SpringBoot怎么整合Shiro

今天小編給大家分享一下SpringBoot怎么整合Shiro的相關(guān)知識點(diǎn)，內(nèi)容詳細(xì)，邏輯清晰，相信大部分人都還太了解這方面的知識，所以分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后有所收獲，下面我們一起來了解一下吧。

SpringBoot整合Shiro思路分析

鑒權(quán)流程分析

我們將我們的SpringBoot應(yīng)用整合shiro，主要目的就是讓shiro幫我們處理認(rèn)證和授權(quán)的相關(guān)內(nèi)容。也就是說，我們需要讓shiro接管我們SpringBoot應(yīng)用的會(huì)話。讓用戶的每一次請求都經(jīng)過shiro進(jìn)行認(rèn)證和授權(quán)。因此，我們需要將用戶請求攔截下來轉(zhuǎn)發(fā)給shiro處理，這個(gè)攔截器是shiro提供的，ShiroFilter。

步驟：

1. 用戶通過客戶端（瀏覽器、手機(jī)App、小程序）發(fā)起請求

2. ShiroFilter攔截請求并判斷請求訪問的資源是否為受保護(hù)資源：

   2.1 是，則執(zhí)行步驟3

   2.2 不是，則直接放行

3. 判斷用戶是否已通過認(rèn)證：

   3.1 是 ，則執(zhí)行步驟4

   3.2 否，將用戶請求重定向到認(rèn)證頁面，讓用戶先認(rèn)證

4. 獲取用戶權(quán)限信息和訪問資源所需要的權(quán)限信息進(jìn)行比對：

   4.1 用戶具備訪問權(quán)限，則放行

   4.2 用戶不具備權(quán)限，返回403的相應(yīng)提示

數(shù)據(jù)庫分析設(shè)計(jì)

我們通過MySQL保存我們的認(rèn)證和權(quán)限的相關(guān)數(shù)據(jù)。采用用戶-角色-權(quán)限模型實(shí)現(xiàn)動(dòng)態(tài)管理用戶權(quán)限信息。

我們將系統(tǒng)當(dāng)中的菜單、按鈕、后端接口都抽象成系統(tǒng)的資源數(shù)據(jù)。以下是數(shù)據(jù)庫表的設(shè)計(jì)：

文末提供sql腳本的下載。

整合步驟

環(huán)境搭建

maven

創(chuàng)建一個(gè)SpringBoot的web應(yīng)用，并引入如下依賴

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.6.0</version>
</dependency>

添加對用戶、角色和資源的CRUD支持

這里代碼就省略了，不影響理解，完整代碼可以從文末提供的方式中下載。

配置Shiro

自定義Realm

/**自定義Realm，使用mysql數(shù)據(jù)源
 * @author 賴柄灃 bingfengdev@aliyun.com
 * @version 1.0
 * @date 2020/10/6 9:09
 */
public class MySQLRealm extends AuthorizingRealm {

    @Autowired
    private IUserService userService;
    @Autowired
    private IRoleService roleService;
    @Autowired
    private IResourceService resourceService;

    /**
     * 授權(quán)
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();
        List<Role> roleList = roleService.findByUsername(username);
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        for (Role role : roleList) {
            authorizationInfo.addRole(role.getRoleName());
        }

        List<Long> roleIdList  = new ArrayList<>();
        for (Role role : roleList) {
            roleIdList.add(role.getRoleId());
        }

        List<Resource> resourceList = resourceService.findByRoleIds(roleIdList);
        for (Resource resource : resourceList) {
            authorizationInfo.addStringPermission(resource.getResourcePermissionTag());
        }

        return authorizationInfo;
    }


    /**
     * 認(rèn)證
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        if(token==null){
            return null;
        }

        String principal = (String) token.getPrincipal();
        User user = userService.findByUsername(principal);
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName());
        return simpleAuthenticationInfo;
    }
}

shiro中的Realm對象充當(dāng)了認(rèn)證、授權(quán)數(shù)信息的據(jù)源作用。關(guān)于更多自定義Realm的內(nèi)容請參考我的另一篇文章《Shiro入門學(xué)習(xí)—使用自定義Realm完成認(rèn)證|練氣中期》 。

ShiroConfig

/**shiro配置類
 * @author 賴柄灃 bingfengdev@aliyun.com
 * @version 1.0
 * @date 2020/10/6 9:11
 */
@Configuration
public class ShiroConfig {

    /**
     * 創(chuàng)建ShiroFilter攔截器
     * @return ShiroFilterFactoryBean
     */
    @Bean(name = "shiroFilterFactoryBean")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //配置不攔截路徑和攔截路徑，順序不能反
        HashMap<String, String> map = new HashMap<>(5);

        map.put("/authc/**","anon");
        map.put("/login.html","anon");
        map.put("/js/**","anon");
        map.put("/css/**","anon");

        map.put("/**","authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        //覆蓋默認(rèn)的登錄url
        shiroFilterFactoryBean.setLoginUrl("/authc/unauthc");
        return shiroFilterFactoryBean;
    }

    @Bean
    public Realm getRealm(){
        //設(shè)置憑證匹配器，修改為hash憑證匹配器
        HashedCredentialsMatcher myCredentialsMatcher = new HashedCredentialsMatcher();
        //設(shè)置算法
        myCredentialsMatcher.setHashAlgorithmName("md5");
        //散列次數(shù)
        myCredentialsMatcher.setHashIterations(512);
        MySQLRealm realm = new MySQLRealm();
        realm.setCredentialsMatcher(myCredentialsMatcher);
        return realm;
    }

    /**
     * 創(chuàng)建shiro web應(yīng)用下的安全管理器
     * @return DefaultWebSecurityManager
     */
    @Bean
    public DefaultWebSecurityManager getSecurityManager(Realm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        SecurityUtils.setSecurityManager(securityManager);
        return securityManager;
    }

}

在編寫shiro配置類這一步，需要大家注意的是，因?yàn)槲覀兪褂玫氖莔d5+salt+hash加密我們的密碼，因此要換掉默認(rèn)的憑證匹配器CredentialsMatcher對象，對于這部分的內(nèi)容請參考我的另一篇文章《shiro入門學(xué)習(xí)–使用MD5和salt進(jìn)行加密|練氣后期》 。

實(shí)現(xiàn)認(rèn)證模塊

VO層

/**認(rèn)證請求參數(shù)
 * @author 賴柄灃 bingfengdev@aliyun.com
 * @version 1.0
 * @date 2020/10/7 15:12
 */
@Data
public class LoginVO implements Serializable {

    private String username;
    private String password;

}

web層

/**認(rèn)證模塊
 * @author 賴柄灃 bingfengdev@aliyun.com
 * @version 1.0
 * @date 2020/10/6 10:07
 */
@RestController
@RequestMapping("/authc")
public class AuthcController {

    @Autowired
    private AuthcService authcService;

    @PostMapping("/login")
    public boolean login(@RequestBody LoginVO loginVO){

        return authcService.login(loginVO);
    }



    @GetMapping("/unauthc")
    public String unauthc(){
        return "請先登錄";
    }
    
}

service層

/**
 * @author 賴柄灃 bingfengdev@aliyun.com
 * @version 1.0
 * @date 2020/10/7 15:15
 */
@Service
public class AuthcServiceImpl implements AuthcService {
    @Override
    public boolean login(LoginVO loginVO) throws AuthenticationException {
        if (loginVO==null){
            return false;
        }

        if (loginVO.getUsername()==null||"".equals(loginVO.getUsername())){
            return false;
        }

        if (loginVO.getPassword() == null || "".equals(loginVO.getPassword())){
            return false;
        }
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(loginVO.getUsername(), loginVO.getPassword());

        subject.login(token);
        return true;
    }
}

實(shí)現(xiàn)產(chǎn)品模塊

/**產(chǎn)品模塊
 * @author 賴柄灃 bingfengdev@aliyun.com
 * @version 1.0
 * @date 2020/10/6 10:14
 */
@RestController
@RequestMapping("/product")
public class ProductController {

    
    @RequiresPermissions("product:get")
    @GetMapping("/get/list")
    public String getProductList() {
        return "productList";
    }
    
    @RequiresPermissions("product:delete")
    @GetMapping("/delete")
    public String deleteProduct() {
        return "刪除產(chǎn)品數(shù)據(jù)";
    }
}

對于注解實(shí)現(xiàn)訪問控制，shiro主要有兩個(gè)注解：RequiresPermissions和RequiresRoles。均可以用在類和方法上。具體用在哪可以根據(jù)自己的系統(tǒng)權(quán)限劃分粒度決定。

對于這兩個(gè)注解，有兩個(gè)參數(shù)：

1. value  ：分別對應(yīng)permission的權(quán)限字符串值和role的角色名稱；

2. logical：邏輯運(yùn)算符。這是一個(gè)枚舉類型，有AND和OR兩個(gè)值。當(dāng)使用AND時(shí)表示需要滿足所有傳入的value值，OR表示僅需滿足一個(gè)value  即可。默認(rèn)為AND

關(guān)于shiro權(quán)限（訪問控制）的更多內(nèi)容，可以閱讀我的另一篇文章《shiro入門學(xué)習(xí)–授權(quán)（Authorization）|筑基初期》

簡單測試

認(rèn)證通過的情況

認(rèn)證未通過的情況

獲取產(chǎn)品信息

請求沒有訪問權(quán)限的資源

默認(rèn)的消息提示可以換一下。

未經(jīng)過認(rèn)證直接訪問受保護(hù)資源

以上就是“SpringBoot怎么整合Shiro”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家閱讀完這篇文章都有很大的收獲，小編每天都會(huì)為大家更新不同的知識，如果還想學(xué)習(xí)更多的知識，請關(guān)注億速云行業(yè)資訊頻道。