SpringBoot整合Shiro
SpringBoot整合Shiro
Shiro:由apache出品的简单的java安全框架。某些用途和Security相似。
Shiro核心组件
UsernamePasswordToken Shiro用来封装用户登录信息,使用用户的登录信息创建Token。
SecurityManager Shiro的核心部分,负责安全认证和授权。
Suject Shiro的抽象概念,包含用户信息。
Realm 开发者自定义的模块,根据项目的需求,验证和授权的逻辑都写在Realm中。
AuthenticationInfo 用户的角色信息集合,认证时使用。
AuthorzationInfo 角色的权限信息集合,授权时使用。
DefaultWebSecurityManager 安全管理器,开发者自定义的Realm需要注入到DefaultWebSecurityManager进行管理才能生效。
ShiroFilterFactoryBean 过滤器工厂,使上面的组件得以运行。
总体流程
用户在访问业务时,首先会被Shiro安全框架所拦截,用户通过UsernamePasswordToken拿到自己的Token,SecurityManager负责安全认证和授权,其中认证信息都在AuthenticationInfo 中获得,授权信息都在AuthorzationInfo 中获得。AuthenticationInfo 和AuthorzationInfo 中的逻辑信息都由Realm编写。最终用户根据Shiro判断的权限可以访问到不同的页面。
SpringBoot整合Shiro
所需依赖
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.3.1.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.woongcha</groupId>
<artifactId>springboot-shiro</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>springboot-shiro</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.5.3</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.47</version>
</dependency>
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.3.1.tmp</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
<exclusions>
<exclusion>
<groupId>org.junit.vintage</groupId>
<artifactId>junit-vintage-engine</artifactId>
</exclusion>
</exclusions>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
application.xml
spring:
datasource:
driver-class-name: com.mysql.jdbc.Driver
username: root
password: 123456
url: jdbc:mysql://localhost:3306/myspringboot
thymeleaf:
prefix: classpath:/templates/
suffix: .html
mybatis-plus:
configuration:
log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
详解认证逻辑的实现
ublic class AccountRealm extends AuthorizingRealm {
private AccountService accountService;
/**
* 认证
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
Account account = accountService.findByUsername(token.getUsername());
if(account != null){
return new SimpleAuthenticationInfo(account,account.getPassword(),getName());
}
return null;
}
}
客户端页面传递的username和password会直接封装到token里面,在调用token.getUsername()方法拿到用户名与数据库中的用户名做对比,如果为空,直接跳出验证;如果不为空,说明用户名在数据库当中,存在用户名为token中的用户。然后调用SimpleAuthenticationInfo函数,当前台传入的密码和account.getPassword()(数据库中的密码)比较,如果密码相等,就通过;如果不一样,抛出异常。
详解DefaultWebSecurityManager Realm ShiroFilterFactoryBean 逻辑的实现
@Configuration
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
factoryBean.setSecurityManager(securityManager);
return factoryBean;
}
@Bean
public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm") AccountRealm accountRealm){
DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
manager.setRealm(accountRealm);
return manager;
}
@Bean
public AccountRealm accountRealm(){
return new AccountRealm();
}
}
利用Ioc容器原理,依次将AccountRealm DefaultWebSecurityManager ShiroFilterFactoryBean 注入容器并取出,使三个组件连通。
编写认证和授权规则
认证过滤器:
anon:无需认证
authc:必须认证
authcBasic:需要通过HttpBasic认证
user:不一定通过认证,只要曾经被Shiro记录过即可。
授权过滤器:
perms:必须拥有某个权限
role:必须拥有某个角色
port:请求的端口必须是指定值。
rest:请求必须基于Restful ,POST,GET,PUT,DELETE
ssl:必须是安全的URL请求,符合HTTPS协议。
创建三个页面分配赋予不同权限main.html,manage.html,administrator.html
访问权限如下:
1 必须登录才能访问 main
2 用户必须有manage权限 manage.html
3用户必须有administrator角色 administrator.html
具体步骤
在ShiroConfig中预设登录界面,不使用默认的login界面
@Configuration
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
factoryBean.setSecurityManager(securityManager);
//权限设置
Map<String,String> map = new Hashtable<>();
map.put("/main","authc");
map.put("/manage","perms[manage]");
map.put("/administrator","roles[administrator]");
factoryBean.setFilterChainDefinitionMap(map);
//设置登陆页面
factoryBean.setLoginUrl("/login");
return factoryBean;
}
@Bean
public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm") AccountRealm accountRealm){
DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
manager.setRealm(accountRealm);
return manager;
}
@Bean
public AccountRealm accountRealm(){
return new AccountRealm();
}
}
controller层
@Controller
public class AccountController {
@GetMapping("/{url}")
public String redirect(@PathVariable("url") String url) {
return url;
}
@PostMapping("/login")
public String login(String username, String password, Model model) {
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try {
subject.login(token);
return "index";
} catch (UnknownAccountException e) {
e.printStackTrace();
model.addAttribute("msg", "用户名错误!");
return "login";
} catch (IncorrectCredentialsException e) {
model.addAttribute("msg", "密码错误!");
e.printStackTrace();
return "login";
}
}
subject.login(token) 将验证的部分交给Shiro来做,通过subject的login方法,验证身份。
登陆页面
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>Titletitle>
<link rel="shortcut icon" href="#"/>
head>
<body>
<form action="/login" method="post">
<table>
<span th:text="${msg}" style="color: red">span>
<tr>
<td>用户名:td>
<td>
<input type="text" name="username"/>
td>
tr>
<tr>
<td>密码:td>
<td>
<input type="password" name="password"/>
td>
tr>
<tr>
<td>
<input type="submit" value="登录"/>
td>
tr>
table>
form>
body>
html>
总结:在Shiro Config文件中,通过依赖注入的方式将三个模块串联起来,只需编写ShiroFilterFactoryBean的业务逻辑即可,且在controller层中,将验证的部分交给Shiro来做,通过subject的login方法,验证身份,达到登陆验证的目的。