Live-Server-4-Shiro的简单使用

Apache Shiro是Java的一个安全框架,主要完成:认证、授权、加密、会话管理、缓存等功能,而且API简单,越来越多人使用该框架。

Shiro介绍

基本功能如下:


Shiro基本功能.png
  1. Authentications:身份认证/登录,验证用户是否有对应的身份。
  2. Authorization:授权,判断用户是否拥有某个权限,比如当前用户是否拥有后台管理员管理的权限等。
  3. SessionManager:会话管理,用户登录后的一次会话,在还没退出之前,都是通过会话来识别用户。
  4. Cryptography:加密,保证数据的安全性。
  5. Web Support:便于集成到Web环境中。
  6. Cacheing:缓存,保存用户登录、权限等信息。

Shiro-1.png

Shrio api核心是Subject。每个Subject表示一个主体,可以是一个用户,也可以是一个请求。所有的Subject都会绑定到SecurityManager中,通过SecurityManager.getSubject()方法,可以获取到当前用户的subject。
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager 交互;
且它管理着所有Subject。而SecurityManager是如何判断用户的身份和权限呢?这时就要引入Realm,域的概念,Shiro从Realm中获取安全数据(如权限等),提供给SecurityManager来判断用户的权限。

Shiro使用

通过上述的简介,可以得知,如果我们要对用户分不同的权限,如管理员、普通用户;要对会话进行管理,就需要用到Shiro这个安全框架。Shiro在SpringBoot中的使用就需要创建一个配置类,同时要配置Realm。

一、Shiro配置类

Shiro配置类中,需要配置生命周期处理器、SecurityManager,在该安全管理器中配置Realm、ShiroFilter过滤器、aop注解支持等。

/**
 * spring-boot集成shiro配置类
 */
@Configuration
public class ShiroConfiguration {
    /**
     * 实例化lifecycleBeanPostProcessor
     * shiro生命周期处理器
     *
     * @return
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 实例化DefaultAdvisorAutoProxyCreator
     *
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator daap = new DefaultAdvisorAutoProxyCreator();
        daap.setProxyTargetClass(true);
        return daap;
    }

    /**
     * 实例化自定义realm
     *
     * @return
     */
    @Bean
    public Realm getRealm() {
        return new UserRealm();
    }

    /**
     * 实例化securityManager
     *
     * @return
     */
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(getRealm());
        return securityManager;
    }

    /**
     * 实例化shiroFilter
     *
     * @return
     */
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean() {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(getDefaultWebSecurityManager());
        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/admin/403");
        return shiroFilterFactoryBean;
    }

    /**
     * 开启shiro aop注解支持.
     * 使用代理方式;所以需要开启代码支持;
     *
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(
            org.apache.shiro.mgt.SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

二、Realm

一个应用中可以有一个或者多个Realm,可以通过JDBC、内存来实现。在该系列文章中Server-2 MyBatis逆向生成中,观察仔细的朋友会发现,我创建了permission、role、role-permission三张数据表,分别表示了权限类型、角色类型、角色所拥有的权限这三种含义。这三张表与Realm之间有什么关系呢?在项目中创建了UserRealm用户认证、授权接口。具体代码如下:

public class UserRealm extends AuthorizingRealm {
    private final String realmName = "UserRealm.class";
    @Autowired
    private UserMapper userMapper;
    @Autowired
    private PermissionService permissionService;
    @Autowired
    private RoleMapper roleMapper;

    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        Object principal = principals.getPrimaryPrincipal();
        try {
            if (principal instanceof String) {
                UserExample example = new UserExample();
                UserExample.Criteria criteria = example.createCriteria();
                criteria.andAccountEqualTo((String) principal);
                Integer roleId = userMapper.selectByExample(example).get(0).getRoleId();
                SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
                Role role = roleMapper.selectByPrimaryKey(roleId);
                info.addRole(role.getName());
                Set permissions = permissionService.getPermissionsBy(roleId);
                for (PermissionVO permission : permissions) {
                    info.addStringPermission(permission.getName());
                }
                return info;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

    /**
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        Object principal = token.getPrincipal();
        if (principal instanceof String) {
            String phone = (String) principal;
            UserExample example = new UserExample();
            UserExample.Criteria criteria = example.createCriteria();
            criteria.andAccountEqualTo(phone);
            List users = userMapper.selectByExample(example);
            if (null != users && users.size() > 0) {
                User user = users.get(0);
                return new SimpleAccount(user.getAccount(), user.getPassword(), realmName);
            }
        }
        return null;
    }
}

在UserRealm中,可以看出,其实认证和授权都是通过数据库的数据来进行判断,比如认证,其实就是通过MyBatis来查找数据库中是否存在该用户;授权方法,则是传入用户的账号,查看该用户的角色,再查找该角色所拥有的权限,将账号、角色、权限信息存储到AuthorizationInfo中,即完成用户授权。

三、用户认证

下面几行简单的代码就完成了用户的认证。

Subject subject = SecurityUtils.getSubject();   //获取Subject
AuthenticationToken token = new UsernamePasswordToken(account, MD5Util.encrypt(password)); //根据用户账号、密码获取令牌。
try{
    subject.login(token);
}catch( ..){
  ...
}

首先,第一行代码,getSubject(),这里有个巨坑,我怀疑getSubject()这个方式是根据请求中是否带有cookie,来判断是新的subject还是已经存在的subject,因为如果没有带cookie的请求,每次获取的subject都不一致。如果Subject不唯一,那么会导致Session会话也不唯一,那么session保存的键值对(通常是一些状态、参数)就无法使用,导致功能的异常。
如果登录(用户认证)失败,那么就会抛出不同的异常,比如UnknownAccountException(账号不存在)、IncorrectCredentialsException(账号密码不匹配)、LockedAccountException(不允许登录)等。

你可能感兴趣的:(Live-Server-4-Shiro的简单使用)