spring-shiro權限控制realm實戰教程
spring-shiro權限控制realm
用戶與角色實體
Role.java
@Data
@Entity
public class Role {
@Id
@GeneratedValue
private Integer id;
private Long userId;
private String role;
}
User.java
@Data
@Entity
public class User {
@Id
@GeneratedValue
private Long id;
private String username;
private String password;
}
Realm類
首先建立 Realm 類,繼承自 AuthorizingRealm,自定義我們自己的授權和認證的方法。Realm 是可以訪問特定於應用程序的安全性數據(如用戶,角色和權限)的組件。
Realm.java
public class Realm extends AuthorizingRealm {
@Autowired
private UserService userService;
//授權
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//從憑證中獲得用戶名
String username = (String) SecurityUtils.getSubject().getPrincipal();
//根據用戶名查詢用戶對象
User user = userService.getUserByUserName(username);
//查詢用戶擁有的角色
List<Role> list = roleService.findByUserId(user.getId());
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
for (Role role : list) {
//賦予用戶角色
info.addStringPermission(role.getRole());
}
return info;
}
//認證
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//獲得當前用戶的用戶名
String username = (String) authenticationToken.getPrincipal();
//從數據庫中根據用戶名查找用戶
User user = userService.getUserByUserName(username);
if (userService.getUserByUserName(username) == null) {
throw new UnknownAccountException(
"沒有在本系統中找到對應的用戶信息。");
}
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(),getName());
return info;
}
}
Shiro 配置類
ShiroConfig.java
@Configuration
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
//以下是過濾鏈,按順序過濾,所以/**需要放最後
//開放的靜態資源
filterChainDefinitionMap.put("/favicon.ico", "anon");//網站圖標
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
@Bean
public DefaultWebSecurityManager securityManager() {
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager(myRealm());
return defaultWebSecurityManager;
}
@Bean
public MyRealm myRealm() {
MyRealm myRealm = new MyRealm();
return myRealm;
}
}
控制器
UserController.java
@Controller
public class UserController {
@Autowired
private UserService userService;
@GetMapping("/")
public String index() {
return "index";
}
@GetMapping("/login")
public String toLogin() {
return "login";
}
@GetMapping("/admin")
public String admin() {
return "admin";
}
@PostMapping("/login")
public String doLogin(String username, String password) {
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
Subject subject = SecurityUtils.getSubject();
try {
subject.login(token);
} catch (Exception e) {
e.printStackTrace();
}
return "redirect:admin";
}
@GetMapping("/home")
public String home() {
Subject subject = SecurityUtils.getSubject();
try {
subject.checkPermission("admin");
} catch (UnauthorizedException exception) {
System.out.println("沒有足夠的權限");
}
return "home";
}
@GetMapping("/logout")
public String logout() {
return "index";
}
}
Service
UserService.java
@Service
public class UserService {
@Autowired
private UserDao userDao;
public User getUserByUserName(String username) {
return userDao.findByUsername(username);
}
@RequiresRoles("admin")
public void send() {
System.out.println("我現在擁有角色admin,可以執行本條語句");
}
}
shiro權限不生效原因分析
shiro遇到的坑
-項目中使用shiro做登錄校驗和權限管理,在配置權限時遇到小坑,記錄一下。
- 環境:springboot+freemarker+shiro
- 場景:後臺管理,配置菜單以及按鈕權限,分為三個層級,一二級暫時隻考慮是否查看權限,第三層級為頁面按鈕權限,分增刪改查。詳情看圖
- 問題:一二層級正常,第三層級權限不起作用!
權限標簽定義如下:
| 標簽定義 | 頁面一 | 頁面二 |
|---|---|---|
| 第一層級 | one:view | two:view |
| 第二層級 | one:page1:view | two:page2:view |
| 第三層級 | one:page1:view:add | two:page2:view:add |
開始懷疑是數據庫沒有錄入,查看後權限標簽與角色已對應,排除。
後面懷疑是頁面問題,後面把第三層級標簽與第一二層級同一頁面,依然不起作用,排除。
後面懷疑是權限標簽定義問題,把第三層級標簽改為one:page1:data:add,奇跡出現,權限生效。證實權限標簽定義出瞭問題。
問題原因:權限標簽定義問題
但是後來想想為什麼會出現這種問題,每個標簽都是獨一無二的,對此我對shiro對於權限標簽的校驗產生瞭興趣,查看源碼,一路debug後最終在org.apache.shiro.authz.permission中看到瞭關鍵所在,核心代碼如下
//當這個方法返回true時說明有此權限
//這個p是代表當前循環匹配到的權限標簽
public boolean implies(Permission p) {
// By default only supports comparisons with other WildcardPermissions
if (!(p instanceof WildcardPermission)) {
return false;
}
WildcardPermission wp = (WildcardPermission) p;
//把當前標簽轉分割成一個set集合(如one:page1:view:add 會分割成[[one], [page1], [view], [add]])
List<Set<String>> otherParts = wp.getParts();
int i = 0;
//循環匹配權限標簽
for (Set<String> otherPart : otherParts) {
// If this permission has less parts than the other permission, everything after the number of parts contained
// in this permission is automatically implied, so return true
//當全部循環匹配完沒有返回false,則返回true,這個getparts()方法是獲取當前角色當前循環的權限標簽([[one], [page1], [view]])
if (getParts().size() - 1 < i) {
return true;
} else {
Set<String> part = getParts().get(i);
/*如果包含有‘*'而且不包含當前分割後的標簽則返回false,
*當用戶可以查看頁面,也就是說當前角色擁有one:page1:view標簽
*這裡【!part.contains(WILDCARD_TOKEN)】返回true,第二個【part.containsAll(otherPart)】one會跟當前標簽匹**配one,
*也就是說這裡全部循環完返回的都是false,所以最後都沒true,於是在上面返回瞭一個true。
if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
return false;
}
i++;
}
}
小結一下:通過分析,我們看到瞭shiro在定義權限標簽時,要主意匹配問題,不要存在包含問題,類似aaa 和aaab ,會導致後面標簽失效。
以上為個人經驗,希望能給大傢一個參考,也希望大傢多多支持WalkonNet。
推薦閱讀:
- SpringBoot整合Shiro實現權限控制的代碼實現
- Shiro:自定義Realm實現權限管理方式
- SpringBoot 整合 Shiro 密碼登錄與郵件驗證碼登錄功能(多 Realm 認證)
- Java shiro安全框架使用介紹
- 詳解Java springboot 整合Shiro框架