参考
B站:https://www.bilibili.com/video/BV16C4y187S9
官网:https://shiro.apache.org/
简介
是一款主流的 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和
Java EE
项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。
Shiro 就是用来解决安全管理的系统化框架。
Shiro 核心组件
用户、角色、权限
会给角色赋予权限,给用户赋予角色
1、UsernamePasswordToken,Shiro
用来封装用户登录信息,使用用户的登录信息来创建令牌 Token。
2、SecurityManager,Shiro 的核心部分,负责安全认证和授权。
3、Suject,Shiro 的一个抽象概念,包含了用户信息。
4、Realm,开发者自定义的模块,根据项目的需求,验证和授权的逻辑全部写在
Realm 中。
5、AuthenticationInfo,用户的角色信息集合,认证时使用。
6、AuthorzationInfo,角色的权限信息集合,授权时使用。
7、DefaultWebSecurityManager,安全管理器,开发者自定义的 Realm
需要注入到 DefaultWebSecurityManager 进行管理才能生效。
8、ShiroFilterFactoryBean,过滤器工厂,Shiro
的基本运行机制是开发者定制规则,Shiro 去执行,具体的执行操作就是由
ShiroFilterFactoryBean 创建的一个个 Filter 对象来完成。
Spring Boot 整合 Shiro
pom.xml
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45
| <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency>
<dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <optional>true</optional> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency>
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency>
<dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency>
<dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>3.4.2</version> </dependency>
<dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro</artifactId> <version>2.0.0</version> </dependency> </dependencies>
|
数据库准备
1 2 3 4 5 6 7 8
| CREATE TABLE `account` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(20) DEFAULT NULL, `password` varchar(20) DEFAULT NULL, `perms` varchar(20) DEFAULT NULL, `role` varchar(20) DEFAULT NULL, PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;
|
为方便只有一张表,正常应有用户表、权限表、角色表。。
1 |
zs |
123 |
|
|
2 |
ls |
123 |
manage |
|
3 |
ww |
123 |
manage |
administrator |
application.yml
1 2 3 4 5 6 7 8 9 10 11 12 13 14
| spring: datasource: driver-class-name: com.mysql.cj.jdbc.Driver url: jdbc:mysql://localhost:3306/shiro username: root password: root
thymeleaf: prefix: classpath:/templates/ suffix: .html
mybatis-plus: configuration: log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
|
entity
1 2 3 4 5 6 7 8
| @Data public class Account { private Integer id; private String username; private String password; private String perms; private String role; }
|
mapper
使用了Mybatis-plus
1 2 3
| @Mapper public interface AccountMapper extends BaseMapper<Account> { }
|
Service
1 2 3
| public interface AccountService { public Account findByUsername(String username); }
|
1 2 3 4 5 6 7 8 9 10 11 12
| @Service public class AccountServiceImpl implements AccountService { @Autowired AccountMapper accountMapper;
@Override public Account findByUsername(String username) { QueryWrapper wrapper = new QueryWrapper(); wrapper.eq("username", username); return accountMapper.selectOne(wrapper); } }
|
可以先test测试一下
编写认证和授权规则:
认证过滤器
anon:无需认证。
authc:必须认证。
authcBasic:需要通过 HTTPBasic 认证。
user:不一定通过认证,只要曾经被 Shiro 记录即可,比如:记住我。
授权过滤器
perms:必须拥有某个权限才能访问。
role:必须拥有某个角色才能访问。
port:请求的端口必须是指定值才可以。
rest:请求必须基于 RESTful,POST、PUT、GET、DELETE。
ssl:必须是安全的 URL 请求,协议 HTTPS。
创建 3 个页面,main.html、manage.html、administrator.html
访问权限如下:
1、必须登录才能访问 main.html
2、当前用户必须拥有 manage 授权才能访问 manage.html
3、当前用户必须拥有 administrator 角色才能访问 administrator.html
Realm
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47
| public class AccountRealm extends AuthorizingRealm { @Autowired AccountService accountService;
@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { Subject subject = SecurityUtils.getSubject(); Account account = (Account) subject.getPrincipal();
Set<String> roles = new HashSet<>(); roles.add(account.getRole()); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
info.addStringPermission(account.getPerms()); return info;
}
@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; Account account = accountService.findByUsername(token.getUsername()); if (account != null) { return new SimpleAuthenticationInfo(account, account.getPassword(), getName()); }
return null; } }
|
ShiroConfig
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39
| @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.setSecurityManager(securityManager);
Map<String, String> map = new HashMap<>(); map.put("/main", "authc"); map.put("/manage", "perms[manage]"); map.put("/administrator", "roles[administrator]"); factoryBean.setFilterChainDefinitionMap(map);
factoryBean.setLoginUrl("/login");
factoryBean.setUnauthorizedUrl("/unauth"); return factoryBean; }
@Bean public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm") AccountRealm accountRealm) { DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(accountRealm); return manager; }
@Bean public AccountRealm accountRealm() { return new AccountRealm(); }
@Bean public ShiroDialect shiroDialect(){ return new ShiroDialect(); } }
|
Shiro整合Thymeleaf
1 2 3 4 5
| <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro</artifactId> <version>2.0.0</version> </dependency>
|
index.html
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
| <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro"> <head> <meta charset="UTF-8"> <title>Title</title> <link rel="shortcut icon" href="#"/> </head> <body> <h1>index</h1> <div th:if="${session.account!=null}"> <span th:text="${session.account.username}+'欢迎回来!'"></span><a href="/logout">退出</a> </div>
<a href="/main">main</a><br/> <div shiro:hasPermission="manage"> <a href="/manage">manage</a><br/> </div>
<div shiro:hasRole="administrator"> <a href="/administrator">administrator</a> </div>
</body> </html>
|
main.html
1 2 3 4 5 6 7 8 9 10 11
| <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <link rel="shortcut icon" href="#"/> </head> <body> <h1>main</h1> </body> </html>
|
manage.html
1 2 3 4 5 6 7 8 9 10 11
| <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <link rel="shortcut icon" href="#"/> </head> <body> <h1>manage</h1> </body> </html>
|
administrator.html
1 2 3 4 5 6 7 8 9 10 11
| <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <link rel="shortcut icon" href="#"/> </head> <body> <h1>administrator</h1> </body> </html>
|
login.html
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
| <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"> <title>Title</title> <link rel="shortcut icon" href="#"/> </head> <body> <form action="/login" method="post"> <table> <span th:text="${msg}" style="color: red"></span> <tr> <td>用户名:</td> <td> <input type="text" name="username"/> </td> </tr> <tr> <td>密码:</td> <td> <input type="password" name="password"/> </td> </tr> <tr> <td> <input type="submit" value="登录"/> </td> </tr> </table> </form> </body> </html>
|
项目结构一览
总结
有点乱,但也没办法,毕竟视频讲解是动态的,最终的博客文字仅仅只静态的,所以效果不好