springboot加入shiro认证授权开发
版权声明:本文为博主原创文章,未经博主允许不得转载。
前言
最近搞了下 Shiro 安全框架,这里我主要用到了shiro框架的登录认证、权限功能设计。登录认证是判断用户的登录状态,权限是判断用户是什么什么身份,可以访问那些系统的功能。这些当然也可以使用其他框架和不使用框架也能完成,不过,shiro框架使用起来非常简单。
代码开发
1、使用idea快速创建一个springboot项目
一直Next到
然后点Next----finish
2、在pom中加入shiro依赖
<!-- Spring对Shiro支持 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
3、创建包,本人的包结构
4、在shiro包下创建自定义 realm 类UserRealm
/**
* 自定义Realm
*
*
*/
public class UserRealm extends AuthorizingRealm {
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
String role = “admin“;
Set<String> set = roleManagerService.findNameById(id);
set.add(role);
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addRoles(set);
return info;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("执行认证逻辑");
//编写shiro判断逻辑,判断用户名和密码
//1.判断用户名
UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
String userName = "ameng";
String password = "123456";
if (new String(token.getPassword()) != password) { //token.getPassword()得到的密码是char数组格式,所以先得转成String
throw new AccountException("密码不正确");
} else if (token.getUserName()!= userName) {
throw new AccountException("用户名不正确");
}
return new SimpleAuthenticationInfo(token.getPrincipal(),password,getName());
}
}
5、在shiro包下创建shiro配置类ShiroConfig
/**
* Shiro的配置类
*
*
*/
@Configuration
public class ShiroConfig {
/**
* 创建ShiroFilterFactoryBean
*/
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//设置安全管理器
shiroFilterFactoryBean.setSecurityManager(securityManager);
//添加Shiro内置过滤器
/**
* Shiro内置过滤器,可以实现权限相关的拦截器
* 常用的过滤器:
* anon: 无需认证(登录)可以访问
* authc: 必须认证才可以访问
* user: 如果使用rememberMe的功能可以直接访问
* perms: 该资源必须得到资源权限才可以访问
* roles: 该资源必须得到角色权限才可以访问
*/
Map<String,String> filterMap = new LinkedHashMap<String,String>();
filterMap.put("/login","anon");
filterMap.put("//notLogin","anon");
filterMap.put("/noAuth","anon");
//注意:当前授权拦截后,shiro会自动跳转到未授权页面
filterMap.put("/admin/**", "roles[admin]");
//授权过滤器
filterMap.put("/**","authc");
//修改调整的登录页面
shiroFilterFactoryBean.setLoginUrl("/notLogin");
//设置未授权提示页面
shiroFilterFactoryBean.setUnauthorizedUrl("/noAuth");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
return shiroFilterFactoryBean;
}
@Bean(name="securityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
//关联realm
securityManager.setRealm(userRealm);
return securityManager;
}
/**
* 创建Realm
*/
@Bean(name="userRealm")
public UserRealm getRealm(){
return new UserRealm();
}
}
这里的一些信息比如用户名userName、密码password、权限role,我都写死了。在实际的开发中是通过数据库中查的。
6、根据 url 权限分配 controller
/**
* 登陆
*
* @param username 用户名
* @param password 密码
*/
@RequestMapping(value = "/login", method = RequestMethod.POST)
public ResultMap login(String username, String password) {
// 从SecurityUtils里边创建一个 subject
Subject subject = SecurityUtils.getSubject();
// 在认证提交前准备 token(令牌)
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
// 执行认证登陆
subject.login(token);
}
@RestController
public class LoginController {
//没有登录跳到这里
@RequestMapping(value = "/notLogin", method = RequestMethod.GET)
public ResultMap notLogin() {
return resultMap.success().message("您尚未登陆!");
}
//没有权限跳到这里
@RequestMapping(value = "/notRole", method = RequestMethod.GET)
public ResultMap notRole() {
return resultMap.success().message("您没有权限!");
}
}
管理员
@RestController
@RequestMapping("/admin")
public class AdminController {
@Autowired
private final ResultMap resultMap;
@RequestMapping(value = "/getMessage", method = RequestMethod.GET)
public ResultMap getMessage() {
return resultMap.success().message("您拥有管理员权限,可以获得该接口的信息!");
}
}
到此简单的shiro认证和权限功能就完成了,可以用Postman工具测一下效果。测试中可以修改下用户名userName、密码password、权限role值,看下拦截效果。
最后本人乃是小白一个如有不好的,请大家多多指教。