Spring Boot 整合 Shiro

CatalpaFlat lv-4
·  阅读 1015
Spring Boot 整合 Shiro

虽然,直接用Spring Security和SpringBoot 进行“全家桶式”的合作是最好不过的,但现实总是欺负我们这些没办法决定架构类型的娃子。

Apache Shiro 也有其特殊之处滴。若需了解,可以转战到[Apache Shiro 简介]

1. 添加Shiro依赖

shiro的版本,看个人喜好哈,本文的版本为:

<shiro.version>1.3.2</shiro.version>
复制代码
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>${shiro.version}</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>${shiro.version}</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-aspectj</artifactId>
    <version>${shiro.version}</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>${shiro.version}</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-quartz</artifactId>
    <version>${shiro.version}</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>${shiro.version}</version>
</dependency>
复制代码

2. shiroRealm

授权认证具体实现之地。通过继承 AuthorizingRealm 进而实现,对登录时的账号密码校验功能

@Slf4j
public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    private ShiroPermissionRepository shiroPermissionRepository;

    /**
     * 授权
     *
     * @param principalCollection 主要信息
     * @return 授权信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        if (log.isInfoEnabled()){
            log.info("Authorization begin");
        }
        String name= (String) principalCollection.getPrimaryPrincipal();
        List<String> role = shiroPermissionRepository.queryRoleByName(name);
        if (role.isEmpty()){
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            simpleAuthorizationInfo.addRoles(role);
            return simpleAuthorizationInfo;
        }
        return null;
    }

    /**
     * 认证
     *
     * @param authenticationToken 认证token
     * @return 认证结果
     * @throws AuthenticationException 认证异常
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        if (log.isInfoEnabled()){
            log.info("Authentication begin");
        }

        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;

        Object principal =token.getPrincipal();
        Object credentials = token.getCredentials();

        //校验用户名
        checkBlank(principal,"用户名不能为空");
        //校验密码
        checkBlank(credentials,"密码不能为空");

        //校验姓名
        String username = (String) principal;
        UserPO userPO = shiroPermissionRepository.findAllByName(username);
        if (userPO == null){
            throw new AccountException("用户名错误");
        }

        //校验密码
        String password = (String) credentials;
        if (!StringUtils.equals(password,userPO.getPassword())){
            throw new AccountException("密码错误");
        }

        return new SimpleAuthenticationInfo(principal, password, getName());
    }

    private void checkBlank(Object obj,String message){
        if (obj instanceof String){
            if (StringUtils.isBlank((String) obj)){
                throw new AccountException(message);
            }
        }else if (obj == null){
            throw new AccountException(message);
        }
    }
}
复制代码

3. 配置ShiroConfig

将ShiroConfig、SecurityManager、ShiroFilterFactoryBean交给Spring管理.

  • ShiroRealm: 则上述所描述的ShiroRealm
  • SecurityManager: 管理 所有用户 的安全操作
  • ShiroFilterFactoryBean: 配置Shiro的过滤器
@Configuration
public class ShiroConfig {

    private final static String AUTHC_STR = "authc";
    private final static String ANON_STR = "anon";

    /**
     * 验证授权、认证
     *
     * @return shiroRealm 授权认证
     */
    @Bean
    public ShiroRealm shiroRealm(){
        return new ShiroRealm();
    }

    /**
     * session manager
     *
     * @param shiroRealm  授权认证
     * @return  安全管理
     */
    @Bean
    @ConditionalOnClass(ShiroRealm.class)
    public SecurityManager securityManager(ShiroRealm shiroRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm);
        return securityManager;
    }

    /**
     * Filter工厂,设置对应的过滤条件和跳转条件
     *
     * @param securityManager session 管理
     * @return shiro 过滤工厂
     */
    @Bean
    @ConditionalOnClass(value = {SecurityManager.class})
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        shiroFilterFactoryBean.setFilters(filterMap);

        //URI过滤
        Map<String,String> map = Maps.newLinkedHashMap();

        //可过滤的接口路径
        

        //所有API路径进行校验
        map.put("/api/**",AUTHC_STR);

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        return shiroFilterFactoryBean;
    }
}
复制代码

3.1 Shiro 过滤器小插曲

shiro和security也有相似之处,都有自己的 filter chain。翻一番Shiro的源码,追溯一下。发下以下:

3.1.1 ShiroFilterFactoryBean——createFilterChainManager

  protected FilterChainManager createFilterChainManager() {

        DefaultFilterChainManager manager = new DefaultFilterChainManager();
        Map<String, Filter> defaultFilters = manager.getFilters();
        //apply global settings if necessary:
        for (Filter filter : defaultFilters.values()) {
            applyGlobalPropertiesIfNecessary(filter);
        }

        //Apply the acquired and/or configured filters:
        Map<String, Filter> filters = getFilters();
        if (!CollectionUtils.isEmpty(filters)) {
            for (Map.Entry<String, Filter> entry : filters.entrySet()) {
                String name = entry.getKey();
                Filter filter = entry.getValue();
                applyGlobalPropertiesIfNecessary(filter);
                if (filter instanceof Nameable) {
                    ((Nameable) filter).setName(name);
                }
                //'init' argument is false, since Spring-configured filters should be initialized
                //in Spring (i.e. 'init-method=blah') or implement InitializingBean:
                manager.addFilter(name, filter, false);
            }
        }

        //build up the chains:
        Map<String, String> chains = getFilterChainDefinitionMap();
        if (!CollectionUtils.isEmpty(chains)) {
            for (Map.Entry<String, String> entry : chains.entrySet()) {
                String url = entry.getKey();
                String chainDefinition = entry.getValue();
                manager.createChain(url, chainDefinition);
            }
        }

        return manager;
    }
复制代码

从源码可以发现,shiro的过滤器链,添加顺序是:

  1. defaultFilters: shiro默认的过滤器链
  2. filters: 咱们自定义的过滤器链
  3. chains:明确指定要过滤的

3.1.2 DefaultFilterChainManager —— addDefaultFilters

这里咱看看DefaultFilterChainManager 到底添加了那些默认过滤器链,可以看到主要的是:DefaultFilter

protected void addDefaultFilters(boolean init) {
    for (DefaultFilter defaultFilter : DefaultFilter.values()) {
        addFilter(defaultFilter.name(), defaultFilter.newInstance(), init, false);
    }
}
复制代码

3.1.3 DefaultFilter

anon(AnonymousFilter.class),
authc(FormAuthenticationFilter.class),
authcBasic(BasicHttpAuthenticationFilter.class),
logout(LogoutFilter.class),
noSessionCreation(NoSessionCreationFilter.class),
perms(PermissionsAuthorizationFilter.class),
port(PortFilter.class),
rest(HttpMethodPermissionFilter.class),
roles(RolesAuthorizationFilter.class),
ssl(SslFilter.class),
user(UserFilter.class);
复制代码

4. 测它

由于设置对全局接口进行校验,因此,预期结果就是不能够访问啦

map.put("/api/**",AUTHC_STR);
复制代码

4.1 IDAL

@RestController
@RequestMapping( SYSTEM_API +"shiro")
public class ShiroIdal {

    @Resource
    private IShiroService iShiroService;


    @GetMapping
    public HttpEntity obtain(@RequestParam String name){
        return iShiroService.obtainUserByName(name);
    }
}
复制代码

4.2 service

@Slf4j
@Service
public class ShiroServiceImpl implements IShiroService {

    @Resource
    private ShiroPermissionRepository shiroPermissionRepository;
	
    public HttpEntity obtainUserByName(String name) {
        UserPO userPO = shiroPermissionRepository.findAllByName(name);
        return HttpResponseSupport.success(userPO);
    }
}
复制代码

4.3 被劫持的情况

被绑架状态

若没 login.jsp,则会直接报错,个人觉得太不和谐了,毕竟现在都是前后端分离的。

4.4 设置允许访问

在URI过滤Map加入以下:

map.put("/api/shiro",ANON_STR);
复制代码

被释放状态

注意: 要在“全局Api劫持”前添加。而且不要使用“HashMap”,为什么?

4.4.1 HashMap

在说为什么前,先了解HashMap这货是什么原理先。

for (Entry<String, String> entry : hashMap.entrySet()) {
   MessageFormat.format("{0}={1}",entry.getKey(),entry.getValue());
}
复制代码

HashMap散列图是按“有利于随机查找的散列(hash)的顺序”。并非按输入顺序。遍历时只能全部输出,而没有顺序。甚至可以rehash()重新散列,来获得更利于随机存取的内部顺序。

这会影响shiro哪里呢?

Map<String, String> chains = getFilterChainDefinitionMap();
if (!CollectionUtils.isEmpty(chains)) {
    for (Map.Entry<String, String> entry : chains.entrySet()) {
        String url = entry.getKey();
        String chainDefinition = entry.getValue();
        manager.createChain(url, chainDefinition);
    }
}
复制代码

ShiroFilterFactoryBean 中,在构建shiro的filter chain时,会对我们配置的FilterChainDefinitionMap 进行一次遍历,并且将其添加到DefaultFilterChainManager中。

设想以下,若“全局API劫持”在最前面,那么只要在/api/*裆下的,都早早被劫持了。轮得到配置的 anon 么?若由于HashMap的散列排序导致“全局API劫持”在最前面,emmmm,那玩锤子。

4.4.2 LinkedHashMap

因此,建议使用LinkedHashMap,为啥子?撸源码

   static class Entry<K,V> extends HashMap.Node<K,V> {
        Entry<K,V> before, after;
        Entry(int hash, K key, V value, Node<K,V> next) {
            super(hash, key, value, next);
        }
    }
    transient LinkedHashMap.Entry<K,V> head;
    transient LinkedHashMap.Entry<K,V> tail;
复制代码

内部类中多了两个Entry,一个记录前方entry,一个记录后方entry,这样的双向链表结构保证了插入顺序的有序。

LinkedHashMap底层是数组加单项链表加双向链表

  • 数组加单向链表就是HashMap的结构,记录数据用,
  • 双向链表,存储插入顺序用。

有点跑偏了,这些大伙肯定都知道滴了......

分类:
阅读
标签:
Shiro
相关推荐
  •
    2年前
    Shiro
    对SSO单点登录和OAuth2.0的区别和理解
    SSO是Single Sign On的缩写,OAuth是Open Authority的缩写,这两者都是使用令牌的方式来代替用户密码访问应用。流程上来说他们非常相似,但概念上又十分不同。 SSO大家应该比较熟悉,它将登录认证和业务系统分离,使用独立的登录中心,实现了在登录中心登录…
    • 4159
    • 评论
  • 1年前
    后端 Spring Boot
    SpringBoot+Shiro+Jwt实现登录认证——最干的干货
    这是我参与8月更文挑战的第四天,活动详情查看:8月更文挑战 讲述如何使用Shiro和Jwt实现认证及基础的鉴权
    • 5158
    • 4
    SpringBoot+Shiro+Jwt实现登录认证——最干的干货
  •
    3月前
    后端 Shiro
    手把手教你Shiro整合JWT实现登录认证!
    其实在 Shiro 整合 JWT 的系统中,关键就是通过 JwtFilter 过滤器去校验请求头中是否包含 token,如果有 token,就交给自定义的 Realm。
    • 1725
    • 2
    手把手教你Shiro整合JWT实现登录认证!
  •
    3年前
    Spring Boot
    Shiro+JWT+Spring Boot Restful简易教程
    我也是半路出家的人,如果大家有什么好的意见或批评,请务必issue下。 项目地址:github.com/Smith-Cruis… 。 如果想要直接体验,直接clone项目,运行mvn spring-boot:run命令即可进行访问。网址规则自行看教程后面。 完全使用了Shiro…
    • 639
    • 评论
  • 5年前
    Spring Boot
    springboot(十四):springboot整合shiro-登录认证和权限管理
    这篇文章我们来学习如何使用Spring Boot集成Apache Shiro。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在Java领域一般有Spring Security、Apache Shiro等安全框架,但是由于Spring Security过于…
    • 3644
    • 3
  • 4年前
    教你 Shiro 整合 SpringBoot,避开各种坑
    最近搞了下 Shiro 安全框架,找了一些网上的博客文章,但是一到自己实现的时候就遇到了各种坑,需要各种查资料看源码以及各种测试。 那么这篇文章就教大家如何将 Shiro 整合到 SpringBoot 中,并避开一些小坑,这次实现了基本的登陆以及角色权限,往后的文章也讲解了其他…
    • 159
    • 评论
  • 2年前
    Shiro
    SpringBoot + JWT + Shiro
    技术语言:JAVA+MySQL框架:SpringBoot+MyBatis+MyBatis-Plus+Shiro+JWT工具:Maven+IDEA+Navicat+PostManGitHub地址:shi
    • 365
    • 评论
    SpringBoot + JWT + Shiro
  •
    3年前
    Shiro
    springboot + shiro 实现登录认证和权限控制
    这段时间在学习springboot,在spring security和shiro中选择了shiro,原因就是shiro学习成本比较低,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,,而且粗粒度也可以根据需要来定制,所以使用小而简…
    • 4120
    • 评论
  • 3年前
    Spring
    SpringBoot2.0 整合 Shiro 框架,实现用户权限管理
    一、Shiro简介 1、基础概念ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,
    • 278
    • 评论
  • 2年前
    Shiro
    Shiro + Spring Boot 实现权限管理系统
    最近在蓝桥(实验楼)发布了一门以 Shiro 为主,Spring Boot 为辅,实现一个简单权限管理系统的【课程】,对 Shiro 的核心理念和使用进行了总结。欢迎大家支持。如果你有兴趣购买,请使用这个优惠码: m4fx6AQ9,可获得一些优惠。 Apache Shiro 是…
    • 900
    • 评论
  • 4年前
    教你 Shiro + SpringBoot 整合 JWT
    JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 我们利用一定的编码生成 Token,并在 Token 中加入一些非敏感信息,将其传递。 一个完整的 Token : eyJ0eXAiOiJKV1Qi…
    • 251
    • 评论
  • 2年前
    Shiro
    Springboot+Shiro+JWT+Vue后台管理系统
    项目开发中,后台系统尤为重要,最近就想搞一套能拿来直接使用的后台管理系统。 Shiro,Shiro作为安全框架,实现登录、登出、身份验证、授权、会话管理。 JWT,Json Web Token负责访问接口时的验证。 Vue,前端框架,因为本身不是前端开发,所以Clone了某位高…
    • 281
    • 评论
  • 4年前
    教你 Shiro + SpringBoot 整合 JWT
    如果对 shiro 如何整合 springBoot 还不了解的可以先去看我的上一篇文章 《教你 Shiro 整合 SpringBoot,避开各种坑》 附上源码:https://github.com/HowieYuan/shiro JSON Web Token(JWT)是一个非常…
    • 273
    • 评论
  • 4年前
    教你 Shiro 整合 SpringBoot,避开各种坑
    最近搞了下 Shiro 安全框架,找了一些网上的博客文章,但是一到自己实现的时候就遇到了各种坑,需要各种查资料看源码以及各种测试。 那么这篇文章就教大家如何将 Shiro 整合到 SpringBoot 中,并避开一些小坑,这次实现了基本的登陆以及角色权限,往后的文章也讲解了其他…
    • 184
    • 评论
  • 5年前
    Shiro 安全 Spring Boot
    Spring Boot上的Shiro安全框架
    相信点进来的同学大部分是刚接触shiro框架,所以我们从最基础开始,当然我会抛开那些shiro的官方图(真的有人会认真看那玩意儿?),一步步向大家讲解shiro的配置过程及登录认证的简单实现
    • 6405
    • 3
  • 2年前
    后端
    shiro在springboot的使用及思考
    shiro在springboot中的使用1,配置shiro2,加密器3,重写授权域4,验证信息问题一:subject代表什么,怎么生成的subject从表面上来讲代表着用户,subject生成过程将全
    • 165
    • 评论
  • 4年前
    安全 Java
    教你 Shiro + SpringBoot 整合 JWT
    本篇文章将教大家在 shiro + springBoot 的基础上整合 JWT (JSON Web Token)如果对 shiro 如何整合 springBoot 还不了解的可以先去看我的上一篇文章 《教你 Shiro 整合 SpringBoot,避开各种坑》 附上源码:http
    • 279
    • 评论
  • 4年前
    Shiro Spring Apache
    Shiro(环境搭建与Spring整合)
    1. 导入依赖 2. 在Web.xml中配置 真正处理请求,判断业务的并不是这个过滤器,这是个spring的委托代理过滤器,拦截器.Tomcat中有自己的容器去管理Filter,Listener以及Servlet,并不是受Spring管理的,因此并不能通过Spring容器直接对…
    • 464
    • 评论
  • 4年前
    补习系列-SpringBoot 整合Shiro 一指禅
    了解ApacheShiro是什么,能做什么; 通过QuickStart 代码领会 Shiro的关键概念; 能基于SpringBoot 整合Shiro 实现URL安全访问; 掌握基于注解的方法,以实现灵活定制。 Apache Shiro 是一个强大且易用的Java安全框架,用于实…
    • 747
    • 评论

    • 友情链接:

    Java工程师 @ 某支付公司
    私信
    获得点赞  658
    文章被阅读  141,518
    相关文章
    Shell脚本结合Git实现增量项目部署
    7点赞
     · 
    0评论
    SpringBoot + Shiro 整合 JWT
    98点赞
     · 
    2评论
    Spring Boot上的Shiro安全框架
    135点赞
     · 
    3评论
    Shiro用starter方式优雅整合到SpringBoot中
    42点赞
     · 
    0评论
    Java后端避坑——Spring Boot整合Shiro
    4点赞
     · 
    4评论
    收藏成功!
    已添加到「」, 点击更改