SpringBoot整合安全權限框架Shiro

一、什麼是Shiro

Apache Shiro 是 Java 的一個安全框架。功能強大，使用簡單的Java安全框架，它爲開發人員提供一個直觀而全面的認證，授權，加密及會話管理的解決方案。

Shiro 包含 10 個內容：

1) Authentication：身份認證/登錄，驗證用戶是不是擁有相應的身份。

2) Authorization：授權，即權限驗證，驗證某個已認證的用戶是否擁有某個權限；即判斷用戶是否能做事情，常見的如：驗證某個用戶是否擁有某個角色。或者細粒度的驗證某個用戶對某個資源是否具有某個權限。

3) Session Manager：會話管理，即用戶登錄後就是一次會話，在沒有退出之前，它的所有信息都在會話中；會話可以是普通 JavaSE 環境的，也可以是如 Web 環境的。

4) Cryptography：加密，保護數據的安全性，如密碼加密存儲到數據庫，而不是明文存儲。

5) Web Support：Web支持，可以非常容易的集成到 web 環境。

6) Caching：緩存，比如用戶登錄後，其用戶信息、擁有的角色/權限不必每次去查，這樣可以提高效率。

7) Concurrency：shiro 支持多線程應用的併發驗證，即如在一個線程中開啓另一個線程，能把權限自動傳播過去。

8) Testing：提供測試支持。

9) Run As：允許一個用戶假裝爲另一個用戶（如果他們允許）的身份進行訪問。

10) Remember Me：記住我，這個是非常常見的功能，即一次登錄後，下次再來的話不用登錄了。

二、SpringBoot中集成Shiro

1、添加依賴包

        <!-- shiro -->
		<dependency>
		    <groupId>org.apache.shiro</groupId>
		    <artifactId>shiro-core</artifactId>
		    <version>1.4.0</version>
		</dependency>
		
		<dependency>
		    <groupId>org.apache.shiro</groupId>
		    <artifactId>shiro-web</artifactId>
		    <version>1.4.0</version>
		</dependency>
		
		<dependency>
		    <groupId>org.apache.shiro</groupId>
		    <artifactId>shiro-spring</artifactId>
		    <version>1.4.0</version>
		</dependency>
		<!-- shiro -->

2、實現Realm需要繼承AuthorizingRealm

其中兩個對象長得很像，AuthenticationInfo與AuthorizationInfo ，前者用於認證登錄，後者用於權限控制的。

public class AuthRealm extends AuthorizingRealm{


	@Autowired
	private LoginService loginservice;
	
	
	//認證登錄
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken utoken=(UsernamePasswordToken) token;		//獲取用戶輸入的token
        String username = utoken.getUsername();
        String password = new String((char[]) utoken.getCredentials());
        char[] s = utoken.getPassword();
        ImMftAcc user = loginservice.userLogin(username, password);
        if(user!=null) {    //認證成功會將用戶信息放入到Session中，由Shiro來管理
        	Session session = SecurityUtils.getSubject().getSession();
        	session.setAttribute("SessionUser", user);
        	session.setAttribute("SeesionAccount", user.getAccount());
        	return new SimpleAuthenticationInfo(user, user.getPwd(),this.getClass().getName());
        }else {
        	throw new UnknownAccountException();//異常會在執行登錄時捕獲到
        }
	}
	
	//權限
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
		ImMftAcc user = (ImMftAcc) principal.fromRealm(this.getClass().getName()).iterator().next();//獲取session中的用戶
        List<String> permissions = new ArrayList<>();
        Set<Role> roles = user.getRoles();
        if(roles.size()>0) {
            for(Role role : roles) {
                Set<Module> modules = role.getModules();
                if(modules.size()>0) {
                    for(Module module : modules) {
                        permissions.add(module.getMname());
                    }
                }
            }
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermissions(permissions);
        return info;
	}

}

public class CredentialsMatcher extends SimpleCredentialsMatcher{
	
	public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        UsernamePasswordToken utoken=(UsernamePasswordToken) token;
        //用戶輸入的密碼
        String inPassword = new String(utoken.getPassword());
        //數據庫查詢的密碼
        String dbPassword=(String) info.getCredentials();
        return this.equals(inPassword, dbPassword);
    }
}

3、實現登錄

@Api(value="用戶登錄接口API",tags="用戶登錄")
@RestController
@RequestMapping("/user")
public class UserLoginController {

	
	@Autowired
	private LoginService loginService;
	
	@ApiOperation(value = "用戶登錄", notes = "用戶登錄")
	@ApiImplicitParams({
	    	@ApiImplicitParam(name = "UserInfo", value = "用戶對象", required = true, dataType = "UserInfo"),
	})
	@RequestMapping(value="/login",method=RequestMethod.POST)
	public String loginUser(@RequestBody UserInfo userInfo) {
		String accNo = userInfo.getAccount().trim();
		String pwd = userInfo.getPwd().trim();
		if(StringUtils.isEmpty(accNo)||StringUtils.isEmpty(pwd)) {
			return "-2";
		}
		 UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken(accNo, pwd);
	        Subject subject = SecurityUtils.getSubject();
	        try {
	            subject.login(usernamePasswordToken);
	            UserInfo user = (UserInfo) subject.getPrincipal();
	            return "0";
	        } catch(Exception e) {
	            return "-1";
	        }
	} 
	
	@ApiOperation(value = "註銷登錄", notes = "註銷登錄")
	@RequestMapping(value="/logout",method=RequestMethod.GET)
	public String logout(RedirectAttributes redirectAttributes ){
        SecurityUtils.getSubject().logout();   
        return "0";
    }

	
}