1. 場景描述
(1)最近有點小忙,公司真實專案內容有點小多以及不想只介紹理論,就使用springboot單獨部署了個shiro的demo專案,還是理論和實際項結合比較好理解,介紹起來和修改也方便。
(2)接下來介紹springboot整合shrio,springboot-許可權控制shiro(二),本節先不連資料庫,先介紹springboot下shiro框架如何使用。(springboot-許可權控制shiro(一))
2. 解決方案
2.1 整體介紹
2.1.1 專案圖
2.1.2 整體說明
shiro的demo專案主要包含三塊內容:
(1)1是pom檔案,獲取相關jar包;
(2)2是資源(resources),一個配置檔案以及6個演示頁面;
(3)3是主類,包含啟動類、控制類、shiro配置類。
2.1.3 shiro 過濾器說明
(1)認證過濾器
anon:使用者不需要認證也可以訪問
authc: 使用者必須認證才可以訪問
user:使用者只要rememberMe,就可以訪問
(2)授權過濾器
perms: 基於資源的授權過濾器
roles : 基於角色的授權過濾器
本節只使用了anon、authc認證過濾與perms資源授權過濾器,簡單說shiro就是通過這些過濾器實現的許可權控制。
2.2 pom檔案
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.1.6.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.laowang</groupId>
<artifactId>lwshiro</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>lwshiro</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
說明:
重點是兩個gav
1. spring-boot-starter-thymeleaf ---結合頁面使用(2.2)2. shiro-spring -----shiro核心包2.3 resource(頁面及配置類)
2.3.1 application.properties
server.port=8000
spring.thymeleaf.cache=false說明:啟動埠號改成了8000;cache=false是為了更改頁面後不用重啟服務,可忽略。
2.3.2 六個頁面
(1)index.html
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>軟體老王主頁</title>
</head>
<body>
<h3>軟體老王主頁</h3>
當前使用者名稱:<span th:text="${session.userName}"></span>,<a href="/user/logout">登出</a>
<hr/>
<span>
<a href="/page/toa">頁面1</a><br/>
</span>
<span >
<a href="/page/tob">頁面2</a><br/>
</span>
<span >
<a href="/page/toc">頁面3</a><br/>
</span>
</body>
</html>(2)login.html
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>登入頁面</title>
</head>
<body>
<h3>登入</h3>
<font color="red" th:text="${msg}"></font>
<form method="post" action="/user/login">
使用者名稱:<input type="text" name="name"/><br/>
密碼:<input type="password" name="password"/><br/>
<input type="submit" value="登入">
</form>
</body>
</html>(3)unauth.html
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>未授權提示頁面</title>
</head>
<body>
i'm 軟體老王,沒有許可權訪問此頁面
</body>
</html>(4)a.html、 b.html、 c.html
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>i'm 軟體老王,頁面a</title>
</head>
<body>
i'm 軟體老王,頁面a
</body>
</html>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>i'm 軟體老王,頁面b</title>
</head>
<body>
i'm 軟體老王,頁面b
</body>
</html><!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>i'm 軟體老王,頁面c</title>
</head>
<body>
i'm 軟體老王,頁面c
</body>
</html>說明: 幾個頁面就不多說,僅僅為了說明問題新建的,有個標籤可以關注下 th,這個是thymeleaf裡面的,結合頁面使用。
2.4 java類
2.4.1 啟動類(LwshiroApplication)
package com.laowang.lwshiro;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class LwshiroApplication {
public static void main(String[] args) {
SpringApplication.run(LwshiroApplication.class, args);
}
}
說明: springboot專案啟動類。
2.4.2 使用者登入類(UserController)
package com.laowang.lwshiro.controller;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import javax.servlet.http.HttpServletRequest;
/**
* 使用者登入類
* @auther: 軟體老王
* @date: 2019/7/30
*/
@Controller
@RequestMapping("/user")
public class UserController {
@RequestMapping("/login")
public String login(User user, HttpServletRequest request,
Model model) {
Subject subject = SecurityUtils.getSubject();
AuthenticationToken token = new UsernamePasswordToken(user.getName(),
user.getPassword());
try {
subject.login(token);
User tuser = (User)subject.getPrincipal();
request.getSession().setAttribute("userName",tuser.getName());
return "redirect:/index";
} catch (UnknownAccountException e) {
model.addAttribute("msg", "i'm 軟體老王,使用者名稱不存在");
return "login";
} catch (IncorrectCredentialsException e) {
model.addAttribute("msg", "i'm 軟體老王,密碼錯誤");
return "login";
}
}
/**
* i'm 軟體老王,登出方法
*/
@RequestMapping("/logout")
public String logout(){
Subject subject = SecurityUtils.getSubject();
subject.logout(); //shiro底層刪除session的會話資訊
return "redirect:/toLogin";
}
}
說明:
重點就以下3行程式碼
Subject subject = SecurityUtils.getSubject(); -----------#1
AuthenticationToken token = new UsernamePasswordToken(user.getName(),
user.getPassword()); ---------#2
try {
subject.login(token); ----------#3(1)第一行是從工廠中獲取subject,登入使用者操作類;
(2)將從頁面獲取的使用者名稱和密碼設定到一個token中;
(3)呼叫登入有使用者操作類的login方法;
(4)會在MyRealm類的doGetAuthenticationInfo方法中獲取到登入的token與資料庫中(目前寫的固定值)進行認證過濾比對。
2.4.3 接收引數類(User)
package com.laowang.lwshiro.controller;
import java.io.Serializable;
/**
* 接收引數類
* @auther: 軟體老王
* @date: 2019/7/30
*/
public class User implements Serializable{
private Integer id;
private String name;
private String password;
public Integer getId() {
return id;
}
public void setId(Integer id) {
this.id = id;
}
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
@Override
public String toString() {
return "User [id=" + id + ", name=" + name + ", password=" + password + "]";
}
}
說明: 接收引數類
2.4.4 頁面跳轉(PageController)
package com.laowang.lwshiro.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
/**
* 頁面跳轉
* @auther: 軟體老王
* @date: 2019/7/30
*/
@Controller
@RequestMapping("/page")
public class PageController {
/**
* i'm 軟體老王
*/
@RequestMapping("/toa")
public String toAdd(){
return "page/a";
}
/**
* i'm 軟體老王
*/
@RequestMapping("/tob")
public String toList(){
return "page/b";
}
/**
* i'm 軟體老王
*/
@RequestMapping("/toc")
public String toUpdate(){
return "page/c";
}
}
說明: 控制跳轉類,沒啥值的說的。
2.4.5 主控制類(MainController)
package com.laowang.lwshiro.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
/**
* 主控制類
* @auther: 軟體老王
* @date: 2019/7/30
*/
@Controller
@RequestMapping("/")
public class MainController {
/**
* i'm 軟體老王
*/
@RequestMapping("/index")
public String index(){
return "index";
}
/**
* i'm 軟體老王
*/
@RequestMapping("/toLogin")
public String toLogin(){
return "login";
}
/**
* i'm 軟體老王
*/
@RequestMapping("/unAuth")
public String unAuth(){
return "unauth";
}
}說明: 主控制類,也沒啥值的說的。
2.4.6 shiro主配置類(ShiroConfig)
package com.laowang.lwshiro.config;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
/**
* shiro主配置類
* @auther: 軟體老王
* @date: 2019/7/30
*/
@Configuration
public class ShiroConfig {
/**
* i'm 軟體老王
*/
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, String> filterMap = new LinkedHashMap<>();
//登入
filterMap.put("/page/toa", "anon");
filterMap.put("/user/login", "anon");
//授權過濾器
// filterMap.put("/page/toa", "perms[toa]");
filterMap.put("/page/tob", "perms[tob]");
filterMap.put("/page/toc", "perms");
filterMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
shiroFilterFactoryBean.setLoginUrl("/toLogin");
shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");
return shiroFilterFactoryBean;
}
/**
* i'm 軟體老王
*/
@Bean
public DefaultWebSecurityManager getSecurityManager(MyRealm myRealm) {
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
defaultWebSecurityManager.setRealm(myRealm);
return defaultWebSecurityManager;
}
/**
* i'm 軟體老王
*/
@Bean
public MyRealm getMyReal() {
MyRealm myReal = new MyRealm();
return myReal;
}
}
說明:
這個是shiro的主配置類,重點說一下,這個類中包含了三個bean,分別為:
(1)getShiroFilterFactoryBean這個bean是關鍵,用於設定過濾器,本節的授權寫的固定的,下節將從資料庫中獲取,在這個bean中設定認證過濾、授權過濾、登入頁及無許可權頁,非常重要。
(2)getSecurityManager這個類是跟前面的 Subject subject = SecurityUtils.getSubject()有關係的,通過這裡配置MyRealm,將登入控制與shiro關聯起來;
(3)getMyReal 這個bean是為了注入MyRealm類;
2.4.7 shiro配置類(MyRealm)
package com.laowang.lwshiro.config;
import com.laowang.lwshiro.controller.User;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
/**
* shiro配置類
* @auther: 軟體老王
* @date: 2019/7/30
*/
public class MyRealm extends AuthorizingRealm {
/**
* i'm 軟體老王
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("toa");
info.addStringPermission("toc");
return info;
}
/**
* i'm 軟體老王
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
String name ="laowang";
String password="123";
if (!token.getUsername().equalsIgnoreCase(name)) {
return null;
}
User tuser = new User();
tuser.setName(name);
tuser.setPassword(password);
return new SimpleAuthenticationInfo(tuser,tuser.getPassword(),"");
}
}
說明
這個類是專案的具體配置類,每個專案都可能會不一樣。
(1) doGetAuthorizationInfo這個是授權方法,結合登入使用者使用,從資料庫中查詢出登入人具有的許可權資訊,有許可權的話,放行;沒有許可權的轉到unauth頁面;
(2)doGetAuthenticationInfo這個是認證方法,在登入控制處呼叫subject.login方法後,就會跳轉到這裡進行認證操作,使用者名稱直接跟從資料庫中查詢比對,密碼賦值到SimpleAuthenticationInfo類在shiro中進行比對,根據返回情況在登入控制處進行提示。
2.5 效果
2.5.1 登入頁
2.5.2 首頁
登入賬戶:laowang,密碼:123
(1)登入成功
(2)登入失敗
2.5.3 訪問頁面
在myrealm中設定了所有使用者對a頁面和c頁面有操作許可權,對b頁面沒有,這一塊本節寫的固定的,下一節會從資料庫中根據使用者名稱查詢登入人擁有的許可權。
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("toa");
info.addStringPermission("toc");
return info;
}(1)訪問頁面a
(2)訪問頁面b
I’m 「軟體老王」,如果覺得還可以的話,關注下唄,後續更新秒知!歡迎討論區、同名公眾號留言交流!