Shiro是什麼?簡單來說它是Apache的一個Java安全框架(Apache是一個很牛的團體,除了Shiro,還有Lucene、Elasticsearch、Activiti等等也是Apache的,後續博主可能會講到),具體這裏就不詳細贅述了,請大家自行查看百度百科。這裏博主只介紹怎麼使用。
博主是java後臺開發的研發經理,平時不怎麼寫Web端代碼,所以代碼是博主照着“java知識分享網”上面的一個商品管理系統來敲的,也算是“現炒現賣”,和大家一起學習。
第一步,在pom.xml文件裏面添加Shiro依賴,如下。
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
第二步,編寫MyRealm類,這個類要繼承AuthorizingRealm,首先要重寫doGetAuthorizationInfo方法,這個方法是用來授權的,即把當前用戶擁有的所有角色和菜單權限加載到subject裏面。然後要重寫doGetAuthenticationInfo方法,這個方法是用來身份驗證的,如果驗證不通過,會向上拋AuthenticationException異常。下面我直接貼代碼。
package com.zznode.realm;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import javax.annotation.Resource;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import com.zznode.entity.Menu;
import com.zznode.entity.Role;
import com.zznode.entity.User;
import com.zznode.repository.MenuRepository;
import com.zznode.repository.RoleRepository;
import com.zznode.repository.UserRepository;
/**
* 自定義Realm
*
* @author Administrator
*
*/
public class MyRealm extends AuthorizingRealm {
@Resource
private UserRepository userRepository;
@Resource
private RoleRepository roleRepository;
@Resource
private MenuRepository menuRepository;
/**
* 授權,這個方法是懶加載,第一次使用權限的時候纔會執行此方法
* 比如在遇到@RequiresPermissions和@RequiresRoles註解的時候會執行此方法
*
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String userName = (String) SecurityUtils.getSubject().getPrincipal();
User user = userRepository.findByUserName(userName);
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
List<Role> roleList = roleRepository.findByUserId(user.getId());
Set<String> roles = new HashSet<String>();
for (Role role : roleList) {
roles.add(role.getName());
List<Menu> menuList = menuRepository.findByRoleId(role.getId());
for (Menu menu : menuList) {
// 把每個菜單名稱都放到subject裏面,與@RequiresPermissions等註解配合使用,來進行權限驗證
info.addStringPermission(menu.getName());
}
}
info.setRoles(roles);
return info;
}
/**
* 身份認證
*
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
// 獲取token中的用戶名
String userName = (String) token.getPrincipal();
// 根據token中的用戶名從數據庫中查出用戶實體
User user = userRepository.findByUserName(userName);
if (user != null) {
// 將token中的用戶名密碼與數據庫查出的用戶名密碼進行比較,如果不一致,則向上拋AuthenticationException異常
AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), "xxx");
return authcInfo;
} else {
// 如果用戶實體爲null,直接向上拋AuthenticationException異常
throw new AuthenticationException("用戶名不存在");
}
}
}
第三步,編寫ShiroConfig類,這個類定義了可以匿名訪問的url,其他的代碼都是固定套路的,以後開發中基本不用改,我還是直接貼代碼,註釋寫的很詳細,大家都能看懂。
package com.zznode.config;
import java.util.LinkedHashMap;
import java.util.Map;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import com.zznode.realm.MyRealm;
/**
* Shiro配置類
*
* @author Administrator
*
*/
@Configuration
public class ShiroConfig {
/**
* ShiroFilterFactoryBean 處理攔截資源文件問題。
* 注意:單獨一個ShiroFilterFactoryBean配置是或報錯的
* 因爲在初始化ShiroFilterFactoryBean的時候需要注入SecurityManager
*
* Filter Chain定義說明 :
* 1、一個URL可以配置多個Filter,使用逗號分隔
* 2、當設置多個過濾器時,全部驗證通過,才視爲通過
* 3、部分過濾器可指定參數,如perms、roles
*
*/
@Bean
public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
// 必須設置 SecurityManager
shiroFilterFactoryBean.setSecurityManager(securityManager);
// 如果不設置默認會自動尋找Web工程根目錄下的"/login.jsp"頁面
shiroFilterFactoryBean.setLoginUrl("/login.html");
// 攔截器.
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
// 配置不會被攔截的鏈接,順序判斷,anon:所有url都都可以匿名訪問
filterChainDefinitionMap.put("/static/**", "anon");
filterChainDefinitionMap.put("/user/login", "anon");
filterChainDefinitionMap.put("/drawImage", "anon");
// 配置退出過濾器,其中的具體的退出代碼Shiro已經替我們實現了
filterChainDefinitionMap.put("/logout", "logout");
// 配置會被攔截的鏈接,一般將這句話放在最爲下邊,authc:所有url都必須認證通過纔可以訪問
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
@Bean
public SecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
// 設置realm
securityManager.setRealm(myRealm());
return securityManager;
}
/**
* realm實現類
*
* @return
*/
@Bean
public MyRealm myRealm() {
MyRealm myRealm = new MyRealm();
return myRealm;
}
/**
* Shiro生命週期處理器
*
* @return
*/
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
return new LifecycleBeanPostProcessor();
}
/**
* 開啓Shiro的註解(如@RequiresRoles、@RequiresPermissions),需藉助SpringAOP掃描使用Shiro註解的類,並在必要時進行安全邏輯驗證
* 配置以下兩個bean,DefaultAdvisorAutoProxyCreator(可選)和AuthorizationAttributeSourceAdvisor即可實現此功能
*
* @return
*/
@Bean
@DependsOn({ "lifecycleBeanPostProcessor" })
public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
advisorAutoProxyCreator.setProxyTargetClass(true);
return advisorAutoProxyCreator;
}
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
return authorizationAttributeSourceAdvisor;
}
}
下面,我們看一個controller的login方法的例子,代碼如下。在執行subject.login方法的時候,會自動調用MyRealm類裏面的doGetAuthenticationInfo方法,並且可以catch到這個方法的異常。
@ResponseBody
@RequestMapping("/login")
public Map<String, Object> login(String imageCode, @Valid User user, BindingResult bindingResult,
HttpSession session) {
Map<String, Object> map = new HashMap<String, Object>();
if (StringUtil.isEmpty(imageCode)) {
map.put("success", false);
map.put("errorInfo", "請輸入驗證碼!");
return map;
}
if (!session.getAttribute("checkcode").equals(imageCode)) {
map.put("success", false);
map.put("errorInfo", "驗證碼輸入錯誤!");
return map;
}
if (bindingResult.hasErrors()) {
map.put("success", false);
map.put("errorInfo", bindingResult.getFieldError().getDefaultMessage());
return map;
}
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword());
try {
// 下面這句話,會調用MyRealm類裏面的doGetAuthenticationInfo方法,並且可以catch到這個方法的異常
subject.login(token);
// 如果上面這句話執行沒有異常,則說明登陸成功
// 從subject裏獲得當前的用戶名
String userName = (String) SecurityUtils.getSubject().getPrincipal();
// 根據當前用戶名查出用戶實體信息
User currentUser = userService.findByUserName(userName);
// 將用戶實體信息放入HttpSession
session.setAttribute("currentUser", currentUser);
// 根據用戶實體id查出角色列表(一個用戶可以對應多個角色)
List<Role> roleList = roleService.findByUserId(currentUser.getId());
map.put("roleList", roleList);
map.put("roleSize", roleList.size());
map.put("success", true);
// 記錄操作日誌
logService.save(new Log(Log.LOGIN_ACTION, "用戶登錄"));
return map;
} catch (Exception e) {
e.printStackTrace();
map.put("success", false);
map.put("errorInfo", "用戶名或者密碼錯誤!");
return map;
}
}
最後我們再看一個controller的save方法的例子,這個比較簡單易懂,代碼如下。@RequiresPermissions(value = “商品管理”)這個註解的意思是,判斷subject裏面有沒有“商品管理”這個菜單權限,如果有,才允許執行save這個方法,否則會向上拋出AuthorizationException異常。
@RequestMapping("/save")
@RequiresPermissions(value = "商品管理")
public Map<String, Object> save(GoodsUnit goodsUnit) throws Exception {
Map<String, Object> resultMap = new HashMap<>();
goodsUnitService.save(goodsUnit);
logService.save(new Log(Log.ADD_ACTION, "添加商品單位信息"));
resultMap.put("success", true);
return resultMap;
}
至此,Shiro就介紹完了,掌握這些基本就夠了。