Shiro & Spring Security - 小记

实际开发中:

一 、 shiro已经满足基本的安全需求,使用简单,需要用数据库的role和permission表来注入实现

(1)相关注解:

@RequiresRoles("xxx")        //角色控制
@RequiresPermissions("xxx")     //功能权限控制

(2)配置类ShiroConfig模板 :

package com.kevin.springbootkevin1.config;

import com.kevin.springbootkevin1.realm.UserRealm;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator;
import org.apache.shiro.session.mgt.eis.MemorySessionDAO;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;


@Configuration
public class ShiroConfig {

    /**
     * ShiroFilterFactoryBean 处理拦截资源文件问题。
     * 注意:单独一个ShiroFilterFactoryBean配置是或报错的,以为在
     * 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager
     * Filter Chain定义说明 1、一个URL可以配置多个Filter,使用逗号分隔 2、当设置多个过滤器时,全部验证通过,才视为通过
     * 3、部分过滤器可指定参数,如perms,roles
     */
    @Bean
    public ShiroFilterFactoryBean shirFilter(org.apache.shiro.mgt.SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 拦截器.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();

        //配置静态资源允许访问
        filterChainDefinitionMap.put("/user/login","anon");
        filterChainDefinitionMap.put("/user/loginAction","anon");

        //filterChainDefinitionMap.put("/css/**","anon");
        //filterChainDefinitionMap.put("/index","anon");

        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/**", "authc");

        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        shiroFilterFactoryBean.setLoginUrl("/user/login");

        // 未授权界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        Map<String, Filter> filters=new HashMap<String,Filter>();
        shiroFilterFactoryBean.setFilters(filters);
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public EhCacheManager getEhCacheManager() {
        EhCacheManager em = new EhCacheManager();
        em.setCacheManagerConfigFile("classpath:ehcache-shiro.xml");
        return em;
    }
    // 开启Controller中的shiro注解
    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator daap = new DefaultAdvisorAutoProxyCreator();
        daap.setProxyTargetClass(true);
        return daap;
    }
    /**
     * 配置org.apache.shiro.web.session.mgt.DefaultWebSessionManager
     * @return
     */
    @Bean
    public DefaultWebSessionManager getDefaultWebSessionManager(){
        DefaultWebSessionManager defaultWebSessionManager=new DefaultWebSessionManager();
        defaultWebSessionManager.setSessionDAO(getMemorySessionDAO());
        defaultWebSessionManager.setGlobalSessionTimeout(4200000);
        defaultWebSessionManager.setSessionValidationSchedulerEnabled(true);
        defaultWebSessionManager.setSessionIdCookieEnabled(true);
        defaultWebSessionManager.setSessionIdCookie(getSimpleCookie());
        return defaultWebSessionManager;
    }
    /**
     * 配置org.apache.shiro.session.mgt.eis.MemorySessionDAO
     * @return
     */
    @Bean
    public MemorySessionDAO getMemorySessionDAO(){
        MemorySessionDAO memorySessionDAO=new MemorySessionDAO();
        memorySessionDAO.setSessionIdGenerator(javaUuidSessionIdGenerator());
        return memorySessionDAO;
    }
    @Bean
    public JavaUuidSessionIdGenerator javaUuidSessionIdGenerator(){
        return new JavaUuidSessionIdGenerator();
    }
    /**
     * session自定义cookie名
     * @return
     */
    @Bean
    public SimpleCookie getSimpleCookie(){
        SimpleCookie simpleCookie=new SimpleCookie();
        simpleCookie.setName("security.session.id");
        simpleCookie.setPath("/");
        return simpleCookie;
    }
    @Bean
    public LifecycleBeanPostProcessor getLifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(UserRealm userRealm) {
        DefaultWebSecurityManager dwsm = new DefaultWebSecurityManager();
        dwsm.setRealm(userRealm);
        //  <!-- 用户授权/认证信息Cache, 采用EhCache 缓存 -->
        dwsm.setCacheManager(getEhCacheManager());
        dwsm.setSessionManager(getDefaultWebSessionManager());
        return dwsm;
    }
    @Bean
    public UserRealm userRealm(EhCacheManager cacheManager) {
        UserRealm userRealm = new UserRealm();
        userRealm.setCacheManager(cacheManager);
        return userRealm;
    }
    /**
     * 开启shrio注解支持
     * @param userRealm
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(UserRealm userRealm){
        AuthorizationAttributeSourceAdvisor aasa=new AuthorizationAttributeSourceAdvisor();
        aasa.setSecurityManager(getDefaultWebSecurityManager(userRealm));
        return aasa;
    }

}

(3)realm层 重要的两个方法:

AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc):控制角色权限
AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken at) throws AuthenticationException:控制登录

注:

POM引入:

<!--Shiro安全-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.4.0</version>
        </dependency>

使用方法:

1.创建数据库user、role、permission表,分别对应用户表、角色表、权限表。

2.配置ShiroConfig,如上图第(2)项,

说明:

这段代码的目的:添加允许访问的请求(使这些请求能通过,不被拦截)。

其他的根据注释、查阅资料学习。

3.书写realm层

ex:

package com.kevin.springbootkevin1.realm;
import com.kevin.springbootkevin1.bean.User;
import com.kevin.springbootkevin1.mapper.PermissionMapper;
import com.kevin.springbootkevin1.mapper.RoleMapper;
import com.kevin.springbootkevin1.service.IUserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
/**
 * <p>
 *  用户权限类-持久层
 * </p>
 *
 * @author Jia Xin
 * @since 2020-02-11
 */
public class UserRealm extends AuthorizingRealm {

    @Autowired
    private IUserService userService;

    @Autowired
    private RoleMapper roleMapper;

    @Autowired
    private PermissionMapper permissionMapper;

    //控制角色权限
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
        //获取登录用户名
        String username = (String)pc.getPrimaryPrincipal();
        //定义一个权限管理器
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info = userService.addRolePermissions(info,username);
        System.out.println("username:"+username+"," +
                "角色和权限信息:" + info);
        return info;
    }

    //控制登录
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken at) throws AuthenticationException {
        AuthenticationInfo info;
        //token携带的主键username
        String username = (String)at.getPrincipal();
        //第一步拦截-如果前端传来的为空
        if(username == null) {
            return null;
        }
        //通过用户名查询得到user实体
        User user = userService.selectUserByUsername(username);
        if(user != null){       //username.equals(user.getUsername())
            String  md5Hash = new Md5Hash(user.getPassword() , "123").toString();
            info = new SimpleAuthenticationInfo(username, md5Hash, getName());
            return info;
        } else {
            //用户名不存在
            return null;
        }
    }
}

注:selectUserByUsername函数写在service层下的。

4.书写Controller层:

登录请求:为了验证,用了md5哈希加密。

subject.login(token);  shiro的安全验证。

如果抛出异常,则:验证不成功;反之,则成功。

//登录验证
    @GetMapping(value = "/loginAction")
    //@RequestBody Map<String, Object> user
    public String loginAction(String username ,String password) {
//        String username = user.get("username").toString();
//        String password = user.get("password").toString();
        //添加用户认证信息
        Subject subject = SecurityUtils.getSubject();
        //用哈希对密码加密
        String md5Hash = new Md5Hash(password, "123").toString();
        //AuthenticationToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
        UsernamePasswordToken token = new UsernamePasswordToken(username, md5Hash);
        //System.out.println("subject.isPermitted() => " + subject.isPermitted("sys:delete"));
        try {
            //登录成功
            subject.login(token);
            return "LoginS";
        } catch (Exception e) {
            //登录失败
            return "LoginF";
        }
    }

5.模拟数据:

user表

role表

permission表

zhangsan是admin角色,roleid=1,没有任何权限。

lisi是teacher角色,roleid=2,有sys:add   sys:edit   sys:delete 权限.

6.加注解:

这里演示第一个角色控制。

7.验证:

A. 首先lisi登陆:

他是teacher角色,没有权限。

发起getuser请求,出现异常,shiro控制进行拦截了,在意料之中。

而且springboot console控制台有记录:

2020-02-18 00:15:27.312  WARN 11764 --- [nio-8088-exec-6] .m.m.a.ExceptionHandlerExceptionResolver : Resolved [org.apache.shiro.authz.UnauthorizedException: Subject does not have role [admin]]

B. 然后zhangsan登陆:

他是admin角色,三个权限。

发起getuser请求,取到结果,未被拦截,在意料之中。

8.演示到此。

二 、 Spring Security包含shiro所能完成得功能,很好地支持Spring应用,能胜任大型软件所需的安全功能需求。

学习资料:Spring Boot Security 详解

全部评论

相关推荐

05-08 22:34
哔哩哔哩_游戏算法工程师(准入职员工)
哔哩哔哩内推-B站内推码
入职第一天,就感受到了满满的诚意。HR小姐姐全程陪着,讲解各种重要内容,什么六险一金啊(有商业保险),感觉自己被宠上天了。而且入职当天还送了免费大会员和会员购,哈利波特、蝙蝠侠、人生一串放肆看,看完还可以买周边,这福利也太香了吧!&nbsp;办公环境:超有爱&nbsp;B站的办公环境真的是太棒了!每层楼都有猫猫狗狗,上班累了还能逗逗它们,解解压。而且办公椅和办公桌很协调,办公起来非常舒服。关键是,这里没有那种压抑的氛围,大家都很年轻,交流起来特别方便,氛围特别好。&nbsp;工作氛围:轻松又自由&nbsp;B站的工作氛围真的太棒了,拒绝奋斗逼文化和996,崇尚有效率的工作。弹性工作制,每月还有一天带薪休假,只要直属leader批准就...
哔哩哔哩公司福利 423人发布
点赞 评论 收藏
分享
05-09 17:46
网易互娱_游戏研发功工程师(准入职员工)
网易互娱内推-网易互娱内推码
纯手码,顺序不一定,几轮面试合在一起了。1面40min,游戏策划面经:请描述一款你最近玩过的游戏,分析它的核心玩法、优点以及你认为可以改进的地方。对比两款同类型的热门游戏,如《英雄联盟》和《DOTA2》,分析它们在玩法、美术风格、用户群体等方面的差异。现在很多游戏都推出了赛季模式,你认为这种模式的优缺点是什么?对游戏的长期运营有什么影响?构思一款全新的休闲益智游戏玩法,详细描述游戏的规则、操作方式以及如何吸引玩家。以一个给定的世界观为背景,设计一个独特的游戏角色,包括角色的技能、属性、背景故事。为一款冒险游戏设计一个关卡,说明关卡的场景布局、怪物分布、解谜元素以及通关目标。给定一个游戏角色的基...
点赞 评论 收藏
分享
04-04 02:42
重庆大学 游戏后端
游戏客户端简历求拷打🥹🥹
渐好:软光栅真的写明白了吗,既然是软渲那技术栈不应该使用OpenGL,光追和bvh既不算什么高级渲染技术更不应该属于软渲的内容,git那个项目没啥用,建议把前两个项目重新组织一下语言,比如软渲染那个项目 冯着色和msaa、贴图这几项分开写,写的到位点,如果你还学过光追那就单独写出来,如果没把握考官问你答不上来就别写给自己找麻烦,在技术栈那一栏简单提一下自己学过就行,这样杂的放在一起不太严谨,个人愚见.
点赞 评论 收藏
分享
03-31 18:02
门头沟学院 Java
也是拒绝过腾讯的人了
白日梦想家_等打包版:不要的哦佛给我
腾讯开奖354人在聊
点赞 评论 收藏
分享
05-10 16:28
苏州大学 后端
点赞 评论 收藏
分享
评论
点赞
收藏
分享

全站热榜

更多

创作者周榜

更多
正在热议
更多
# 牛油的搬砖plog #
20345次浏览 96人参与
# 为什么那么多公司毁约 #
161870次浏览 1207人参与
# 一人一个landing小技巧 #
19250次浏览 361人参与
# 我在牛爱网找对象 #
176544次浏览 1318人参与
# 520告白墙 #
12998次浏览 241人参与
# 找工作的破防时刻 #
20899次浏览 338人参与
# 腾讯音乐求职进展汇总 #
85689次浏览 478人参与
# 25届秋招公司红黑榜 #
259032次浏览 1087人参与
# 实习学不到东西怎么办? #
202333次浏览 2097人参与
# 高学历就一定能找到好工作吗? #
46267次浏览 579人参与
# 机械人,说说你的烦心事 #
64850次浏览 825人参与
# 哪些企业的面试体验感最差? #
23647次浏览 231人参与
# 你会为了工作牺牲生活吗? #
35028次浏览 286人参与
# 机械应届生薪资要多少才合适? #
21290次浏览 90人参与
# 入职以后才知道的校招谎言 #
80145次浏览 542人参与
# 运营人的第一份offer应该如何选 #
141361次浏览 1081人参与
# 机械制造岗投递时间线 #
21795次浏览 339人参与
# 拼多多工作体验 #
21419次浏览 156人参与
# 工作中,你有没有遇到非常爱骂人的领导? #
27426次浏览 155人参与
# 实习生应该准时下班吗 #
211772次浏览 1363人参与
牛客网
牛客企业服务