Apache Shiro
优势特点
它是一个功能强大、灵活的,优秀开源的安全框架。
它可以处理身份验证、授权、企业会话管理和加密。
它易于使用和理解,相比Spring Security入门门槛低。
主要功能
- 验证用户身份
- 用户访问权限控制
- 支持单点登录(SSO)功能
- 可以响应认证、访问控制,或Session事件
- 支持提供“Remember Me”服务
- 。。。
框架体系
Shiro 的整体框架如下图所示:
Authentication(认证), Authorization(授权), Session Management(会话管理), Cryptography(加密)被 Shiro 框架的开发团队称之为应用安全的四大基石。
它们分别是:
- Authentication(认证):用户身份识别,通常被称为用户“登录”。
- Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。
- Session Management(会话管理):特定于用户的会话管理,甚至在非web 应用程序。
- Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。
除此之外,还有其他的功能来支持和加强这些不同应用环境下安全领域的关注点。特别是对以下的功能支持:
- Web支持:Shiro 提供的 web 支持 api ,可以很轻松的保护 web 应用程序的安全。
- 缓存:缓存是 Apache Shiro 保证安全操作快速、高效的重要手段。
- 并发:Apache Shiro 支持多线程应用程序的并发特性。
- 测试:支持单元测试和集成测试,确保代码和预想的一样安全。
- “Run As”:这个功能允许用户假设另一个用户的身份(在许可的前提下)。
- “Remember Me”:跨 session 记录用户的身份,只有在强制需要时才需要登录。
主要流程
在概念层,Shiro 架构包含三个主要的理念:Subject,SecurityManager 和 Realm。下面的图展示了这些组件如何相互作用,我们将在下面依次对其进行描述。
- Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。
- SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
- Realms:用于进行权限信息的验证,我们自己实现。Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。
我们需要实现Realms的Authentication 和 Authorization。其中 Authentication 是用来验证用户身份,Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。
以上描述摘抄自纯洁的微笑博客文章,更多详情可以参考:
Shiro 官网:http://shiro.apache.org/
纯洁的微笑:http://www.ityouknow.com/springboot/2017/06/26/springboot-shiro.html
Shiro 集成
下面就来讲解如何在我们的项目里集成 Shiro 框架。
引入依赖
首先上 maven 仓库查找,当前最新的版本是 1.4.0,我们就用这个版本。
kitty-pom/pom.xml 父POM中添加属性和 dependencyManagement 依赖
<shiro.version>1.4.0</shiro.version>
<!-- shiro -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>${shiro.version}</version>
</dependency>
kitty-admin/pom.xml 添加 dependencies 依赖
<!-- shiro -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
</dependency>
同理,把后续要用到的几个工具包也导入进来。
<!-- fastjson -->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>${fastjson.version}</version>
</dependency>
<!-- commons -->
<dependency> <groupId>commons-lang</groupId> <artifactId>commons-lang</artifactId> <version>${commons.lang.version}</version> </dependency> <dependency> <groupId>commons-fileupload</groupId> <artifactId>commons-fileupload</artifactId> <version>${commons.fileupload.version}</version> </dependency> <dependency> <groupId>commons-io</groupId> <artifactId>commons-io</artifactId> <version>${commons.io.version}</version> </dependency> <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>${commons.codec.version}</version> </dependency>
添加配置
1. 添加配置类
添加配置类,注入自定义的认证过滤器(OAuth2Filter)和认证器(OAuth2Realm),并添加请求路径拦截配置。
ShiroConfig.java
package com.louis.kitty.boot.config; import java.util.HashMap; import java.util.LinkedHashMap; import java.util.Map; import javax.servlet.Filter; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.realm.Realm; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org.apache.shiro.web.mgt.DefaultWebSecurityManager; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import com.louis.kitty.admin.oauth2.OAuth2Filter; import com.louis.kitty.admin.oauth2.OAuth2Realm; /** * Shiro 配置 * @author Louis * @date Sep 1, 2018 */ @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager); // 自定义 OAuth2Filter 过滤器,替代默认的过滤器 Map<String, Filter> filters = new HashMap<>(); filters.put("oauth2", new OAuth2Filter()); shiroFilter.setFilters(filters); // 访问路径拦截配置,"anon"表示无需验证,未登录也可访问 Map<String, String> filterMap = new LinkedHashMap<>(); filterMap.put("/webjars/**", "anon"); // 查看SQL监控(druid) filterMap.put("/druid/**", "anon"); // 首页和登录页面 filterMap.put("/", "anon"); filterMap.put("/sys/login", "anon"); // swagger filterMap.put("/swagger-ui.html", "anon"); filterMap.put("/swagger-resources", "anon"); filterMap.put("/v2/api-docs", "anon"); filterMap.put("/webjars/springfox-swagger-ui/**", "anon"); // 其他所有路径交给OAuth2Filter处理 filterMap.put("/**", "oauth2"); shiroFilter.setFilterChainDefinitionMap(filterMap); return shiroFilter; } @Bean public Realm getShiroRealm(){ OAuth2Realm myShiroRealm = new OAuth2Realm(); return myShiroRealm; } @Bean public SecurityManager securityManager(){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 注入 Realm 实现类,实现自己的登录逻辑 securityManager.setRealm(getShiroRealm()); return securityManager; } }
2. 认证过滤器
拦截除配置成不需认证的请求路径外的请求,都交由这个过滤器处理,负责接收前台带过来的token并封装成对象,如果请求没有携带token,则提示错误。
OAuth2Filter.java
package com.louis.kitty.admin.oauth2; import java.io.IOException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.web.filter.authc.AuthenticatingFilter; import com.alibaba.fastjson.JSONObject; import com.louis.kitty.common.utils.StringUtils; import com.louis.kitty.core.http.HttpResult; import com.louis.kitty.core.http.HttpStatus; /** * Oauth2过滤器 * @author Louis * @date Sep 1, 2018 */ public class OAuth2Filter extends AuthenticatingFilter { @Override protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception { // 获取请求token String token = getRequestToken((HttpServletRequest) request); if(StringUtils.isBlank(token)){ return null; } return new OAuth2Token(token); } @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { return false; } @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { // 获取请求token,如果token不存在,直接返回401 String token = getRequestToken((HttpServletRequest) request); if(StringUtils.isBlank(token)){ HttpServletResponse httpResponse = (HttpServletResponse) response; HttpResult result = HttpResult.error(HttpStatus.SC_UNAUTHORIZED, "invalid token"); String json = JSONObject.toJSONString(result); httpResponse.getWriter().print(json); return false; } return executeLogin(request, response); } @Override protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) { HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.setContentType("application/json; charset=utf-8"); try { // 处理登录失败的异常 Throwable throwable = e.getCause() == null ? e : e.getCause(); HttpResult result = HttpResult.error(HttpStatus.SC_UNAUTHORIZED, throwable.getMessage()); String json = JSONObject.toJSONString(result); httpResponse.getWriter().print(json); } catch (IOException e1) { } return false; } /** * 获取请求的token */ private String getRequestToken(HttpServletRequest httpRequest){ // 从header中获取token String token = httpRequest.getHeader("token"); // 如果header中不存在token,则从参数中获取token if(StringUtils.isBlank(token)){ token = httpRequest.getParameter("token"); } return token; } }
OAuth2Token.java
package com.louis.kitty.admin.oauth2; import org.apache.shiro.authc.AuthenticationToken; /** * 自定义 token 对象 * @author Louis * @date Sep 1, 2018 */ public class OAuth2Token implements AuthenticationToken { private static final long serialVersionUID = 1L; private String token; public OAuth2Token(String token){ this.token = token; } @Override public String getPrincipal() { return token; } @Override public Object getCredentials() { return token; } }
3. 逻辑认证器
逻辑认证器是认证和授权的主体逻辑,主要包含两部分。
doGetAuthenticationInfo:实现自己的登录验证逻辑,这里主要是认证 token。
doGetAuthorizationInfo:实现接口授权逻辑,收集权限标识或角色,用来判定接口是否可以访问
OAuth2Realm.java
package com.louis.kitty.admin.oauth2; import java.util.Set; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.LockedAccountException; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Component; import com.louis.kitty.admin.model.SysUser; import com.louis.kitty.admin.model.SysUserToken; import com.louis.kitty.admin.sevice.SysUserService; import com.louis.kitty.admin.sevice.SysUserTokenService; /** * 认证Realm实现 * @author Louis * @date Sep 1, 2018 */ @Component public class OAuth2Realm extends AuthorizingRealm { @Autowired SysUserService sysUserService; @Autowired SysUserTokenService sysUserTokenService; @Override public boolean supports(AuthenticationToken token) { return token instanceof OAuth2Token; } /** * 授权(接口保护,验证接口调用权限时调用) */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SysUser user = (SysUser)principals.getPrimaryPrincipal(); // 用户权限列表,根据用户拥有的权限标识与如 @permission标注的接口对比,决定是否可以调用接口 Set<String> permsSet = sysUserService.findPermissions(user.getUsername()); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.setStringPermissions(permsSet); return info; } /** * 认证(登录时调用) */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { String token = (String) authenticationToken.getPrincipal(); // 根据accessToken,查询用户token信息 SysUserToken sysUserToken = sysUserTokenService.findByToken(token); if(sysUserToken == null || sysUserToken.getExpireTime().getTime() < System.currentTimeMillis()){ // token已经失效 throw new IncorrectCredentialsException("token失效,请重新登录"); } // 查询用户信息 SysUser user = sysUserService.findById(sysUserToken.getUserId()); // 账号被锁定 if(user.getStatus() == 0){ throw new LockedAccountException("账号已被锁定,请联系管理员"); } SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, token, getName()); return info; } }
4. 完善登录接口
完善登录逻辑,在用户密码匹配成功之后,创建并保存token,最后将token返回给前台,以后请求带上token。
SysLoginController.java
/** * 登录接口 */ @PostMapping(value = "/sys/login") public HttpResult login(@RequestBody LoginBean loginBean) throws IOException { String username = loginBean.getUsername(); String password = loginBean.getPassword(); // 用户信息 SysUser user = sysUserService.findByUserName(username); // 账号不存在、密码错误 if (user == null) { return HttpResult.error("账号不存在"); } if (!match(user, password)) { return HttpResult.error("密码不正确"); } // 账号锁定 if (user.getStatus() == 0) { return HttpResult.error("账号已被锁定,请联系管理员"); } // 生成token,并保存到数据库 SysUserToken data = sysUserTokenService.createToken(user.getUserId()); return HttpResult.ok(data); } /** * 验证用户密码 * @param user * @param password * @return */ public boolean match(SysUser user, String password) { return user.getPassword().equals(PasswordUtils.encrypte(password, user.getSalt())); }
SysUserTokenServiceImpl.java,生成并保存token,这里把token保存在数据库,也可以选择保存在redis或session。
@Override public SysUserToken createToken(long userId) { // 生成一个token String token = TokenGenerator.generateToken(); // 当前时间 Date now = new Date(); // 过期时间 Date expireTime = new Date(now.getTime() + EXPIRE * 1000); // 判断是否生成过token SysUserToken sysUserToken = findByUserId(userId); if(sysUserToken == null){ sysUserToken = new SysUserToken(); sysUserToken.setUserId(userId); sysUserToken.setToken(token); sysUserToken.setLastUpdateTime(now); sysUserToken.setExpireTime(expireTime); // 保存token,这里选择保存到数据库,也可以放到Redis或Session之类可存储的地方 save(sysUserToken); } else{ sysUserToken.setToken(token); sysUserToken.setLastUpdateTime(now); sysUserToken.setExpireTime(expireTime); // 如果token已经生成,则更新token的过期时间 update(sysUserToken); } return sysUserToken; }
登录测试
源码下载
码云:https://gitee.com/liuge1988/kitty
作者:朝雨忆轻尘
出处:https://www.cnblogs.com/xifengxiaoma/
版权所有,欢迎转载,转载请注明原文作者及出处。