開發實戰|第三篇:基於shiro實現權限控制

原創 过期的酒 2020-06-25 15:37

目錄

1.簡介

Apache Shiro是Java的一個安全框架,可用於用認證,授權,加密,會話管理等多個方面,其基本功能點如下圖所示:

在這裏插入圖片描述

模塊 用途
Authenication 身份認證/登錄,驗證用戶是否擁有相應身份
Authorization 授權,權限驗證,驗證某個用戶是否擁有某個權限
Session Manager 會話管理
Cryptography 加密
Web Support web支持
Caching 緩存
Concurrency 支持多線程應用併發驗證

Shiro工作流程如下圖所示:

在這裏插入圖片描述

應用程序交互主體爲Subject,其中Subject可以看做門面,接收請求後實際交給SecurityManager進行處理,SecurityManager爲具體驗證邏輯,而Realm爲數據源來源,可以看做db

2.SpringBoot整合Shiro

  • 數據庫準備

    -- 用戶token表
create table shiro.user_token
(
    user_id     bigint       not null
    primary key,
    token       varchar(100) not null comment 'token',
    expire_time datetime     null comment '過期時間',
    update_time datetime     null comment '更新時間',
    constraint token
    unique (token)
)

-- 用戶表
create table shiro.user
(
    user_id        bigint auto_increment
        primary key,
    user_name      varchar(32)                        not null comment '用戶名',
    password       varchar(64)                        not null comment '用戶密碼',
    mobile         varchar(32)                        null comment '手機號',
    salt           varchar(64)                        null comment '鹽',
    locked         smallint(6)                        null comment '是否被鎖定(0:鎖定,1:正常)',
    create_user_id bigint                             null comment '創建人',
    create_time    datetime default CURRENT_TIMESTAMP null comment '創建時間',
    email          varchar(32)                        null,
    constraint user_user_name_uindex
        unique (user_name)
)
    comment '用戶表';
 
-- 角色表
create table shiro.role
(
    role_id        bigint auto_increment comment '權限id'
        primary key,
    role_name      varchar(32)                        not null,
    remark         varchar(64)                        null comment '權限說明',
    create_user_id bigint                             not null comment '創建者id',
    create_time    datetime default CURRENT_TIMESTAMP null comment '創建時間 '
)
    comment '權限表';
  
-- 用戶角色表
create table shiro.user_role
(
    id      bigint auto_increment
        primary key,
    user_id bigint not null,
    role_id bigint not null
)
    comment '用戶權限中間表';

-- 菜單表
create table shiro.menu
(
    menu_id     bigint auto_increment
        primary key,
    name        varchar(32) not null comment '菜單名',
    parent_id   bigint      not null comment '父菜單id,頂級菜單爲0',
    perms       varchar(32) null comment '權限集合,多個以","分割',
    parent_name varchar(32) null
)
    comment '菜單表';

-- 用戶菜單表
create table shiro.role_menu
(
    id      bigint auto_increment
        primary key,
    menu_id bigint not null,
    role_id bigint not null
)@Configuration
public class FilterConfig {

  @Bean
  public FilterRegistrationBean shiroFilterRegistration(){
    FilterRegistrationBean registration = new FilterRegistrationBean();
    registration.setFilter(new DelegatingFilterProxy("shiroFilter"));
    //該值缺省爲false,表示生命週期由SpringApplicationContext管理,設置爲true則表示由ServletContainer管理
    registration.addInitParameter("targetFilterLifecycle", "true");
    registration.setEnabled(true);
    registration.setOrder(Integer.MAX_VALUE - 1);
    registration.addUrlPatterns("/*");
    return registration;
  }
}
    comment '權限菜單表';

  • 數據準備

    -- 創建初始用戶
INSERT INTO shiro.user (user_id, user_name, password, mobile, salt, locked, create_user_id, create_time, email) VALUES (1, 'admin', 'da73d08539c91cdf2f11da4f6dcc5dbc2dd9dc8e1647cf1520e3540e77dc2c3c', '15123625205', '932c2d40-ea59-11e9-a2ad-0235d2b38928', 1, 1, '2019-10-09 05:59:51', null);

-- 創建菜單權限
INSERT INTO shiro.menu (menu_id, name, parent_id, perms, parent_name) VALUES (1, '新增', 2, 'sys:user:save,sys:role:select', null);

  • springboot環境搭建

    springboot基本搭建很簡單,在此就不在搭建,只列出所需的相關依賴:spring-boot-starter-aop,lombok,druid-spring-boot-starter,mysql-connector-java,mybatis-plus-boot-starter,joda-time,cos_api

  • 引入shiro依賴

    <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.0</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

  • shiro相關配置

    (1) shiroConfig:主要用於設置securityManager及請求攔攔截配置過濾器

    @Configuration
public class ShiroConfig {

    @Bean("securityManager")
    public SecurityManager securityManager(ShiroRealm shiroRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm);
        securityManager.setRememberMeManager(null);
        return securityManager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        //shiro過濾
        Map<String, Filter> filters = new HashMap<>();
        filters.put("shiro", new ShiroFilter());
        shiroFilter.setFilters(filters);

        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/druid/**", "anon");
        filterMap.put("/app/**", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/aaa.txt", "anon");
        filterMap.put("/**", "shiro");
        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter;
    }

    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(
        SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

}

    (2) shiroFilter:自定義過濾器

    該過濾器主要定義了請求成功,或登錄失敗後的處理措施

    public class ShiroFilter extends AuthenticatingFilter {

  @Override
  protected AuthenticationToken createToken(ServletRequest request,
      ServletResponse response) throws Exception {
    String token = getRequestToken((HttpServletRequest) request);
    if (StringUtils.isEmpty(token)) {
      return null;
    }

    return new ShiroToken(token);
  }

  private String getRequestToken(HttpServletRequest request) {

    //從header中獲取token
    String token = request.getHeader("token");

    //如果header中不存在token,則從參數中獲取token
    if (StringUtils.isEmpty(token)) {
      token = request.getParameter("token");
    }
    return token;
  }

  @Override
  protected boolean isAccessAllowed(ServletRequest request, ServletResponse response,
      Object mappedValue) {
    if (((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name())) {
      return true;
    }
    return false;
  }

  @Override
  protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse)
      throws Exception {
    String token = getRequestToken((HttpServletRequest) servletRequest);
    if (StringUtils.isEmpty(token)) {
      HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;
      httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
      httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
      String json = new Gson().toJson(ExtResult.error(HttpStatus.SC_UNAUTHORIZED, "invalid token"));

      httpResponse.getWriter().print(json);

      return false;
    }
    return executeLogin(servletRequest, servletResponse);
  }

  @Override
  protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e,
      ServletRequest request, ServletResponse response) {
    HttpServletResponse httpResponse = (HttpServletResponse) response;
    httpResponse.setContentType("application/json;charset=utf-8");
    httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
    httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
    try {
      //處理登錄失敗的異常
      Throwable throwable = e.getCause() == null ? e : e.getCause();
      ExtResult r = ExtResult.error(HttpStatus.SC_UNAUTHORIZED, throwable.getMessage());

      String json = new Gson().toJson(r);
      httpResponse.getWriter().print(json);
    } catch (IOException e1) {

    }

    return false;
  }
}

    (3)shiorToken:用於自定義token,後續所有請求均依賴於token校驗

    public class ShiroToken implements AuthenticationToken {

  private String token;

  public ShiroToken(String token) {
    this.token = token;
  }

  @Override
  public Object getPrincipal() {
    return token;
  }

  @Override
  public Object getCredentials() {
    return token;
  }
}

    (4) token生成器,用於生成token

    public class TokenGenerator {

  public static String generateValue() {
    return generateValue(UUID.randomUUID().toString());
  }

  public static String generateValue(String param) {
    try {
      //指定算法,初始化對象
      Provider[] providers = Security.getProviders();
      System.out.println(providers);
      MessageDigest md5 = MessageDigest.getInstance("MD5");
      //重置摘要
      md5.reset();
      //處理數據
      md5.update(param.getBytes());
      //調用digest將MessageDigest設置成初始化狀態,digest()只能調用一次,因此要初始化
      byte[] digest = md5.digest();
      return toHexString(digest);
    } catch (Exception e) {
      throw new ExtException("生成token失敗", e);
    }
  }

  private static final char[] hexCode = "0123456789abcdef".toCharArray();

  private static String toHexString(byte[] data) {
    if(Objects.isNull(data)){
      return null;
    }
    StringBuilder sb = new StringBuilder(data.length * 2);
    for (byte datum : data) {
      //對每個數字做位運算,只有都爲1時結果才爲1,否則爲0,然後取出數組中對應下標的數
      sb.append(hexCode[(datum>>4)& 0xF]);
      sb.append(hexCode[datum& 0xF]);
    }
    return sb.toString();
  }

  public static void main(String[] args) {
    generateValue();
  }
}

    (5)shiroRealm:自定義realm,即通過該realm實現用戶的認證及授權

    @Component
public class ShiroRealm extends AuthorizingRealm {

  @Resource
  private ShiroService shiroService;

  @Override
  public boolean supports(AuthenticationToken token) {
    return token instanceof ShiroToken;
  }

  /**
   * @description:用戶授權 <br>
   * @date: 19-10-9 上午11:43
   */
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    //獲取用戶信息
    UserDO userDO = (UserDO) principals.getPrimaryPrincipal();
    //獲取用戶權限列表
    Set<String> userPermission = shiroService.getUserPermission(userDO.getUserId());
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    info.setStringPermissions(userPermission);
    return info;
  }

  /**
   * @description:用戶認證 <br>
   * @date: 19-10-9 上午11:43
   */
  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
      throws AuthenticationException {
    //獲取用戶傳入token
    String accessToken = (String) token.getPrincipal();
    //根據token查詢用戶信息
    UserTokenDO userTokenDO = shiroService.queryByToken(accessToken);
    if (Objects.isNull(userTokenDO) || userTokenDO.getExpireTime().getTime() < System
        .currentTimeMillis()) {
      throw new IncorrectCredentialsException("token失效,請重新登錄");
    }
    //根據用戶id查詢用戶
    UserDO userDO = shiroService.queryUser(userTokenDO.getUserId());
    if(Objects.equals(userDO.getLocked(), 0)){
      throw new LockedAccountException("賬號被鎖定,請聯繫管理員");
    }
    SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userDO, accessToken, getName());
    return info;
  }
}

    (5)配置整體過濾器

    @Configuration
public class FilterConfig {

  @Bean
  public FilterRegistrationBean shiroFilterRegistration(){
    FilterRegistrationBean registration = new FilterRegistrationBean();
    registration.setFilter(new DelegatingFilterProxy("shiroFilter"));
    //該值缺省爲false,表示生命週期由SpringApplicationContext管理,設置爲true則表示由ServletContainer管理
    registration.addInitParameter("targetFilterLifecycle", "true");
    registration.setEnabled(true);
    registration.setOrder(Integer.MAX_VALUE - 1);
    registration.addUrlPatterns("/*");
    return registration;
  }
}

  • 測試校驗

    (1)驗證用戶登錄,創建token

    //實體類
@Data
public class LoginForm {

  private String username;
  private String password;
  private String uuid;
}
//請求controller
@PostMapping("/sys/login")
  public Map<String, Object> login(@RequestBody LoginForm form) throws IOException {
    //校驗驗證碼,省略

    //賬號密碼校驗
    UserDO user = userService.queryByUserName(form.getUsername());

    if (Objects.isNull(user) || !Objects
        .equals(new Sha256Hash(form.getPassword(), user.getSalt()).toHex(), user.getPassword())) {
      return ExtResult.error("賬戶或密碼不正確");
    }

    //賬號鎖定
    if (Objects.equals(user.getLocked(), 0)) {
      return ExtResult.error("賬號已被鎖定,請聯繫管理員");
    }

    //生成token,併入庫
    ExtResult r = userTokenService.createToken(user.getUserId());
    return r;
  }

}

-----------------------------------------------------------------------------
//生成token主要邏輯
  private final static int EXPIRE = 3600 * 12;
  @Override
  @Transactional
  public ExtResult createToken(long userId) {
    //生成一個token
    String token = TokenGenerator.generateValue();
    Date now = new Date();
    Date exprise = new Date(now.getTime() + EXPIRE * 1000);
    UserTokenDO userTokenDO = this.getById(userId);
    //如果token不存在,則生成新的token
    if(Objects.isNull(userTokenDO)){
      userTokenDO = new UserTokenDO();
      userTokenDO.setUserId(userId);
      userTokenDO.setToken(token);
      userTokenDO.setExpireTime(exprise);
      userTokenDO.setUpdateTime(now);
      this.saveOrUpdate(userTokenDO);
    }
    //如果存在,則更新token,並更新過期時間
    else{
      userTokenDO.setUpdateTime(now);
      userTokenDO.setExpireTime(exprise);
      userTokenDO.setToken(token);
      this.updateById(userTokenDO);
    }
    return ExtResult.ok().put("token", token).put("exprise", exprise);
  }

    (2)新增用戶

    @PostMapping("/save")
@RequiresPermissions("sys:user:save")
public ExtResult save(@RequestBody UserDO user){
    ValidatorUtils.validateEntity(user, AddGroup.class);
    user.setCreateUserId(getUserId());
    //密碼加鹽
    user.setPassword(MD5Utils.encrypt(user.getPassword(), user.getSalt()));
    userService.save(user);
    return ExtResult.ok();
}
-----------------------------------------------------------------------------
// ValidatorUtils:用於校驗傳入參數
    public static void validateEntity(Object object, Class<?>... groups)
    throws ExtException {
    Set<ConstraintViolation<Object>> constraintViolations = validator.validate(object, groups);
    if (!constraintViolations.isEmpty()) {
        StringBuilder msg = new StringBuilder();
        for(ConstraintViolation<Object> constraint:  constraintViolations){
            msg.append(constraint.getMessage()).append("<br>");
        }
        throw new ExtException(msg.toString());
    }
}

    (3)實現步驟

    • 用戶登錄根據用戶名查詢出用戶信息,校驗密碼正確,校驗賬號狀態是否正常
    • 新建用戶時,傳入當前登錄用戶token,首先進入shiroRealm(doGetAuthenticationInfo)校驗用戶是否登錄,token是否有效,如果校驗成功進入下一步
    • 上一步校驗成功後,進入回調方法(doGetAuthorizationInfo),根據傳入用戶查詢該用戶權限列表,如果權限列表中包含@RequiresPermissions(“sys:user:save”),指定的權限,則繼續執行後續操作。

    3.參考資料

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Koupleless 內核系列|模塊化隔離與共享帶來的收益與挑戰

文|趙真靈(花名:有濟) Koupleless 項目負責人螞蟻集團技術專家 本文 3724 字    閱讀 10 分鐘 聯繫作者/加入共建/使用產品 本篇文章屬於「Koupleless 進階系列文章」之一,默認讀者對 Koupleless

原創 2024-05-15 23:18:46

Spring cloud bootstrap context機制

Bootstrap Application Context Spring cloud程序在啓動階段,如果開啓了bootstrap啓動過程,則啓動時首先會創建一個bootstrap context,這個容器是項目主容器的父容器,它們共享一個E

原創 2024-05-15 11:50:16

Spring cloud 服務註冊發現

服務發現 在Spring cloud中,要注意區別服務和服務實例,這是兩個概念,一個微服務單元可以部署多個節點, 每個節點即一個服務實例,Spring cloud默認通過 spring.application.name 配置項來標識一個微服

原創 2024-05-15 11:50:14

記一次特別的未授權訪問

某個夜裏,隨手點進去的一個小程序,引發的連鎖反應。 開局一個小程序: 登錄方式令人發愁,嘗試收集,無果。 數據交互的地方說不定有sql,再次嘗試,還是無果。 複製連接去web端,看看有沒有什麼收穫: 好熟悉的界面,這不是SpringB

原創 2024-05-13 23:18:59

Spring Boot3,啓動時間縮短 10 倍!

前面松哥寫了一篇文章和大家聊了 Spring6 中引入的新玩意 AOT(見Spring Boot3 新玩法,AOT 優化!)。 文章發出來之後,有小夥伴問松哥有沒有做性能比較,老實說,這個給落下了,所以今天再來一篇文章,和小夥伴們梳理比較小

原創 2024-05-13 02:20:47

一種極簡單的SpringBoot單元測試方法| 京東零售技術團隊

前言 本文主要提供了一種單元測試方法,力求0基礎人員可以從本文中受到啓發,可以搭建一套好用的單元測試環境,並能切實的提高交付代碼的質量。極簡體現在除了POM依賴和單元測試類之外,其他什麼都不需要引入,只需要一個本地能啓動的springboo

原創 2024-05-10 00:30:06

關於Java Chassis 3的契約優先(API First)開發

本文分享自華爲雲社區《Java Chassis 3技術解密:契約優先(API First)開發》,作者: liubao68。 契約優先(API First)開發是指應用程序開發過程中,將API設計作爲第一優先級的任務。契約優先開發隨着Web

原創 2024-05-09 11:21:06

Python 爬蟲:Spring Boot 反爬蟲的成功案例

前言 在當今數字化時代,網絡數據成爲了信息獲取和分析的重要來源之一。然而,隨着網絡數據的廣泛應用,爬蟲技術也逐漸成爲了互聯網行業的熱門話題。爬蟲技術的應用不僅可以幫助企業獲取有價值的信息,還可以用於數據分析、市場研究等領域。然而,隨着爬

原創 2024-05-07 23:26:04

springboot連接Redis報NOAUTH Authentication required

背景 項目接入redis,連接報錯NOAUTH Authentication required,百度後是沒有輸入密碼,但是在測試環境是正常的。修改多次密碼失效,直接使用redis-cli連接,也是隻有沒輸入密碼時纔會報這個錯,密碼錯誤是另一

原創 2024-05-06 11:35:20

通義靈碼實戰系列:一個新項目如何快速啓動,如何維護遺留系統代碼庫?

作者:別象 進入 2024 年,AI 熱度持續上升,翻閱科技區的文章,AI 可謂是軍書十二卷,卷卷有爺名。而麥肯錫最近的研究報告顯示,軟件工程是 AI 影響最大的領域之一,AI 已經成爲了軟件工程的必選項,也有研究稱開發者每天的事務性工作可

原創 2024-04-30 21:12:20

SpringBoot配置HTTPS及開發調試

前言 在實際開發過程中,如果後端需要啓用https訪問,通常項目啓動後配置nginx代理再配置https,前端調用時高版本的chrome還會因爲證書未信任導致調用失敗,通過摸索整理一套開發調試下的https方案,特此分享 後端配置 生成HT

原創 2024-04-29 21:38:23

Spring Boot應用中如何動態指定數據庫,實現不同用戶不同數據庫的場景

當在 Spring Boot 應用程序中使用Spring Data JPA 進行數據庫操作時,配置Schema名稱是一種常見的做法。然而,在某些情況下,模式名稱需要是動態的,可能會在應用程序運行時發生變化。比如:需要做數據隔離的SaaS應用

原創 2024-04-26 21:37:12

DataGear 5.0.0 發佈,數據可視化分析平臺

DataGear 企業版 1.1.0 已發佈,歡迎瞭解試用! http://datagear.tech/pro/ DataGear 5.0.0 發佈,核心功能重構,新增圖表追加更新模式,具體更新內容如下: 重構:【圖表數據集】概念和設計

原創 2024-04-24 21:42:05

SpringBoot如何優雅的進行參數校驗(一)

SpringBoot如何優雅的進行參數校驗 一.爲什麼要進行參數校驗 在日常的開發過程中,我們常常需要對傳入的參數進行校驗,比如在web前後端分離項目中,參數校驗有兩個方面: 前端進行參數校驗 後端進行參數校驗 那這兩種

原創 2024-04-23 23:15:58

【Stringboot+Netty4】Springboot集成Netty4實現聊天室功能

需求:站內聊天的實現。 分析過程:1、websocket實現的功能簡單,缺點在多人的情況下效率會幾何數降低。                   2、Netty4比Netty5更穩定,測試發現Netty5暫時不穩定,內存處理不如Netty4

原創 2024-04-23 11:37:35