shiro 功能及架构
简介
Apache Shiro 是一个强大的 Java 安全框架,可以实现身份验证、授权、加密和会话等功能,如下图:
01-Shiro功能框架图-CHN
架构
03-shiro架构图.png
运行流程
02-Shiro概念流程图.png
上图是 shiro 最简化的运行流程,我们分别来解释:
- 应用代码 :简单来讲,就是我们的“登陆方法”;
- Subject :当前进入系统的用户,包括:游客、用户、爬虫等;
- SercurityManager :安全管理器,负责:用户域分配、session管理、缓存管理等;
- Realm :域,负责:用户校验,角色分配、权限分配;
shiro 的整体架构,我们已经有了基本的了解,下面我们把 shiro 整合进上篇博客的业务系统《01-shiro权限系统-项目搭建》。
开发 shiro 相关代码
在开发前,我们先明确 shiro 的业务流程,也就是:
04-shiro业务流程.png
在这个业务流程中,我们有 4 个的代码模块,按照开发的顺序分别为:
- 登陆方法;
- 构建 Realm;
- 保存 Session,即 SessionManager;
- 构建 SecurityManager(必须使用 Realm、SessionManager);
登陆方法
这里,我们要构建 shiro 登陆用的信息:
- UsernamePasswordToken 用户令牌,包括账号、密码;
- Subject 认证授权组件,这是对外API的核心,集成多个功能模块
具体怎么用呢?我们直接看代码:
/**
* 用户登陆逻辑
* @param username
* @param password
* @return
*/
@RequestMapping("/loginUser")
public String loginUser(@RequestParam("username") String username,
@RequestParam("password") String password) {
// 构建 shiro :用户令牌,用户名、密码
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
// 获取 shiro :认证授权组件
Subject subject = SecurityUtils.getSubject();
// 登陆操作
try {
subject.login(token);
return "redirect:/index";
} catch (Exception e) {
return "login";
}
}
构建 Realm
Realm 是用来实现用户的登陆、授权这两个操作的,完成这个开发,我们有 2 个步骤:
- 继承 AuthorizingRealm 类;
- 重写方法:doGetAuthenticationInfo - 登陆、doGetAuthorizationInfo — 授权;
首先,来看看:登陆方法 - doGetAuthenticationInfo:
/**
* 认证登陆方法
* @param authToken 用户的登陆信息,需强转成我们自定义的 token
* @return
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authToken) throws AuthenticationException {
// 获取用户登陆填写信息
UsernamePasswordToken token = (UsernamePasswordToken) authToken;
String username = token.getUsername();
// 查询数据库
User user = userService.findByUsername(username);
// 没有该用户,则返回空
if (user == null) {
return null;
}
// 返回结果,交给 shiro 处理,需要用户对象、用户密码、本类的类名
return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
}
从上面的代码中,我们需要注意的点有 2 个:
- 入参 authToken 是从 Controller#loginUser() 方法传来的,需要做一个强转;
- 登陆结束后,需要返回 SimpleAuthenticationInfo 对象,交由 shiro 处理;
然后,我们再看看:授权方法 - doGetAuthorizationInfo:
/**
* 用户授权,缓存中无用户的授权信息时调用
* @param principals session 中的用户信息
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
/**** 从 session 中,获取当前登陆的用户 ****/
User user = (User) getAvailablePrincipal(principals);
/**** 获取角色 && 权限列表 ****/
// 定义角色列表:用于交给 shiro 进行授权
List<String> roleNameList = Lists.newArrayList();
// 定义权限列表:用于交给 shiro 进行授权
List<String> permitNameList = Lists.newArrayList();
// 获取用户的角色列表
Set<Role> roleSet = user.getRoles();
if (CollectionUtils.isNotEmpty(roleSet)) {
for (Role role : roleSet) {
roleNameList.add(role.getRname());
// 根据角色获取权限,并加入权限列表:permitList
Set<Permission> permitSet = role.getPermissions();
if (CollectionUtils.isNotEmpty(permitSet)) {
for (Permission permit : permitSet) {
permitNameList.add(permit.getName());
}
}
}
}
/**** 新建 shiro 授权类,并设置权限列表 ****/
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(permitNameList);
info.addRoles(roleNameList);
/**** 将授权信息交由 shiro 处理 ****/
return info;
}
授权方法中,我们也有 2 个要注意的点:
- 入参 principals 是已经登陆的
用户信息;- 授权结束后,需要返回 SimpleAuthorizationInfo 对象,并设置:角色、权限标识列表,交由 shiro 处理;
保存 Session/SessionManager
shiro 已经默认设置,如有只是单服务器,我们可以跳过。如果是多服务器版,请看《03-shiro权限系统-单点登陆》。
构建 SecurityManager
前边我们说过,shiro 所有安全相关的操作,是和 SecurityManager 交互的(如下图),但是在这之前,我们需要:1. 登陆方法;2. Realm 域;3. SessionManager(默认配置)。这些代码我们都在前面写好了,接下来就是构建 SecurityManager 了。
02-Shiro概念流程图.png
SecurityManager 的构建要在配置文件里完成。在 SpringBoot 中,我们用 Java类 + 注解完成,这样会比 xml 配置更直观和简便,构建过程及代码如下:
05-shiro配置开发顺序.png
/**
* @Author: jiaru
* @Description: shiro 配置类:用于完成 shiro 配置
* @Date: Created on 2018/10/31
* @Modify:
*/
@Configuration
public class ShiroConfiguration {
/***************** shiro基础配置 *****************/
/**
* 配置shiro拦截器
* @param manager 已在 Spring 容器中注册的“安全管理器”
* @return
*/
@Bean("shiroFilter")
public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager manager) {
// 定义shiro拦截器工厂bean
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
// 设置安全管理器
bean.setSecurityManager(manager);
// 设置登陆url
bean.setLoginUrl("/login");
// 设置登陆跳转后的url
bean.setSuccessUrl("/index");
// 设置无权限访问的url
bean.setUnauthorizedUrl("/unauthorized");
// 定义拦截规则
LinkedHashMap<String, String> definitionMap = Maps.newLinkedHashMap();
definitionMap.put("/index", "authc");
definitionMap.put("/login", "anon");
definitionMap.put("/loginUser", "anon");
definitionMap.put("/admin", "roles[admin]");
definitionMap.put("/edit", "perms[edit]");
definitionMap.put("/query", "perms[query]");
definitionMap.put("/druid/**", "anon");
definitionMap.put("/**", "user");
// 设置拦截规则
bean.setFilterChainDefinitionMap(definitionMap);
return bean;
}
/**
* 配置安全管理器
* @param authRealm 已在 Spring 容器中注册的“用户域”
* @return
*/
@Bean("securityManager")
public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm) {
// 新建web管理器
DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
// 设置“用户域”
manager.setRealm(authRealm);
return manager;
}
/**
* 配置用户域
* @param matcher 已在 Spring 容器中注册的“密码校验类”
* @return
*/
@Bean("authRealm")
public AuthRealm authRealm(@Qualifier("credentialMatcher") CredentialMatcher matcher) {
// 定义用户域
AuthRealm authRealm = new AuthRealm();
// 设置密码校验规则
authRealm.setCredentialsMatcher(matcher);
// 设置缓存管理器
authRealm.setCacheManager(new MemoryConstrainedCacheManager());
return authRealm;
}
/**
* 配置shiro密码校验类
* @return
*/
@Bean("credentialMatcher")
public CredentialMatcher credentialMatcher() {
return new CredentialMatcher();
}
/***************** shiro && spring 关联 *****************/
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager manager) {
AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(manager);
return advisor;
}
@Bean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
creator.setProxyTargetClass(true);
return creator;
}
}
写在最后
至此,我们完成了 shiro 权限系统与 SpringBoot 的整合。这里附上源码地址:
