Spring整合Shiro,SpringBoot整合Shiro

左手的ㄟ右手 2024-03-23 19:49 170阅读 0赞

Shiro

Shiro的三大功能

Shiro有三大核心组件,即SubjectSecurityManagerRealm

  • Subject: 为认证主体。应用代码直接交互的对象是Subject,Subject代表了当前的用户。包含PrincipalsCredentials两个信息。
  • SecurityManager:为安全管理员。是Shiro架构的核心。与Subject的所有交互都会委托给SecurityManager, Subject相当于是一个门面,而SecurityManager才是真正的执行者。它负责与Shiro 的其他组件进行交互。
  • Realm:是一个域。充当了Shiro与应用安全数据间的“桥梁”。Shiro从Realm中获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm中获取相应的用户进行比较,来确定用户的身份是否合法;也需要从Realm得到用户相应的角色、权限,进行验证用户的操作是否能过进行,可以把Realm看成DataSource,即安全数据源。

f1df3b80052a40ecb8482475e35e127f~tplv-k3u1fbpfcp-zoom-in-crop-mark\_4536\_0\_0\_0.webp

  • Authentication: 身份认证、登录,验证用户是不是拥有相应的身份;
  • Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否进行什么操作,如:验证某个用户是否拥有某个角色,或者细粒度的验证某个用户对某个资源是否具有某个权限!
  • Session Manager: 会话管理,即用户登录后就是第-次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通的JavaSE环境,也可以是Web环境;
  • Cryptography: 加密,保护数据的安全性,如密码加密存储到数据库中,而不是明文存储;
  • Web Suppor: Web支持,可以非常容易的集成到Web环境;
  • Caching: 缓存,比如用户登录后,其用户信息,拥有的角色、权限不必每次去查,这样可以提高效率
  • Concurrency: Shiro支持多线程应用的并发验证,即,如在一个线程中开启另一个线程,能把权限自动的传播过去
  • Testing:提供测试支持;
  • RunAs:允许一个用户假装为另-一个用户(如果他们允许)的身份进行访问;
  • Remember Me:记住我,这个是非常常见的功能,即一-次登录后, 下次再来的话不用登录了

Shiro架构(外部)

b00b0b78d68943feae4aa9832b82bb98~tplv-k3u1fbpfcp-zoom-in-crop-mark\_4536\_0\_0\_0.webp

从外部来看Shiro,即从应用程序角度来观察如何使用shiro完成工作: Subject 用户,SecurityManager管理所有用户 Realm连接数据

  • subject: 应用代码直接交互的对象是Subject, 也就是说Shiro的对外API核心就是Subject, Subject代表了当前的用户,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等,与Subject的所有交互都会委托给SecurityManager; Subject其实是一一个门面, SecurityManageer 才是实际的执行者。
  • SecurityManager: 安全管理器,即所有与安全有关的操作都会与SercurityManager交互, 并且它管理着所有的Subject,可以看出它是Shiro的核心,它负责与Shiro的其他组件进行交互,它相当于SpringMVC的DispatcherServlet的角色
  • Realm: Shiro从Realm获取安全数据 (如用户,角色,权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较,来确定用户的身份是否合法;也需要从Realm得到用户相应的角色、权限,进行验证用户的操作是否能够进行,可以把Realm看DataSource;

Shiro架构(内部)

8991ce3120e94c9baccc4aae76666875~tplv-k3u1fbpfcp-zoom-in-crop-mark\_4536\_0\_0\_0.webp

  • Subject: 任何可以与应用交互的用户;
  • Security Manager:相当于SpringMVC中的DispatcherSerlet; 是Shiro的心脏, 所有具体的交互都通过Security Manager进行控制,它管理者所有的Subject, 且负责进行认证,授权,会话,及缓存的管理。
  • Authenticator:负责Subject认证, 是-一个扩展点,可以自定义实现;可以使用认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
  • Authorizer:授权器,即访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中 的那些功能;
  • Realm: 可以有-一个或者多个的realm, 可以认为是安全实体数据源,即用于获取安全实体的,可以用JDBC实现,也可以是内存实现等等,由用户提供;所以- -般在应用中都需要实现自己的realm
  • SessionManager:管理Session生 命周期的组件,而Shiro并不仅仅可以用在Web环境,也可以用在普通的JavaSE环境中
  • CacheManager: 缓存控制器,来管理如用户,角色,权限等缓存的;因为这些数据基本上很少改变,放到缓存中后可以提高访问的性能;
  • Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于密码加密, 解密等

shiro认证过程

W%A~CHW4PLQ\`@4B%1@KF4Y0.png

shiro授权过程

b418716f335d4f10bde6a62cfa97fa3f~tplv-k3u1fbpfcp-watermark.png

shiro使用

SaaSExport练习项目使用(ssm)

pom.xml依赖

xml

复制代码

<!--Shiro和Spring整合--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency> <!--Shiro核心包--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </dependency>

web.xml

xml

复制代码

<!--服务器启动时加载Spring配置文件--> <context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath:spring.xml classpath:shiro.xml </param-value> </context-param> <!--Shiro核心过滤器--> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>

shiro.xml

xml

复制代码

<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"> <!--id=shiroFilter不能写错,大小写敏感,这个id的值与filter的名字相同--> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="defaultWebSecurityManager"/> <!--**表示当前路径下所有资源,包括一级目录,二级目录,等等--> <!--anon放在最前面,authc放在最后面--> <property name="filterChainDefinitions"> <value> /css/** = anon /img/** = anon /make/** = anon /plugins/** = anon /login.do = anon /system/dept/list.do = perms["部门管理"] /system/user/list.do = perms["用户管理"] /system/company/list.do = perms["企业管理"] /system/module/list.do = perms["模块管理"] /system/role/list.do = perms["角色管理"] /system/syslog/list.do = perms["日记管理"] /** = authc </value> </property> <property name="unauthorizedUrl" value="/unauthorized.jsp"/> </bean> <bean id="defaultWebSecurityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="authReaml"/> </bean> <bean id="authReaml" class="com.it.shiro.AuthReaml"> <!-- <!–将123456转成MD5格式的密码,然后再和数据库中的MD5密码进行比较–>--> <!-- <!–所以在企业开发中,配置方式很常用,可拔插–>--> <!-- <property name="credentialsMatcher" ref="hashedCredentialsMatcher"/>--> </bean> <!--我们使用MD5加密器--> <!-- <bean id="hashedCredentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">--> <!-- <property name="hashAlgorithmName" value="MD5"/>--> <!-- </bean>--> </beans>

权限参数表

QQ图片20230807165205.png

实现类AuthReaml

这个练习项目的权限是基于RBAC模型,用户表、角色表、模块表以及两个中间表,通过用户与角色的中间表获取用户对应的角色,然后通过角色与模块的中间表获取对应的权限,这也是典型的反三范式数据表设计(虽然我已经忘记三范式是哪三个了,不会还有人严格遵守三范式去设计数据表了吧?)

java

复制代码

package com.it.shiro; import com.it.model.module.Module; import com.it.model.user.User; import com.it.service.module.ModuleService; import com.it.service.user.UserService; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.*; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.subject.Subject; import org.springframework.beans.factory.annotation.Autowired; import java.util.List; /** * 自定义Shiro认证和权授的业务逻辑 */ public class AuthReaml extends AuthorizingRealm { @Autowired private UserService userService; @Autowired private ModuleService moduleService; /** * 认证 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { System.out.println("认证"); //1. 将AuthenticationToken接口强转成UsernamePasswordToken实现类并从中获取用户输入的用户名(邮箱)和密码 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = token.getUsername(); String password = new String(token.getPassword());//char[]->java.lang.String //2. 根据用户名(邮箱)去数据库中查询用户是否存在,userDB中有密码 User userDB = userService.findByEmail(username); //3. 如果用户不存在,就返回null if(userDB == null){ System.out.println("用户不存在"); return null; } System.out.println("uid "+userDB.getUserId()); System.out.println("password "+userDB.getPassword()); //4. 如果用户存在,就返回AuthenticationInfo接口的SimpleAuthenticationInfo实现类对象,该对象中封装三个信息: a)认证后的userDB对象 b)认证后的userDB对象封装的数据库密码 c)Realm的别名,可以为"" AuthenticationInfo info = new SimpleAuthenticationInfo(userDB,userDB.getPassword(),""); //Shiro会在后台对userDB.getPassword()数据库密码和password用户填写的密码在内存中对比 return info; } /** * 授权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { System.out.println("授权"); //1. 使用SecurityUtils获取Subject对象 Subject subject = SecurityUtils.getSubject(); //2. 使用Subject对象获取User对象 User loginUser = (User) subject.getPrincipal(); //3. 根据用户ID查询该用户可以访问的模块,这里的moduleList集合中Module只有模块名name属性 List<Module> moduleList = moduleService.findModuleByUid(loginUser.getUserId()); // List<Module> moduleList = moduleService.findByUserId(loginUser.getId()); //4. 遍历模块集合,将每一个模块的编号或名称封装到 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); for (Module module : moduleList) { //info.addStringPermission("部门管理"); info.addStringPermission(module.getName()); } //SimpleAuthorizationInfo对象中,以便Shiro内容进行授权控制 //5. 返回SimpleAuthorizationInfo对象 return info; } }

调用方法

scss

复制代码

//1.使用SecurityUtils获取subject对象 Subject subject = SecurityUtils.getSubject(); //2.使用AuthenticationToken接口的UsernamePasswordToken实现类封装用户输入的用户名(邮箱)和密码信息 AuthenticationToken token = new UsernamePasswordToken(username,password); //3.调用subject的login()进行认证,底层调用AuthRealm.doGetAuthenticationInfo()认证方法 subject.login(token); //4. 调用subject的getPrincipal()获取认证后的用户,这个userDB就是数据库的密码 User userDB = (User) subject.getPrincipal(); //5. 将用户放入session中 request.getSession().setAttribute("loginUser",userDB);

SpringBoot使用(网上摘抄的)

pom.xml

org.apache.shiro shiro-spring 1.4.1

config配置

新建一个config包,并创建ShiroConfig和UserRealm

typescript

复制代码

@Controller public class ShiroConfig { //三大核心要素: //ShiroFilterFactoryBean //第三步: public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){ ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean(); //设置安全管理器 bean.setSecurityManager(defaultWebSecurityManager); return bean; } //DafaultWebSecurityManager //第二步: @Bean(name="securityManager") public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); //关联UserRealm securityManager.setRealm(userRealm); return securityManager; } //创建realm对象,需要自定义类 //第一步: @Bean public UserRealm userRealm(){ return new UserRealm(); } }

scala

复制代码

public class UserRealm extends AuthorizingRealm { //授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { System.out.println("执行了=》授权doGetAuthorizationInfo"); return null; } //认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { System.out.println("执行了=》认证doGetAuthenticationInfo"); return null; } }

相关资料

SpringBoot整合shiro

发表评论

表情:
评论列表 (有 0 条评论,170人围观)

还没有评论,来说两句吧...

相关阅读