1、介绍:Shrio主要对用户身份的认证,授权,以及会话管理,加密等操作。
2、核心组件:
1.UsernamePasswordToken:封装用户登录信息,使用用户登录信息来创建令牌Token。
2.SecurityManager:核心部分,负责安全认证和授权。
3.Subject:一个抽象概念,包含了用户信息。
4.Realm:开发者自定义的模块,根据项目需求,验证和授权的逻辑全部写在Realm中。
5.AuthenticationInfo:用户角色信息集合,认证时使用。
6.AuthorzationInfo:角色的权限信息,授权时使用。
7.DefaultWebSecurityManager:安全管理器,开发者自定义的Realm需要注入到DefaultWebSecurityManager。
8.ShiroFilterFactoryBean:过滤器工厂,Shiro的基本运行机制是开发者定制规则,Shiro去执行,具体的执行操作是由ShiroFilterFactoryBean创建的一个个Filter对象来完成。
以下demo涉及的角色和权限只在一张表中,多表关联请移步:
3、SpringBoot整合Shiro
1.新建一个SpringBoot项目:
pom.xml文件里添加shiro依赖
新建一张数据表
pom文件添加mysql,mybatis-plus的依赖
application.yml文件配置数据库信息
创建entity包,新建一个Account类,使用@Data注解自动添加set get(IDEA自行安装lombok插件)
创建mapper包,新建一个AccountMapper接口
(以下为测试mybatis plus连接数据库功能)
右键创建一个测试类
可以正常查询到数据
3.自定义Shiro过滤器
创建一个realm包 ,编写AccountRealm类
编写配置使其生效
编写注入认证和授权规则
认证过滤器:
anon:无需认证
authc:必须认证
authcBasic:需要通过HTTPBasic
user:不一定通过认证,只要曾经被shiro记录即可。(如记住我)
授权过滤器:
perms:必须拥有某个权限才能访问
role:必须拥有某个角色才能访问
port:请求端口必须是指定值
rest:请求必须是RESTful
ssl:必须是安全的url,协议必须是https
以上逻辑写在ShiroFilterFactoryBean
新建三个页面,使其能够根据用户权限显示对应的页面
先编写一个controller
配置视图解析器
创建三个页面:main.html,manage.html,administrator.html
访问权限分别为:必须登录;必须拥有manage授权;必须是administrator角色;
访问/main,被shiro拦截 并自动跳转到login.jsp(login.jsp不存在)
创建一个index页面:显示相关菜单
(index没有设置权限 shiro不会拦截)
添加一个登录页面:
配置文件里设置登录页面,shiro自动放行
添加处理login的controller
编写一个login.html页面
认证完成,接下来写授权的逻辑
至此可测试用户登录可查看有对应权限的页面
自定义未授权页面
controller中添加处理该请求的方法
显示你好xxx 欢迎回来:
退出登录功能:
根据用户权限显示页面对应权限的菜单功能
添加 Shiro 整合 Thymeleaf 依赖
1.添加依赖
2.配置类添加ShiroDialect
3.index.html中使用
测试:
代码区:
ShiroConfig.java
@Configuration
public class ShiroConfig {
@Beanpublic ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
ShiroFilterFactoryBean factoryBean =new ShiroFilterFactoryBean();
factoryBean.setSecurityManager(securityManager);
//权限设置Mapmap =new Hashtable<>();
map.put("/main","authc");
map.put("/manage","perms[manage]");
map.put("/administrator","roles[administrator]");
factoryBean.setFilterChainDefinitionMap(map);//设置登录页面
factoryBean.setLoginUrl("/login");
//设置未授权页面
factoryBean.setUnauthorizedUrl("/unauth");
return factoryBean;}
@Bean
public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm")AccountRealm accountRealm){
DefaultWebSecurityManager manager =new DefaultWebSecurityManager();
manager.setRealm(accountRealm);
return manager;
}
@Bean
public AccountRealm accountRealm(){
return new AccountRealm();
}
@Bean public ShiroDialect shiroDialect(){return new ShiroDialect(); }
}
AccountController.java
@Controller
public class AccountController {
@GetMapping("/{url}")
public String redirect(@PathVariable("url")String url){
return url;
}
@PostMapping("/login")
public String login(String username ,String password,Model model){
Subject subject =SecurityUtils.getSubject();
UsernamePasswordToken token =new UsernamePasswordToken(username,password);
try {
subject.login(token);//进入到realm里边认证方法
Account account = (Account)subject.getPrincipal();
subject.getSession().setAttribute("account",account);
return "index";
}catch (UnknownAccountException e){
e.printStackTrace();
model.addAttribute("error","用户名不存在");
return "login";
}catch (IncorrectCredentialsException e){
e.printStackTrace();
model.addAttribute("error","密码错误");
return "login";
}
}
@GetMapping("/unauth")
@ResponseBody
public String unauth(){
return "未授权 禁止访问";
}
@GetMapping("/logout")
public String logout(){
Subject subject =SecurityUtils.getSubject();
subject.logout();
return "login";
}
}
AccountRealm.java
public class AccountRealm extends AuthorizingRealm {
@Autowired
private AccountService accountService;
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//1.获取当前用户信息,
Subject subject =SecurityUtils.getSubject();
//获取用户信息
Account account = (Account)subject.getPrincipal();
//设置角色
Setroles =new HashSet<>();
roles.add(account.getRole());
SimpleAuthorizationInfo info =new SimpleAuthorizationInfo(roles);
//权限
info.addStringPermission(account.getPerms());
return info;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)throws AuthenticationException {
//1.先认证
/**客户端传来的账号密码封装在token里,根据用户名进行查询,如果不存在return null,shiro自动抛出账户不存在的异常。
* 不为空,返回SimpleAuthenticationInfo对象,对象里传入数据库查询的密码和token的得到的密码。自动验证,如果密码不对,市容也会抛出异常
* 我们只需要捕获这两个异常
*/
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
Account account =accountService.findByUsername(token.getUsername());
if(account !=null){
return new SimpleAuthenticationInfo(account,account.getPassword(),getName());
}
return null;
}
}
网友评论