shiro学习二(Spring boot整合shiro读取ini权限配置文件实现认证)
一、代码展示
1.user对象
import lombok.Data;
/**
* @Package: com.shiro1
* @ClassName: User
* @Author: tanp
* @Description: 用户实体
* @Date: 2020/7/3 9:40
*/
@Data
public class User {
private String userName;
private String password;
public User(String name,String password){
this.userName = name;
this.password = password;
}
}2.pom文件
4.0.0
org.springframework.boot
spring-boot-starter-parent
2.3.1.RELEASE
com
shiro1
0.0.1-SNAPSHOT
shiro1
Demo project for Spring Boot
1.8
org.springframework.boot
spring-boot-starter
org.springframework.boot
spring-boot-devtools
runtime
true
org.projectlombok
lombok
true
org.springframework.boot
spring-boot-starter-test
test
org.junit.vintage
junit-vintage-engine
org.apache.shiro
shiro-spring-boot-starter
1.4.1
org.springframework.boot
spring-boot-maven-plugin
3.ini配置文件
#定义用户
[users]
#用户名 zhang3 密码是 12345, 角色是 admin
zhang3 = 12345, admin
#用户名 li4 密码是 abcde, 角色是 产品经理
li4 = abcde,productManager
#定义角色
[roles]
#管理员什么都能做
admin = *
#产品经理只能做产品管理
productManager = addProduct,deleteProduct,editProduct,updateProduct,listProduct
#订单经理只能做产品管理
orderManager = addOrder,deleteOrder,editOrder,updateOrder,listOrder4.启动类
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
@SpringBootApplication
public class Shiro1Application {
public static void main(String[] args) {
SpringApplication.run(Shiro1Application.class, args);
//获取用户对象集合
List users = getUserList();
//获取角色集合
List roles = getRoles();
//获取权限集合
List permissions = getPermissions();
//判断登录
for (User user : users) {
if (login(user)) {
System.out.println(user.getUserName() + "成功登录");
} else {
System.out.println(user.getUserName() + "登录失败");
}
}
//判断登录的用户是否拥有某个角色
for (User user : users) {
for (String role : roles) {
if (login(user)) {
if (hasRole(user, role)) {
System.out.println(user.getUserName() + "拥有角色:" + role);
} else {
System.out.println(user.getUserName() + "尚未拥有角色:" + role);
}
}
}
}
//判断登录的用户是否拥有某个权限
for (User user : users) {
for (String permission : permissions) {
if (login(user)) {
if (isPermited(user, permission)) {
System.out.println(user.getUserName() + "拥有权限:" + permission);
} else {
System.out.println(user.getUserName() + "尚未拥有权限:" + permission);
}
}
}
}
}
/**
* @Description 判断是否包含某个曲线
* @Date 2020/7/3 11:00
* @Author tanp
*/
private static boolean isPermited(User user, String permission) {
Subject subject = getSubject(user);
return subject.isPermitted(permission);
}
/**
* @Description 判断是否包含某个角色
* @Date 2020/7/3 10:54
* @Author tanp
*/
private static boolean hasRole(User user, String role) {
Subject subject = getSubject(user);
return subject.hasRole(role);
}
/**
* @Description 登录
* @Date 2020/7/3 10:05
* @Author tanp
*/
private static boolean login(User user) {
//获取subject对象
Subject subject = getSubject(user);
//已经登录过,退出
if (subject.isAuthenticated()) {
subject.logout();
}
UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword());
//调用login方法,将用户的数据token 最终传递到Realm中进行对比
try {
subject.login(token);
} catch (AuthenticationException e) {
System.out.println(user.getUserName() + "验证身份信息失败");
return false;
}
return subject.isAuthenticated();
}
/**
* @Description 获取subject对象
* @Date 2020/7/3 10:07
* @Author tanp
*/
private static Subject getSubject(User user) {
//下面这行代码过期了
//Factory factory = new IniSecurityManagerFactory("classpath:shiro-config.ini");
//取代方法为:初始化一个DefaultSecurityManager对象,然后创建一个基于ini文件的Realm域,然后将域绑定到DefaultSecurityManager实例对象中
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
defaultSecurityManager.setRealm(iniRealm);
//把securityManager实例绑定到SecurityUtils
SecurityUtils.setSecurityManager(defaultSecurityManager);
return SecurityUtils.getSubject();
}
/**
* @Description 获取权限集合
* @Date 2020/7/3 10:00
* @Author tanp
*/
private static List getPermissions() {
String[] permission = {"addProduct", "addOrder"};
return Arrays.asList(permission);
}
/**
* @Description 获取角色集合
* @Date 2020/7/3 9:52
* @Author tanp
*/
private static List getRoles() {
String[] roles = {"admin", "product"};
return Arrays.asList(roles);
}
/**
* @Description 获取user对象
* @Date 2020/7/3 9:50
* @Author tanp
*/
private static List getUserList() {
List userList = new ArrayList<>();
User zhang3 = new User("zhang3", "12345");
User li4 = new User("li4", "abcde");
User wan5 = new User("wan5", "wrongpassword");
userList.add(zhang3);
userList.add(li4);
userList.add(wan5);
return userList;
}
} 二、结果展示
三、代码结构
代码结构很简单,application.properties中没有任何东西,ini文件配置用户密码、具有的权限等,user对象用来模拟登陆对象,所有业务处理都在启动类中做处理,因为是拿来做入门项目,所以结构写的很简单
四、涉及知识点讲解
1.引入pom依赖
org.apache.shiro shiro-spring-boot-starter 1.4.1
2.获取Subject对象
Shiro 是从根对象 SecurityManager 进行身份验证和授权的;也就是所有操作都是自它开始的,这个对象是线程安全且真个应用只需要一个即可,因此 Shiro 提供了 SecurityUtils 让我们绑定它为全局的,方便后续操作。
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
defaultSecurityManager.setRealm(iniRealm);
//把securityManager实例绑定到SecurityUtils
SecurityUtils.setSecurityManager(defaultSecurityManager);
return SecurityUtils.getSubject();
在上面的代码中可以看到,首先是新建一个类型为 org.apache.shiro.mgt.DefaultSecurityManager 的默认的 SecurityManager,然后新建了一个IniRealm对象,这个对象是relam中专门用来读取ini文件的relame对象,然后设置relam对象到SecurityManager对象中,再将SecurityManager绑定到 SecurityUtils 中,最后则可以通过 SecurityUtils 获取Subject对象
3.权限认证
通过上面的代码我们就可以明白,shiro通过subject对象调用相应的方法即可认证等功能。
是否包含某个权限
private static boolean isPermited(User user, String permission) {
Subject subject = getSubject(user);
return subject.isPermitted(permission);
}是否包含某个角色
private static boolean hasRole(User user, String role) {
Subject subject = getSubject(user);
return subject.hasRole(role);
}4.登录,登出
从上面的代码可以发现,要实现登录,登出
需要新建一个UsernamePasswordToken,将需要登录的用户和密码设置进去,然后通过subject对象调用login,logout方法
5.ini文件配置
ini 配置文件类似于 Java 中的 properties(key=value),不过提供了将 key/value 分类的特性,key 是每个部分不重复即可,而不是整个配置文件。如下是 INI 配置分类:
[main]
\#提供了对根对象securityManager及其依赖的配置
securityManager=org.apache.shiro.mgt.DefaultSecurityManager
…………
securityManager.realms=$jdbcRealm
[users]
\#提供了对用户/密码及其角色的配置,用户名=密码,角色1,角色2
username=password,role1,role2
[roles]
\#提供了角色及权限之间关系的配置,角色=权限1,权限2
role1=permission1,permission2
[urls]
\#用于web,提供了对web url拦截相关的配置,url=拦截器[参数],拦截器
/index.html = anon
/admin/** = authc, roles[admin], perms["permission1"][main] 部分和[urls] 部分在我的代码中是没有配置的,代码中是通过Java新建securityManager对象,因为没有涉及到访问页面,所以urls也省略未配置
五、总结
本片博客只是手动模拟了一些对象,然后在配置文件中配置了一些用户具有的权限,角色等,然后熟悉用户登录,登出,具有权限的判断等,可以作为shiro入门很好的一个案例,下篇将讲述通过springboot配置方式获取securityManager对象,并读取数据中的数据实现用户登录,登出,权限判断等。