Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。
官方网站:http://shiro.apache.org/index.html
Shiro的功能模块如下图所示:
Shiro架构设计如下图所示:
通过Shiro框架进行权限管理时,要涉及到的一些核心对象,主要包括: 认证管理对象,授权管理对象,会话管理对象,缓存管理对象,加密管理对象, 以及Realm管理对象(领域对象:负责处理认证和授权领域的数据访问)
添加shiro的依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.5.3</version>
</dependency>
在测试类中,写一个测试案例,来使用shiro的加密技术
@Test
public void demo(){
String pwd = "123";
String name = "MD5";
//盐值 -- 采用UUID生成的随机字符串来作为盐值
String salt = UUID.randomUUID().toString();
int count = 3;
//调用shiro的api来完成加密
//SimpleHash对象为加密后的对象
SimpleHash sh = new SimpleHash(
name, //加密的消息摘要名称
pwd, //加密的对象
salt, //盐值
count); //加密过程中迭代的次数
String pwdHash = sh.toHex(); //将加密后的结果转换为16进制
System.err.println(pwdHash);
}
登录时进行身份认证,身份认证其实就是项目的安全校验之一,而shiro是安全框架,就提供了身份认证的功能
/** * 获取用户的认证信息 * @param token * @return AuthenticationInfo 封装正确的用户信息,返回给Authentictor(认证管理器) * @throws AuthenticationException */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//获取正确的用户信息
UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken)token;
String userName = usernamePasswordToken.getUsername();
//根据userName获取user数据
User user = userMapper.selectUserByName(userName);
//判断user是否为空
if(user==null){
throw new UnknownAccountException("账号不存在!");
}
if(user.getValid()==0){
throw new LockedAccountException("该账户被禁用!");
}
//将取出的用户的salt由String类型转换为ByteSource类型
ByteSource credentialSlat = ByteSource.Util.bytes(user.getSalt());
//将用户信息封装到AuthenticationInfo对象中并返回
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
user, //principal 认证身份 该值可以是user对象,也可以是username
user.getPassword(), //hashedCredentials 加密后的密码
credentialSlat, //credentialsSalt 盐值,需要注意,此处需要的盐值是ByteSource类型(是shiro中的盐值对象)
getName()
);
return simpleAuthenticationInfo;
}
/** * 设置凭证匹配器(设置凭证匹配时加密的算法,加密的次数) * @param credentialsMatcher */
@Override
public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
// 创建凭证匹配器对象
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
hashedCredentialsMatcher.setHashAlgorithmName("MD5"); // 设置加密算法名称
hashedCredentialsMatcher.setHashIterations(3); // 设置加密时的迭代次数
super.setCredentialsMatcher(hashedCredentialsMatcher);
}
@Configuration
public class ShiroConfig {
//对请求url的进行配置,通过shiro的过滤器完成--配置shiro的过滤器
@Bean
public ShiroFilterFactoryBean shiroFileter(SecurityManager securityManager){
//创建ShiroFilterFactoryBean对象
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
//将需要拦截的请求和放心的请求路径进行配置
/** * key:保存的是url * value:是固定的字符串 * anon:anonymous 表示可以匿名访问的url map.put("url","anon") * authc:authentication 表示需要认证后才可以访问的url map.put("url","authc") * logout:表示会调用shiro的登出功能 map.put("url","logout") */
Map<String ,String > filterChainDefinitionMap = new LinkedHashMap<>();
//配置可以匿名访问的资源
filterChainDefinitionMap.put("/bower_components/**","anon");
filterChainDefinitionMap.put("/build/**","anon");
filterChainDefinitionMap.put("/dist/**","anon");
filterChainDefinitionMap.put("/plugins/**","anon");
//放行登录的请求路径
filterChainDefinitionMap.put("/user/login","anon");
//需要认证后才可以访问的资源,除了以上放行的资源外,其他的所有url都要先认证
filterChainDefinitionMap.put("/**","authc");
//配置进行认证的页面
shiroFilterFactoryBean.setLoginUrl("/login_page");
//将以上的配置内容添加到过滤器上
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
@Bean
public UserRealm userRealm(){
return new UserRealm();
}
@Bean
public DefaultWebSecurityManager securityManager(){
//得到默认的securityManager对象
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(userRealm());
return securityManager;
}
}
@RequestMapping("/login")
public JsonResult<Void> login(String userName,String password){
//1. 将用户数据封装到UserNamePassword对象中提交给shiro
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(userName,password);
//2. 获得subject对象并调用login方法
Subject subject = SecurityUtils.getSubject();
subject.login(usernamePasswordToken);
return new JsonResult<Void>();
}
@RequestMapping("/login_page")
public String getLoginPage() {
return "login";
}
localhost:8080/
查看是否跳转到登录页面http://localhost:8080/user/login?userName=aa&password=1
进行测试shiro框架的异常在控制层未处理,所以目前无法将异常信息给到用户
@ExceptionHandler(ShiroException.class)
public JsonResult<Void> handleShiroException(ShiroException e){
JsonResult<Void> jsonResult = new JsonResult<>();
jsonResult.setStatus(Commons.SHIRO_EXCEPTION_STATUS);
if(e instanceof UnknownAccountException){
jsonResult.setMessage("账号不存在!");
}else if(e instanceof LockedAccountException){
jsonResult.setMessage("该账号被禁用!");
}else if(e instanceof IncorrectCredentialsException){
jsonResult.setMessage("密码错误!");
}else if(e instanceof AuthorizationException){
jsonResult.setMessage("该用户无此操作权限!");
}else {
jsonResult.setMessage("shiro操作异常!");
}
return jsonResult;
}
UserMapper.xml中
<!--根据userId查询对应的角色id-->
<select id="seleRoleIdsByUserId" resultType="java.lang.Integer">
select role_id from sys_user_roles where user_id=#{
userId}
</select>
RoleMapper.xml中 ---重点:注意去重
<select id="selectMenuIdsByRoleIds" resultType="java.lang.Integer">
select DISTINCT menu_id FROM sys_role_menus WHERE role_id in
<foreach collection="roleIds" item="roleId" open="(" separator="," close=")">
#{
roleId}
</foreach>
</select>
MenuMapper.xml中:
<select id="selectPermissionsByMenuIds" resultType="java.lang.String">
select permission FROM sys_menus WHERE id in
<foreach collection="menuIds" item="menuId" open="(" separator="," close=")">
#{
menuId}
</foreach>
</select>
在自定义Realm中完成用户权限集合的获取,并返回给shiro框架
/** * 获取当前用户的授权信息 * @param principals * @return */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//获取当前用户的id
User user = (User) principals.getPrimaryPrincipal();
Integer userId = user.getId();
//根据userId查询roleIds,并判断roleIds
List<Integer> roleIds = userMapper.seleRoleIdsByUserId(userId);
if(roleIds==null || roleIds.size()==0){
throw new AuthorizationException();
}
//根据roleIds查询menuIds,并判断menuIds
//注意:该方法的参数类型为Integer[],而目前角色id是以list的形式出现的,需将list-->Array
Integer[] roleIdsArr = new Integer[roleIds.size()];
List<Integer> menuIds = roleMapper.selectMenuIdsByRoleIds(roleIds.toArray(roleIdsArr));
if(menuIds==null || menuIds.size()==0){
//表示角色没有绑定的菜单
throw new AuthorizationException();
}
//根据menuIds查询permission
//因为此处的方法参数类型为数组,而此时menuIds的类型为list,所以需要将list->array
Integer[] menuIdsArr = new Integer[menuIds.size()];
Set<String> permissions = menuMapper.selectPermissionsByMenuIds(menuIds.toArray(menuIdsArr));
//将权限数据封装到AuthorizationInfo对象中返回即可
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
//将获取到的权限的set集合存入该对象
simpleAuthorizationInfo.setStringPermissions(permissions);
return simpleAuthorizationInfo;
}
在业务层方法的上方添加@RequiresPermission(“sys:user:view”)注解
在配置文件进行配置,配置授权管理中用到的切面以及代理对象创建器
@Bean(name="lifecycleBeanPostProcessor")
public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
// 对Shiro中的Bean的生命周期进行管理
return new LifecycleBeanPostProcessor();
}
@Bean
@DependsOn({
"lifecycleBeanPostProcessor"})
public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
advisorAutoProxyCreator.setProxyTargetClass(true);
return advisorAutoProxyCreator;
}
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
return authorizationAttributeSourceAdvisor;
}
public class UserUtils {
/** * 获取当前用户的用户名 * 如果当前用户未登录,返回visitor * @return */
public static String getUsername() {
String username="visitor";
//通过Shiro的API来获取当前用户的用户名
Subject subject = SecurityUtils.getSubject();
User user = (User) subject.getPrincipal();
if(user!=null){
username = user.getUserName();
}
return username;
}
}
在Shiro的配置文件中的过滤器中添加登出url的拦截
//添加登出请求处理
filterChainDefinitionMap.put("/logout","logout");
在starter.html页面上实现登出功能
<!-- Menu Footer-->
<li class="user-footer" id="log-out-app">
<div class="pull-left">
<a href="#" class="btn btn-default btn-flat">Profile</a>
</div>
<div class="pull-right">
<a href="#" class="btn btn-default btn-sign-out" @click="logout">登出</a>
</div>
</li>
var logOutApp = new Vue({
el:'#log-out-app',
methods:{
logout(){
axios({
method:'get',
url:'/logout'
}).then(res=>{
location.href="/login_page"; //PageController中定义了对应的方法处理该请求
}).catch(e=>console.error(e.message))
}
}
})
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。