SpringBoot：1.整合Shiro

2021-04-04 阅读量

整合Shiro

1.介绍

是一个主流的java安全框架，主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。
Shiro就是用来解决安全管理的系统化框架。

2.Shiro核心组件

首先要明白用户、角色(身份)、权限之间的关系：将权限赋给角色，将角色赋给用户。
加载图片！
Shiro核心组件如下：
1、UsernamePasswordToken：用来封装用户登录信息，使用用户的登录信息来创建令牌Token。
2、SecurityManage：Shiro的核心部分，负责安全认证和授权。
3、Suject：Shiro的一个抽象概念，包含了用户信息。
4、Realm：开发者自定义的模块，根据项目的需求，验证和授权的逻辑全写到Realm里。
5、AuthenticationInfo：用户的角色信息集合，在认证时使用。
6、AuthorzationInfo：用户的权限信息集合，在授权是时使用。
7、DefaultWebSecurityDManager：安全管理器，开发者自定义的Realm需要注入到DefaultWebSecurityDManager进行管理才能生效。
8、ShiroFilterFactoryBean：过滤器工厂，Shiro的基本运行机制是开发者制定规则，Shiro去执行，具体的执行操作就是由ShiroFilterFactoryBean创建的一个个Filter对象来完成。
加载图片！

3.SpringBoot整合Shiro

1、导包

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.1</version>
</dependency>

2、建表

# 为了方便演示，这里把权限与角色字段都放在了一张表中。
CREATE TABLE `t_user` (
  `id` int(11) NOT NULL,
  `username` varchar(255) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  `perms` varchar(255) DEFAULT NULL COMMENT '权限',
  `role` varchar(255) DEFAULT NULL COMMENT '角色',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

INSERT INTO `t_user` VALUES ('1', 'aaa', '123123', null, null);
INSERT INTO `t_user` VALUES ('2', 'bbb', '123123', 'manage', null);
INSERT INTO `t_user` VALUES ('3', 'ccc', '123123', 'manage', 'admin');

3、自定义Realm

public class UserRealm extends AuthorizingRealm{

    @Autowired
    UserService userService;

    @Override //此方法关于 认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 拿到当前登录的用户信息（客户输入的用户名密码会被封装到token里面）
        UsernamePasswordToken userToken = (UsernamePasswordToken) token; 

        // 从token中获取用户名，用此用户名到数据库中用户信息
        User user = userService.queryUserByName(userToken.getUsername());

        if(user == null){ // 查无此人
            return null; // 自动抛出异常 UnknownAccountException
        }
        // 密码认证 shiro来做
        // 参数：当前登录对像、当前登录对像的密码，当前登录对像的名字
        return new SimpleAuthenticationInfo(user, user.getPassword(),  getName());
    }

    @Override //此方法关于 授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection collection) {
        // 拿到当前登录的用户信息（信息是上面认证方法保存的）
        Subject subject = SecurityUtils.getSubject();
        User user = (User)subject.getPrincipal();

        // 设置角色 (一个用户可有多个角色，用Set可去除重复)
        Set<String> roles = new HashSet<>();
        roles.add(user.getRole()); // 获取用户角色信息
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);

        // 设置权限 （同样一次可设置多个权限）
        info.addStringPermission(user.getPerms()); 

        return info;
    }
}

4、写配置类，使UserRealm类生效。

@Configuration
public class ShiroConfig {

    // 创建realm对象， 丢到IOC容器里。
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

     // 安全管理器
     // @Qualifier：通过名字到IOC容器中找相应的bean
     // 若方法名长，可在@Bean里的name属性中设置新名字。
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(
        @Qualifier("userRealm") UserRealm userRealm) {

        DefaultWebSecurityManager securityManager = 
                        new DefaultWebSecurityManager();

        // 关联 UserRealm
        securityManager.setRealm(userRealm);    
        return securityManager;
    }

    // 过滤器工厂
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(
        @Qualifier("securityManager") DefaultWebSecurityManager manager){

        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

        // 关联 安全管理器
        bean.setSecurityManager(manager); 

        /*  添加shiro的认证和授权规则
            认证过滤器：
            anon: 无需认证就可以访问。
            authc: 必须认证了才可以访问（相当于登录）。
            user: 必须拥有 记住我 功能才能访问。

            授权过滤器：
            perms: 拥有对某个资源的权限才能访问。
            roles: 拥有某个角色权限才能访问。
            port：请求的端口必须为指定值才可以访问。
            rest：请求必须基于RESTful风格（POST、GET、PUT、DELETE）。
            ssl: 必须是安全的url，协议必须是ssl。
         */
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/main", "authc");
        filterMap.put("/manage", "perms[manage]");
        filterMap.put("/admin", "roles[admin]");

        // 设置过滤器链的初始化的map集合
        bean.setFilterChainDefinitionMap(filterMap);

        // 设置登录的请求
        bean.setLoginUrl("/toLogin");  

        // 检测到未授权时跳转到这个页面
        bean.setUnauthorizedUrl("/noauth");
        return bean;
    }
}

页面访问权限如下：（规则在上面的配置类中设置）

必须登录才能访问：main.html
用户必须拥有manage授权才能访问：manage.html
用户必须拥有admin角色才能访问：admin.html
任何人都可访问：login.html、index.html（里面有main.html、manage.html、admin.html的访问链接）

6、Controller层

@Controller
public class MyController {

    @RequestMapping({"/", "/index", "/index.html"})
    public String toIndex(Model model){
        model.addAttribute("msg", "hello,shiro");
        return "index";
    }

    @RequestMapping("/main")
    public String main(){
        return "main";
    }

    @RequestMapping("/manage")
    public String manage(){
        return "manage";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }

    @RequestMapping("/admin")
    public String admin(){
        return "admin";
    }

    // 登录验证
    @RequestMapping("/login")
    public String login(String username, String password, Model model){

        // 获取当前登录的用户信息 (需要拿到Subject对像)
        Subject subject = SecurityUtils.getSubject();

        // 封装用户的登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        try{
            // 将封装的信息 通过subject 交给Shiro
            // 接下来会跳到UserRealm类的认证方法里（先认证再授权）
            // 捕获认证方法抛出的异常，并做相应处理
            subject.login(token); // 无异常就说明登录成功

            // 将登录的用户信息存到session里
            User user = (User)subject.getPrincipal();
            subject.getSession().setAttribute("user", user);
            return "index";
        }catch (UnknownAccountException e){
            model.addAttribute("msg", "用户名错误");
            return "login";
        }catch (IncorrectCredentialsException e){
            model.addAttribute("msg", "密码错误");
            return "login";
        }
    }

    //未授权页面
    @RequestMapping("/noauth")
    @ResponseBody
    public String unauthorized(){
        return "未授权无法访问此页面";
    }

    // 退出
    @GetMapping("/logOut")
    public String logOut() {
        // 获取当前登录的用户信息
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "login";
    }
}

7、index.html显示当前登录用户权限对应的链接，不属于用户权限的链接不予显示。

7.1、首先要引入Shiro整合thymeleaf的依赖。

<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>

7.2、在Shiro配置类中加入ShiroDialect（Shiro方言），为的是让thymeleaf能识别Shiro语言。

@Configuration
public class ShiroConfig {

    // 省略上面写过的配置信息

    // 添加ShiroDialect（Shiro方言）
    @Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }
}

7.3、修改index.html

添加Shiro命名空间。

判断是否拥有某个权限。

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro">
<head>
    <meta charset="UTF-8">
    <title>首页</title>
</head>
<body>
    <h1>首页</h1>

    <div th:if="${session.user != null}">
        <span th:text="${session.user.name} + '欢迎回来！'"></span>
        <a th:href="@{/logout}">退出</a>
    </div>

    <!--main不用判断，我们要求的是只要登录就可以访问-->
    <a th:href="@{/main}">main</a>
    <div shiro:hasPermission="manage">
        <a th:href="@{/manage}" >manage</a>
    </div>
    <div shiro:hasRole="admin">
        <a th:href="@{/admin}">admin</a>
    </div>
</body>
</html>