之前在 SSM 項(xiàng)目中使用過 shiro，發(fā)現(xiàn) shiro 的權(quán)限管理做的真不錯，但是在 SSM 項(xiàng)目中的配置太繁雜了，于是這次在 SpringBoot 中使用了 shiro，下面一起看看吧

一、簡介

Apache Shiro是一個強(qiáng)大且易用的Java安全框架,執(zhí)行身份驗(yàn)證、授權(quán)、密碼和會話管理。使用Shiro的易于理解的API,您可以快速、輕松地獲得任何應(yīng)用程序,從最小的移動應(yīng)用程序到最大的網(wǎng)絡(luò)和企業(yè)應(yīng)用程序。

三個核心組件：

1、Subject

即“當(dāng)前操作用戶”。但是，在 Shiro 中，Subject 這一概念并不僅僅指人，也可以是第三方進(jìn)程、后臺帳戶（Daemon Account）或其他類似事物。它僅僅意味著“當(dāng)前跟軟件交互的東西”。Subject 代表了當(dāng)前用戶的安全操作，SecurityManager 則管理所有用戶的安全操作。

2、SecurityManager

它是Shiro 框架的核心，典型的 Facade 模式，Shiro 通過 SecurityManager 來管理內(nèi)部組件實(shí)例，并通過它來提供安全管理的各種服務(wù)。

3、Realm

Realm 充當(dāng)了 Shiro 與應(yīng)用安全數(shù)據(jù)間的“橋梁”或者“連接器”。也就是說，當(dāng)對用戶執(zhí)行認(rèn)證（登錄）和授權(quán)（訪問控制）驗(yàn)證時，Shiro 會從應(yīng)用配置的 Realm 中查找用戶及其權(quán)限信息。從這個意義上講，Realm 實(shí)質(zhì)上是一個安全相關(guān)的 DAO：它封裝了數(shù)據(jù)源的連接細(xì)節(jié)，并在需要時將相關(guān)數(shù)據(jù)提供給 Shiro。當(dāng)配置 Shiro 時，你必須至少指定一個 Realm，用于認(rèn)證和（或）授權(quán)。配置多個 Realm 是可以的，但是至少需要一個。Shiro 內(nèi)置了可以連接大量安全數(shù)據(jù)源（又名目錄）的 Realm，如 LDAP、關(guān)系數(shù)據(jù)庫（JDBC）、類似 INI 的文本配置資源以及屬性文件等。如果缺省的 Realm 不能滿足需求，你還可以插入代表自定義數(shù)據(jù)源的自己的 Realm 實(shí)現(xiàn)。

二、整合 shiro

1、引入 maven 依賴

<!-- web支持 --><dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId></dependency><!-- thymeleaf 模板引擎 --><dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><!-- Shiro 權(quán)限管理 --><dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.2.4</version></dependency><!-- 為了能夠在 html 中使用 shiro 的標(biāo)簽引入 --><dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro</artifactId> <version>2.0.0</version></dependency>

我使用的 SpringBoot 版本是 2.3.1，其它依賴自己看著引入吧

2、創(chuàng)建 shiro 配置文件

關(guān)于 shiro 的配置信息，我們都放在 ShiroConfig.java 文件中

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;import org.apache.shiro.authc.credential.HashedCredentialsMatcher;import org.apache.shiro.mgt.SecurityManager;import org.apache.shiro.spring.LifecycleBeanPostProcessor;import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;import org.apache.shiro.spring.web.ShiroFilterFactoryBean;import org.apache.shiro.web.mgt.DefaultWebSecurityManager;import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.context.annotation.DependsOn;import java.util.LinkedHashMap;import java.util.Map;/** * shiro配置類 */@Configurationpublic class ShiroConfig { /** * 注入這個是是為了在thymeleaf中使用shiro的自定義tag。 */ @Bean(name = 'shiroDialect') public ShiroDialect shiroDialect() { return new ShiroDialect(); } /** * 地址過濾器 * @param securityManager * @return */ @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); // 設(shè)置securityManager shiroFilterFactoryBean.setSecurityManager(securityManager); // 設(shè)置登錄url shiroFilterFactoryBean.setLoginUrl('/login'); // 設(shè)置主頁url shiroFilterFactoryBean.setSuccessUrl('/'); // 設(shè)置未授權(quán)的url shiroFilterFactoryBean.setUnauthorizedUrl('/unauthorized'); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); // 開放登錄接口 filterChainDefinitionMap.put('/doLogin', 'anon'); // 開放靜態(tài)資源文件 filterChainDefinitionMap.put('/css/**', 'anon'); filterChainDefinitionMap.put('/img/**', 'anon'); filterChainDefinitionMap.put('/js/**', 'anon'); filterChainDefinitionMap.put('/layui/**', 'anon'); // 其余url全部攔截，必須放在最后 filterChainDefinitionMap.put('/**', 'authc'); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } /** * 自定義安全管理策略 */ @Bean public SecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); /** 設(shè)置自定義的relam */ securityManager.setRealm(loginRelam()); return securityManager; } /** * 登錄驗(yàn)證 */ @Bean public LoginRelam loginRelam() { return new LoginRelam(); } /** * 以下是為了能夠使用@RequiresPermission()等標(biāo)簽 */ @Bean @DependsOn({'lifecycleBeanPostProcessor'}) public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() { DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator(); advisorAutoProxyCreator.setProxyTargetClass(true); return advisorAutoProxyCreator; } @Bean public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor() { return new LifecycleBeanPostProcessor(); } @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() { AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor(); authorizationAttributeSourceAdvisor.setSecurityManager(securityManager()); return authorizationAttributeSourceAdvisor; }}

上面開放靜態(tài)資源文件，其它博客說的是 **filterChainDefinitionMap.put('/static/**', 'anon');** ,但我發(fā)現(xiàn)，我們在 html 文件中引入靜態(tài)文件時，請求路徑根本沒有經(jīng)過 static，thymeleaf 自動默認(rèn)配置 **static/** 下面就是靜態(tài)資源文件，所以，我們開放靜態(tài)資源文件需要指定響應(yīng)的目錄路徑

2、登錄驗(yàn)證管理

關(guān)于登錄驗(yàn)證的一些邏輯，以及賦權(quán)等操作，我們都放在 LoginRelam.java 文件中

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;import com.zyxx.sbm.entity.UserInfo;import com.zyxx.sbm.service.RolePermissionService;import com.zyxx.sbm.service.UserInfoService;import com.zyxx.sbm.service.UserRoleService;import org.apache.shiro.authc.*;import org.apache.shiro.authc.credential.CredentialsMatcher;import org.apache.shiro.authz.AuthorizationInfo;import org.apache.shiro.authz.SimpleAuthorizationInfo;import org.apache.shiro.realm.AuthorizingRealm;import org.apache.shiro.subject.PrincipalCollection;import org.apache.shiro.util.ByteSource;import org.springframework.beans.factory.annotation.Autowired;import java.util.Set;/** * 登錄授權(quán) */public class LoginRelam extends AuthorizingRealm { @Autowired private UserInfoService userInfoService; @Autowired private UserRoleService userRoleService; @Autowired private RolePermissionService rolePermissionService; /** * 身份認(rèn)證 * * @param authenticationToken * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 獲取基于用戶名和密碼的令牌：實(shí)際上這個authcToken是從LoginController里面currentUser.login(token)傳過來的 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; //根據(jù)用戶名查找到用戶信息 QueryWrapper<UserInfo> queryWrapper = new QueryWrapper<>(); queryWrapper.eq('account', token.getUsername()); UserInfo userInfo = userInfoService.getOne(queryWrapper); // 沒找到帳號 if (null == userInfo) { throw new UnknownAccountException(); } // 校驗(yàn)用戶狀態(tài) if ('1'.equals(userInfo.getStatus())) { throw new DisabledAccountException(); } // 認(rèn)證緩存信息 return new SimpleAuthenticationInfo(userInfo, userInfo.getPassword(), ByteSource.Util.bytes(userInfo.getAccount()), getName()); } /** * 角色授權(quán) * * @param principalCollection * @return */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { UserInfo authorizingUser = (UserInfo) principalCollection.getPrimaryPrincipal(); if (null != authorizingUser) { //權(quán)限信息對象info,用來存放查出的用戶的所有的角色（role）及權(quán)限（permission） SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(); //獲得用戶角色列表 Set<String> roleSigns = userRoleService.listUserRoleByUserId(authorizingUser.getId()); simpleAuthorizationInfo.addRoles(roleSigns); //獲得權(quán)限列表 Set<String> permissionSigns = rolePermissionService.listRolePermissionByUserId(authorizingUser.getId()); simpleAuthorizationInfo.addStringPermissions(permissionSigns); return simpleAuthorizationInfo; } return null; } /** * 自定義加密規(guī)則 * * @param credentialsMatcher */ @Override public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) { // 自定義認(rèn)證加密方式 CustomCredentialsMatcher customCredentialsMatcher = new CustomCredentialsMatcher(); // 設(shè)置自定義認(rèn)證加密方式 super.setCredentialsMatcher(customCredentialsMatcher); }}

以上就是登錄時，需要指明 shiro 對用戶的一些驗(yàn)證、授權(quán)等操作，還有自定義密碼驗(yàn)證規(guī)則，在第3步會講到，獲取角色列表，權(quán)限列表，需要獲取到角色與權(quán)限的標(biāo)識，每一個角色，每一個權(quán)限都有唯一的標(biāo)識，裝入 Set 中

3、自定義密碼驗(yàn)證規(guī)則

密碼的驗(yàn)證規(guī)則，我們放在了 CustomCredentialsMatcher.java 文件中

import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authc.UsernamePasswordToken;import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;import org.apache.shiro.crypto.hash.SimpleHash;/** * @ClassName CustomCredentialsMatcher * 自定義密碼加密規(guī)則 * @Author Lizhou * @Date 2020-07-10 16:24:24 **/public class CustomCredentialsMatcher extends SimpleCredentialsMatcher { @Override public boolean doCredentialsMatch(AuthenticationToken authcToken, AuthenticationInfo info) { UsernamePasswordToken token = (UsernamePasswordToken) authcToken; //加密類型，密碼，鹽值，迭代次數(shù) Object tokenCredentials = new SimpleHash('md5', token.getPassword(), token.getUsername(), 6).toHex(); // 數(shù)據(jù)庫存儲密碼 Object accountCredentials = getCredentials(info); // 將密碼加密與系統(tǒng)加密后的密碼校驗(yàn)，內(nèi)容一致就返回true,不一致就返回false return equals(tokenCredentials, accountCredentials); }}

我們采用的密碼加密方式為 MD5 加密，加密 6 次，使用登錄賬戶作為加密密碼的鹽進(jìn)行加密

4、密碼加密工具

上面我們自定義了密碼加密規(guī)則，我們創(chuàng)建一個密碼加密的工具類 PasswordUtils.java 文件

import org.apache.shiro.crypto.hash.Md5Hash;/** * 密碼加密的處理工具類 */public class PasswordUtils { /** * 迭代次數(shù) */ private static final int ITERATIONS = 6; private PasswordUtils() { throw new AssertionError(); } /** * 字符串加密函數(shù)MD5實(shí)現(xiàn) * * @param password 密碼 * @param loginName 用戶名 * @return */ public static String getPassword(String password, String loginName) { return new Md5Hash(password, loginName, ITERATIONS).toString(); }}

三、開始登錄

上面，我們已經(jīng)配置了 shiro 的一系列操作，從登錄驗(yàn)證、密碼驗(yàn)證規(guī)則、用戶授權(quán)等等，下面我們就開始登錄，登錄的操作，放在了 LoginController.java 文件中

import com.zyxx.common.consts.SystemConst;import com.zyxx.common.enums.StatusEnums;import com.zyxx.common.kaptcha.KaptchaUtil;import com.zyxx.common.shiro.SingletonLoginUtils;import com.zyxx.common.utils.PasswordUtils;import com.zyxx.common.utils.ResponseResult;import com.zyxx.sbm.entity.UserInfo;import com.zyxx.sbm.service.PermissionInfoService;import io.swagger.annotations.Api;import io.swagger.annotations.ApiImplicitParam;import io.swagger.annotations.ApiImplicitParams;import io.swagger.annotations.ApiOperation;import org.apache.shiro.SecurityUtils;import org.apache.shiro.authc.*;import org.apache.shiro.subject.Subject;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.stereotype.Controller;import org.springframework.web.bind.annotation.GetMapping;import org.springframework.web.bind.annotation.PostMapping;import org.springframework.web.bind.annotation.ResponseBody;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;/** * @ClassName LoginController * @Description * @Author Lizhou * @Date 2020-07-02 10:54:54 **/@Api(tags = '后臺管理端--登錄')@Controllerpublic class LoginController { @Autowired private PermissionInfoService permissionInfoService; @ApiOperation(value = '請求登錄頁面', notes = '請求登錄頁面') @GetMapping('login') public String init() { return 'login'; } @ApiOperation(value = '請求主頁面', notes = '請求主頁面') @GetMapping('/') public String index() { return 'index'; } @ApiOperation(value = '登錄驗(yàn)證', notes = '登錄驗(yàn)證') @ApiImplicitParams({ @ApiImplicitParam(name = 'account', value = '賬號', required = true), @ApiImplicitParam(name = 'password', value = '密碼', required = true), @ApiImplicitParam(name = 'resCode', value = '驗(yàn)證碼', required = true), @ApiImplicitParam(name = 'rememberMe', value = '記住登錄', required = true) }) @PostMapping('doLogin') @ResponseBody public ResponseResult doLogin(String account, String password, String resCode, Boolean rememberMe, HttpServletRequest request, HttpServletResponse response) throws Exception { // 驗(yàn)證碼 if (!KaptchaUtil.validate(resCode, request)) { return ResponseResult.getInstance().error(StatusEnums.KAPTCH_ERROR); } // 驗(yàn)證帳號和密碼 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(account, password); // 記住登錄狀態(tài) token.setRememberMe(rememberMe); try { // 執(zhí)行登錄 subject.login(token); // 將用戶保存到session中 UserInfo userInfo = (UserInfo) subject.getPrincipal(); request.getSession().setAttribute(SystemConst.SYSTEM_USER_SESSION, userInfo); return ResponseResult.getInstance().success(); } catch (UnknownAccountException e) { return ResponseResult.getInstance().error('賬戶不存在'); } catch (DisabledAccountException e) { return ResponseResult.getInstance().error('賬戶已被凍結(jié)'); } catch (IncorrectCredentialsException e) { return ResponseResult.getInstance().error('密碼不正確'); } catch (ExcessiveAttemptsException e) { return ResponseResult.getInstance().error('密碼連續(xù)輸入錯誤超過5次，鎖定半小時'); } catch (RuntimeException e) { return ResponseResult.getInstance().error('未知錯誤'); } } @ApiOperation(value = '登錄成功，跳轉(zhuǎn)主頁面', notes = '登錄成功，跳轉(zhuǎn)主頁面') @PostMapping('success') public String success() { return 'redirect:/'; } @ApiOperation(value = '初始化菜單數(shù)據(jù)', notes = '初始化菜單數(shù)據(jù)') @GetMapping('initMenu') @ResponseBody public String initMenu() { return permissionInfoService.initMenu(); } @ApiOperation(value = '退出登錄', notes = '退出登錄') @GetMapping(value = 'loginOut') public String logout() { Subject subject = SecurityUtils.getSubject(); subject.logout(); return 'login'; }}

當(dāng)執(zhí)行 subject.login(token); 時，就會進(jìn)入我們在 第二步中第二條登錄驗(yàn)證中，對用戶密碼、狀態(tài)進(jìn)行檢查，對用戶授權(quán)等操作，登錄的密碼，一定是通過密碼加密工具得到的，不然驗(yàn)證不通過

四、頁面權(quán)限控制

我們本次使用的是 thymeleaf 模板引擎，我們需要在 html 文件中加入以下內(nèi)容

<!DOCTYPE html><html xmlns='http://www.w3.org/1999/xhtml' xmlns:th='http://www.thymeleaf.org' xmlns:shiro='http://www.pollix.at/thymeleaf/shiro'>

引入了 thymeleaf 的依賴，以及 shiro 的依賴，這樣我們就能在 html 文件中使用 thymeleaf、shiro 的標(biāo)簽了

例如：

1、判斷當(dāng)前用戶有無此權(quán)限，通過權(quán)限標(biāo)識

<button shiro:hasPermission='user_info_add'><i class='layui-icon'>&#xe654;</i> 新增 </button>

2、與上面相反，判斷當(dāng)前用戶無此權(quán)限，通過權(quán)限標(biāo)識，沒有時驗(yàn)證通過

<button shiro:lacksPermission='user_info_add'><i class='layui-icon'>&#xe654;</i> 新增 </button>

3、判斷當(dāng)前用戶有無以下全部權(quán)限，通過權(quán)限標(biāo)識

<button shiro:hasAllPermissions='user_info_add'><i class='layui-icon'>&#xe654;</i> 新增 </button>

4、判斷當(dāng)前用戶有無以下任一權(quán)限，通過權(quán)限標(biāo)識

<button shiro:hasAnyPermissions='user_info_add'><i class='layui-icon'>&#xe654;</i> 新增 </button>

5、判斷當(dāng)前用戶有無此角色，通過角色標(biāo)識

<a shiro:hasRole='admin' href='http://www.gepszalag.com/bcjs/admin.html' rel='external nofollow' rel='external nofollow' rel='external nofollow' rel='external nofollow' >Administer the system</a>

6、與上面相反，判斷當(dāng)前用戶無此角色，通過角色標(biāo)識，沒有時驗(yàn)證通過

<a shiro:lacksRole='admin' href='http://www.gepszalag.com/bcjs/admin.html' rel='external nofollow' rel='external nofollow' rel='external nofollow' rel='external nofollow' >Administer the system</a>

7、判斷當(dāng)前用戶有無以下全部角色，通過角色標(biāo)識

<a shiro:hasAllRoles='admin,role1,role2' href='http://www.gepszalag.com/bcjs/admin.html' rel='external nofollow' rel='external nofollow' rel='external nofollow' rel='external nofollow' >Administer the system</a>

8、判斷當(dāng)前用戶有無以下任一角色，通過角色標(biāo)識

<a shiro:hasAnyRoles='admin,role1,role2' href='http://www.gepszalag.com/bcjs/admin.html' rel='external nofollow' rel='external nofollow' rel='external nofollow' rel='external nofollow' >Administer the system</a>

到此這篇關(guān)于SpringBoot中整合Shiro實(shí)現(xiàn)權(quán)限管理的示例代碼的文章就介紹到這了,更多相關(guān)SpringBoot整合Shiro權(quán)限內(nèi)容請搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！