前言
Shiro是历史悠久的权限管理框,简单易用,易用集成,同时权限管理也是每个项目必不可少的功能。Spring Boot是Java领域炙手可热的脚手架框架。今天这篇文章就带大家将这两个框架进行整合。
通常Spring Boot中整合Shiro,有两种方案:第一,基于原生API进行整合;第二,基于Shiro官方Starter整合。
整体而言,官方Starter整合并没有方便很多,因此,本文主要以原则API进行整合,
下面就来看看具体的整合方式。
创建Spring Boot项目
创建Spring Boot项目通常有两种方式,一种是通过官网创建之后导入到IDE中。一种是通过Idea集成的Spring Boot进行创建。
这里以Idea创建为例,在IDEA中通过Spring Initializr创建项目,在引入依赖时引入Web依赖即可:
一路Next,项目创建完成。
引入Shiro依赖
项目创建完成之后,在pom.xml中加入Shiro相关的依赖。关于Shiro的版本信息大家需要留意,尽量使用1.6.0及以上版本。小于1.6.0的版本存在"绕过授权高危漏洞"Bug。
核心的pom依赖内容如下:
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.version}</version> </dependency>
模拟用户查询功能
我们知道在Shiro中可以在Realm实现授权和认证等功能,我们这里采用从数据中查询用户信息,比对密码。所以需要提供一个UserService来实现该功能。
当然,这里只是示例,不建议大家直接在数据库中存储密码。
先创建实体类:
public class User { private String username; private String password; // 省略getter/setter }
对应的Service:
@Service public class UserService { public User getUserByUserName(String username) { // 模拟返回,生产中不建议直接返回明文密码 User user = new User(); user.setUsername("secbro"); user.setPassword("123456"); return user; } }
自定义Realm并实现功能
这里我们自定义一个Realm,在其中进行认证,关于授权部分默认返回null,也就是不校验权限。具体的权限校验,可根据业务需求,角色权限等设计进行校验。
@Component("loginRealm") public class LoginRealm extends AuthorizingRealm { @Resource private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 这里不做授权校验 return null; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 用户登录时传入的用户名称 String username = (String) token.getPrincipal(); String password = new String((char[]) token.getCredentials()); // 根据用户名查询用户信息 User user = userService.getUserByUserName(username); if (user == null) { throw new UnknownAccountException("账户不存在!"); } if (!password.equals(user.getPassword())) { throw new UnknownAccountException("密码错误!"); } return new SimpleAuthenticationInfo(token.getPrincipal(), password, getName()); } }
这里直接将LoginRealm通过@Component进行实例化,在doGetAuthenticationInfo方法中进行用户名和密码的认证。
其中核心业务逻辑就是根据用户登录时传入的AuthenticationToken,获得传入的用户名和密码。
然后根据用户名查询数据库存储的用户信息,如果不存在或密码不一致则抛出异常。
最后,返回一个SimpleAuthenticationInfo对象,其中携带用户名、密码信息。
这里我们可以看出来,AuthenticationToken对象中的Principal相当于用户身份(唯一ID),而Credentials相当于密码,用来验证身份的。
集成Shiro配置
创建ShiroConfig类,使用@Configuration注解标注:
@Configuration public class ShiroConfig { /** * 此处参数内的Realm已经通过类似的@Compenent进行初始化了 */ @Bean SecurityManager securityManager(Realm loginRealm) { DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(loginRealm); return manager; } @Bean ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean(); bean.setSecurityManager(securityManager); bean.setLoginUrl("/login"); bean.setSuccessUrl("/index"); bean.setUnauthorizedUrl("/unauthorizedurl"); Map<String, String> map = new LinkedHashMap<>(); map.put("/doLogin", "anon"); map.put("/**", "authc"); bean.setFilterChainDefinitionMap(map); return bean; } }
其中初始化SecurityManager时需要用到Realm,这里通过方法参数将前面实例的LoginRealm注入,创建SecurityManager时设置对应的Realm。
因为还需要对具体的Web请求进行拦截,因此还需要配置一个ShiroFilterFactoryBean,通过该类指定路径拦截规则,比如设置需要拦截的、不需要拦截的链接等。
其中,Map中配置了路径拦截规则,注意,要有序。
经过上面的配置,Shiro的集成已经完成。
测试案例
下面来写一个简单的Controller来验证一下Shiro的拦截功能。
@RestController public class HelloController { @RequestMapping("/hello") public String hello() { System.out.println("Hello Shiro!"); return "Hello Shiro!"; } @RequestMapping("/login") public String toLogin() { return "please login!"; } @RequestMapping("/doLogin") public void doLogin(String username, String password) { Subject subject = SecurityUtils.getSubject(); try { subject.login(new UsernamePasswordToken(username, password)); System.out.println("用户:" + username + ",登录成功!"); } catch (Exception e) { System.out.println("登录异常" + e.getMessage()); } } }
首先,直接访问/hello接口,由于未登录,直接跳转到/login当中,返回:
please login!
紧接着,访问/doLogin接口,传输用户名和密码,控制台打印:
用户:secbro,登录成功!
再次访问/hello接口,打印并返回:
Hello Shiro!
说明认证成功,并记录下认证成功的状态,后续可继续使用对应的功能了。
基于官方Starter整合
最后再提一下基于官方Starter的整合,其实整体来说只是把ShiroFilterFactoryBean的初始化从配置类移到了application.properties文件中。
首先,将shiro的依赖替换为starter的依赖:
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> </dependency>
然后,去掉ShiroConfig中关于ShiroFilterFactoryBean的实例化方法,改为ShiroFilterChainDefinition:
@Bean ShiroFilterChainDefinition shiroFilterChainDefinition(){ DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition(); definition.addPathDefinition("/doLogin","anon"); definition.addPathDefinition("/**","authc"); return definition; }
在application.properties文件中添加如下配置:
# 是否允许将sessionId放到cookie中 shiro.sessionManager.sessionIdCookieEnabled=true # 是否允许将sessionId放到Url地址拦中 shiro.sessionManager.sessionIdUrlRewritingEnabled=true # 访问未获授权的页面时,默认的跳转路径 shiro.unauthorizedUrl=/unauthorizedurl # 开启shiro shiro.web.enabled=true # 登录成功的跳转页面 shiro.successUrl=/index # 登录页面 shiro.loginUrl=/login
其他的配置和操作与上面的示例一样,不再赘述。
项目源码:https://github.com/secbr/shiro/tree/main/springboot-shiro
小结
学习Shiro的关键点其实在于理解Realm的使用场景和原理。而关于Shiro在Spring Boot中的集成,如果有不太理解的地方,可回顾一下单纯使用Shiro的示例。Spring Boot的集成只不过是将之前new创建配置项纳入了Spring容器的管理而已。
