SpringBoot Shiro 入门及源码

本文最后更新于2020年6月15日,可能由于时间等因素导致内容失效,请自行辨别或联系作者。

一、前言

SpringBoot + Shiro + Mybatis

最基本的功能已经实现,并且还实现了互斥登陆、动态刷新权限。

能力有限,目前也仅仅只是一个API调用师。参考了大量的教程,实际操作起来还是遇到了很多坑的。

网上的教程一搜一大把,我这里就只挑部分进行整理,先学会怎么用,能够照着教程实现出来,然后再去详细了解其原理,加深理解。

源码放在了最后,各位可自行下载。

二、Shiro是什么

Shiro是一个安全、强大、灵活、开源、易用的Java安全框架。主要用于认证、授权、加密、会话管理。与Spring Security相比,它更简单易用,是一个轻量级的框架。

三、Shiro能做什么

  • 认证:即“登陆”。
  • 权限控制:比如,用户有怎样的权限,能够进行哪些操作
  • 单点登陆
  • 等等

四、Shiro的整体框架

ApplicationCode为客户端,在项目中即为Controller,我们只需要创建一个Subject对象,调用其上的login()方法,即可完成登录。

  • Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
  • SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,可以看成DispatcherServlet前端控制器;
  • Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

五、Shiro的验证流程

整个流程就是在客户端调用Subject对象的login方法,里面传入一个参数token,这个token就是前端用户输入的账号密码,封装成token对象传入即可,底层还是SecurityManager调用认证器(第三步),在认证器中选择具体认证策略(第四步),最后去Realms(数据源)中验证用户是否存在等等。

六、相关代码

看到这,可能有人还是搞不懂为什么要使用Shiro,我举个简单的例子,相信大家一定会有所共鸣。

假设有个在线阅读系统,有三种用户:普通用户,只能够阅读免费内容,付费内容只能试看;VIP用户,能够阅读所有内容;管理员用户,能够上传、管理等。

问题来了,用户登陆之后,如何区分用户?如何展示对应的资源?

最常见的应该是这种写法:

if(user.getPermission() == 1){ 
    //管理员登陆 
}else if(user.getPermission() == 2){ 
    //普通用户登陆 
}else if(user.getPermission() == 3){ 
    //VIP用户登陆
 }

目前只有三个角色,那以后再加一个角色呢?再或者,我需要提供更细粒度的权限控制,比如:新增一个超级管理员身份,能够进行增删改查;管理员身份只能改查,那又该如何处理?继续用if else吗?

这显然是不现实的,这个时候,就轮到Shiro登场了。

只贴值得注意的部分


//com.qingchen.shiro.studyshiro.config.ShiroConfig

// 配置sessionDAO
@Bean(name="sessionDAO")
public MemorySessionDAO getMemorySessionDAO(){
    MemorySessionDAO sessionDAO = new MemorySessionDAO();
    return sessionDAO;
}

//配置shiro session 的一个管理器
@Bean(name = "sessionManager")
public DefaultWebSessionManager getDefaultWebSessionManager(){
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    sessionManager.setGlobalSessionTimeout(60*60*1000);
    sessionManager.setSessionDAO(getMemorySessionDAO());
    return sessionManager;
}

@Bean
public SecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(authRealm());
    //注入sessionDAO
    securityManager.setSessionManager(getDefaultWebSessionManager());
    return securityManager;
}

/**
 * 开启Shiro注解模式,可以在Controller中的方法上添加注解
 */
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
    return new LifecycleBeanPostProcessor();
}

@Bean
@DependsOn({"lifecycleBeanPostProcessor"})
public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
    advisorAutoProxyCreator.setProxyTargetClass(true);
    return advisorAutoProxyCreator;
}

@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
    return authorizationAttributeSourceAdvisor;
}

以上这部分的代码,主要是配置了一下sessionDAO,在实现互斥登陆的时候要用到。其他看注释就能大概看懂了。


//com.qingchen.shiro.studyshiro.realm.AuthRealm

@Autowired
private SessionDAO sessionDAO;


/**
 * 认证(登陆)
 *
 * @param authToken
 * @return
 * @throws AuthenticationException
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authToken) throws AuthenticationException {
    System.out.println("into doGetAuthenticationInfo");

    UsernamePasswordToken token = (UsernamePasswordToken) authToken;
    // 获取用户输入的用户名和密码
    String userName = (String) token.getPrincipal();
    String password = new String((char[]) token.getCredentials());
    // 根据用户名查询用户信息
    User user = userService.findByAccount(userName);
    //账号不存在
    if (user == null) {
        throw new IncorrectCredentialsException();
    }
    //账号或密码错误
    if (!user.getPassword().equals(password)) {
        throw new IncorrectCredentialsException();
    }
    //账号禁用
    if (user.getStatus() == ACCOUNT_STATUS) {
        throw new DisabledAccountException();
    }
    //互斥登陆
    if (userName.equals(user.getAccount())&&password.equals(user.getPassword())){
        //获取所有已登陆用户的session列表
        Collection<Session> sessions = sessionDAO.getActiveSessions();
        if(!sessions.isEmpty()){
            for (Session session:sessions){
                User SessionUser = (User)session.getAttribute("USER_SESSION");
                if (SessionUser!=null){
                    if(userName.equals(SessionUser.getAccount())){
                        session.setTimeout(0);
                    }
                }
            }
        }
    }
    Session session = SecurityUtils.getSubject().getSession();
    session.setAttribute("USER_SESSION",user);
    return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
}

以上这部分是主要的认证逻辑,也可以使用Redis这套方案,再进一步优化。


//com.qingchen.shiro.studyshiro.interceptor.UserActionInterceptor
@Autowired
private UserService userService;

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    Session session = null;
    User user = null;
    int permissionVersion = 0;
    try {
        //1.获取当前用户的session
        session = SecurityUtils.getSubject().getSession();
        user = (User) session.getAttribute("USER_SESSION");
        //2.查询数据库中,该用户的权限版本号
        permissionVersion = userService.findPermissionVersionById(user.getId());
        //3.对比session中的版本号与数据库中查出来的版本号
        if (user.getPermissionVersion() != permissionVersion) {
            SecurityUtils.getSubject().logout();
            request.getRequestDispatcher("/login").forward(request, response);
        }
    } catch (Exception e) {
        e.printStackTrace();
    }
    return true;
}

以上这部分,主要是为了实现动态刷新权限。实现的思想很简单,采用版本号,每次修改用户权限的同时,再更新对应的版本号即可。但是对于高并发的系统来说,这样的处理方案是不行的,因为每一个请求,都得查询一次数据库。


@RestController
public class ShiroTestController {
    /**
     * 登录请求
     * @param user
     * @return
     */
    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public ResponseCode login(@RequestBody User user) {
        Subject userSubject = getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(user.getAccount(), user.getPassword());
        try {
            // 登录验证
            userSubject.login(token);
            return ResponseCode.success();
        } catch (DisabledAccountException e) {
            return ResponseCode.error(StatusEnums.ACCOUNT_IS_DISABLED);
        } catch (IncorrectCredentialsException e) {
            return ResponseCode.error(StatusEnums.INCORRECT_CREDENTIALS);
        } catch (Throwable e) {
            e.printStackTrace();
            return ResponseCode.error(StatusEnums.SYSTEM_ERROR);
        }
    }

    /**
     * 登陆页面的请求
     * @return
     */
    @GetMapping("/login")
    public String login() {
        return "显示登陆页面";
    }

    /**
     * 验证是否登陆
     * @return
     */
    @GetMapping("/auth")
    public String auth() {
        return "已成功登录";
    }

    /**
     * 测试当前角色是否是admin
     * @return
     */
    @GetMapping("/role")
    @RequiresRoles({"admin"})
    public String role() {
        return "你是admin角色";
    }

    /**
     * 测试权限
     * @return
     */
    @GetMapping("/permission")
    @RequiresPermissions(value = {"add", "update"}, logical = Logical.AND)
    public String permission() {
        return "你有Add和Update权限";
    }

    /**
     * 登出
     * @return
     */
    @GetMapping("/logout")
    public ResponseCode logout() {
        getSubject().logout();
        return ResponseCode.success();
    }
}
以上列举了一些实际生产中会遇到的一些情况,基本看一下就懂了。Postman均测试通过。

七、主要参考

整体参考:https://niaobulashi.com/archives/springboot-shiro.html
理论知识:https://www.javazhiyin.com/24868.html
单点登陆:https://www.twblogs.net/a/5beb793a2b717720b51f6756/zh-cn

八、总结

能力有限,目前也没有实际运用的环境,顶多算是入个门。还有不少可以优化的地方,比如:可以结合Redis,某些功能实现起来会更好一些。欢迎交流讨论。

源码

为TA充电
共{{data.count}}人
人已赞赏
Java编程语言

【Java学习笔记(三)】变量、方法和初始化块

2020-3-1 15:00:52

Java编程语言

Springboot WebSocket 入门及源码

2019-11-26 21:17:28

3 条回复 A文章作者 M管理员
  1. 白

    感谢详细的分享

  2. 柠檬咖啡

    感谢详细的分享

  3. kukuma

    感谢详细的分享

个人中心
今日签到
有新私信 私信列表
搜索