springboot 集成 shiro
Shiro简单介绍
Springboot整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
记住一点,Shiro不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro即可。
首先,我们从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图:
可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:
Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;
Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
接下来我们来从Shiro内部来看下Shiro的架构,如下图所示:
Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;
SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。
Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;
Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;
Realm:可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;
SessionManager:如果写过Servlet就应该知道Session的概念,Session呢需要有人去管理它的生命周期,这个组件就是SessionManager;而Shiro并不仅仅可以用在Web环境,也可以用在如普通的JavaSE环境、EJB等环境;所有呢,Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据;这样的话,比如我们在Web环境用,刚开始是一台Web服务器;接着又上了台EJB服务器;这时想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到Memcached服务器);
SessionDAO:DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;比如想把Session放到Memcached中,可以实现自己的Memcached SessionDAO;另外SessionDAO中可以使用Cache进行缓存,以提高性能;
CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能
Cryptography:密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。
springboot 整合shiro
1、 在spring boot 项目中导入jar
|
2、 <!– shiro –> 3、 <dependency> 4、 <groupId>org.apache.shiro</groupId> 5、 <artifactId>shiro-spring</artifactId> 6、 <version>1.4.0</version> 7、 </dependency> 8、 <!– shiro–ehcache –> 9、 <dependency> 10、 <groupId>org.springframework.boot</groupId> 11、 <artifactId>spring-boot-starter-cache</artifactId> 12、 </dependency> 13、 <dependency> 14、 <groupId>net.sf.ehcache</groupId> 15、 <artifactId>ehcache</artifactId> 16、 </dependency> 17、 <dependency> 18、 <groupId>org.apache.shiro</groupId> 19、 <artifactId>shiro–ehcache</artifactId> 20、 <version>1.4.0</version> 21、 </dependency> 22、 <dependency> 23、 <groupId>net.sf.json-lib</groupId> 24、 <artifactId>json–lib</artifactId> 25、 <version>2.2.3</version> 26、 <classifier>jdk15</classifier> 27、 </dependency> |
2、 创建基本配置类shiroConfig 和缓存类
|
/** * shiro 配置类 * @author Administrator * */ @Configuration public class ShiroConfig {
/** * shiro 过滤器配置 * @param securityManager * @return */
@Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); /** * 过滤器链,对URL配置过滤规则 * authc:所有url都必须认证通过才可以访问 * anon:所有url都都可以匿名访问 * user:表示身份认证通过或通过记住我认证通过的可以访问 * 注意点:过滤链定义,从上向下顺序执行,一般将/**放在最为下边 * */ Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>(); //initPermission filterChainDefinitionMap.put(“/login”, “anon”); filterChainDefinitionMap.put(“/initPermission”, “anon”); filterChainDefinitionMap.put(“/static/**”, “anon”); filterChainDefinitionMap.put(“/logout”, “logout”); //配置退出 filterChainDefinitionMap.put(“/**”, “user”); //如果没有认证将要跳转的登陆地址,http可访问的url,如果不在表单认证过虑器FormAuthenticationFilter中指定此地址就为身份认证地址 shiroFilterFactoryBean.setLoginUrl(“/login”); shiroFilterFactoryBean.setSuccessUrl(“/index”); //shiroFilterFactoryBean.setUnauthorizedUrl(“/403”);
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; }
/** * 加密方式 * @return */ @Bean public HashedCredentialsMatcher hashedCredentialsMatcher() { HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher(); hashedCredentialsMatcher.setHashAlgorithmName(“md5”); //散列次数 hashedCredentialsMatcher.setHashIterations(2); return hashedCredentialsMatcher; }
/** * 认证配置 * @return */ @Bean public MyRealm getRealm() { MyRealm myRealm = new MyRealm(); myRealm.setCredentialsMatcher(hashedCredentialsMatcher()); myRealm.setCacheManager(ehCacheManager()); return myRealm; }
/** * 安全管理器配置 * @return */ @Bean public SecurityManager getSecurityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(getRealm()); securityManager.setCacheManager(ehCacheManager()); //注入记住我管理器 securityManager.setRememberMeManager(rememberMeManager()); return securityManager; }
/** * 缓存管理器 * @return */ @Bean public EhCacheManager ehCacheManager(){ EhCacheManager cacheManager = new EhCacheManager(); cacheManager.setCacheManagerConfigFile(“classpath:shiro-ehcache.xml”); return cacheManager; }
/** * cookie对象; * rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。 * @return */ @Bean public SimpleCookie rememberMeCookie(){ //System.out.println(“ShiroConfiguration.rememberMeCookie()”); //这个参数是cookie的名称,对应前端的checkbox的name = rememberMe SimpleCookie simpleCookie = new SimpleCookie(“rememberMe”); //<!– 记住我cookie生效时间30天 ,单位秒;–> simpleCookie.setMaxAge(259200); return simpleCookie; }
/** * cookie管理对象; * rememberMeManager()方法是生成rememberMe管理器,而且要将这个rememberMe管理器设置到securityManager中 * @return */ @Bean public CookieRememberMeManager rememberMeManager(){ //System.out.println(“ShiroConfiguration.rememberMeManager()”); CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager(); cookieRememberMeManager.setCookie(rememberMeCookie()); //rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位) cookieRememberMeManager.setCipherKey(Base64.decode(“2AvVhdsgUs0FSA3SDFAdag==”)); return cookieRememberMeManager; }
/** * 开启@RequirePermission注解的配置 * 要结合DefaultAdvisorAutoProxyCreator一起使用,或者导入aop的依赖 * @return */ @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) { AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor(); authorizationAttributeSourceAdvisor.setSecurityManager(securityManager); return authorizationAttributeSourceAdvisor; }
/** * aop代理 * @return */ @Bean public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){ DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator(); advisorAutoProxyCreator.setProxyTargetClass(true); return advisorAutoProxyCreator; } /** * 定义Spring MVC的异常处理器 * @return */ @Bean public SimpleMappingExceptionResolver createSimpleMappingExceptionResolver() { SimpleMappingExceptionResolver r = new SimpleMappingExceptionResolver(); Properties mappings = new Properties(); mappings.setProperty(“DatabaseException”, “databaseError”);//数据库异常处理 mappings.setProperty(“UnauthorizedException”,”403″);//处理shiro的认证未通过异常 r.setExceptionMappings(mappings); // None by default r.setDefaultErrorView(“error”); // No default r.setExceptionAttribute(“ex”); // Default is “exception” return r; } } |
|
@Configuration public class EhcacheConfig {
/** * 设置为共享模式 * @return */ @Bean public EhCacheManagerFactoryBean ehCacheManagerFactoryBean() { EhCacheManagerFactoryBean cacheManagerFactoryBean = new EhCacheManagerFactoryBean(); cacheManagerFactoryBean.setShared(true); return cacheManagerFactoryBean; } }
|
同时需要在resources 源目录添加shiro-ehcache.xml
|
<?xml version=“1.0” encoding=“UTF-8”?> <ehcache updateCheck=“false” dynamicConfig=“false”> <diskStore path=“java.io.tmpdir”/> <cache name=“users” timeToLiveSeconds=“300” maxEntriesLocalHeap=“1000”/> <!– name:缓存名称。 maxElementsInMemory:缓存最大个数。 eternal:对象是否永久有效,一但设置了,timeout将不起作用。 timeToIdleSeconds:设置对象在失效前的允许闲置时间(单位:秒)。仅当eternal=false对象不是永久有效时使用,可选属性,默认值是0,也就是可闲置时间无穷大。 timeToLiveSeconds:设置对象在失效前允许存活时间(单位:秒)。最大时间介于创建时间和失效时间之间。仅当eternal=false对象不是永久有效时使用,默认是0.,也就是对象存活时间无穷大。 overflowToDisk:当内存中对象数量达到maxElementsInMemory时,Ehcache将会对象写到磁盘中。 diskSpoolBufferSizeMB:这个参数设置DiskStore(磁盘缓存)的缓存区大小。默认是30MB。每个Cache都应该有自己的一个缓冲区。 maxElementsOnDisk:硬盘最大缓存个数。 diskPersistent:是否缓存虚拟机重启期数据 Whether the disk store persists between restarts of the Virtual Machine. The default value is false. diskExpiryThreadIntervalSeconds:磁盘失效线程运行时间间隔,默认是120秒。 memoryStoreEvictionPolicy:当达到maxElementsInMemory限制时,Ehcache将会根据指定的策略去清理内存。默认策略是LRU(最近最少使用)。你可以设置为FIFO(先进先出)或是LFU(较少使用)。 clearOnFlush:内存数量最大时是否清除。 –> <defaultCache name=“defaultCache” maxElementsInMemory=“10000” eternal=“false” timeToIdleSeconds=“120” timeToLiveSeconds=“120” overflowToDisk=“false” maxElementsOnDisk=“100000” diskPersistent=“false” diskExpiryThreadIntervalSeconds=“120” memoryStoreEvictionPolicy=“LRU”/> </ehcache> |
3、 自定义Realm 继承AuthorizingRealm 实现doGetAuthenticationInfo【认证】
doGetAuthorizationInfo【授权】即可。