Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
参考https://segmentfault.com/a/1190000011918957
Shiro权限控制之登录认证
shiro的主要功能有认证,授权,加密,会话管理,缓存等
一大堆功能会让你觉得学起来毫无胃口,这里我们主要知道什么是认证,授权就行。
认证就是登录认证:你登录了这个网页,shiro会通过一个口令(这里我们用token)来认证你,当然你也会用这个口令去得到服务器的认可,进行后续的权限操作;
授权就是权限受理:shiro会根据你提供的信息进行认证之后,给予你相应的权力(如删除,添加等);
要记住Shiro不会给你创建和维护关系表,需要我们自己在数据库创建出对应的关系表:用户——角色——权限
让我们看下这几张表:
-
user(用户表)
image.png -
role(角色表)
image.png - permission(权限表)
image.png
用户和角色是一对多的关系,一个用户可以拥有多个角色(比如管理员,普通用户)
角色和权限是多对多的关系,一个角色可以用个多个权限,一个权限也能对应多个用户
当然还有关联表,这里不多说,因为我们只做登录验证,所以目前只需要一张用户表即可
那么什么是登录认证,我想很多初学者会曲解它的意思,它并不是帮助你去登录用户名账号的。
要真正理解它,我们就需要知道shiro是用来干什么的?登录认证在shiro中起什么作用?
前面说了shiro是用来做权限管理的,而登录之后怎样才能让shiro一直记得你,这就是登录认证的作用
那么有同学就会问,为什么要用shiro的认证,而不去使用数据库的用户表来认证?
这个问题我也问过,继续理解便会知道:
因为你之后的每次操作都要用服务端返回给你的数据来校验,如果使用User表数据是极不安全和不可靠的,既然加入了shiro框架,就要考虑到安全性,所以我们会使用token来进行校验,这也是本篇文章的重点!
第一步:引入相关包
这里我使用maven来进行包的管理:
4.0.0
cn.lxt
demo
0.0.1-SNAPSHOT
jar
demo
Demo project for Spring Boot
org.springframework.boot
spring-boot-starter-parent
1.5.8.RELEASE
UTF-8
UTF-8
1.8
org.springframework.boot
spring-boot-starter
org.springframework.boot
spring-boot-starter-test
test
org.springframework.boot
spring-boot-starter-thymeleaf
1.5.8.RELEASE
org.springframework.boot
spring-boot-starter-jdbc
1.5.8.RELEASE
org.springframework.boot
spring-boot-starter-data-jpa
1.5.8.RELEASE
org.springframework.boot
spring-boot-starter-data-rest
1.5.8.RELEASE
org.springframework.boot
spring-boot-devtools
1.5.8.RELEASE
true
true
org.mybatis.spring.boot
mybatis-spring-boot-starter
1.3.1
mysql
mysql-connector-java
5.1.38
org.mybatis
mybatis
3.4.5
org.mybatis.generator
mybatis-generator-core
1.3.5
org.springframework.boot
spring-boot-starter-aop
1.5.8.RELEASE
junit
junit
4.12
com.alibaba
druid
1.1.5
org.apache.shiro
shiro-spring
1.3.2
org.apache.shiro
shiro-ehcache
1.3.2
org.apache.shiro
shiro-cas
1.3.2
org.springframework.boot
spring-boot-maven-plugin
true
org.mybatis.generator
mybatis-generator-maven-plugin
1.3.5
true
true
mysql
mysql-connector-java
5.1.30
第二步:配置Shiro
pom配置好之后,我们就要用java编写shiro的全局配置类。
在配置shiro之前我们需要明白它的三大要素:
Subject:单个对象,与如何应用交互的用户对象;
SecurityManager:安全管理器,管理Subject;
Realm:域,SecurityManager与Realm交互获得数据(用户-角色-权限)
知道这些后我们开始新建一个ShiroConfig类:
(因为本篇只学习登录认证,所以我们先不用缓存管理,密码编码等功能)
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
public class shiroConfig {
/**
* 负责shiroBean的生命周期
*/
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
return new LifecycleBeanPostProcessor();
}
/**
*这是个自定义的认证类,继承子AuthorizingRealm,负责用户的认证和权限处理
*/
@Bean
@DependsOn("lifecycleBeanPostProcessor")
public MyShiroRealm shiroRealm(){
MyShiroRealm realm = new MyShiroRealm();
//realm.setCredentialsMatcher(hashedCredentialsMatcher());
return realm;
}
/** 安全管理器
* 将realm加入securityManager
* @return
*/
@Bean
public SecurityManager securityManager(){
//注意是DefaultWebSecurityManager!!!
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(shiroRealm());
return securityManager;
}
/** shiro filter 工厂类
* 1.定义ShiroFilterFactoryBean
* 2.设置SecurityManager
* 3.配置拦截器
* 4.返回定义ShiroFilterFactoryBean
*/
@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
//1
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//2
//注册securityManager
shiroFilterFactoryBean.setSecurityManager(securityManager);
System.out.println("11");
//3
// 拦截器+配置登录和登录成功之后的url
//LinkHashMap是有序的,shiro会根据添加的顺序进行拦截
Map filterChainDefinitionMap = new LinkedHashMap();
//配置不会被拦截的连接 这里顺序判断
//anon,所有的url都可以匿名访问
//authc:所有url都必须认证通过才可以访问
//user,配置记住我或者认证通过才能访问
//logout,退出登录
filterChainDefinitionMap.put("/JQuery/**","anon");
filterChainDefinitionMap.put("/js/**","anon");
//配置退出过滤器
filterChainDefinitionMap.put("/example1","anon");
filterChainDefinitionMap.put("/lxt","anon");
filterChainDefinitionMap.put("/login","authc");
filterChainDefinitionMap.put("/success","anon");
filterChainDefinitionMap.put("/index","anon");
filterChainDefinitionMap.put("/Register","anon");
filterChainDefinitionMap.put("/logout","logout");
//过滤连接自定义,从上往下顺序执行,所以用LinkHashMap /**放在最下边
filterChainDefinitionMap.put("/**","authc");
//设置登录界面,如果不设置为寻找web根目录下的文件
shiroFilterFactoryBean.setLoginUrl("/lxt");
//设置登录成功后要跳转的连接
shiroFilterFactoryBean.setSuccessUrl("/success");
//设置登录未成功,也可以说无权限界面
shiroFilterFactoryBean.setUnauthorizedUrl("/403");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
System.out.println("shiro拦截工厂注入类成功");
//4
//返回
return shiroFilterFactoryBean;
}
}
以上需要注意几点:
1.shiroFilter是入口,主要有四步操作,代码中已经注释清楚
2.shiroFilterFactoryBean.setLoginUrl("/lxt");启动类不管你输入怎样的url,他都会跳转到登录启动类;
3.shiroFilterFactoryBean.setSuccessUrl("/success");登录成功后跳转的类,这个方法大家可以不用管,因为我感觉它根本用不到,大神别喷!
第三步:配置Realm
看完了ShiroConfig类之后,许多人会问:噫!我的MyShiroRealm怎么导入不进来!
其实这个方法的调用需要我们自己再写一个Realm类继承AuthorizingRealm。
继承之后我们需要重写两个方法:
1.doGetAuthorizationInfo()方法用于角色和权限的控制,暂不使用;
2.doGetAuthenticationInfo()方法用于登录认证,重点。
下面贴出代码:
package cn.lxt.shiro;
import cn.lxt.bean.User;
import cn.lxt.service.UsersService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
public class MyShiroRealm extends AuthorizingRealm {
@Autowired
private UsersService usersService;
/**
* 用于获取登录成功后的角色、权限等信息
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
/**
* 验证当前登录的Subject
* @param token
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//拿到账号(username)
String username = (String) token.getPrincipal();
System.out.println("username=:"+username);
//检查token的信息
System.out.println(token.getCredentials());
User user = usersService.findByName(username);
if (user==null){
return null;
}
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),getName());
return info;
}
}
通过以上代码你会发现,我们是怎样进行验证的,进行验证的关系点是传入的参数token
现在大家应该明白了token在本篇文章中的作用!
当然有些同学看到这里还是云里雾里,在这我稍微讲解一些思路:
1.当我们进行账号密码登录的时候,会创建一个token(token只是一种概念,具体的实现还是要定义的)到数据库;
2.token存入的时候绑定了登录传入的用户名和密码(token又很多实现类,推荐使用UsernamePasswordToken);
3.shiro自带的框架会将token与SimpleAuthenticationInfo类对象进行比较,失败抛出指定异常(需要自己捕获)
第四步:Controller的编写
完成上面shiroFactory和realm的配置之后;
我们就要真正的去调用shiro的认证功能了
要明白,在shiro的登录认证中:
Controller帮你获取post参数后,
进行参数绑定,再调用subject.login()方法;
如果用户名密码正确,会跳转SuccessUrl,
所以说Controller获取参数后注入给Shiro,信息错误则在Controller中报错
@PostMapping(value = "testLogin")
public Map testLogin(@RequestParam("name")String name,@RequestParam("password")String password){
Map map = new HashMap();
//创建subject实例
Subject subject = SecurityUtils.getSubject();
//判断当前的subject是否登录
if (subject.isAuthenticated()==false){
//将用户名和密码存入UsernamePasswordToken中
UsernamePasswordToken token = new UsernamePasswordToken(name,password);
try {
//将存有用户名和密码的token存进subject中
subject.login(token);
}catch (UnknownAccountException uae){
System.out.println("没有用户名为"+token.getPrincipal()+"的用户");
} catch (IncorrectCredentialsException ice){
System.out.println("用户名为:"+token.getPrincipal()+"的用户密码不正确");
} catch (LockedAccountException lae){
System.out.println("用户名为:"+token.getPrincipal()+"的用户已被冻结");
} catch (AuthenticationException e){
System.out.println("未知错误!");
}
}
return "success";
}
第五步:在Restful风格下的实现
以上只是在springmvc中的shiro实现,
但是实际开发中,前后端分离越来越流行,
分离之后的RestFulApi我们要怎么实现shiro呢?
在这里我的想法是自己创建token
RestFul下的思路:
1.当我们进行账号密码登录的时候,会创建一个token(UUID随机生成)
2.token存入的时候要记得它是随机生成的,生成之后会与用户登录的id进行绑定;
3.我们登录完成之后,返回给浏览器的JSON对象要包含token值,浏览器会把token值存入到浏览器中。
思路清楚之后我们要进行实现:
- 创建token:
package cn.lxt.controller;
import cn.lxt.bean.User;
import cn.lxt.service.TokenService;
import cn.lxt.service.UsersService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
import java.util.Map;
@Controller
public class LoginController {
@Autowired
private UserService userService;
@Autowired
private TokenService tokenService;
@ApiOperation(value = "登录验证",notes = "成功返回200,失败返回500,返回一个TokenJSON对象")
@ApiImplicitParams({
@ApiImplicitParam(name = "name",value = "账号名",required = true,dataType = "String"),
@ApiImplicitParam(name = "password",value = "密码",required = true,dataType = "String")
})
@RequestMapping(value = "/ajaxLogin",method = RequestMethod.POST)
public Map ajaxLogin(@RequestParam("name")String name, @RequestParam("password")String password){
tokenService.checkExpire();
Map map = new HashMap();
User user = new User(name,password);
int status = userService.queryUser(user);
if (status==200){
map = tokenService.createToken(user);
}
map.put("status",status);
return map;
}
}
在controller中返回一个User和Token给前端;
- 在Service中创建token,并且存入数据库:
package cn.lxt.service.Impl;
import cn.lxt.bean.Token;
import cn.lxt.dao.TokenMapper;
import cn.lxt.service.TokenService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;
@Service
public class TokenServiceImple implements TokenService{
private static final int Expire = 3600*25;
@Autowired
private UserMapper userMapper;
@Autowired
private TokenMapper tokenMapper;
@Override
public Map createToken(User user) {
User user1 = userMapper.selectByNameAndPassword(user);
//创建TokenEntity参数
String newtoken = UUID.randomUUID().toString();
Date updateTime = new Date();
Date expireTime = new Date(updateTime.getTime()+Expire*1000);
Token token = new Token(newtoken,user1.getId(),updateTime,expireTime);
//判断token是否已经存在,不存在就存入,存在就更新
if (tokenMapper.findByUserId(user1.getId())==null){
tokenMapper.insert(token);
System.out.println("存入成功");
}else {
tokenMapper.updateByToken(token);
System.out.println("更新成功");
}
Map map = new HashMap();
map.put("token",token);
return map;
}
@Override
public void checkExpire() {
Date now = new Date();
List list = tokenMapper.selectByExample(new TokenExample());
for (Token token:list){
if (token.getExpiretime().getTime() 上面创建token的时候因为时间原因没有判断用户Id的token是否已在数据库存在,你们可以自己试下;
- 我们token已经创建了,并且把它以JSON的格式穿了过去,现在要做的就是把token存到浏览器中:
在登录界面的登录按钮上,我们设置一个js方法:
function login() {
var name = document.getElementById('name').value;
console.log(name);
var password=document.getElementById('password').value;;
var url='http://localhost:8088/ajaxLogin'
$.ajax({
url:url,
type:'post',
data:{name:name,password:password},
datatype:'json',
success:function (result) {
if(result.status==200){
localStorage.setItem("token",result.token)
console.log(result)
}else if(result.status=500){
alert('登录失败!')
}
}
})
}
上面代码把token传进localStorage中了。
但是,细心的同学会发现,虽然存进了localStorage中,但是从请求头传给后端是最优解决方案,也就是需要将token附加在Header里,而且我们要做到访问任意url,都能把token从localStorage转存到Header中,这个问题就交给机智的你们了-_-