2. 程式人生 > 其它 >SpringBoot整合Shiro實現許可權控制

SpringBoot整合Shiro實現許可權控制

阿新 發佈:2021-07-22
目錄

1、SpringBoot整合Shiro

Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。

1.1、shiro簡介

shiro有個核心元件,分別為SubjectSecurityManagerRealms

  • Subject:相當於當前操作的”使用者“,這個使用者不一定是一個具體的人,是一個抽象的概念,表明的是和當前程式進行互動的任何東西,例如爬蟲、指令碼、等等。所有的Subject都繫結到SecurityManager上,與 Subject 的所有互動都會委託給 SecurityManager;可以把 Subject 認為是一個門面;SecurityManager 才是實際的執行者。
  • SecurityManager:這個是shiro框架的核心,所有與安全相關的操作都會與它進行互動,它管理者所有的Subject。
  • Realms:充當了Shiro與應用安全資料間的”橋樑“,當對使用者執行認證(登入)和授權(訪問控制)驗證時,SecurityManager 需要從 Realm 獲取相應的使用者進行比較以確定使用者身份是否合法;也需要從 Realm 得到使用者相應的角色 / 許可權進行驗證使用者是否能進行操作。

如果想要更加深入的瞭解的shrio可以參考:https://www.w3cschool.cn/shiro/co4m1if2.html

1.2、程式碼的具體實現

1.2.1、Maven的配置

		<!--shiro-->
		<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-starter</artifactId>
            <version>1.7.1</version>
        </dependency>
         <!--shiro整合thymeleaf-->
         <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
		<!--shiro快取-->
		 <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.7.1</version>
        </dependency>

shiro預設是與jsp進行使用的,而這裡是shiro整合thymeleaf所有要匯入shiro整合thymeleaf的jar包

1.2.2、整合需要實現的類

一般來說整合只需要完成兩個類的實現即可
一個是 ShiroConfig 一個是 CustomerRealm
如果需要新增shiro快取並且不是自帶的快取而是redis快取還需要進行另外兩個類的編寫
一個是 RedisCache 一個是 RedisCacheManager

1.2.3、專案結構

1.2.4、ShiroConfig的實現

未加shiro的快取

package com.yuwen.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import com.yuwen.shiro.cache.RedisCacheManager;
import com.yuwen.shiro.realm.CustomerRealm;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.HashMap;
import java.util.Map;
@Configuration
public class ShiroConfig {

    //讓頁面shiro標籤生效
    @Bean
    public ShiroDialect shiroDialect(){
        return new ShiroDialect();
    }

    //1、建立shiroFilter   負責攔截所有請求
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        //給filter設定安全管理
        factoryBean.setSecurityManager(defaultWebSecurityManager);
        //配置系統的受限資源
        //配置系統公共資源 全部都能訪問的設定anon
        Map<String,String> map = new HashMap<>();
        map.put("/main","authc");//請求這個資源需要認證和授權 authc表示需要認證後才能訪問
        map.put("/admin","roles[admin]"); //表示admin角色才能訪問 roles[]表示需要什麼角色才能訪問
        map.put("/manage","perms[user:*:*]"); //表示需要user:*:*許可權才能訪問 perms[]表示需要什麼許可權才能訪問
        //訪問需要認證的頁面如果未登入會跳轉到/login路由進行登陸
        factoryBean.setLoginUrl("/login");
        //訪問未授權頁面會自動跳轉到/unAuth路由
        factoryBean.setUnauthorizedUrl("/unAuth");
        factoryBean.setFilterChainDefinitionMap(map);
        return factoryBean;
    }
    //2、建立安全管理器
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("getRealm") Realm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //給安全管理器設定
        securityManager.setRealm(realm);
        return securityManager;
    }
    //3、建立自定義的realm
    @Bean
    public Realm getRealm(){
        CustomerRealm customerRealm = new CustomerRealm();
        //修改憑證校驗匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        //設定加密演算法為md5
        credentialsMatcher.setHashAlgorithmName("MD5");
        //設定雜湊次數
        credentialsMatcher.setHashIterations(1024);
        customerRealm.setCredentialsMatcher(credentialsMatcher);
        return customerRealm;
    }
}

因為一般在資料庫中設定明文密碼不安全,所有我這裡對密碼進行了md5加密,我的加密方式為:密碼 = 密碼+鹽+雜湊次數 而後進行MD5加密 所以這裡建立自定義的realm時需要進行設定匹配器這樣登入時密碼才能匹配成功

1.2.5、CustomerRealm的實現

package com.yuwen.shiro.realm;

import com.yuwen.pojo.User;
import com.yuwen.pojo.vo.ViewPerms;
import com.yuwen.pojo.vo.ViewRole;
import com.yuwen.service.UserService;
import com.yuwen.shiro.salt.MyByteSource;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.CollectionUtils;
import org.springframework.util.ObjectUtils;
import javax.annotation.Resource;
import java.util.List;

//自定義realm
public class CustomerRealm extends AuthorizingRealm {

    @Resource
    private UserService userService;
	//授權
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //獲取身份資訊
        String primaryPrincipal = (String)principalCollection.getPrimaryPrincipal();
        //根據主身份資訊獲取角色 和 許可權資訊
        List<ViewRole> roles = userService.findRolesByUsername(primaryPrincipal);
        if (!CollectionUtils.isEmpty(roles)){
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            roles.forEach(viewRole -> {
                simpleAuthorizationInfo.addRole(viewRole.getName());
                //許可權資訊
                List<ViewPerms> perms = userService.findPermsByRoleId(viewRole.getName());
                if (!CollectionUtils.isEmpty(perms)){
                    perms.forEach(viewPerms -> {
                        simpleAuthorizationInfo.addStringPermission(viewPerms.getPName());
                    });
                }
            });
            return simpleAuthorizationInfo;
        }
        return null;
    }
    
	//認證
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //獲取登入的身份資訊
        String principal = (String) authenticationToken.getPrincipal();
        User user = userService.findByUsername(principal);
        if (!ObjectUtils.isEmpty(user)){
            //ByteSource.Util.bytes(user.getSalt()) 通過這個工具將鹽傳入
            //如果身份認證驗證成功,返回一個AuthenticationInfo實現;
            return new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(),new MyByteSource(user.getSalt()),this.getName());
        }
        return null;
    }
}

在登入時會自動呼叫這個身份驗證 在驗證時如果出錯,會報異常,我在controller層接收了異常並處理

controller層中登入時的異常處理 

@PostMapping("/login")
    public String login(String username,String password){
        //獲取主體物件
        Subject subject = SecurityUtils.getSubject();
        try {
        	//自動呼叫CustomerRealm 類中的身份驗證方法
            subject.login(new UsernamePasswordToken(username,password));
            return "index";
        }catch (UnknownAccountException e){ //接收異常並處理
            e.printStackTrace();
            model.addAttribute("msg","使用者名稱有誤,請重新登入");
        }catch (IncorrectCredentialsException e){//接收異常並處理
            e.printStackTrace();
            model.addAttribute("msg","密碼有誤,請重新登入");
        }
        return "login";
    }

1.2.6、shiro快取配置

定義了shiro快取,使用者登入後,其使用者資訊、擁有的角色 / 許可權不必每次去查,這樣可以提高效率

預設快取的配置

ShiroConfig中getRealm() 方法中開啟快取管理

 @Bean
    public Realm getRealm(){
        CustomerRealm customerRealm = new CustomerRealm();
        //開啟快取管理
        customerRealm.setCacheManager(new EhCacheManager());
        //開啟全域性快取
        customerRealm.setCachingEnabled(true);
        //開啟認證快取
        customerRealm.setAuthenticationCachingEnabled(true);
        customerRealm.setAuthenticationCacheName("authenticationCache");
        //開啟許可權快取
        customerRealm.setAuthorizationCachingEnabled(true);
        customerRealm.setAuthorizationCacheName("authorizationCache");
        return customerRealm;
    }

與reids整合的快取這裡就不說明了,放在原始碼裡自己檢視,原始碼在下方

1.2.7、主頁index.html的設定

在這裡用標籤來判斷某些區域需要認證或什麼角色或者什麼許可權才能訪問 

<!DOCTYPE html>
<html lang="en" xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
                xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
<head>
    <meta charset="UTF-8">
    <title>首頁</title>
    <link rel="shortcut icon" href="#">
</head>
<body>
<h1>index</h1>
<a href="/logout">退出</a>
<div>
    <a href="/main">main</a> | <a href="/manage">manage</a> | <a href="/admin">admin</a>
</div>
<!--獲取認證資訊-->
使用者:<span shiro:principal=""></span><hr>
<!--認證處理-->
<span shiro:authenticated=""><hr>
    顯示認證通過內容
</span>
<span shiro:notAuthenticated=""><hr>
    沒有認證時 顯示
</span>
<!--授權角色-->
<span shiro:hasRole="admin"><hr>
    admin角色 顯示
</span>
<span shiro:hasPermission="user:*:*"><hr>
    具有使用者模組的"user:*:*"許可權 顯示
</span>
</body>
</html>

1.3、簡單測試

1.3.1、admin角色所有許可權測試

1.3.2、無角色有許可權測試

1.3.3、無角色無許可權測試


1.4 專案原始碼

需要原始碼的在這:https://gitee.com/residual-temperature/shiro-demo

相關推薦

Springboot 整合shiro實現許可權控制的方法

Author:jeffrey Date:2019-04-08 一、開發環境: 1、mysql - 5.7 2、navicat(mysql客戶端管理工具)

SpringBoot整合Shiro實現許可權控制

目錄1、SpringBoot整合Shiro1.1、shiro簡介1.2、程式碼的具體實現1.2.1、Maven的配置1.2.2、整合需要實現的類1.2.3、專案結構1.2.4、ShiroConfig的實現1.2.5、CustomerRealm的實現1.2.6、shiro快取配置1.2.7、主頁i

springboot mybatisPlus整合shiro實現許可權控制

1.建立資料庫表。由於時間倉促,資料庫表設計不太合理,後期會更改 /* Navicat Premium Data Transfer

springboot整合security實現許可權控制

1.建表,五張表,如下:1.1.使用者表CREATE TABLE `t_sys_user` (`user_id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT \'使用者ID\',`user_name` varchar(30) NOT NULL COMMENT \'使用者名稱\',`user_password` v

SpringBoot整合Shiro 實現動態載入許可權

一、前言 本文小編將基於 SpringBoot 整合 Shiro實現動態uri許可權,由前端vue在頁面配置uri,Java後端動態重新整理許可權,不用重啟專案,以及在頁面分配給使用者 角色 、 按鈕 、uri 許可權後,後端動態分配許可權

SpringBoot整合Shiro實現許可權管理的示例程式碼

之前在 SSM 專案中使用過 shiro,發現 shiro許可權管理做的真不錯,但是在 SSM 專案中的配置太繁雜了,於是這次在 SpringBoot 中使用了 shiro,下面一起看看吧

SpringBoot 整合 Shiro 實現動態許可權載入更新+ Session 共享 + 單點登入

一。說明 二。專案環境 二。編寫專案基礎類 三。編寫Shiro核心類 四。實現許可權控制

SpringBoot整合JWT實現許可權驗證(個人技術部落格)

一、技術概述 Json web token (JWT), 是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準((RFC 7519).定義了一種簡潔的,自包含的方法用於通訊雙方之間以JSON物件的形式安全的傳遞資訊。由於完成的專案

Spring boot 整合shiro實現許可權管理

1.maven整合所需關鍵jar包。 ` <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency>&

springboot整合Shiro安全框架實現許可權控制

技術標籤:框架 springboot整合Shiro安全框架實現許可權控制 當使用shiro安全框架驗證是否有許可權時,需要建立5張表,分別為:

Springboot+Vue+shiro實現前後端分離、許可權控制的示例程式碼

本文總結自實習中對專案的重構。原先專案採用Springboot+freemarker模版,開發過程中覺得前端邏輯寫的實在噁心,後端Controller層還必須返回Freemarker模版的ModelAndView,逐漸有了前後端分離的想法,由於之前,沒有

SpringBoot整合Shiro+MD5+Salt+Redis實現認證和動態許可權管理(上)----築基中期

寫在前面 通過前幾篇文章的學習,我們從大體上了解了shiro關於認證和授權方面的應用。在接下來的文章當中,我將通過一個demo,帶領大家搭建一個SpringBoot整合Shiro的一個專案開發腳手架,將之前學過的知識點串到一起

SpringBoot整合Shiro+MD5+Salt+Redis實現認證和動態許可權管理|前後端分離(下)----築基後期

寫在前面 在上一篇文章《SpringBoot整合Shiro+MD5+Salt+Redis實現認證和動態許可權管理(上)----築基中期》當中,我們初步實現SpringBoot整合Shiro實現認證和授權。

基於springboot實現整合shiro實現登入認證以及授權過程解析

這篇文章主要介紹了基於springboot實現整合shiro實現登入認證以及授權過程解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Springboot通過註解簡單實現許可權控制

自定義一個註解 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME)

SpringBoot整合ELK實現日誌收集

為什麼要用ELK收集日誌 目前大多數專案都是採用微服務架構,在專案的初期,為了按計劃上線就沒有搭建日誌收集分析平臺,日誌都是儲存在伺服器本地,看日誌時一個個的找。隨著專案的服務越來越多,各個服務都是叢集部

SpringBoot:4.SpringBoot整合Mybatis實現資料庫訪問

在公司專案開發中,使用Mybatis居多。在 SpringBoot:3.SpringBoot使用Spring-data-jpa實現資料庫訪問 中,這種jpa風格的把sql語句和java程式碼放到一起,總感覺分離的不夠徹底。基於個人習慣,還是比較喜歡把程式碼

Spring Boot 通過AOP和自定義註解實現許可權控制

相逢便是 緣 ,路過點個 贊 ^.^ 原始碼:https://github.com/yulc-coding/java-note/tree/master/aop

spring-boot-plus整合Shiro+JWT許可權管理

SpringBoot+Shiro+JWT許可權管理 Shiro Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。

SpringBoot 整合 Redisson 實現分散式鎖

上篇 《SpringBoot 整合 redis 分散式鎖優化》對死鎖的問題進行了優化,今天介紹的是 redis 官方推薦使用的 Redisson ,Redisson 架設在 redis 基礎上的 Java 駐記憶體資料網格(In-Memory Data Grid),基於NIO的 N