SpringBoot怎么整合Shiro

SpringBoot怎么整合Shiro

今天小编给大家分享一下SpringBoot怎么整合Shiro的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下吧。

SpringBoot整合Shiro思路分析

鉴权流程分析

我们将我们的SpringBoot应用整合shiro,主要目的就是让shiro帮我们处理认证和授权的相关内容。也就是说,我们需要让shiro接管我们SpringBoot应用的会话。让用户的每一次请求都经过shiro进行认证和授权。因此,我们需要将用户请求拦截下来转发给shiro处理,这个拦截器是shiro提供的,ShiroFilter

步骤

  1. 用户通过客户端(浏览器、手机App、小程序)发起请求

  2. ShiroFilter拦截请求并判断请求访问的资源是否为受保护资源:

    2.1 是,则执行步骤3

    2.2 不是,则直接放行

  3. 判断用户是否已通过认证:

    3.1 是 ,则执行步骤4

    3.2 否,将用户请求重定向到认证页面,让用户先认证

  4. 获取用户权限信息和访问资源所需要的权限信息进行比对:

    4.1 用户具备访问权限,则放行

    4.2 用户不具备权限,返回403的相应提示

数据库分析设计

我们通过MySQL保存我们的认证和权限的相关数据。采用用户-角色-权限模型实现动态管理用户权限信息。

我们将系统当中的菜单、按钮、后端接口都抽象成系统的资源数据。以下是数据库表的设计:

文末提供sql脚本的下载。

整合步骤

环境搭建

maven

创建一个SpringBoot的web应用,并引入如下依赖

<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring-boot-web-starter</artifactId><version>1.6.0</version></dependency>

添加对用户、角色和资源的CRUD支持

这里代码就省略了,不影响理解,完整代码可以从文末提供的方式中下载。

配置Shiro

自定义Realm

/**自定义Realm,使用mysql数据源*@author赖柄沣bingfengdev@aliyun.com*@version1.0*@date2020/10/69:09*/publicclassMySQLRealmextendsAuthorizingRealm{@AutowiredprivateIUserServiceuserService;@AutowiredprivateIRoleServiceroleService;@AutowiredprivateIResourceServiceresourceService;/***授权*@paramprincipals*@return*/@OverrideprotectedAuthorizationInfodoGetAuthorizationInfo(PrincipalCollectionprincipals){Stringusername=(String)principals.getPrimaryPrincipal();List<Role>roleList=roleService.findByUsername(username);SimpleAuthorizationInfoauthorizationInfo=newSimpleAuthorizationInfo();for(Rolerole:roleList){authorizationInfo.addRole(role.getRoleName());}List<Long>roleIdList=newArrayList<>();for(Rolerole:roleList){roleIdList.add(role.getRoleId());}List<Resource>resourceList=resourceService.findByRoleIds(roleIdList);for(Resourceresource:resourceList){authorizationInfo.addStringPermission(resource.getResourcePermissionTag());}returnauthorizationInfo;}/***认证*@paramtoken*@return*@throwsAuthenticationException*/@OverrideprotectedAuthenticationInfodoGetAuthenticationInfo(AuthenticationTokentoken)throwsAuthenticationException{if(token==null){returnnull;}Stringprincipal=(String)token.getPrincipal();Useruser=userService.findByUsername(principal);SimpleAuthenticationInfosimpleAuthenticationInfo=newSimpleAuthenticationInfo(user.getUsername(),user.getPassword(),ByteSource.Util.bytes(user.getSalt()),getName());returnsimpleAuthenticationInfo;}}

shiro中的Realm对象充当了认证、授权数信息的据源作用。关于更多自定义Realm的内容请参考我的另一篇文章《Shiro入门学习—使用自定义Realm完成认证|练气中期》 。

ShiroConfig

/**shiro配置类*@author赖柄沣bingfengdev@aliyun.com*@version1.0*@date2020/10/69:11*/@ConfigurationpublicclassShiroConfig{/***创建ShiroFilter拦截器*@returnShiroFilterFactoryBean*/@Bean(name="shiroFilterFactoryBean")publicShiroFilterFactoryBeangetShiroFilterFactoryBean(DefaultWebSecurityManagersecurityManager){ShiroFilterFactoryBeanshiroFilterFactoryBean=newShiroFilterFactoryBean();shiroFilterFactoryBean.setSecurityManager(securityManager);//配置不拦截路径和拦截路径,顺序不能反HashMap<String,String>map=newHashMap<>(5);map.put("/authc/**","anon");map.put("/login.html","anon");map.put("/js/**","anon");map.put("/css/**","anon");map.put("/**","authc");shiroFilterFactoryBean.setFilterChainDefinitionMap(map);//覆盖默认的登录urlshiroFilterFactoryBean.setLoginUrl("/authc/unauthc");returnshiroFilterFactoryBean;}@BeanpublicRealmgetRealm(){//设置凭证匹配器,修改为hash凭证匹配器HashedCredentialsMatchermyCredentialsMatcher=newHashedCredentialsMatcher();//设置算法myCredentialsMatcher.setHashAlgorithmName("md5");//散列次数myCredentialsMatcher.setHashIterations(512);MySQLRealmrealm=newMySQLRealm();realm.setCredentialsMatcher(myCredentialsMatcher);returnrealm;}/***创建shiroweb应用下的安全管理器*@returnDefaultWebSecurityManager*/@BeanpublicDefaultWebSecurityManagergetSecurityManager(Realmrealm){DefaultWebSecurityManagersecurityManager=newDefaultWebSecurityManager();securityManager.setRealm(realm);SecurityUtils.setSecurityManager(securityManager);returnsecurityManager;}}

在编写shiro配置类这一步,需要大家注意的是,因为我们使用的是md5+salt+hash加密我们的密码,因此要换掉默认的凭证匹配器CredentialsMatcher对象,对于这部分的内容请参考我的另一篇文章《shiro入门学习–使用MD5和salt进行加密|练气后期》 。

实现认证模块

VO层

/**认证请求参数*@author赖柄沣bingfengdev@aliyun.com*@version1.0*@date2020/10/715:12*/@DatapublicclassLoginVOimplementsSerializable{privateStringusername;privateStringpassword;}

web层

/**认证模块*@author赖柄沣bingfengdev@aliyun.com*@version1.0*@date2020/10/610:07*/@RestController@RequestMapping("/authc")publicclassAuthcController{@AutowiredprivateAuthcServiceauthcService;@PostMapping("/login")publicbooleanlogin(@RequestBodyLoginVOloginVO){returnauthcService.login(loginVO);}@GetMapping("/unauthc")publicStringunauthc(){return"请先登录";}}

service层

/***@author赖柄沣bingfengdev@aliyun.com*@version1.0*@date2020/10/715:15*/@ServicepublicclassAuthcServiceImplimplementsAuthcService{@Overridepublicbooleanlogin(LoginVOloginVO)throwsAuthenticationException{if(loginVO==null){returnfalse;}if(loginVO.getUsername()==null||"".equals(loginVO.getUsername())){returnfalse;}if(loginVO.getPassword()==null||"".equals(loginVO.getPassword())){returnfalse;}Subjectsubject=SecurityUtils.getSubject();UsernamePasswordTokentoken=newUsernamePasswordToken(loginVO.getUsername(),loginVO.getPassword());subject.login(token);returntrue;}}

实现产品模块

/**产品模块*@author赖柄沣bingfengdev@aliyun.com*@version1.0*@date2020/10/610:14*/@RestController@RequestMapping("/product")publicclassProductController{@RequiresPermissions("product:get")@GetMapping("/get/list")publicStringgetProductList(){return"productList";}@RequiresPermissions("product:delete")@GetMapping("/delete")publicStringdeleteProduct(){return"删除产品数据";}}

对于注解实现访问控制,shiro主要有两个注解:RequiresPermissions和RequiresRoles。均可以用在类和方法上。具体用在哪可以根据自己的系统权限划分粒度决定。

对于这两个注解,有两个参数:

  1. value:分别对应permission的权限字符串值和role的角色名称;

  2. logical:逻辑运算符。这是一个枚举类型,有ANDOR两个值。当使用AND时表示需要满足所有传入的value值,OR表示仅需满足一个value即可。默认为AND

关于shiro权限(访问控制)的更多内容,可以阅读我的另一篇文章《shiro入门学习–授权(Authorization)|筑基初期》

简单测试

认证通过的情况

认证未通过的情况

获取产品信息

请求没有访问权限的资源

默认的消息提示可以换一下。

未经过认证直接访问受保护资源

以上就是“SpringBoot怎么整合Shiro”这篇文章的所有内容,感谢各位的阅读!相信大家阅读完这篇文章都有很大的收获,小编每天都会为大家更新不同的知识,如果还想学习更多的知识,请关注恰卡编程网行业资讯频道。

发布于 2022-03-29 22:29:25
收藏
分享
海报
0 条评论
22
上一篇:JVM+Redis+SpringBoot的面试题有哪些 下一篇:Springboot如何实现认证和动态权限管理
目录

    0 条评论

    本站已关闭游客评论,请登录或者注册后再评论吧~

    忘记密码?

    图形验证码