Spring Boot整合Shiro登录认证和权限管理
Shiro简介
Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。
Authentication(认证), Authorization(授权), Session Management(会话管理), Cryptography(加密)被 Shiro 框架的开发团队称之为应用安全的四大基石。
Authentication(认证):用户身份识别,通常被称为用户“登录”Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限Session Management(会话管理):特定于用户的会话管理,甚至在非web 或 EJB 应用程序Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用
Shiro 架构包含三个主要的理念:Subject,SecurityManager和 Realm
Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。Realms:用于进行权限信息的验证,我们自己实现。Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。
我们需要实现Realms的Authentication和Authorization。其中Authentication是用来验证用户身份,Authorization是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。
快速上手
基础信息
pom包依赖
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>net.sourceforge.nekohtml</groupId>
<artifactId>nekohtml</artifactId>
<version>1.9.22</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<scope>runtime</scope>
</dependency>
</dependencies>配置文件
spring:
datasource:
url: jdbc:mysql://localhost:3306/test
username: root
password: root
driver-class-name: com.mysql.jdbc.Driver
jpa:
database: mysql
show-sql: true
hibernate:
ddl-auto: update
naming:
strategy: org.hibernate.cfg.DefaultComponentSafeNamingStrategy
properties:
hibernate:
dialect: org.hibernate.dialect.MySQL5Dialect
thymeleaf:
cache: false
mode: LEGACYHTML5thymeleaf的配置是为了去掉html的校验
前端页面
新建6个页面用来测试:
resources/templates/shiro/index.html:首页
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>index</title>
</head>
<body>
<h1>index</h1>
</body>
</html>resources/templates/shiro/login.html:登录页
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
<meta charset="UTF-8">
<title>Login</title>
</head>
<body>
错误信息:<h4 th:text="${msg}"></h4>
<form action="" method="post">
<p>账号:<input type="text" name="username" value="admin"/></p>
<p>密码:<input type="text" name="password" value="123456"/></p>
<p><input type="submit" value="登录"/></p>
</form>
</body>
</html>resources/templates/shiro/userInfo.html:用户信息页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>UserInfo</title>
</head>
<body>
<h3>用户查询界面</h3>
</body>
</html>resources/templates/shiro/userInfoAdd.html:添加用户页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Add</title>
</head>
<body>
<h3>用户添加界面</h3>
</body>
</html>resources/templates/shiro/userInfoDel.html:删除用户页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Del</title>
</head>
<body>
<h3>用户删除界面</h3>
</body>
</html>resources/templates/shiro/403.html:没有权限的页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>403</title>
</head>
<body>
<h3>403没有权限</h3>
</body>
</html>RBAC
RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。
采用 Jpa 技术来自动生成基础表格,对应的实体如下:
(1)用户信息
@Getter
@Setter
@ToString
@Entity
public class UserInfo implements Serializable {
private static final long serialVersionUID = 3839390521933848740L;
@Id
@GeneratedValue
private Integer uid;
@Column(unique = true)
private String username; //帐号
private String name; //名称(昵称或者真实姓名,不同系统不同定义)
private String password; //密码
private String salt; //加密密码的盐
private byte state; //用户状态, 0: 创建未认证(比如没有激活, 没有输入验证码等等)--等待验证的用户, 1: 正常状态, 2: 用户被锁定
@ManyToMany(fetch = FetchType.EAGER) //立即从数据库中进行加载数据;
@JoinTable(name = "SysUserRole", joinColumns = { @JoinColumn(name = "uid") }, inverseJoinColumns = {@JoinColumn(name = "roleId") })
private List<SysRole> roleList; //一个用户具有多个角色
/**
* 密码盐
* @return
*/
public String getCredentialsSalt() {
return this.username + this.salt;
}
//重新对盐重新进行了定义,用户名+salt,这样就更加不容易被破解
}(2)角色信息
@Getter
@Setter
@Entity
public class SysRole implements Serializable {
@Id
@GeneratedValue
private Integer id; // 编号
private String role; // 角色标识程序中判断使用, 如"admin", 这个是唯一的
private String description; // 角色描述, UI界面显示使用
private Boolean available = Boolean.FALSE; // 是否可用, 如果不可用将不会添加给用户
// 角色 - 权限关系: 多对多关系
@ManyToMany(fetch = FetchType.EAGER)
@JoinTable(name = "SysRolePermission", joinColumns = {@JoinColumn(name="roleId")}, inverseJoinColumns = {@JoinColumn(name="permissionId")})
private List<SysPermission> permissions;
// 用户 - 角色关系定义
@ManyToMany
@JoinTable(name = "SysUserRole", joinColumns = {@JoinColumn(name="roleId")}, inverseJoinColumns = {@JoinColumn(name="uid")})
private List<UserInfo> userInfos; // 一个角色对应多个用户
}(3)权限信息
@Getter
@Setter
@ToString
@Entity
public class UserInfo implements Serializable {
private static final long serialVersionUID = 3839390521933848740L;
@Id
@GeneratedValue
private Integer uid;
@Column(unique = true)
private String username; //帐号
private String name; //名称(昵称或者真实姓名,不同系统不同定义)
private String password; //密码
private String salt; //加密密码的盐
private byte state; //用户状态, 0: 创建未认证(比如没有激活, 没有输入验证码等等)--等待验证的用户, 1: 正常状态, 2: 用户被锁定
@ManyToMany(fetch = FetchType.EAGER) //立即从数据库中进行加载数据;
@JoinTable(name = "SysUserRole", joinColumns = { @JoinColumn(name = "uid") }, inverseJoinColumns = {@JoinColumn(name = "roleId") })
private List<SysRole> roleList; //一个用户具有多个角色
/**
* 密码盐
* @return
*/
public String getCredentialsSalt() {
return this.username + this.salt;
}
//重新对盐重新进行了定义,用户名+salt,这样就更加不容易被破解
}根据以上的代码会自动生成 user_info(用户信息表)、sys_role(角色表)、sys_permission(权限表)、sys_user_role(用户角色表)、sys_role_permission(角色权限表)这五张表,为了方便测试我们给这五张表插入一些初始化数据:
INSERT INTO `user_info` (`uid`,`username`,`name`,`password`,`salt`,`state`) VALUES ('1', 'admin', '管理员', 'd3c59d25033dbf980d29554025c23a75', '8d78869f470951332959580424d4bf4f', 0);
INSERT INTO `sys_permission` (`id`,`available`,`name`,`parent_id`,`parent_ids`,`permission`,`resource_type`,`url`) VALUES (1,0,'用户管理',0,'0/','userInfo:view','menu','userInfo/userList');
INSERT INTO `sys_permission` (`id`,`available`,`name`,`parent_id`,`parent_ids`,`permission`,`resource_type`,`url`) VALUES (2,0,'用户添加',1,'0/1','userInfo:add','button','userInfo/userAdd');
INSERT INTO `sys_permission` (`id`,`available`,`name`,`parent_id`,`parent_ids`,`permission`,`resource_type`,`url`) VALUES (3,0,'用户删除',1,'0/1','userInfo:del','button','userInfo/userDel');
INSERT INTO `sys_role` (`id`,`available`,`description`,`role`) VALUES (1,0,'管理员','admin');
INSERT INTO `sys_role` (`id`,`available`,`description`,`role`) VALUES (2,0,'VIP会员','vip');
INSERT INTO `sys_role` (`id`,`available`,`description`,`role`) VALUES (3,1,'test','test');
INSERT INTO `sys_role_permission` VALUES ('1', '1');
INSERT INTO `sys_role_permission` (`permission_id`,`role_id`) VALUES (1,1);
INSERT INTO `sys_role_permission` (`permission_id`,`role_id`) VALUES (2,1);
INSERT INTO `sys_role_permission` (`permission_id`,`role_id`) VALUES (3,2);
INSERT INTO `sys_user_role` (`role_id`,`uid`) VALUES (1,1);Shiro配置
首先要配置的是 ShiroConfig 类,Apache Shiro 核心通过 Filter 来实现,就好像 SpringMvc 通过 DispachServlet 来主控制一样。 既然是使用 Filter 一般也就能猜到,是通过 URL 规则来进行过滤和权限校验,所以我们需要定义一系列关于 URL 的规则和访问权限。
@Configuration
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
System.out.println("ShiroConfiguration.shirFilter()");
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
// 拦截器.
Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
// 配置不会被拦截的链接 顺序判断
filterChainDefinitionMap.put("/static/**", "anon");
// 配置退出过滤器, 其中的具体的退出代码Shiro已经替我们实现了
filterChainDefinitionMap.put("/logout", "logout");
//<!-- 过滤链定义, 从上向下顺序执行, 一般将/**放在最为下边 --> 这是一个坑呢, 一不小心代码就不好使了
//<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问 -->
filterChainDefinitionMap.put("/**", "authc");
// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
shiroFilterFactoryBean.setLoginUrl("/login");
// 登录成功后要跳转的链接
shiroFilterFactoryBean.setSuccessUrl("/index");
// 未授权界面
shiroFilterFactoryBean.setUnauthorizedUrl("/403");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
/**
* 凭证匹配器
* (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了)
* @return
*/
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher(){
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
hashedCredentialsMatcher.setHashAlgorithmName("md5"); //散列算法: 这里使用MD5算法
hashedCredentialsMatcher.setHashIterations(2); //散列的次数, 比如散列两次, 相当于 md5(md5(""))
return hashedCredentialsMatcher;
}
@Bean
public MyShiroRealm myShiroRealm(){
MyShiroRealm myShiroRealm = new MyShiroRealm();
myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
return myShiroRealm;
}
@Bean
public SecurityManager securityManager(){
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(myShiroRealm());
return securityManager;
}
/**
* 开启shiro aop注解支持
* 使用代理方式, 所以需要开启代码支持
* @param securityManager
* @return
*/
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
return authorizationAttributeSourceAdvisor;
}
@Bean(name="simpleMappingExceptionResolver")
public SimpleMappingExceptionResolver createSimpleMappingExceptionResolver() {
SimpleMappingExceptionResolver r = new SimpleMappingExceptionResolver();
Properties mappings = new Properties();
mappings.setProperty("DatabaseException", "databaseError"); // 数据库异常处理
mappings.setProperty("UnauthorizedException", "shiro/403");
r.setExceptionMappings(mappings); // None by default
r.setDefaultErrorView("error"); // No default
r.setExceptionAttribute("ex"); // Default is "exception"
//r.setWarnLogCategory("example.MvcLogger"); // No default
return r;
}
}Filter Chain 定义说明:
1、一个URL可以配置多个Filter,使用逗号分隔
2、当设置多个过滤器时,全部验证通过,才视为通过
3、部分过滤器可指定参数,如 perms,roles
Shiro 内置的 FilterChain
| Filter Name | Class | 说明 |
|---|---|---|
| anon | org.apache.shiro.web.filter.authc.AnonymousFilter | 所有 url 都都可以匿名访问 |
| authc | org.apache.shiro.web.filter.authc.FormAuthenticationFilter | 需要认证才能进行访问 |
| authcBasic | org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter | |
| perms | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter | |
| port | org.apache.shiro.web.filter.authz.PortFilter | |
| rest | org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter | |
| roles | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter | |
| ssl | org.apache.shiro.web.filter.authz.SslFilter | |
| user | org.apache.shiro.web.filter.authc.UserFilter | 配置记住我或认证通过可以访问 |
登录认证实现
在认证、授权内部实现机制中都有提到,最终处理都将交给Realm进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在 Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO,Shiro的认证过程最终会交由Realm执行,这时会调用Realm的getAuthenticationInfo(token)方法。
该方法主要执行以下操作:
1、检查提交的进行认证的令牌信息
2、根据令牌信息从数据源(通常为数据库)中获取用户信息
3、对用户信息进行匹配验证
4、验证通过将返回一个封装了用户信息的AuthenticationInfo实例
5、验证失败则抛出AuthenticationException异常信息
而在我们的应用程序中要做的就是自定义一个Realm类,继承AuthorizingRealm抽象类,重载doGetAuthenticationInfo(),重写获取用户信息的方法。
/*主要是用来进行身份认证的,也就是说验证用户输入的账号和密码是否正确*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException {
System.out.println("MyShiroRealm.doGetAuthenticationInfo()");
//获取用户的输入的账号.
String username = (String)token.getPrincipal();
System.out.println(token.getCredentials());
//通过username从数据库中查找 User对象,如果找到,没找到.
//实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
UserInfo userInfo = userInfoService.findByUsername(username);
System.out.println("userInfo=" + userInfo.toString());
if (userInfo == null) {
return null;
}
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
userInfo, //用户名
userInfo.getPassword(), //密码
ByteSource.Util.bytes(userInfo.getCredentialsSalt()), //salt=username+salt
getName() //realm name
);
return authenticationInfo;
}链接权限的实现
Shiro的权限授权是通过继承AuthorizingRealm抽象类,重载doGetAuthorizationInfo()。当访问到页面的时候,链接配置了相应的权限或者Shiro标签才会执行此方法否则不会执行,所以如果只是简单的身份认证没有权限的控制的话,那么这个方法可以不进行实现,直接返回null即可。在这个方法中主要是使用类SimpleAuthorizationInfo进行角色的添加和权限的添加。
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("权限配置 --> MyShiroRealm.doGetAuthorizationInfo()");
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
UserInfo userInfo = (UserInfo) principals.getPrimaryPrincipal();
for (SysRole role : userInfo.getRoleList()) {
authorizationInfo.addRole(role.getRole());
for (SysPermission p : role.getPermissions()) {
authorizationInfo.addStringPermission(p.getPermission());
}
}
return authorizationInfo;
}当然也可以添加set集合:roles是从数据库查询的当前用户的角色,stringPermissions是从数据库查询的当前用户对应的权限
authorizationInfo.setRoles(roles);
authorizationInfo.setStringPermissions(stringPermissions);就是说如果在shiro配置文件中添加了filterChainDefinitionMap.put("/add", "perms[权限添加]");就说明访问/add这个链接必须要有“权限添加”这个权限才可以访问,如果在shiro配置文件中添加了filterChainDefinitionMap.put("/add", "roles[100002],perms[权限添加]");就说明访问/add这个链接必须要有“权限添加”这个权限和具有“100002”这个角色才可以访问。
public class MyShiroRealm extends AuthorizingRealm {
@Resource
private UserInfoService userInfoService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("权限配置 --> MyShiroRealm.doGetAuthorizationInfo()");
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
UserInfo userInfo = (UserInfo) principals.getPrimaryPrincipal();
for(SysRole role : userInfo.getRoleList()) {
authorizationInfo.addRole(role.getRole());
for (SysPermission p : role.getPermissions()) {
authorizationInfo.addStringPermission(p.getPermission());
}
}
return authorizationInfo;
}
/*主要是用来进行身份认证的,也就是说验证用户输入的账号和密码是否正确*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException {
System.out.println("MyShiroRealm.doGetAuthenticationInfo()");
//获取用户的输入的账号.
String username = (String)token.getPrincipal();
System.out.println(token.getCredentials());
//通过username从数据库中查找 User对象,如果找到,没找到.
//实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
UserInfo userInfo = userInfoService.findByUsername(username);
System.out.println("userInfo=" + userInfo.toString());
if (userInfo == null) {
return null;
}
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
userInfo, //用户名
userInfo.getPassword(), //密码
ByteSource.Util.bytes(userInfo.getCredentialsSalt()), //salt=username+salt
getName() //realm name
);
return authenticationInfo;
}
}public interface UserInfoDao extends CrudRepository<UserInfo, Long> {
/**通过username查找用户信息**/
UserInfo findByUsername(String username);
}public interface UserInfoService {
/**通过username查找用户信息*/
public UserInfo findByUsername(String username);
}@Service
public class UserInfoServiceImpl implements UserInfoService {
@Resource
private UserInfoDao userInfoDao;
@Override
public UserInfo findByUsername(String username) {
System.out.println("UserInfoServiceImpl.findByUsername()");
return userInfoDao.findByUsername(username);
}
}登录实现
登录过程其实只是处理异常的相关信息,具体的登录验证交给Shiro来处理
@Controller
public class HomeController {
@RequestMapping({"/", "/index"})
public String index() {
return "shiro/index";
}
@RequestMapping("/login")
public String login(HttpServletRequest request, Map<String, Object> map) throws Exception {
System.out.println("HomeController.login()");
// 登录失败从request中获取shiro处理的异常信息
// shiroLoginFailure:就是shiro异常类的全类名
String exception = (String) request.getAttribute("shiroLoginFailure");
System.out.println("exception=" + exception);
String msg = "";
if (exception != null) {
if (UnknownAccountException.class.getName().equals(exception)) {
System.out.println("UnknownAccountException --> 账号不存在");
msg = "UnknownAccountException --> 账号不存在";
} else if (IncorrectCredentialsException.class.getName().equals(exception)) {
System.out.println("IncorrectCredentialsException --> 密码不正确");
msg = "IncorrectCredentialsException --> 密码不正确";
} else if ("kaptchaValidateFailed".equals(exception)) {
System.out.println("kaptchaValidateFailed --> 验证码错误");
msg = "kaptchaValidateFailed --> 验证码错误";
} else {
msg = "else >> " + exception;
System.out.println("else --> " + exception);
}
}
map.put("msg", msg);
// 此方法不处理登录成功,由shiro进行处理
return "shiro/login";
}
@RequestMapping("/403")
public String unauthorizedRole() {
System.out.println("------没有权限-------");
return "shiro/403";
}
}@Controller
@RequestMapping("/userInfo")
public class UserInfoController {
/**
* 用户查询.
* @return
*/
@RequestMapping("/userList")
@RequiresPermissions("userInfo:view") //权限管理
public String userInfo() {
return "shiro/userInfo";
}
/**
* 用户添加
* @return
*/
@RequestMapping("/userAdd")
@RequiresPermissions("userInfo:add") //权限管理
public String userInfoAdd() {
return "shiro/userInfoAdd";
}
/**
* 用户删除
* @return
*/
@RequestMapping("/userDel")
@RequiresPermissions("userInfo:del") //权限管理
public String userDel() {
return "shiro/userInfoDel";
}
}测试
1、编写好后就可以启动程序,访问:http://localhost:8080/userInfo/userList 页面,由于没有登录就会跳转到:http://localhost:8080/login 页面。登录之后就会跳转到 index 页面,登录后,直接在浏览器中输入:http://localhost:8080/userInfo/userList 访问就会看到用户信息。上面这些操作时候触发MyShiroRealm.doGetAuthenticationInfo()这个方法,也就是登录认证的方法。
2、登录admin账户,访问:http://127.0.0.1:8080/userInfo/userAdd 显示用户添加界面,访问http://127.0.0.1:8080/userInfo/userDel 显示403没有权限。上面这些操作时候触发MyShiroRealm.doGetAuthorizationInfo()这个方面,也就是权限校验的方法。
3、修改admin不同的权限进行测试
版权声明:
作者:Joe.Ye
链接:https://www.appblog.cn/index.php/2023/04/01/spring-boot-integrates-shiro-login-authentication-and-permission-management/
来源:APP全栈技术分享
文章版权归作者所有,未经允许请勿转载。
THE END
1
二维码
打赏
海报
Spring Boot整合Shiro登录认证和权限管理
Shiro简介
Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。
Authentication(认证), Auth……
文章目录
关闭
共有 0 条评论