2流高手速成記(之五):Springboot整合Shiro實現安全管理

来源:https://www.cnblogs.com/itfantasy/archive/2022/10/29/16837917.html
-Advertisement-
Play Games

Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。使用Shiro的易於理解的API,您可以快速、輕鬆地獲得任何應用程式,從最小的移動應用程式到最大的網路和企業應用程式。 ...


廢話不多說,咱們直接接上回

上一篇我們講瞭如何使用Springboot框架整合Nosql,並於文章最後部分引入了服務端Session的概念

而早在上上一篇中,我們則已經講到瞭如何使用Springboot框架整合Mybatis/MybatisPlus實現業務數據的持久化(寫入資料庫)

本篇我們把關註點放在一個於這兩部分有共同交集的內容——安全管理,並且引入我們今天的主角——Shiro框架

Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。使用Shiro的易於理解的API,您可以快速、輕鬆地獲得任何應用程式,從最小的移動應用程式到最大的網路和企業應用程式。

—— 來自百度百科

Shiro框架包含三個核心組件:

Subject —— 泛指當前與Shiro交互中的實體,可以是用戶或者某後臺進程

SecurityManager —— Shiro的核心組件,對內管理各種組件實例,對外提供各種安全服務

Realm —— Shiro與安全數據之間的橋接器

Shiro框架還包含有其他諸多概念,為降低大家的心智負擔,這些我們暫且不談,文末會給大家推薦延展閱讀的相關文章

還是老規矩直接上乾貨,以完整的實例讓大家對【如何基於Shiro實現許可權的細粒度控制】有一個整體上的認知

 

 

 

不知道大家會不會覺得項目結構突然變複雜?別擔心,接下來我會給大家逐一拆解

1. 創建數據表

首先是角色表——role

 

 

 

 

 然後是用戶表——user

 

 

 

 最後是許可權表——permission

 

 2. 創建三個對應的Mapper

package com.example.hellospringboot.mapper;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.example.hellospringboot.model.Role;
import org.apache.ibatis.annotations.Mapper;
import org.springframework.stereotype.Repository;

@Mapper
@Repository
public interface RoleMapper extends BaseMapper<Role> {
}
package com.example.hellospringboot.mapper;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.example.hellospringboot.model.User;
import org.apache.ibatis.annotations.Mapper;
import org.springframework.stereotype.Repository;

@Mapper
@Repository
public interface UserMapper extends BaseMapper<User> {
}
package com.example.hellospringboot.mapper;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.example.hellospringboot.model.Permission;
import org.apache.ibatis.annotations.Mapper;
import org.springframework.stereotype.Repository;

@Mapper
@Repository
public interface PermissionMapper extends BaseMapper<Permission> {
}

這裡我們用到了上上一節講到的內容

這裡的Mapper會輔助於後續的安全數據讀取

3. 接下來是Service及其實現類

package com.example.hellospringboot.service;

import com.example.hellospringboot.model.Role;

public interface RoleService {
    Role findRoleById(int id);
}
package com.example.hellospringboot.service.impl;

import com.example.hellospringboot.mapper.RoleMapper;
import com.example.hellospringboot.model.Role;
import com.example.hellospringboot.service.RoleService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

@Service
public class RoleServiceImpl implements RoleService {

    @Autowired
    RoleMapper mapper;

    public Role findRoleById(int id){
        Role role = mapper.selectById(id);
        return role;
    }
}
package com.example.hellospringboot.service;

import com.example.hellospringboot.model.User;

public interface UserService {
    boolean checkUserByUsernameAndPassword(String userName, String passWord);
    User findUserByUserName(String userName);
}
package com.example.hellospringboot.service.impl;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.example.hellospringboot.mapper.UserMapper;
import com.example.hellospringboot.model.User;
import com.example.hellospringboot.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class UserServiceImpl implements UserService {

    @Autowired
    UserMapper mapper;

    public boolean checkUserByUsernameAndPassword(String userName, String passWord){
        QueryWrapper<User> wrapper = new QueryWrapper<User>();
        wrapper = wrapper.eq("user_name", userName).eq("pass_word",passWord);
        List<User> userList = mapper.selectList(wrapper);
        return userList.size() > 0;
    }

    public User findUserByUserName(String userName){
        QueryWrapper<User> wrapper = new QueryWrapper<User>();
        wrapper = wrapper.eq("user_name", userName);
        User user = mapper.selectOne(wrapper);
        return user;
    }

}
package com.example.hellospringboot.service;

import com.example.hellospringboot.model.Permission;

import java.util.List;

public interface PermissionService {
    List<Permission> findPermissionsByRoleId(int roleId);
}
package com.example.hellospringboot.service.impl;

import com.baomidou.mybatisplus.core.conditions.Wrapper;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.example.hellospringboot.mapper.PermissionMapper;
import com.example.hellospringboot.model.Permission;
import com.example.hellospringboot.service.PermissionService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class PermissionServiceImpl implements PermissionService {

    @Autowired
    PermissionMapper mapper;

    public List<Permission> findPermissionsByRoleId(int roleId){
        QueryWrapper<Permission> wrapper = new QueryWrapper<>();
        wrapper = wrapper.eq("role_id", roleId);
        List<Permission> list = mapper.selectList(wrapper);
        return list;
    }

}

ok,我們已經準備好了所有的安全數據,及對應的讀取方法

到這裡,我們就算是做好了所有的準備工作

接下來看我們如何通過Shiro框架來運用這些已經裝配好的槍炮子彈

4. 引入Shiro框架相關依賴(pom.xml)

        <!-- 引入shiro框架依賴 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.10.0</version>
        </dependency>

這次pom.xml終於不是第一步了,哈哈哈。。。

5. 創建Realm嫁接Shiro框架及安全數據(realm/MyAuthorizingRealm)

package com.example.hellospringboot.realm;

import com.example.hellospringboot.model.Permission;
import com.example.hellospringboot.model.Role;
import com.example.hellospringboot.model.User;
import com.example.hellospringboot.service.PermissionService;
import com.example.hellospringboot.service.RoleService;
import com.example.hellospringboot.service.UserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

public class MyAuthorizingRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;

    @Autowired
    RoleService roleService;

    @Autowired
    PermissionService permissionService;

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String userName = token.getUsername();
        String passWord = String.valueOf(token.getPassword());
        if (!userService.checkUserByUsernameAndPassword(userName, passWord)) {//判斷用戶賬號是否正確
            throw new UnknownAccountException("用戶名或密碼錯誤!");
        }
        return new SimpleAuthenticationInfo(userName, passWord, getName());
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        String userName = principalCollection.getPrimaryPrincipal().toString();
        User user = userService.findUserByUserName(userName);
        if (user == null) {
            throw new UnknownAccountException("用戶名或密碼錯誤!");
        }
        List<Integer> rolesList = user.rolesList();
        Set<String> roles = new HashSet<>();
        Set<String> permissions = new HashSet<>();
        for (Integer roleId : rolesList) {
            Role role = roleService.findRoleById(roleId);
            roles.add(role.getName());
            List<Permission> permissionList = permissionService.findPermissionsByRoleId(roleId);
            for (Permission permission : permissionList) {
                permissions.add(permission.getName());
            }
        }
        info.setRoles(roles);
        info.setStringPermissions(permissions);
        return info;
    }
}

Realm的創建對於整個Shiro安全驗證體系搭建而言是至關重要的一步!

其中兩個抽象方法

doGetAuthenticationInfo —— 用於校驗用戶名及密碼的合法性

doGetAuthorizationInfo —— 用於賦予實體對應的角色及交互許可權

6. 測試用Controller創建

package com.example.hellospringboot.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RequestMapping("/user")
@RestController
public class UserController {

    @PostMapping("/login")
    public String login(String user, String pass) {
        UsernamePasswordToken token = new UsernamePasswordToken(user, pass);
        Subject subject = SecurityUtils.getSubject();
        if(!subject.isAuthenticated()) {
            try {
                subject.login(token);
            } catch (AuthenticationException e) {
                return e.getMessage();
            }
        }
        return "ok";
    }

    @PostMapping("/logout")
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        if(subject.isAuthenticated()) {
            try {
                subject.logout();
            } catch (AuthenticationException e) {
                return e.getMessage();
            }
        }
        return "ok";
    }

    @GetMapping("/admin")
    public String admin() {
        return "admin";
    }

    @GetMapping("/user")
    public String user() {
        return "user";
    }

}

內容很簡單:

login——登錄方法

logout——登出方法

admin、user——兩個測試方法,用於測試不同角色對於不同方法可訪問的細粒度控制

7. ShiroConfig配置類創建,實現用戶訪問許可權的細粒度控制

package com.example.hellospringboot.configure;

import com.example.hellospringboot.realm.MyAuthorizingRealm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    @Bean
    public SecurityManager securityManager(Realm realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }

    @Bean
    public MyAuthorizingRealm getRealm() {
        MyAuthorizingRealm realm = new MyAuthorizingRealm();
        return realm;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        Map<String, String> filterChainMap = new LinkedHashMap<String, String>();
        filterChainMap.put("/user/login", "anon");
        filterChainMap.put("/user/logout", "anon");
        filterChainMap.put("/user/admin", "authc,roles[admin],perms[admin:read]");
        filterChainMap.put("/user/user", "authc,roles[user],perms[user:read]");
        shiroFilter.setFilterChainDefinitionMap(filterChainMap);
        return shiroFilter;
    }
}

 

securityManager 和 getRealm 顯示指定了Shiro兩大組件的實例聲明

shiroFilterFactoryBean 則是實現角色訪問許可權控制的重要方法

        filterChainMap.put("/user/login", "anon"); // 代表login方法可以匿名訪問

        filterChainMap.put("/user/logout", "anon"); // 代表logout方法可以匿名訪問

        filterChainMap.put("/user/admin", "authc,roles[admin],perms[admin:read]"); // 代表admin方法需要用戶滿足admin角色,同時具備admin:read許可權

        filterChainMap.put("/user/user", "authc,roles[user],perms[user:read]"); // 代表user方法需要用戶滿足user角色,同時具備user:read許可權

至此,整個接入流程便結束了

我們再次結合最開始我們配置的數據來對業務邏輯進行分析

用戶 admin,同時具備admin、user兩種角色

用戶 juste,僅具備user一種角色

角色 admin,同時具備admin:write、admin:read兩種許可權

角色 user,同時具備user:write、user:read兩種許可權

因此

用戶 admin,同時具備admin:write、admin:read、user:write、user:read 四種操作許可權

用戶 juste,同時具備user:write、user:read兩種操作許可權

大家理清楚這其中的關係了嗎?^ ^

8. 執行Postman驗證結果

 

 我們在執行login之前,admin方法無權訪問

 

 

 

 

 

 登錄admin之後,同時具備admin和user方法的訪問許可權

 

logout登出,然後login登錄普通用戶juste

會發現依然具備user方法的訪問許可權,但是失去了admin方法的訪問許可權

到此,驗證我們基於Shiro框架的細粒度許可權控制已經實現

除了Shiro框架,我們還有另一個選擇,那就是同樣可以通過集成Spring Security框架來達成相同的目的

關於更多Shiro框架的內容,及其和Spring Security之間的異同,大家感興趣可以參考這篇文章:

Shiro最全基礎教程_思月行雲的博客-CSDN博客

對於Spring Security框架,我們暫且留個懸念,以後會專門再給大家講解這部分內容

下一節,我們將把關註點投向微服務領域,SpringCloudAlibaba將會是接下來幾個章節的重頭戲,敬請期待~

 

 

 

MyAuthorizingRealm

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 每日演算法4:計算字元串中的位元組數;正則匹配;代碼實現outerHTML
    匹配輸入的字元:以字母或_開頭,後面由數字字母_組成長度為5-20的字元串 var reg=/^[a-bA-B_][a-bA-B0-9_]{4,19}/ var name1='abb' console.log(reg.test(name1) 題目描述:js求字元串位元組長度方法 描述:漢字位元組為2,其 ...
  • javascript學習 - bind()方法及this指向問題
    這裡給大家分享我在網上總結出來的一些知識,希望對大家有所幫助 從webview頁面傳值到uniapp中 官方文檔已經很詳細了,這裡給大家上我的實戰代碼,首先在webview頁面中引入相關依賴: <!-- uniapp各平臺依賴 --> <script type="text/javascript"> ...
  • webgl(three.js)3D光伏,3D太陽能能源,3D智慧光伏、光伏發電、清潔能源三維可視化解決方案——第十六課
    3D太陽能、三維光伏、三維儲能、使用three.js(webgl)搭建智慧樓宇、3D園區、3D廠房、3D倉庫、設備檢測、數字孿生、物聯網3D、物業3D監控、物業基礎設施可視化運維、3d建築,3d消防,消防演習模擬,3d庫房,webGL,threejs,3d機房,bim管理系統 ...
  • 手把手教你從安裝CentOS7.4鏡像開始,搭建IoT視頻監控系統
    摘要:在CentOS7.4伺服器版本的環境下安裝nginx伺服器、配置文件伺服器、流媒體伺服器。 本文分享自華為雲社區《華為雲ECS伺服器安裝CentOS7.4鏡像,部署GINX伺服器、搭建物聯網視頻監控系統》,作者:DS小龍哥。 在CentOS7.4伺服器版本的環境下安裝nginx伺服器、配置文件 ...
  • form裡面有的select框需要設置成固定值展示給用戶看,但是又不讓用戶進行變更。
    資料庫有一條用戶的消費訂單,工作人員對這條訂單進行修改時,不能修改訂單裡面的顧客信息,但是前端需要展示給這個訂單的顧客信息。 form裡面的select框設置固定值 利用Jquery // 1.先給id=id_order_customer的select框設置值a,這個值是你前面已經定義的變數 $(" ...
  • React動畫實現方案之 Framer Motion,讓你的頁面“自己”動起來
    前言 相信很多前端同學都或多或少和動畫打過交道。有的時候是產品想要的過度效果;有的時候是UI想要的酷炫動畫。但是有沒有人考慮過,是不是我們的頁面上面的每一次變化,都可以像是自然而然的變化;是不是每一次用戶點擊所產生的交互,都可以在頁面上活過來呢? 歡迎你打開了新的前端動畫世界——《Framer Mo ...
  • Vue(V 3.2.37)使用Three.js(V 0.145.0)載入3D模型的詳細步驟
    Vue(V 3.2.37)使用Three.js(V 0.145.0)載入3D模型的詳細步驟 1、安裝three 命令: pnpm install three 引入 three 和載入器 import * as THREE from 'three' import { OBJLoader } from ...
  • 面試題 JS 不能不會的內容
    原博客地址 01、描述事件冒泡的流程,可畫圖 考察點:事件基礎知識 參考答案: // 基於DOM樹結構,事件會順著觸發元素向上冒泡 // 阻止冒泡 event.stopPropagation(); 點擊一個div,會一級一級向父級、爺級元素上冒泡,這個點擊事件不僅能被這個div捕捉到,也能被他的父級 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP
    移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • wpf ToggleButton選中效果和一個登錄界面
    前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 彈幕樹洞項目功能新增篇
    項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 第27篇 sqlserver2022詳細安裝步驟
    話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • .NET 開源高性能 MQTT 類庫
    前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog文檔翻譯系列(六) - 可用的接收器、增強器、格式化輸出
    Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 警惕 Visual Studio 屬性求值副作用導致邏輯不符合預期
    目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • [使用目前最新版]HybridCLR6.9.0+YooAsset2.2.4實現純C# Unity熱更新方案 (一)
    1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 在 ASP.NET Core Web API 中使用操作篩選器統一處理通用操作
    本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 第28篇 如何.net中實現高效可靠數據同步api
    通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...
所有分類