SpringBoot集成Shiro进行权限控制和管理的示例
程序员文章站
2022-03-25 15:01:43
shiro
apache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对s...
shiro
apache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自家的东西。springboot暂时没有集成shiro,这得自己配。
1 . 添加依赖
<dependency> <groupid>org.apache.shiro</groupid> <artifactid>shiro-spring</artifactid> <version>1.2.5</version> </dependency> <dependency> <groupid>org.apache.shiro</groupid> <artifactid>shiro-ehcache</artifactid> <version>1.2.5</version> </dependency>
2 . 编写shiro配置类
package com.xbz.web.system.config;
import at.pollux.thymeleaf.shiro.dialect.shirodialect;
import org.apache.shiro.authc.credential.credentialsmatcher;
import org.apache.shiro.authc.credential.hashedcredentialsmatcher;
import org.apache.shiro.cache.ehcache.ehcachemanager;
import org.apache.shiro.codec.base64;
import org.apache.shiro.session.sessionlistener;
import org.apache.shiro.session.mgt.sessionmanager;
import org.apache.shiro.session.mgt.eis.memorysessiondao;
import org.apache.shiro.session.mgt.eis.sessiondao;
import org.apache.shiro.spring.lifecyclebeanpostprocessor;
import org.apache.shiro.spring.security.interceptor.authorizationattributesourceadvisor;
import org.apache.shiro.spring.web.shirofilterfactorybean;
import org.apache.shiro.web.mgt.cookieremembermemanager;
import org.apache.shiro.web.mgt.defaultwebsecuritymanager;
import org.apache.shiro.web.servlet.simplecookie;
import org.apache.shiro.web.session.mgt.defaultwebsessionmanager;
import org.springframework.aop.framework.autoproxy.defaultadvisorautoproxycreator;
import org.springframework.boot.autoconfigure.condition.conditionalonmissingbean;
import org.springframework.context.annotation.bean;
import org.springframework.context.annotation.configuration;
import org.springframework.context.annotation.dependson;
import java.util.arraylist;
import java.util.collection;
import java.util.linkedhashmap;
import java.util.map;
/**
* shiro配置类
* apacheshiro核心通过filter来实现权限控制和拦截 , 就好像springmvc通过dispachservlet来主控制请求分发一样 .
* 既然是使用filter , 即是通过url规则来进行过滤和权限校验 , 所以我们需要定义一系列关于url的规则和访问权限
*/
@configuration
public class shiroconfiguration {
/**
* defaultadvisorautoproxycreator , spring的一个bean , 由advisor决定对哪些类的方法进行aop代理 .
*/
@bean
@conditionalonmissingbean
public defaultadvisorautoproxycreator defaultadvisorautoproxycreator() {
defaultadvisorautoproxycreator defaultaap = new defaultadvisorautoproxycreator();
defaultaap.setproxytargetclass(true);
return defaultaap;
}
/**
* shirofilterfactorybean : 为了生成shirofilter , 处理拦截资源文件问题 .
* 它主要保持了三项数据 , securitymanager , filters , filterchaindefinitionmanager .
* 注意 : 单独一个shirofilterfactorybean配置是或报错的 , 因为在初始化shirofilterfactorybean的时候需要注入:securitymanager
*
* filterchain定义说明
* 1 . 一个url可以配置多个filter , 使用逗号分隔
* 2 . 当设置多个过滤器时 , 全部验证通过 , 才视为通过
* 3 . 部分过滤器可指定参数 , 如perms , roles
*
*/
@bean
public shirofilterfactorybean shirofilterfactorybean() {
shirofilterfactorybean shirofilterfactorybean = new shirofilterfactorybean();
shirofilterfactorybean.setsecuritymanager(securitymanager());
shirofilterfactorybean.setloginurl("/login");//不设置默认找web工程根目录下的login.jsp页面
shirofilterfactorybean.setsuccessurl("/index");//登录成功之后要跳转的连接
shirofilterfactorybean.setunauthorizedurl("/403");//未授权跳转页面
/* //自定义拦截器 , 多个filter的设置 */
// map<string, filter> filters = new linkedhashmap<>();
// logoutfilter logoutfilter = new logoutfilter();//限制同一帐号同时在线的个数。或单点登录等
// logoutfilter.setredirecturl("/login");
// filters.put("logout",null);
// shirofilterfactorybean.setfilters(filters);
map<string, string> filterchaindefinitionmap = new linkedhashmap<>();
//filterchaindefinitionmanager必须是linkedhashmap因为它必须保证有序
filterchaindefinitionmap.put("/css/**", "anon");//静态资源不要求权限 , 若有其他目录下文件(如js,img等)也依此设置
filterchaindefinitionmap.put("/", "anon");
filterchaindefinitionmap.put("/login", "anon");//配置不需要权限访问的部分url
filterchaindefinitionmap.put("/logout", "logout");
filterchaindefinitionmap.put("/user/**", "authc,roles[role_user]");//用户为role_user 角色可以访问 . 由用户角色控制用户行为 .
filterchaindefinitionmap.put("/events/**", "authc,roles[role_admin]");
// filterchaindefinitionmap.put("/user/edit/**", "authc,perms[user:edit]");// 这里为了测试 , 固定写死的值 , 也可以从数据库或其他配置中读取 , 此处是用权限控制
filterchaindefinitionmap.put("/**", "authc");//需要登录访问的资源 , 一般将/**放在最下边
shirofilterfactorybean.setfilterchaindefinitionmap(filterchaindefinitionmap);
return shirofilterfactorybean;
}
//region cookie及session
// ==================== cookie及session管理 begin ====================
private static final string cookie_name = "rememberme";
/** cookie对象管理 */
public simplecookie remembermecookie(){
//这个参数是cookie的名称,对应前端的checkbox的name = rememberme
simplecookie simplecookie = new simplecookie(cookie_name);
simplecookie.setmaxage(604800);//记住我cookie生效时间7天 ,单位秒
return simplecookie;
}
/** cookie管理对象 : 记住我功能 */
public cookieremembermemanager remembermemanager(){
cookieremembermemanager cookieremembermemanager = new cookieremembermemanager();
cookieremembermemanager.setcookie(remembermecookie());
cookieremembermemanager.setcipherkey(base64.decode("3avvhmflus0kta3kprsdag=="));//rememberme cookie加密的密钥 建议每个项目都不一样 默认aes算法 密钥长度(128 256 512 位)
return cookieremembermemanager;
}
@bean
sessiondao sessiondao() {
return new memorysessiondao();
}
@bean
public sessionmanager sessionmanager() {
defaultwebsessionmanager sessionmanager = new defaultwebsessionmanager();
collection<sessionlistener> listeners = new arraylist<>();
listeners.add(new bdsessionlistener());
sessionmanager.setsessionlisteners(listeners);
sessionmanager.setsessiondao(sessiondao());
return sessionmanager;
}
// ==================== cookie及session管理 end ====================
//endregion
/**
* securitymanager : 核心安全事务管理器 , 权限管理
* 这个类组合了登陆 , 登出 , 权限 , session的处理 . 是个比较重要的类 .
*/
@bean(name = "securitymanager")
public defaultwebsecuritymanager securitymanager() {
defaultwebsecuritymanager securitymanager = new defaultwebsecuritymanager();
securitymanager.setrealm(shirorealm());
securitymanager.setcachemanager(ehcachemanager());////用户授权/认证信息cache, 采用ehcache 缓存
// 自定义session管理 使用redis
securitymanager.setsessionmanager(sessionmanager());
//注入记住我管理器;
securitymanager.setremembermemanager(remembermemanager());
return securitymanager;
}
/**
* shirorealm , 这是个自定义的认证类 , 继承自authorizingrealm ,
* 负责用户的认证和权限的处理 , 可以参考jdbcrealm的实现 .
*/
@bean
@dependson("lifecyclebeanpostprocessor")
public shirorealm shirorealm(credentialsmatcher matcher) {
shirorealm realm = new shirorealm();
realm.setcredentialsmatcher(matcher);//密码校验实现
return realm;
}
/**
* ehcachemanager , 缓存管理
* 用户登陆成功后 , 把用户信息和权限信息缓存起来 , 然后每次用户请求时 , 放入用户的session中 , 如果不设置这个bean , 每个请求都会查询一次数据库 .
*/
@bean
@dependson("lifecyclebeanpostprocessor")
public ehcachemanager ehcachemanager() {
ehcachemanager em = new ehcachemanager();
em.setcachemanagerconfigfile("classpath:config/ehcache.xml");//配置文件路径
return em;
}
/**
* lifecyclebeanpostprocessor , 这是个destructionawarebeanpostprocessor的子类 ,
* 负责org.apache.shiro.util.initializable类型bean的生命周期的 , 初始化和销毁 .
* 主要是authorizingrealm类的子类 , 以及ehcachemanager类 .
*/
@bean(name = "lifecyclebeanpostprocessor")
public lifecyclebeanpostprocessor lifecyclebeanpostprocessor() {
return new lifecyclebeanpostprocessor();
}
/**
* hashedcredentialsmatcher , 这个类是为了对密码进行编码的 ,
* 防止密码在数据库里明码保存 , 当然在登陆认证的时候 ,
* 这个类也负责对form里输入的密码进行编码
* 处理认证匹配处理器:如果自定义需要实现继承hashedcredentialsmatcher
*/
@bean(name = "hashedcredentialsmatcher")
public hashedcredentialsmatcher hashedcredentialsmatcher() {
hashedcredentialsmatcher credentialsmatcher = new hashedcredentialsmatcher();
credentialsmatcher.sethashalgorithmname("md5");//指定加密方式方式,也可以在这里加入缓存,当用户超过五次登陆错误就锁定该用户禁止不断尝试登陆
credentialsmatcher.sethashiterations(2);
credentialsmatcher.setstoredcredentialshexencoded(true);
return credentialsmatcher;
}
/**
* authorizationattributesourceadvisor , shiro里实现的advisor类 ,
* 内部使用aopallianceannotationsauthorizingmethodinterceptor来拦截用以下注解的方法 .
*/
@bean
public authorizationattributesourceadvisor authorizationattributesourceadvisor() {
authorizationattributesourceadvisor advisor = new authorizationattributesourceadvisor();
advisor.setsecuritymanager(securitymanager());
return advisor;
}
//thymeleaf模板引擎和shiro整合时使用
@bean
public shirodialect shirodialect() {
return new shirodialect();
}
}
3 . 自定义realm验证类
package com.yiyun.web.system.config;
import com.yiyun.dao.master.userdao;
import com.yiyun.domain.userdo;
import com.yiyun.web.common.utils.shiroutils;
import com.yiyun.web.system.service.menuservice;
import org.apache.shiro.securityutils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.authorizationinfo;
import org.apache.shiro.authz.simpleauthorizationinfo;
import org.apache.shiro.realm.authorizingrealm;
import org.apache.shiro.session.session;
import org.apache.shiro.subject.principalcollection;
import org.springframework.beans.factory.annotation.autowired;
import java.util.*;
/**
* 获取用户的角色和权限信息
*/
public class shirorealm extends authorizingrealm {
// 一般这里都写的是servic
@autowired
private userdao usermapper;
@autowired
private menuservice menuservice;
/**
* 登录认证 一般情况下 , 登录成功之后就给当前用户进行权限赋予了
* 根据用户的权限信息做授权判断,这一步是以dogetauthenticationinfo为基础的,只有在有用户信息后才能根据用户的角色和授权信息做判断是否给用户授权,因此这里的roles和permissions是用户的两个重点判断依据
* @param authenticationtoken
* @return
* @throws authenticationexception
*/
@override
protected authenticationinfo dogetauthenticationinfo(authenticationtoken authenticationtoken) throws authenticationexception {
usernamepasswordtoken token = (usernamepasswordtoken) authenticationtoken;
userdo user = usermapper.findbyname(token.getusername());//查出是否有此用户
if(user != null){
// 若存在,将此用户存放到登录认证info中,无需自己做密码对比,shiro会为我们进行密码对比校验
list<urole> rlist = uroledao.findrolebyuid(user.getid());//获取用户角色
list<upermission> plist = upermissiondao.findpermissionbyuid(user.getid());//获取用户权限
list<string> rolestrlist=new arraylist<string>();////用户的角色集合
list<string> perminsstrlist=new arraylist<string>();//用户的权限集合
for (urole role : rlist) {
rolestrlist.add(role.getname());
}
for (upermission upermission : plist) {
perminsstrlist.add(upermission.getname());
}
user.setrolestrlist(rolestrlist);
user.setperminsstrlist(perminsstrlist);
session session = securityutils.getsubject().getsession();
session.setattribute("user", user);//成功则放入session
// 若存在,将此用户存放到登录认证info中,无需自己做密码对比,shiro会为我们进行密码对比校验
return new simpleauthenticationinfo(user, user.getpassword(), getname());
}
return null;
}
/**
* 权限认证
* 获取用户的权限信息,这是为下一步的授权做判断,获取当前用户的角色和这些角色所拥有的权限信息
* @param principalcollection
* @return
*/
@override
protected authorizationinfo dogetauthorizationinfo(principalcollection principalcollection) {
//获取当前登录输入的用户名,等价于(string) principalcollection.fromrealm(getname()).iterator().next();
// string loginname = (string) super.getavailableprincipal(principalcollection);
userdo user = (userdo) principalcollection.getprimaryprincipal();
// //到数据库查是否有此对象
// user user = null;// 实际项目中,这里可以根据实际情况做缓存,如果不做,shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
// user = usermapper.findbyname(loginname);
if (user != null) {
//权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission)
simpleauthorizationinfo info = new simpleauthorizationinfo();
//用户的角色集合
info.addroles(user.getrolestrlist());
//用户的权限集合
info.addstringpermissions(user.getperminsstrlist());
return info;
}
// 返回null的话,就会导致任何用户访问被拦截的请求时,都会自动跳转到unauthorizedurl指定的地址
return null;
}
}
4 . 最后看一下ehcache的配置文件
<?xml version="1.0" encoding="utf-8"?>
<ehcache xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"
xsi:nonamespaceschemalocation="http://ehcache.org/ehcache.xsd"
updatecheck="false">
<diskstore path="java.io.tmpdir/tmp_ehcache" />
<!--
name:缓存名称。
maxelementsinmemory:缓存最大数目
maxelementsondisk:硬盘最大缓存个数。
eternal:对象是否永久有效,一但设置了,timeout将不起作用。
overflowtodisk:是否保存到磁盘,当系统当机时
timetoidleseconds:设置对象在失效前的允许闲置时间(单位:秒)。仅当eternal=false对象不是永久有效时使用,可选属性,默认值是0,也就是可闲置时间无穷大。
timetoliveseconds:设置对象在失效前允许存活时间(单位:秒)。最大时间介于创建时间和失效时间之间。仅当eternal=false对象不是永久有效时使用,默认是0.,也就是对象存活时间无穷大。
diskpersistent:是否缓存虚拟机重启期数据 whether the disk store persists between restarts of the virtual machine. the default value is false.
diskspoolbuffersizemb:这个参数设置diskstore(磁盘缓存)的缓存区大小。默认是30mb。每个cache都应该有自己的一个缓冲区。
diskexpirythreadintervalseconds:磁盘失效线程运行时间间隔,默认是120秒。
memorystoreevictionpolicy:当达到maxelementsinmemory限制时,ehcache将会根据指定的策略去清理内存。默认策略是lru(最近最少使用)。你可以设置为fifo(先进先出)或是lfu(较少使用)。
clearonflush:内存数量最大时是否清除。
memorystoreevictionpolicy:
ehcache的三种清空策略;
fifo,first in first out,这个是大家最熟的,先进先出。
lfu, less frequently used,就是上面例子中使用的策略,直白一点就是讲一直以来最少被使用的。如上面所讲,缓存的元素有一个hit属性,hit值最小的将会被清出缓存。
lru,least recently used,最近最少使用的,缓存的元素有一个时间戳,当缓存容量满了,而又需要腾出地方来缓存新的元素的时候,那么现有缓存元素中时间戳离当前时间最远的元素将被清出缓存。
-->
<defaultcache eternal="false" maxelementsinmemory="1000"
overflowtodisk="false" diskpersistent="false" timetoidleseconds="0"
timetoliveseconds="600" memorystoreevictionpolicy="lru" />
<!-- 登录记录缓存锁定10分钟 -->
<cache name="passwordretrycache"
maxentrieslocalheap="2000"
eternal="false"
timetoidleseconds="3600"
timetoliveseconds="0"
overflowtodisk="false"
statistics="true">
</cache>
</ehcache>
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
下一篇: ZK JSP Tags 1.3.0发布