用户名作为盐值 ByteSource salt = ByteSource.Util.bytes(adminUser.getAdminName()); String realName = this.getName(); // 4.验证凭证信息(密码信息) SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(account, adminUser.getAdminPassword(), salt, realName); // 5.当shiro验证成功,把用户信息放在session里 Session session = SecurityUtils.getSubject().getSession(true); session.setAttribute("activeUser", adminUser.getAdminAccount()); return authenticationInfo; } /** * 授权用户权限 授权的方法是在碰到<shiro:hasPermission name=''></shiro:hasPermission>标签的时候调用的 * ,它会去检测shiro框架中的权限(这里的permissions)是否包含有该标签的name值,如果有,里面的内容显示 * ,如果没有,里面的内容不予显示(这就完成了对于权限的认证.) * * shiro的权限授权是通过继承AuthorizingRealm抽象类,重载doGetAuthorizationInfo(); * 当访问到页面的时候,链接配置了相应的权限或者shiro标签才会执行此方法否则不会执行,所以如果只是简单的身份认证没有权限的控制的话,那么这个方法可以不进行实现,直接返回null即可。 * 在这个方法中主要是使用类:SimpleAuthorizationInfo 进行角色的添加和权限的添加。 * authorizationInfo.addRole(role.getRole()); * authorizationInfo.addStringPermission(p.getPermission()); * 当然也可以添加set集合:roles是从数据库查询的当前用户的角色,stringPermissions是从数据库查询的当前用户对应的权限 * authorizationInfo.setRoles(roles); * authorizationInfo.setStringPermissions(stringPermissions); * 就是说如果在shiro配置文件中添加了filterChainDefinitionMap.put(“/add”, “perms[权限添加]”); * 就说明访问/add这个链接必须要有“权限添加”这个权限才可以访问, * 如果在shiro配置文件中添加了filterChainDefinitionMap.put(“/add”, * “roles[100002],perms[权限添加]”); * 就说明访问/add这个链接必须要有“权限添加”这个权限和具有“100002”这个角色才可以访问。 * * @param principalCollection * @return */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 1.从主体传过来的认证信息中,获取用户名 // String acoount = (String) principals.getPrimaryPrincipal(); // 查询用户名称 // User user = userService.findUserByAccount(acoount); // 添加角色和权限 SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(); // for (Role role:user.getRoles()) { // //添加角色 // simpleAuthorizationInfo.addRole(role.getRoleName()); // for (Permission permission:role.getPermissions()) { // //添加权限 // simpleAuthorizationInfo.addStringPermission(permission.getPermission()); // } // } return simpleAuthorizationInfo; } }
4. 最后是在controller中,怎么调用这个认证,返回类型是我自己封装的一个类型,可以自己定义。这里需要注意的是,要去新建subject实例,才能去调用login验证。
public Result<?> login(@RequestParam(value = "account") String account, @RequestParam("password") String password) { // 结果信息 Result<?> result = new Result<>(); // 创建Subject实例 Subject subject = SecurityUtils.getSubject(); // 将用户名及密码封装到UsernamePasswordToken UsernamePasswordToken token = new UsernamePasswordToken(account, password); try { // 完成登录验证 subject.login(token); // 判断当前用户是否验证成功 if (subject.isAuthenticated() == true) { // 登入成功 ResultEnum resultEnum = ResultEnum.AdminSuccess; result = ResultUtil.getSuccess(resultEnum.getCode(), resultEnum.getMsg(),""); // 打印到控制台 LogUtil.printLog(result.getMsg()+",登入用户: " + account); } } catch (LockedAccountException e) { // 用户无效 throw new MyRuntimeException(ResultEnum.LockedAccountException); } catch (IncorrectCredentialsException e) { // 密码不正确 throw new MyRuntimeException(ResultEnum.IncorrectCredentialsException); } catch (AuthenticationException e) { // 用户不存在 throw new MyRuntimeException(ResultEnum.UnknownAccountException); } catch (Exception e) { throw e; } return result; }