前言
RBAC 权限模型,全称是 Role-Based Access Control 基于角色的访问控制。
简单来说,每个用户拥有若干角色,每个角色拥有若干个菜单,菜单中存在菜单权限、按钮权限。这样,就形成了 “用户<->角色<->菜单” 的授权模型。 在这种模型中,用户与角色、角色与菜单之间构成了多对多的关系。
一、Shiro是什么?
Apache Shiro 是一个功能强大且易于使用的· Java安全(权限)框架。Shiro 可以完成:认证、授权、加密、会话管理、与 Web集成、缓存等。
1.有那些功能
编辑
- Authentication:身份认证/登录,验证用户是不是拥有相应的身份
- Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限
- Session Management:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境,也可以是Web 环境的
- Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储
- Web Support:Web 支持,可以非常容易的集成到Web 环境
- Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率
- Concurrency:Shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去
- Testing:提供测试支持
- “Run As”:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问
- Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了
2.Shiro架构(外部)
从外部来看Shiro,即从应用程序角度的来观察如何使用Shiro完成工作
编辑
- Subject:应用代码直接交互的对象是Subject,也就是说Shiro的对外API 核心就是Subject。Subject 代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;与Subject 的所有交互都会委托给SecurityManager;Subject 其实是一个门面,SecurityManager才是实际的执行者
- SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且其管理着所有Subject;可以看出它是Shiro的核心,它负责与Shiro的其他组件进行交互,它相当于SpringMVC中DispatcherServlet的角色
- Realm:Shiro从Realm 获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm 得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm 看成DataSource
二、使用步骤
1.SpringBoot整合Shiro
1.1 新建springboot项目 导入依赖
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.1.3.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.example</groupId>
<artifactId>shiro</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>shiro</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>11</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid-spring-boot-starter</artifactId>
<version>1.2.8</version>
</dependency>
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.5.2</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.10.1</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>1.2 编写配置类Shiroconfig
package com.example.shiro.config;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
@Configuration
public class Shiroconfig {
//创建Realm对象
@Bean
public Realm realm(){
return new Realm();
}
//DefaultWebSecurityManager
@Bean
public DefaultWebSecurityManager securityManager(){
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
//设置realm.
securityManager.setRealm(realm());
return securityManager;
}
//ShiroFilterFactoryBean
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//设置安全管理器
shiroFilterFactoryBean.setSecurityManager(securityManager());
//配置访问权限
//key:访问路径
//value:访问权限
//anon:无需认证就可以访问
//authc:必须认证了才能访问
//user: 必须拥有记住我 功能才能用
//perms:拥有对某个资源的权限才能访问
//role:拥有某个角色权限才能访问
//all:所有url都必须认证通过才可以访问
LinkedHashMap<String, String> stringObjectLinkedHashMap = new LinkedHashMap<>();
stringObjectLinkedHashMap.put("/login", "anon");
shiroFilterFactoryBean.setFilterChainDefinitionMap(stringObjectLinkedHashMap);
//设置登录地址
shiroFilterFactoryBean.setLoginUrl("/login");
//设置登录成功地址
shiroFilterFactoryBean.setSuccessUrl("/index");
//设置未授权地址
shiroFilterFactoryBean.setUnauthorizedUrl("/403");
return shiroFilterFactoryBean;
}
}第一步 创建Realm对象
package com.example.shiro.config;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class Realm extends AuthorizingRealm {
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("===授权===");
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("===认证===");
return null;
}
}第二步DefaultWebSecurityManager 设置realm.
第三步ShiroFilterFactoryBean 设置安全管理器 设置shiro内置过滤器 拦截请求
//配置访问权限
//key:访问路径
//value:访问权限
//anon:无需认证就可以访问
//authc:必须认证了才能访问
//user: 必须拥有记住我 功能才能用
//perms:拥有对某个资源的权限才能访问
//role:拥有某个角色权限才能访问
//all:所有url都必须认证通过才可以访问
LinkedHashMap<String, String> stringObjectLinkedHashMap = new LinkedHashMap<>();
stringObjectLinkedHashMap.put("/login", "anon");
shiroFilterFactoryBean.setFilterChainDefinitionMap(stringObjectLinkedHashMap);2.Shiro实现用户认证
controller层新增登录接口获取登录数据 执行登录方法 抛出异常
package com.example.shiro.Controller;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping()
public class Controller {
@RequestMapping("/login")
public String login(String username, String password) {
try {
SecurityUtils.getSubject().login(new UsernamePasswordToken(username, password));// 登录
}catch (UnknownAccountException e) {//用户名不存在
System.out.println("用户名不存在");
}catch (IncorrectCredentialsException e) {//密码错误
System.out.println("密码错误");
}
return null;
}
}Realm 编写认证代码package com.example.shiro.config;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class Realm extends AuthorizingRealm {
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("===授权===");
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("===认证===");
//默认用户名密码
String name = "root";
String password = "123456";
//获取登录信息
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
if (!name.equals(token.getUsername())) {
return null;//抛出异常 用户名不存在
}
//密码认证shiro来做
return new SimpleAuthenticationInfo("", password, "");
}
}3.Shiro实现用户权限
//授权
stringObjectLinkedHashMap.put("/index/add", "perms[index:add]");设置权限字符串为index:add 一般将权限标识存到数据库中 查询数据库没有这个权限标识视为未授权 跳转到未授权页面
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//设置安全管理器
shiroFilterFactoryBean.setSecurityManager(securityManager());
//配置访问权限
//key:访问路径
//value:访问权限
//anon:无需认证就可以访问
//authc:必须认证了才能访问
//user: 必须拥有记住我 功能才能用
//perms:拥有对某个资源的权限才能访问
//role:拥有某个角色权限才能访问
//all:所有url都必须认证通过才可以访问
LinkedHashMap<String, String> stringObjectLinkedHashMap = new LinkedHashMap<>();
stringObjectLinkedHashMap.put("/login", "anon");
shiroFilterFactoryBean.setFilterChainDefinitionMap(stringObjectLinkedHashMap);
//授权
stringObjectLinkedHashMap.put("/index/add", "perms[index:add]");
//设置登录地址
shiroFilterFactoryBean.setLoginUrl("/login");
//设置登录成功地址
shiroFilterFactoryBean.setSuccessUrl("/index");
//设置未授权地址
shiroFilterFactoryBean.setUnauthorizedUrl("/403");
return shiroFilterFactoryBean;
}这样通过当前用户数据库中的权限标识可以进行权限认证
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("===授权===");
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
simpleAuthorizationInfo.addStringPermission("index:add");
//拿到当前登录的对象
Subject subject = SecurityUtils.getSubject();
Object principal = subject.getPrincipal();//拿到用户对象
//设置当前用户的权限
if (principal!= null) {
simpleAuthorizationInfo.addStringPermission(principal.getPerms);
}
return simpleAuthorizationInfo;
}