本文简述:shiro基本使用
shiro 最常用得就是用来
处理登录接口
以及处理其他需要在请求头中携带token的接口
这么一个框架。
Shiro 架构设计:
Authentication
: 认证。如用户的登录。Authorization
: 授权。用户是否有权限访问指定 URL 等。Cryptography
: 密码学。如密码的加密。Session Management
: Session 管理。Web Integration
: Web 集成。Shiro 不依赖于容器。
shiro 登录认证流程:
- 用户访问登录接口
/login
, 输入登录账号和密码被封装成UsernamePasswordToken
对象. - 接下来,登录服务中调用
subject.login()
方法,Shiro 立即进入用户认证过程,此认证过程做的事情式:检验用户账号和密码是否正确
。
例子:使用 shiro.ini 固定配置文件
上面我们简述了 shiro 的结构以及最最简单得认证流程,你可能不太理解,不过没有关系,举个例子说明。
想一下我们最最简单的登录流程是怎么样的?用户输入用 户名和密码,然后访问登录接口,我们在 "/login"接口中接收到数据后,与数据库中的用户进行查找比较,返回该用户是否输入了正确的账号和密码。
我们先创建一个简单的示例来说明:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.10.0</version>
</dependency>
创建一个用户信息文件: src/main/resources/shiro.ini ,此文件可以理解为 数据库
# ---------------------
# users用来定义用户
[users]
# 用户名 = 密码,角色1,角色2...
admin = 123456, admin
guest = guest, guest
aa = 123456, guest
# ---------------------
# roles用来定义角色
[roles]
# 角色 = 权限 (* 代表所有权限)
admin = *
# 角色 = 权限 (* 代表所有权限)
guest = select
aa = update
登录
@SpringBootTest
class ShiroTest {
@Test
public void testShiroAuth(){
// 1.创建安全管理器
DefaultSecurityManager securityManager = new DefaultSecurityManager();
// 2.设置 realm
securityManager.setRealm(new IniRealm("classpath:shiro.ini"));
// 3.设置安全管理器
SecurityUtils.setSecurityManager(securityManager);
// 4.获取当前主体对象
Subject subject = SecurityUtils.getSubject();
// 5.将用户登录时的账号和密码封账成 UsernamePasswordToken 对象.
// 此处写入 "admin", "password",表示用户输入的账号,密码
UsernamePasswordToken token = new UsernamePasswordToken("admin", "password");
try {
System.out.println("登录认证前状态:" + subject.isAuthenticated());
subject.login(token);
System.out.println("登录认证后状态:" + subject.isAuthenticated());
boolean permitted = subject.isPermitted("update");
System.out.println(permitted);
} catch (UnknownAccountException e) {
System.out.println("用户不存在");
} catch (IncorrectCredentialsException e) {
System.out.println("账号或密码不正确");
}
}
}
shiro内部提供了两种方法创建 Realm 对象,这个小栗子中我们通过shiro提供得类IniRealm
来读取文件 shiro.ini
中写死得数据:
- 通过配置文件创建 Realm 对象:
IniRealm
内封装了通过配置文件读取用户信息得方法,将此实例交给SecurityManager
管理. - 通过 springboot 中注解方式创建 Realm 对象: 实现接口
AuthorizingRealm
,并在其doGetAuthenticationInfo
方法中对登录信息进行校验处理 ,最终注入为 Bean
springboot 中使用 shiro
上面的代码,我们在一个测试方法中模拟了 shiro 的整个认证流程。
但是如果要在 springboot 中集成 shiro
,可没有这么简单,我们需要将上面的 1,2,3,4,5 步骤分别拆开在不同的文件中,以达到更好的解耦性以及可扩展性,其实就是按照 java 的标准来。
因此我们首先需要了解一点 shiro 配置
相关的东西。
shiro 的配置类主要包含三个 bean:
SecurityManager
:安全管理器shiroFilter
:过滤器Realm
:realm 认证流程
- shiro 作为一个用来管理 http 请求框架,里面有非常多细节的功能,哪些功能启用,哪些功能不启用,是由控制中枢决定:
SecurityManager
- shiro 集成到一个 springboot 项目中,而项目有许许多多的接口,哪些接口无需登录可以直接访问,哪些接口必须登录后带着 token 访问,这是由过滤器决定:
shiroFilter
- shiro 作为一个通用的认证授权框架,并非只能在 springboot 中使用,因此框架专门将认证流程抽象后独立出来,产生了一个新的的概念:
Realm
.
到这里,shiro 中的三个核心概念你应该有所了解了,剩下的内容就式关于如何使用shiro: 在 springboot 中如何集成 shiro?
springboot 集成 shiro:
在 springboot 中集成 shiro,还得再赘述几句。
spring 是用来管理 javaBean 对象的容器,集成 shiro 时,shiro 也同样要将上面提到的几个核心对象交给 spring 去管理。
先添加依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-web-starter</artifactId>
<version>1.10.0</version>
</dependency>
首先是配置,shiro 的三大核心,通过 @Bean 注册为spring中的bean对象交给 spring 去管理
@Configuration
public class ShiroConfig {
/**
* `SecurityManager`:安全管理器
*/
@Bean
public DefaultWebSecurityManager getDefaultWebSecurityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(userRealm());
return securityManager;
}
/**
* `shiroFilter`:过滤器
*/
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,ShiroFilterChainDefinition shiroFilterChainDefinition) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
// Shiro的核心安全接口,这个属性是必须的
shiroFilterFactoryBean.setSecurityManager(securityManager);
// 定义过滤链
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
// 登录,不需要拦截的访问
filterChainDefinitionMap.put("/login", "anon");
// 其余所有接口都需要认证拦截
filterChainDefinitionMap.put("/**","authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
/**
* `Realm`:realm 认证流程
*/
@Bean
public UserRealm userRealm() {
return new UserRealm();
}
}
在上面得演示代码中有报错,这是因为 UserRealm
还不知道在哪里。回顾一下第一个的简单例子,我们是从shiro.ini
这个文件中读取的用户数据,由shiro将文件中得数据封装成了Realm.
在实际项目中,我们需要从数据库中读取用户信息然后再比较,这个过程就需要我们自己来写。
如何做呢?实现AuthorizingRealm
即可。
注意,userService 使用 mybatis 生成。
public class UserRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
/**
* 授权
*
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
/**
* 验证:用户登录
*
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken accessToken = (UsernamePasswordToken) authenticationToken;
// 查询用户
UserEntity user = Optional.ofNullable(userService.getOne(new LambdaQueryWrapper<UserEntity>().eq(UserEntity::getUsername, accessToken.getUsername())))
.orElseThrow(() -> new UnknownAccountException("账号或密码不正确"));
// 验证密码
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
user,
user.getPassword(),
getName()
);
return authenticationInfo;
}
}
我们实现 UserRealm
就是实现认证过程
,里面有两个方法,单词十分的相近,并且登录认证使用下面那个 doGetAuthenticationInfo
方法.
-
在这一步中,
doGetAuthenticationInfo
方法.有一个入参类型AuthenticationToken
,它就是登陆时用户传入的账号和密码。没错,一旦我们重写之后,调用subject.login()
,就会立即执行这一方法中的代码,你可以在此处打个断点感受一下。 -
我们将其向下转型,转换为
UsernamePasswordToken
这个类。UsernamePasswordToken
是AuthenticationToken
的一个实现类,比它多了若干的方法。 -
转换的目的是
UsernamePasswordToken
提供了一个获取用户名的方法,我们调用此方法拿到用户传过来的 username ,根据此 username 去查询数据库 -
接下来我们使用 shiro提供的类
SimpleAuthenticationInfo
构造一个对象并返回。这里你一定会感到疑惑,怎么就直接返回了一个对象呢?正常来说,从数据库查到了用户密码后,应该进行比较啊,equal()呢,x == y 呢? -
shiro 为了将比较结果存储起来,将
比较这一步骤
也给封装起来了: 因此只要在方法中返回了SimpleAuthenticationInfo
这个类,接下来shiro就会在内部自动执行比较操作。
好的,接下来,你可以创建一个 controller,在数据库里创建一个用户,完整感受一下。
@RestController
public class UserController {
@PostMapping("/login")
public AjaxResult loginUser(@RequestBody UserEntity userVo) {
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(userVo.getUsername(), userVo.getPassword());
usernamePasswordToken.setRememberMe(true);
try {
subject.login(usernamePasswordToken);
System.out.println("登录成功");
} catch (AuthenticationException ae) {
System.out.println("登录失败: " + ae.getMessage());
return AjaxResult.error("登录失败: " + ae.getMessage());
}
return AjaxResult.success(blogDto);
}
}