springboot shiro实现权限管理
记得第一次使用shiro是在才入行遇到公司的第一个框架,当时并不知道这是什么,或者说根本就没有安全框架的概念,在慢慢实践中,也对这个有了一定的了解,于是在网上找各种资料学习,了解。记得那时候比较有没的相关博客就是这个了,相信学习shiro的人很多都度过他的博客,内容也比较详细,示例也非常丰富。
开始使用shiro时,是与spring进行整合,可以看这里,当时没有实现太多功能,但是把一些外围的模块都已经实现,而且能够进行多realm匹配。在写这次博客前,也看了下renren-security,同样有很多可以借鉴的地方,所有既然看了这么多,那么自然要把功能做的完善一些了。
当然,此次的系统基础还是上次的springboot jpa搭建开发环境,我会在此基础上进行更新与扩展。
首先还是对shiro有一个初步的认识,当然这些认识都是收集与网络。
首先在学习这个框架时,都基本都会看到的图,那么我们需要了解的无非围绕着shiro里面这些核心的模块,具体是干什么,在什么时候,怎么去用,了解到这些之后,我们就可以按照自己的想法与设计,在适当的场合与环境下正确的使用该框架为我们提供的功能。
Authentication:身份认证/登录,验证用户是不是拥有相应的身份,该对象时对用户身份进行认证时,将相关信息存储的一个媒介,也是由开发者控制炎症逻辑的一个地方;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限,与上一个对象一起,都属于自定义Realm时需要由我们自己构建的;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的,在shiro是存在三种会话管理的工具,DefaultSessionManager,se环境会还管理;ServletContainerSessionManager,web环境,由web容器管理;DefaultWebSessionManager,支持以上两种,支持自定义会话管理。
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储,在jar包中包含了大量操作密码的工具类;
Web Support:Web支持,可以非常容易的集成到Web环境,shiro本身不依赖于web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
更详细的信息可参考这个博客。
在进行编码工作前,还是需要了解一些其他比较重要的 概念,我们知道,shiro的核心就是认证和鉴权,那么实现原理无非是通过servlet的Filter来完成的。其实过滤器是分为两类,一类是完成用户的身份与凭证验证,也就是用户名密码验证,保证能够登录系统,另一类则是权限验证的过滤器,主要是对接口、数据的权限校验。
其内置过滤器有如下这些:
anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
roles(角色):例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
perms(权限):例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString
是你访问的url里的?后面的参数。
authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
当然我们还可以自定义一些。具体的说明可以参考这里。
那么整合一个shiro框架我们具体需要添加哪些配置呢?如果和springmvc整合过的应该会比较清楚。当然,在shiro-spring这个包中,ShiroWebConfiguration、ShiroWebFilterConfiguration、ShiroAnnotationProcessorConfiguration已经有所有的内容,当然有一些是需要我们根据需要去修改的,毕竟默认的不一定能够满足我们的需要。
shiro基本可以当个黑盒使用,因为如何进行认证,如何进行全校校验已经由框架完成,留给开发者做的就是构建认证与鉴权需要的对象,而这些对象都是以realm的形式存在,我们只需要注入自定义的realm即可,简单的只用继承AuthorizingRealm这个类,实现抽象方法,doGetAuthenticationInfo为认证用的,我们需要构建认证对象,具体的逻辑由我们实现,doGetAuthorizationInfo为鉴权方法,当然是组织鉴权对象的方法。关于shiro,网上有太多太多的文章可以去参考,当然核心内容其实都是一样的。
说了这么多,是时候实际操作了,继续以之前的项目为基础,添加了一个security模块,同时将登入与主页路径进行了修改,因为是直接访问html,所以为了减去views这个路径,同时js也做了少量的修改:
核心其实都在security这包里,可以看到,内容其实不多,因为目前只是完成了认证,即用户登录的校验:
关于登录,有两种方式取实现:
1、自定义一个登录请求,自己完成token的定义与组织,同时完成login操作。这个时候我们会将/login.html过滤指向anon,同时登录行为请求也要设置成anon,本次就是通过这种方式实现:
@PostMapping("/dologin")
public Message login(HttpServletRequest request){
String username = request.getParameter("username");
String password = request.getParameter("password");
String rememberMe = request.getParameter("rememberMe");
Subject subject = SecurityUtils.getSubject();
AuthenticationToken toker = new UsernamePasswordToken(username,password,rememberMe);
Message message = new Message(Message.SUCCESS_CODE,username);
try {
boolean reLogin = true;//重新登录
if(subject.isAuthenticated()){//已经登录如果再次登录
if(reLogin){
subject.logout();
}else{
return message;
}
}
subject.login(toker);
} catch (AuthenticationException e) {
e.printStackTrace();
message.setCode(Message.FAILURE_CODE);
message.setInfo(loginFailure(e));
}
return message;
}
2、将登录页/login.html过滤器设置为authc(FormAuthenticationFilter),其实就是shiro专门为form表单提交的验证,这样需要我们在一定程度读上进行扩展,比如ajax提交时登录成功或失败的逻辑。但是要注意的是,提交的请求必须与登录页面地址一致,同时为POST类型。这个下次会用到,到时候可以看到具体实现。
然后看看realm:
public class GenericRealm extends AuthorizingRealm {
@Autowired(required = false)
private PrincipalService principalService;
/**
* 认证
* @param token
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
Object principal = token.getPrincipal();
if(principalService!=null){
IUser user = principalService.getUser(principal.toString());
if(user!=null){
AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(),"");
return authenticationInfo;
}
}
return null;
}
/**
* 鉴权
* @param principals
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
return null;
}
}
其实很简单,毕竟是构建对象的过程,所以没有太多的东西,所以关于与shiro的整合目前完成认证就这些东西,但是为了实现一个比较完整的认证授权功能,还有很多需要我们去了解与修改的,将会在下次进行完善。
在此次整合的过程中,也发现一个问题 ,以前和spring整合时,自定义的shiro filter是交由spring管理的,但是和springboot整合时,如果将filter交由spring管理则会出现异常,主要是由于在进行普通请求时也会进入该filter,但是我们要知道,shiro的核心是securityManager,很可能在一般的请求中还没有这个对象,自然就会出现问题,所以在个shiiro配置自定义过滤器时,直接通过new的方式添加即可。
同样,本次的代码在这里。
本次项目花费的时间比较长,当然也不可能完成一个成形的项目,问题自然也就存在,但是毕竟是学习,存在一些遗留问题是必要的。目前该项目主要完成了简单的管理功能,如需要添加其他模块也有了一定的参考。由于后期有一些修改,所以之前页面有些写法可能还没来的及更新。
目前学习注重的是广度,因此基本每次进行了交叉方式来构建项目,比如这次用了springboot+jpa+shiro+layui,但是下次可能就不会用 相同的技术了,这样也是为了能快速对各种技术做个了解,并且能够快速上手。
下次将会通过springboot+springsecurity+mybatisplus+vue来搭建项目。
