spring集成shiro简单权限实现

一.背景

公司新项目淘宝客返利项目，由我负责后端开发接口，经过了解，淘宝客项目分为移动端（IOS，安卓）和PC端（后台管理页面），移动端要求登陆后30天内免登陆，所以我选择了用shiro来实现权限控制。

二.选用技术

基础框架:springmvc+mybatis

安全框架：shiro

存储：mysql+redis

三.实现流程

统一登陆.png

四.具体实现

问题一：
shiro是通过以来cookie 来实现的登陆,在app端是没有cookie这一说的，所以，决定用shiro来生成token，完成登陆。
解决方案：
在登陆的时候，生成一个uuid当作token，把token当作key，userInfo当作value存入redis中，并返回给前端token，每次请求必须把token带入请求头中。

    public ResponseEntity login(@RequestBody LoginUserEntity loginUserEntity) {
        if (StringUtils.isEmpty(loginUserEntity.getMobile()) && StringUtils.isEmpty(loginUserEntity.getUnionId())) {
            return new ResponseEntity<>(new Result<>(ErrorCode.ILLEGAL_PARAMETER), HttpStatus.OK);
        }
        try {
            TbkUserNameToken token = new TbkUserNameToken(loginUserEntity);
            SecurityUtils.getSubject().login(token);
        } catch (UnknownAccountException e) {
            return new ResponseEntity(new Result<>(ErrorCode.USER_NO_EXIST), HttpStatus.OK);
        } catch (IncorrectCredentialsException e) {
            return new ResponseEntity(new Result<>(ErrorCode.PASSWORD_ERROR), HttpStatus.OK);
        } catch (AccountException e) {
            return new ResponseEntity(new Result<>(ErrorCode.MOBILE_CODE_ERROR), HttpStatus.OK);
        } catch (UnsupportedTokenException e) {
            return new ResponseEntity(new Result<>(ErrorCode.SYSTEM_ERROR), HttpStatus.OK);
        }
        UserInfo token = (UserInfo) SecurityUtils.getSubject().getPrincipal();
        return new ResponseEntity<>(new Result<>(token), HttpStatus.OK);
    }

问题二：
由于app是用户入口，pc端是管理员入口，所以，又一个简单的权限验证，我把这权限分为了3中，登陆后权限，不登陆权限，登陆后admin权限，自定义了一个user的权限，user['admin']

    
        
        
        
        
        
        
        
        
        
            
                
            
        
        
        
            
                /favorite/** = user
                /autm/** = user['admin']
                /admin/** = user['admin']
                /jhs/** = user['admin']
                /wx/** = user['admin']
                /fans/** = user
                /share/item/** = user
                /account/** =user
                /cash/** = user
                /usercenter/** = user
                /** = anon
            
        

当需要用户登陆时候才能访问的路径，我标志为user，当需要用户登陆，并且具有admin权限的时候，我对路径验证是需要user['admin']权限的，其他的属于开放权限 anon
问题三：
权限验证时，如果出现问题，需要返回给前端明确的错误码。

    protected boolean isAccessAllowed(ServletRequest req, ServletResponse response, Object mappedValue) {

        HttpServletRequest request = (HttpServletRequest) req;
        String token = request.getHeader("token");
        if (StringUtils.isEmpty(token)) {
            return false;
        }
        String s = redisClient.get(token);
        if (StringUtils.isEmpty(s)) {
            return false;
        }
        try {
            UserInfo userInfo = JSON.parseObject(s, UserInfo.class);
            if (userInfo == null) {
                return false;
            }
            if (mappedValue == null) {
                return true;
            }
            if (mappedValue != null && JSON.toJSONString(mappedValue).contains("admin")) {
                return userInfo.isAdmin();
            }
        } catch (Exception e) {
            logger.error("error access allowed", e);
        }
        return false;
    }
 返回fasle的时候，会调用下面方法：
    @Override
    protected boolean onAccessDenied(ServletRequest req, ServletResponse resp, Object mappedValue) throws Exception {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) resp;
        WebUtils.sendJson(JSON.toJSONString(new Result<>(ErrorCode.INVALID_USER)), response);
        return false;
    }

五.总结

本次项目时间非常紧，全部加起来只有1个月时间，要求全部功能上线，后端开发就我一个人，必须对接安卓，ios以及pc的前端，所以在设计shiro的登陆上，怎么简单怎么来的，从解决问题出发，不影响用户登陆为前提，用redis来控制过期时间，虽然本次登陆设计非常简单，但是从目前上线情况来看，还是非常靠谱的。
shiro对spring 的集成网上有很多的文章，我只是提供我自己的统一登陆方案，所以只是贴出来部分代码。同时记录下本次快速开发迭代的技术选型，希望后期不会有问题。不然我要跑路了