简介
学习一下 Shiro 怎么在 SpringBoot 项目中进行整合以完成用户认证与授权。
一、前期准备
二、整合Shiro
- spring和shiro的整合主要依赖
<!--shiro和spring整合-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.3.2</version>
</dependency>
<!--shiro核心包-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.3.2</version>
</dependency>
<!--shiro与redis整合-->
<dependency>
<groupId>org.crazycake</groupId>
<artifactId>shiro-redis</artifactId>
<version>3.0.0</version>
</dependency>
三、编写登录接口
/**
* 1.传统登录
* 前端发送登录请求 => 接口部分获取用户名密码 => 程序员在接口部分手动控制
* 2.shiro登录
* 前端发送登录请求 => 接口部分获取用户名密码 => 通过subject.login => realm域的认证方法
*
*/
//用户登录
@PostMapping(value="/login")
public String login(@RequestBody String username,String password) {
try {
/**
* 密码加密:
* shiro提供的md5加密
* Md5Hash:
* 参数一:加密的内容
* 111111 --- abcd
* 参数二:盐(加密的混淆字符串)(用户登录的用户名)
* 111111+混淆字符串
* 参数三:加密次数
*
*/
password = new Md5Hash(password,username,3).toString();
//构造登录令牌
UsernamePasswordToken upToken = new UsernamePasswordToken(username,password);
//1.获取subject
Subject subject = SecurityUtils.getSubject();
//获取session
String sid = (String) subject.getSession().getId();
//2.调用subject进行登录
subject.login(upToken);
return "登录成功";
}catch (Exception e) {
return "用户名或密码错误";
}
}
四、自定义realm域
/** 自定义的realm */
public class CustomRealm extends AuthorizingRealm {
@Override
public void setName(String name) {
super.setName("customRealm");
}
@Autowired private UserService userService;
/** 授权方法 操作的时候,判断用户是否具有响应的权限 先认证 -- 安全数据 再授权 -- 根据安全数据获取用户具有的所有操作权限 */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
// 1.获取已认证的用户数据
User user = (User) principalCollection.getPrimaryPrincipal(); // 得到唯一的安全数据
// 2.根据用户数据获取用户的权限信息(所有角色,所有权限)
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
Set<String> roles = new HashSet<>(); // 所有角色
Set<String> perms = new HashSet<>(); // 所有权限
for (Role role : user.getRoles()) {
roles.add(role.getName());
for (Permission perm : role.getPermissions()) {
perms.add(perm.getCode());
}
}
info.setStringPermissions(perms);
info.setRoles(roles);
return info;
}
/** 认证方法 参数:传递的用户名密码 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
throws AuthenticationException {
// 1.获取登录的用户名密码(token)
UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;
String username = upToken.getUsername();
String password = new String(upToken.getPassword());
// 2.根据用户名查询数据库
User user = userService.findByName(username);
// 3.判断用户是否存在或者密码是否一致
if (user != null && user.getPassword().equals(password)) {
// 4.如果一致返回安全数据
// 构造方法:安全数据,密码,realm域名
SimpleAuthenticationInfo info =
new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
return info;
}
// 5.不一致,返回null(抛出异常)
return null;
}
}
五、Shiro的配置类
@Configuration
public class ShiroConfiguration {
// 1.创建realm
@Bean
public CustomRealm getRealm() {
return new CustomRealm();
}
// 2.创建安全管理器
@Bean
public SecurityManager getSecurityManager(CustomRealm realm) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(realm);
return securityManager;
}
// 3.配置shiro的过滤器工厂
/** 再web程序中,shiro进行权限控制全部是通过一组过滤器集合进行控制 */
@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
// -创建过滤器工厂
ShiroFilterFactoryBean filterFactory = new ShiroFilterFactoryBean();
// -设置安全管理器
filterFactory.setSecurityManager(securityManager);
// -通用配置(跳转登录页面,为授权跳转的页面)
filterFactory.setLoginUrl(url地址); // 设置没登陆时跳转url地址
filterFactory.setUnauthorizedUrl(url地址); // 设置未授权时跳转的url地址
// -设置过滤器集合
/** 设置所有的过滤器:选择有顺序map key = 拦截的url地址 value = 过滤器类型 */
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/user/home","anon"); //表示"/user/home"请求地址可以被匿名访问
filterMap.put("/user/**", "authc"); //表示"/user/"下的所有请求地址必须认证之后可以才被访问
// -将过滤器集合配置到filter中
filterFactory.setFilterChainDefinitionMap(filterMap);
return filterFactory;
}
// 4.开启对shior注解的支持
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(
SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager);
return advisor;
}
}
六、附
Shiro中的主要过滤器:
过滤器 | 解释 |
---|---|
anon | 无参,开放权限,可以理解为匿名用户或游客 |
authc | 无参,无参,需要认证 |
perms[user] | 参数可写多个,表示需要某个或某些权限才能通过,多个参数时写 perms[“user,admin”],当有多个参数时必须每个参数都通过才算通过 |
roles[admin] | 参数可写多个,表示是某个或某些角色才能通过,多个参数时写 roles[“admin,user”],当有多个参数时必须每个参数都通过才算通过 |