1. Shiro概述
-------Shiro是apache旗下一个开源平安框架(http://shiro.apache.org/),它将软件系统的平安认证相干的性能抽取进去,实现用户身份认证,权限受权、加密、会话治理等性能,组成了一个通用的平安认证框架。应用shiro就能够十分疾速的实现认证、受权等性能的开发,升高零碎老本。如图:
1.1 2. Shiro概要架构
---------留神:
1).Subject 主体对象,负责提交用户认证和受权信息;
2).SecuritvManager:平安管理器,负责认证,受权等业务实现;
3).Realm:畛域,负责从数据层获取业务数据;
1.1.3 1. Shiro具体架构
hiro框架进行权限治理时,要波及到的一些外围对象,次要包含:认证治理对象,受权治理对象,会话治理对象,缓存治理对象,加密治理对象以及Realm治理对象(畛域对象:负责解决认证和受权畛域的数据访问题)等,其具体架构如图-3所示:
2.2. Shiro框架认证拦挡实现(filter)
2.2.2步骤实现:
1.增加依赖:
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version></dependency>2.2. Shiro外围对象配置
2.2.1 第一步:创立SpringShiroConfig类。要害代码如下:
package com.cy.pj.common.config;/**@Configuration 注解形容的类为一个配置对象, * 此对象也会交给spring治理 */@Configurationpublic class SpringShiroConfig {}第二步:在Shiro配置类中增加SecurityManager配置(这里肯定要应用org.apache.shiro.mgt.SecurityManager这个接口对象),要害代码如下:
@Beanpublic SecurityManager securityManager() { DefaultWebSecurityManager sManager= new DefaultWebSecurityManager(); return sManager;}第三步: 在Shiro配置类中增加ShiroFilterFactoryBean对象的配置。通过此对象设置资源匿名拜访、认证拜访。要害代码如下:
@Beanpublic ShiroFilterFactoryBean shiroFilterFactory ( SecurityManager securityManager) { ShiroFilterFactoryBean sfBean= new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); //定义map指定申请过滤规定(哪些资源容许匿名拜访,哪些必须认证拜访) LinkedHashMap<String,String> map= new LinkedHashMap<>(); //动态资源容许匿名拜访:"anon" map.put("/bower_components/**","anon"); map.put("/build/**","anon"); map.put("/dist/**","anon"); map.put("/plugins/**","anon"); //除了匿名拜访的资源,其它都要认证("authc")后拜访 map.put("/**","authc"); sfBean.setFilterChainDefinitionMap(map); return sfBean; }第四步:在PageController中增加一个出现登录页面的办法,要害代码如下:
@RequestMapping("doLoginUI")public String doLoginUI(){ return "login";}第五步:在第三步下面增加这句拜访地址的权限:
sfBean.setLoginUrl("/doLoginUI")
如下:
@Beanpublic ShiroFilterFactoryBean shiroFilterFactory ( SecurityManager securityManager) { ShiroFilterFactoryBean sfBean= new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); sfBean.setLoginUrl("/doLoginUI");//定义map指定申请过滤规定(哪些资源容许匿名拜访,哪些必须认证拜访) LinkedHashMap<String,String> map= new LinkedHashMap<>(); //动态资源容许匿名拜访:"anon" map.put("/bower_components/**","anon"); map.put("/modules/**","anon"); map.put("/dist/**","anon"); map.put("/plugins/**","anon"); //除了匿名拜访的资源,其它都要认证("authc")后拜访 map.put("/**","authc"); sfBean.setFilterChainDefinitionMap(map); return sfBean;}3.3. Shiro框架认证业务实现
3.3.1 实现步骤
1.在SysUserDao接口中,增加依据用户名获取用户对象的办法,要害代码如下:
SysUser findUserByUserName(String username)2.在mapper.xml文件中增加sql语句:
<select id="findUserByUserName" resultType="com.cy.pj.sys.entity.SysUser"> select * from sys_users where username=#{username} </select>3.间接创立一个ShiroUserRealm类来继承AuthorizingRealm,耦合于Dao接口:代码如下:
package com.cy.pj.sys.service.realm;@Servicepublic class ShiroUserRealm extends AuthorizingRealm { @Autowired private SysUserDao sysUserDao; /** * 设置凭证匹配器(与用户增加操作应用雷同的加密算法) */ @Override public void setCredentialsMatcher( CredentialsMatcher credentialsMatcher) { //构建凭证匹配对象 HashedCredentialsMatcher cMatcher= new HashedCredentialsMatcher(); //设置加密算法 cMatcher.setHashAlgorithmName("MD5"); //设置加密次数 cMatcher.setHashIterations(1); super.setCredentialsMatcher(cMatcher); } /** * 通过此办法实现认证数据的获取及封装,零碎 * 底层会将认证数据传递认证管理器,由认证 * 管理器实现认证操作。 */ @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken token) throws AuthenticationException { //1.获取用户名(用户页面输出) UsernamePasswordToken upToken= (UsernamePasswordToken)token; String username=upToken.getUsername(); //2.基于用户名查问用户信息 SysUser user= sysUserDao.findUserByUserName(username); //3.断定用户是否存在 if(user==null) throw new UnknownAccountException(); //4.断定用户是否已被禁用。 if(user.getValid()==0) throw new LockedAccountException(); //5.封装用户信息 ByteSource credentialsSalt= ByteSource.Util.bytes(user.getSalt()); //记住:构建什么对象要看办法的返回值 SimpleAuthenticationInfo info= new SimpleAuthenticationInfo( user,//principal (身份) user.getPassword(),//hashedCredentials credentialsSalt, //credentialsSalt getName());//realName //6.返回封装后果 return info;//返回值会传递给认证管理器(后续 //认证管理器会通过此信息实现认证操作) } ....}4.对此realm,须要在SpringShiroConfig配置类中,注入给SecurityManager对象,批改securityManager办法,见黄色背景局部,例如:(在拦挡的第二步下面增加两个配置)如下图黄色局部:
5.Controller类实现:
@RequestMapping("doLogin") public JsonResult doLogin(String username,String password){ //1.获取Subject对象 Subject subject=SecurityUtils.getSubject(); //2.通过Subject提交用户信息,交给shiro框架进行认证操作 //2.1对用户进行封装 UsernamePasswordToken token= new UsernamePasswordToken( username,//身份信息 password);//凭证信息 //2.2对用户信息进行身份认证 subject.login(token); //剖析: //1)token会传给shiro的SecurityManager //2)SecurityManager将token传递给认证管理器 //3)认证管理器会将token传递给realm return new JsonResult("login ok");6.第二步:批改shiroFilterFactory的配置,对/user/doLogin这个门路进行匿名拜访的配置,查看如下黄色标记局部的代码:
在拦挡的第三步增加: map.put("/user/doLogin","anon");
@Beanpublic ShiroFilterFactoryBean shiroFilterFactory ( SecurityManager securityManager) { ShiroFilterFactoryBean sfBean= new ShiroFilterFactoryBean(); sfBean.setSecurityManager(securityManager); //如果没有认证申请先拜访此认证的url sfBean.setLoginUrl("/doLoginUI"); //定义map指定申请过滤规定(哪些资源容许匿名拜访,哪些必须认证拜访) LinkedHashMap<String,String> map= new LinkedHashMap<>(); //动态资源容许匿名拜访:"anon" map.put("/bower_components/**","anon"); map.put("/build/**","anon"); map.put("/dist/**","anon"); map.put("/plugins/**","anon");** map.put("/user/doLogin","anon"); //authc示意,除了匿名拜访的资源,其它都要认证("authc")后能力拜访拜访** map.put("/**","authc"); sfBean.setFilterChainDefinitionMap(map); return sfBean; }第七步:第三步:当咱们在执行登录操作时,为了进步用户体验,可对系统中的异样信息进行解决,例如,在对立异样解决类中增加如下办法:
onseBody public JsonResult doHandleShiroException( ShiroException e) { JsonResult r=new JsonResult(); r.setState(0); if(e instanceof UnknownAccountException) { r.setMessage("账户不存在"); }else if(e instanceof LockedAccountException) { r.setMessage("账户已被禁用"); }else if(e instanceof IncorrectCredentialsException) { r.setMessage("明码不正确"); }else if(e instanceof AuthorizationException) { r.setMessage("没有此操作权限"); }else { r.setMessage("系统维护中"); } e.printStackTrace(); return r; }