SpringBoot整合安全許可權框架Shiro
阿新 • • 發佈:2019-01-24
一、什麼是Shiro
Apache Shiro 是 Java 的一個安全框架。功能強大,使用簡單的Java安全框架,它為開發人員提供一個直觀而全面的認證,授權,加密及會話管理的解決方案。Shiro 包含 10 個內容:1) Authentication:身份認證/登入,驗證使用者是不是擁有相應的身份。2) Authorization:授權,即許可權驗證,驗證某個已認證的使用者是否擁有某個許可權;即判斷使用者是否能做事情,常見的如:驗證某個使用者是否擁有某個角色。或者細粒度的驗證某個使用者對某個資源是否具有某個許可權。3) Session Manager:會話管理,即使用者登入後就是一次會話,在沒有退出之前,它的所有資訊都在會話中;會話可以是普通 JavaSE 環境的,也可以是如 Web 環境的。二、SpringBoot中整合Shiro
1、新增依賴包
<!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> <!-- shiro -->
2、實現Realm需要繼承AuthorizingRealm
其中兩個物件長得很像,AuthenticationInfo與AuthorizationInfo ,前者用於認證登入,後者用於許可權控制的。
public class AuthRealm extends AuthorizingRealm{
@Autowired
private LoginService loginservice;
//認證登入
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken utoken=(UsernamePasswordToken) token; //獲取使用者輸入的token
String username = utoken.getUsername();
String password = new String((char[]) utoken.getCredentials());
char[] s = utoken.getPassword();
ImMftAcc user = loginservice.userLogin(username, password);
if(user!=null) { //認證成功會將使用者資訊放入到Session中,由Shiro來管理
Session session = SecurityUtils.getSubject().getSession();
session.setAttribute("SessionUser", user);
session.setAttribute("SeesionAccount", user.getAccount());
return new SimpleAuthenticationInfo(user, user.getPwd(),this.getClass().getName());
}else {
throw new UnknownAccountException();//異常會在執行登入時捕獲到
}
}
//許可權
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
ImMftAcc user = (ImMftAcc) principal.fromRealm(this.getClass().getName()).iterator().next();//獲取session中的使用者
List<String> permissions = new ArrayList<>();
Set<Role> roles = user.getRoles();
if(roles.size()>0) {
for(Role role : roles) {
Set<Module> modules = role.getModules();
if(modules.size()>0) {
for(Module module : modules) {
permissions.add(module.getMname());
}
}
}
}
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(permissions);
return info;
}
}public class CredentialsMatcher extends SimpleCredentialsMatcher{
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
UsernamePasswordToken utoken=(UsernamePasswordToken) token;
//使用者輸入的密碼
String inPassword = new String(utoken.getPassword());
//資料庫查詢的密碼
String dbPassword=(String) info.getCredentials();
return this.equals(inPassword, dbPassword);
}
}3、實現登入
@Api(value="使用者登入介面API",tags="使用者登入")
@RestController
@RequestMapping("/user")
public class UserLoginController {
@Autowired
private LoginService loginService;
@ApiOperation(value = "使用者登入", notes = "使用者登入")
@ApiImplicitParams({
@ApiImplicitParam(name = "UserInfo", value = "使用者物件", required = true, dataType = "UserInfo"),
})
@RequestMapping(value="/login",method=RequestMethod.POST)
public String loginUser(@RequestBody UserInfo userInfo) {
String accNo = userInfo.getAccount().trim();
String pwd = userInfo.getPwd().trim();
if(StringUtils.isEmpty(accNo)||StringUtils.isEmpty(pwd)) {
return "-2";
}
UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken(accNo, pwd);
Subject subject = SecurityUtils.getSubject();
try {
subject.login(usernamePasswordToken);
UserInfo user = (UserInfo) subject.getPrincipal();
return "0";
} catch(Exception e) {
return "-1";
}
}
@ApiOperation(value = "登出登入", notes = "登出登入")
@RequestMapping(value="/logout",method=RequestMethod.GET)
public String logout(RedirectAttributes redirectAttributes ){
SecurityUtils.getSubject().logout();
return "0";
}
}