Spring Boot 中整合 Shiro 实现认证、细粒度方法级别权限控制和其他一些 Shiro 的功能 | 您所在的位置:网站首页 › springboot数据权限过滤 › Spring Boot 中整合 Shiro 实现认证、细粒度方法级别权限控制和其他一些 Shiro 的功能 |
Shiro 是一个功能强大且易于使用的Java安全框架,它提供了认证、授权、加密、会话管理等多种安全功能,可以轻松地与 Spring Boot 集成。本篇博客将介绍如何在 Spring Boot 中整合 Shiro,实现认证、细粒度方法级别权限控制和其他一些 Shiro 的功能。 1. 添加依赖首先,在 Maven 项目中,需要在 pom.xml 文件中添加 Shiro 和 Spring Boot Starter 相关的依赖: org.apache.shiro shiro-core 1.7.1 org.apache.shiro shiro-spring 1.7.1 org.springframework.boot spring-boot-starter-web 2. 配置 Shiro接下来,需要在 Spring Boot 中配置 Shiro。可以创建一个 ShiroConfig 类,用于配置 Shiro 的各种组件。 @Configuration public class ShiroConfig { @Bean public SecurityManager securityManager(Realm realm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm); return securityManager; } @Bean public Realm realm() { // TODO: 实现自己的 Realm } @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); shiroFilterFactoryBean.setLoginUrl("/login"); shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized"); Map filterChainDefinitionMap = new LinkedHashMap(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/**", "authc"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) { AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); return advisor; } }这里配置了三个 Bean: securityManager:SecurityManager 是 Shiro 的核心组件之一,负责管理所有的 Subject(即用户),并委托 Realm 进行身份认证和权限控制。 realm:Realm 是 Shiro 的另一个核心组件,负责从数据源中获取用户信息并进行身份认证和授权。需要实现自己的 Realm 类。 shiroFilterFactoryBean:ShiroFilterFactoryBean 是 Shiro 的 Web 安全组件,负责处理所有的 HTTP 请求并进行安全过滤。这里配置了 URL 模式和安全过滤规则。 authorizationAttributeSourceAdvisor:AuthorizationAttributeSourceAdvisor 是 Spring AOP 的组件,用于将 Shiro 的权限注解与 Spring AOP 集成。这里配置了用于方法级别权限控制的 Advisor。 3. 实现 Realm上面的 ShiroConfig 中,需要实现自己的 Realm 类。Realm 是一个接口,需要实现其两个核心方法:doGetAuthenticationInfo 和 doGetAuthorizationInfo。 public class MyRealm extends AuthorizingRealm { @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); User user = (User) principals.getPrimaryPrincipal(); Set roles = userService.getUserRoles(user.getId()); Set permissions = userService.getUserPermissions(user.getId()); authorizationInfo.setRoles(roles); authorizationInfo.setStringPermissions(permissions); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; User user = userService.getUserByUsername(upToken.getUsername()); if (user == null) { throw new UnknownAccountException("用户不存在"); } return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } }在上面的代码中,我们使用了 Spring 的自动注入功能,注入了 UserService,用于从数据源中获取用户信息和权限信息。 doGetAuthenticationInfo 方法用于进行身份认证,它从 AuthenticationToken 中获取用户名和密码,然后调用 UserService 进行验证。 doGetAuthorizationInfo 方法用于进行授权,它从 PrincipalCollection 中获取 User 对象,然后调用 UserService 获取该用户的角色和权限信息,最后将这些信息封装到 AuthorizationInfo 中返回。 4. 实现 Controller接下来,实现 Spring Boot 的 Controller 类,用于处理 HTTP 请求。 @RestController public class UserController { @Autowired private UserService userService; @GetMapping("/user") @RequiresPermissions("user:read") public List getUserList() { return userService.getUserList(); } @PostMapping("/user") @RequiresPermissions("user:create") public void createUser(@RequestBody User user) { userService.createUser(user); } @PutMapping("/user/{id}") @RequiresPermissions("user:update") public void updateUser(@PathVariable("id") Long id, @RequestBody User user) { user.setId(id); userService.updateUser(user); } @DeleteMapping("/user/{id}") @RequiresPermissions("user:delete") public void deleteUser(@PathVariable("id") Long id) { userService.deleteUser(id); } }在上面的代码中,我们使用了 Shiro 的注解 @RequiresPermissions,用于进行方法级别的权限控制。这里,我们定义了四个接口:获取用户列表、创建用户、更新用户和删除用户,分别对应了不同的权限。 5. 编写登录页面和权限不足页面最后,需要编写登录页面和权限不足页面,用于展示登录界面和提示用户权限不足的信息。 登录页面可以通过 Thymeleaf 模板实现,如下所示: 登录 登录 用户名: 密码: 登录权限不足页面同样可以通过 Thymeleaf 模板实现,如下所示: 权限不足 权限不足对不起,您没有访问该页面的权限。 6. 测试最后,可以通过 Postman 等工具测试接口的访问权限。 首先,访问 /user 接口,应该会跳转到登录页面。 Shiro Login Page 输入正确的用户名和密码后,应该能够成功访问 /user 接口。 Shiro User List 接下来,尝试访问其他接口,如 /user/{id},会发现提示权限不足的错误信息。 Shiro Access Denied 7. 总结通过上述步骤,我们成功地实现了 Spring Boot 整合 Shiro 实现认证、细粒度方法级别权限控制等功能。Shiro 具有灵活性和可扩展性,可以与 Spring Boot 集成,简化权限控制的实现。 |
CopyRight 2018-2019 实验室设备网 版权所有 |