SpringBoot2.0 整合 Shiro 框架,實現用戶權限管理
GitHub源碼地址:知了一笑 https://github.com/cicadasmile/middle-ware-parent
1、Shiro簡介
一、基礎概念
Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、受權、密碼和會話管理。做爲一款安全框架Shiro的設計至關巧妙。Shiro的應用不依賴任何容器,它不只能夠在JavaEE下使用,還能夠應用在JavaSE環境中。git
二、核心角色
1)Subject:認證主體github
表明當前系統的使用者,就是用戶,在Shiro的認證中,認證主體一般就是userName和passWord,或者其餘用戶相關的惟一標識。算法
2)SecurityManager:安全管理器spring
Shiro架構中最核心的組件,經過它能夠協調其餘組件完成用戶認證和受權。實際上,SecurityManager就是Shiro框架的控制器。數據庫
3)Realm:域對象apache
定義了訪問數據的方式,用來鏈接不一樣的數據源,如:關係數據庫,配置文件等等。segmentfault
三、核心理念
Shiro本身不維護用戶和權限,經過Subject用戶主體和Realm域對象的注入,完成用戶的認證和受權。安全
2、整合SpringBoot2框架
一、核心依賴
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
二、Shiro核心配置
@Configuration
public class ShiroConfig {
/**
* Session Manager:會話管理
* 即用戶登陸後就是一次會話,在沒有退出以前,它的全部信息都在會話中;
* 會話能夠是普通JavaSE環境的,也能夠是如Web環境的;
*/
@Bean("sessionManager")
public SessionManager sessionManager(){
DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
//設置session過時時間
sessionManager.setGlobalSessionTimeout(60 * 60 * 1000);
sessionManager.setSessionValidationSchedulerEnabled(true);
// 去掉shiro登陸時url裏的JSESSIONID
sessionManager.setSessionIdUrlRewritingEnabled(false);
return sessionManager;
}
/**
* SecurityManager:安全管理器
*/
@Bean("securityManager")
public SecurityManager securityManager(UserRealm userRealm, SessionManager sessionManager) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setSessionManager(sessionManager);
securityManager.setRealm(userRealm);
return securityManager;
}
/**
* ShiroFilter是整個Shiro的入口點,用於攔截須要安全控制的請求進行處理
*/
@Bean("shiroFilter")
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
shiroFilter.setSecurityManager(securityManager);
shiroFilter.setLoginUrl("/userLogin");
shiroFilter.setUnauthorizedUrl("/");
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/userLogin", "anon");
shiroFilter.setFilterChainDefinitionMap(filterMap);
return shiroFilter;
}
/**
* 管理Shiro中一些bean的生命週期
*/
@Bean("lifecycleBeanPostProcessor")
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
return new LifecycleBeanPostProcessor();
}
/**
* 掃描上下文,尋找全部的Advistor(通知器)
* 將這些Advisor應用到全部符合切入點的Bean中。
*/
@Bean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
proxyCreator.setProxyTargetClass(true);
return proxyCreator;
}
/**
* 匹配全部加了 Shiro 認證註解的方法
*/
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager);
return advisor;
}
}
三、域對象配置
@Component
public class UserRealm extends AuthorizingRealm {
@Resource
private SysUserMapper sysUserMapper ;
@Resource
private SysMenuMapper sysMenuMapper ;
/**
* 受權(驗證權限時調用)
* 獲取用戶權限集合
*/
@Override
public AuthorizationInfo doGetAuthorizationInfo
(PrincipalCollection principals) {
SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
if(user == null) {
throw new UnknownAccountException("帳號不存在");
}
List<String> permsList;
//默認用戶擁有最高權限
List<SysMenuEntity> menuList = sysMenuMapper.selectList();
permsList = new ArrayList<>(menuList.size());
for(SysMenuEntity menu : menuList){
permsList.add(menu.getPerms());
}
//用戶權限列表
Set<String> permsSet = new HashSet<>();
for(String perms : permsList){
if(StringUtils.isEmpty(perms)){
continue;
}
permsSet.addAll(Arrays.asList(perms.trim().split(",")));
}
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setStringPermissions(permsSet);
return info;
}
/**
* 認證(登陸時調用)
* 驗證用戶登陸
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken authToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken)authToken;
//查詢用戶信息
SysUserEntity user = sysUserMapper.selectOne(token.getUsername());
//帳號不存在
if(user == null) {
throw new UnknownAccountException("帳號或密碼不正確");
}
//帳號鎖定
if(user.getStatus() == 0){
throw new LockedAccountException("帳號已被鎖定,請聯繫管理員");
}
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo
(user, user.getPassword(),
ByteSource.Util.bytes(user.getSalt()),
getName());
return info;
}
@Override
public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
HashedCredentialsMatcher shaCredentialsMatcher = new HashedCredentialsMatcher();
shaCredentialsMatcher.setHashAlgorithmName(ShiroUtils.hashAlgorithmName);
shaCredentialsMatcher.setHashIterations(ShiroUtils.hashIterations);
super.setCredentialsMatcher(shaCredentialsMatcher);
}
}
四、核心工具類
public class ShiroUtils {
/** 加密算法 */
public final static String hashAlgorithmName = "SHA-256";
/** 循環次數 */
public final static int hashIterations = 16;
public static String sha256(String password, String salt) {
return new SimpleHash(hashAlgorithmName, password, salt, hashIterations).toString();
}
// 獲取一個測試帳號 admin
public static void main(String[] args) {
// 3743a4c09a17e6f2829febd09ca54e627810001cf255ddcae9dabd288a949c4a
System.out.println(sha256("admin","123")) ;
}
/**
* 獲取會話
*/
public static Session getSession() {
return SecurityUtils.getSubject().getSession();
}
/**
* Subject:主體,表明了當前「用戶」
*/
public static Subject getSubject() {
return SecurityUtils.getSubject();
}
public static SysUserEntity getUserEntity() {
return (SysUserEntity)SecurityUtils.getSubject().getPrincipal();
}
public static Long getUserId() {
return getUserEntity().getUserId();
}
public static void setSessionAttribute(Object key, Object value) {
getSession().setAttribute(key, value);
}
public static Object getSessionAttribute(Object key) {
return getSession().getAttribute(key);
}
public static boolean isLogin() {
return SecurityUtils.getSubject().getPrincipal() != null;
}
public static void logout() {
SecurityUtils.getSubject().logout();
}
}
五、自定義權限異常提示
@RestControllerAdvice
public class ShiroException {
@ExceptionHandler(AuthorizationException.class)
public String authorizationException (){
return "抱歉您沒有權限訪問該內容!";
}
@ExceptionHandler(Exception.class)
public String handleException(Exception e){
return "系統異常!";
}
}
3、案例演示代碼
一、測試接口
@RestController
public class ShiroController {
private static Logger LOGGER = LoggerFactory.getLogger(ShiroController.class) ;
@Resource
private SysMenuMapper sysMenuMapper ;
/**
* 登陸測試
* http://localhost:7011/userLogin?userName=admin&passWord=admin
*/
@RequestMapping("/userLogin")
public void userLogin (
@RequestParam(value = "userName") String userName,
@RequestParam(value = "passWord") String passWord){
try{
Subject subject = ShiroUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(userName, passWord);
subject.login(token);
LOGGER.info("登陸成功");
}catch (Exception e) {
e.printStackTrace();
}
}
/**
* 服務器每次重啓請求該接口以前必須先請求上面登陸接口
* http://localhost:7011/menu/list 獲取全部菜單列表
* 權限要求:sys:user:shiro
*/
@RequestMapping("/menu/list")
@RequiresPermissions("sys:user:shiro")
public List list(){
return sysMenuMapper.selectList() ;
}
/**
* 用戶沒有該權限,沒法訪問
* 權限要求:ccc:ddd:bbb
*/
@RequestMapping("/menu/list2")
@RequiresPermissions("ccc:ddd:bbb")
public List list2(){
return sysMenuMapper.selectList() ;
}
/**
* 退出測試,退出後沒有任何權限
*/
@RequestMapping("/userLogOut")
public String logout (){
ShiroUtils.logout();
return "success" ;
}
}
二、測試流程
1)、登陸後取得權限 http://localhost:7011/userLogin?userName=admin&passWord=admin 2)、訪問有權限接口 http://localhost:7011/menu/list 3)、訪問無權限接口 http://localhost:7011/menu/list2 4)、退出登陸 http://localhost:7011/userLogOut
4、源代碼地址
GitHub地址:知了一笑 https://github.com/cicadasmile 碼雲地址:知了一笑 https://gitee.com/cicadasmile
相關文章
- 1. SpringBoot2.0 整合 SpringSecurity 框架,實現用戶權限安全管理
- 2. springBoot2.0 配置shiro實現權限管理
- 3. Shiro(權限管理框架)
- 4. shiro權限管理框架
- 5. shiro框架-權限管理
- 6. Shiro權限管理框架
- 7. 權限管理(shiro框架)
- 8. Shiro權限管理(shiro框架--案例)
- 9. Spring Boot:整合Shiro權限框架
- 10. SpringBoot整合Shiro權限框架
- 更多相關文章...
- • MySQL刪除用戶權限(REVOKE) - MySQL教程
- • Hibernate整合EHCache實現二級緩存 - Hibernate教程
- • Java Agent入門實戰(三)-JVM Attach原理與使用
- • ☆基於Java Instrument的Agent實現
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
