上一篇写了springboot与redis集群的整合,接下来我们写一个通用业务相关的功能,本来打算写elasticsearch相关的整合的,但是这块环境我还不太熟悉,需要了解一下再继续,以后肯定会写的。
我这里打算做成一个开箱即用的开源系统,所以也会从基础业务开始写起。
1、权限认证
开始还是先写一些基础知识,权限主要用于资源和用户的一些校验。
对于java项目,常用的权限校验的组件主要有shiro和security,而shiro由于功能简单,上手快而很快的被程序员喜爱。这里我们也以shiro为主,参考 shiro官网,
我觉得学习一门新的东西,最快的就是参考官方文档。
开涛老师的shiro系列也是非常的赞,跟我学shiro系列
2、框架的搭建
首先还是在Spring官网 搭建基础配置
项目中集成了jwt,但是这里还没有使用,这次只是简单的把项目搭建起来,做简单的测试。
pom.xml
org.springframework.boot
spring-boot-starter
org.springframework.boot
spring-boot-starter-test
test
org.springframework.boot
spring-boot-starter-thymeleaf
org.springframework.boot
spring-boot-starter-web
mysql
mysql-connector-java
runtime
org.mybatis.spring.boot
mybatis-spring-boot-starter
1.1.1
org.springframework.boot
spring-boot-starter-data-jpa
org.apache.shiro
shiro-core
1.2.1
org.apache.shiro
shiro-web
1.3.2
org.apache.shiro
shiro-spring
1.3.2
io.jsonwebtoken
jjwt
org.springframework.boot
spring-boot-starter-logging
3、shiroConfig配置
@Configuration
public class ShiroConfig {
/**
* ShiroFilterFactoryBean 处理拦截资源文件问题。
* 注意:单独一个ShiroFilterFactoryBean配置是或报错的,以为在
* 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager
* Filter Chain定义说明 1、一个URL可以配置多个Filter,使用逗号分隔 2、当设置多个过滤器时,全部验证通过,才视为通过
* 3、部分过滤器可指定参数,如perms,roles
*/
@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
factoryBean.setSecurityManager(securityManager);
factoryBean.getFilters().put("authControlFilter", authControlFilter());
//拦截器.
Map filterChainDefinitionMap = new LinkedHashMap();
filterChainDefinitionMap.put("/*", "authControlFilter");
filterChainDefinitionMap.put("/favicon.ico", "anon");
factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return factoryBean;
}
@Bean
public SecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setSubjectFactory(subjectFactory());
securityManager.setSessionManager(sessionManager());
securityManager.setRealm(authRealm());
/*
* 禁用使用Sessions 作为存储策略的实现,但它没有完全地禁用Sessions
* 所以需要配合context.setSessionCreationEnabled(false);
*/
((DefaultSessionStorageEvaluator)((DefaultSubjectDAO)securityManager.getSubjectDAO()).getSessionStorageEvaluator()).setSessionStorageEnabled(false);
return securityManager;
}
/**
* Add.2.1
* subject工厂管理器.
* @return
*/
@Bean
public DefaultWebSubjectFactory subjectFactory(){
StatelessDefaultSubjectFactory subjectFactory = new StatelessDefaultSubjectFactory();
return subjectFactory;
}
/**
* Add.2.4
* session管理器:
* sessionManager通过sessionValidationSchedulerEnabled禁用掉会话调度器,
* 因为我们禁用掉了会话,所以没必要再定期过期会话了。
* @return
*/
@Bean
public DefaultSessionManager sessionManager(){
DefaultSessionManager sessionManager = new DefaultSessionManager();
sessionManager.setSessionValidationSchedulerEnabled(false);
return sessionManager;
}
/**
* 身份认证realm; (这个需要自己写,账号密码校验;权限等)
*
* @return
*/
@Bean
public AuthRealm authRealm() {
AuthRealm authRealm = new AuthRealm();
return authRealm;
}
/**
* Add.4.1
* 访问控制器.
* @return
*/
@Bean
public AuthControlFilter authControlFilter(){
AuthControlFilter authControlFilter = new AuthControlFilter();
return authControlFilter;
}
}
备注:这里有很多的坑,网上很多的代码根本跑步起来啊,希望小伙伴们写博客的时候,把代码至少自己跑一遍,首先我这里使用的是idea编辑器,eclipse没有试。
- 1、filterChainDefinitionMap.put("/favicon.ico", "anon"); 这行代码一定要配置,切记。不然会执行多次
- shiroFilter:主要做资源的拦截,注意所有的请求都会被 ShiroFilter 拦截并进行相应的链式处理,可以说是所有配置的入口,简化配置,方便使用。
5、Realm的配置
shiro的认证过程最终会交由Realm执行,这时会调用Realm的getAuthenticationInfo(token)方法。
public class AuthRealm extends AuthorizingRealm {
private static final Logger logger = LoggerFactory.getLogger(AuthorizingRealm.class);
private static final String USER_NAME = "admin";
private static final String PASSWORD = "123456";
/**
* 仅支持StatelessToken 类型的Token,
* 那么如果在StatelessAuthcFilter类中返回的是UsernamePasswordToken,那么将会报如下错误信息:
* Please ensure that the appropriate Realm implementation is configured correctly or
* that the realm accepts AuthenticationTokens of this type.StatelessAuthcFilter.isAccessAllowed()
*/
@Override
public boolean supports(AuthenticationToken token) {
return token instanceof StatelessAuthenticationToken;
}
/**
* 认证信息.(身份验证) : Authentication 是用来验证用户身份
* 授权
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
logger.info("StatelessRealm.doGetAuthorizationInfo()");
//根据用户名查找角色,请根据需求实现
String username = (String) principalCollection.getPrimaryPrincipal();
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
//这里模拟admin账号才有role的权限.
if("admin".equals(username)){
authorizationInfo.addRole("0");
}
return authorizationInfo;
}
/**
* 登录验证
* @param authenticationToken
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
logger.info("authRealm.doGetAuthenticationInfo()");
StatelessAuthenticationToken statelessToken = (StatelessAuthenticationToken)authenticationToken;
String username = (String)statelessToken.getPrincipal();//不能为null,否则会报错的.
//根据用户名获取密钥(和客户端的一样)
//在服务器端生成客户端参数消息摘要
String serverDigest = DecriptUtil.MD5(USER_NAME+PASSWORD);
logger.info("{$serverDigest}:{}",serverDigest);
logger.info("---------------->"+serverDigest+","+statelessToken.getCredentials());
//然后进行客户端消息摘要和服务器端消息摘要的匹配
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
statelessToken.getCredentials(),
serverDigest,
getName());
return authenticationInfo;
}
//得到密钥,此处硬编码一个.
private String getKey(String username) {
return username;
}
}
接下来还有DefaultWebSubjectFactory和AuthenticationToken的配置,这里就不多做说明了,具体可以运行代码看看lessons-7
github