在目前流行的安全框架中,除了Apache Shiro之外,Spring Security是比较常用的,但是由于Spring Security过于庞大和复杂,大多数公司会选择Apache Shiro来使用,那么,Spring Boot如何整合Shiro呢?

1、Apache Shiro是什么?有什么特点?

Apache Shiro是一个功能强大、灵活的开源安全框架,它可以干净利落地处理身份验证、授权、企业会话管理和加密。

Shiro能做什么呢?
A)验证用户身份
B)用户访问权限控制,比如:
==判断用户是否分配了一定的安全角色。
==判断用户是否被授予完成某个操作的权限
C)在非 web 或 EJB 容器的环境下可以任意使用Session API
D)可以响应认证、访问控制,或者 Session 生命周期中发生的事件
E)可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图)
F)支持单点登录(SSO)功能
G)支持提供“Remember Me”服务,获取用户关联信息而无需登录

2、Apache Shiro 的框架图






Apache Shiro框架图.png


Authentication(认证):用户身份识别,通常被称为用户“登录”
Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。
Session Management(会话管理):特定于用户的会话管理,甚至在非web 或 EJB 应用程序。
Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。

还有其他的功能来支持和加强对以下原型功能的支持:
Web支持:Shiro 提供的 web 支持 api ,可以很轻松的保护 web 应用程序的安全。
缓存:缓存是 Apache Shiro 保证安全操作快速、高效的重要手段。
并发:Apache Shiro 支持多线程应用程序的并发特性。
测试:支持单元测试和集成测试,确保代码和预想的一样安全。
“Run As”:这个功能允许用户假设另一个用户的身份(在许可的前提下)。
“Remember Me”:跨 session 记录用户的身份,只有在强制需要时才需要登录。
注意: Shiro不会去维护用户、维护权限,这些需要我们自己去设计/提供,然后通过相应的接口注入给Shiro

3、使用Apache Shiro开发,需要我们做什么?

需要我们实现Realms的Authentication 和 Authorization:
Authentication 是用来验证用户身份
Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

我们先看一下Apache Shiro的核心组件关系图:




Shiro核心组件关系图.png


Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。
SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
Realms:用于进行权限信息的验证,需要我们自己实现。

Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

4、Spring Boot集成Shiro步骤

  • 引入依赖:
<!-- 引入shiro权限认证 -->
      <dependency>
           <groupId>org.apache.shiro</groupId>
           <artifactId>shiro-spring</artifactId>
           <version>1.3.2</version>
      </dependency>
  • 创建数据库表——用户表和角色表
DROP TABLE IF EXISTS `t_role`;
CREATE TABLE `t_role` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `role` varchar(20) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;

INSERT INTO `t_role` VALUES ('1', 'admin');
INSERT INTO `t_role` VALUES ('2', 'user');

DROP TABLE IF EXISTS `t_user`;
CREATE TABLE `t_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `user_name` varchar(20) NOT NULL,
  `pass_word` varchar(20) NOT NULL,
  `role` varchar(20) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;

INSERT INTO `t_user` VALUES ('1', 'xing', '123456', 'admin');
INSERT INTO `t_user` VALUES ('2', 'li', '123', 'user');
INSERT INTO `t_user` VALUES ('3', 'yao', '123', 'user');

采用jpa技术来自动生成基础表格,这个下一篇文章详细讲解

  • Shiro配置
    Apache Shiro 核心通过 Filter 来实现,即:通过URL规则来进行过滤和权限校验,所以我们需要定义一系列关于URL的规则和访问权限。
    首先实现Realms(重写 doGetAuthenticationInfo 和 doGetAuthorizationInfo 两个方法)代码如下
package com.guxf.demo.config;

import java.util.HashSet;
import java.util.Set;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AccountException;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import com.guxf.demo.dao.UserMapper;
// 指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)
public class MyShiroRealm extends AuthorizingRealm {
    private UserMapper userMapper;

    @Autowired
    private void setUserMapper(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    /**
     * 获取身份验证信息
     * Shiro中最终是通过Realm来获取应用程序中的用户、角色及权限信息
     *
     * @param authenticationToken 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) 
            throws AuthenticationException {
//        System.out.println("————身份认证方法————");
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        // 从数据库获取对应用户名密码的用户
        String password = userMapper.getPassword(token.getUsername());
        if (null == password) {
            throw new AccountException("该账号不存在");
        } else if (!password.equals(new String((char[]) token.getCredentials()))) {
            throw new AccountException("密码不正确");
        }
        return new SimpleAuthenticationInfo(token.getPrincipal(), password, getName());
    }

    /**
     * 获取授权信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//        System.out.println("————权限认证————");
        String username = (String) SecurityUtils.getSubject().getPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获得该用户角色
        String role = userMapper.getRole(username);
        Set<String> set = new HashSet<>();
        //需要将 role 封装到 Set 作为 info.setRoles() 的参数
        set.add(role);
        //设置该用户拥有的角色
        info.setRoles(set);
        return info;
    }
}

重写的两个方法分别是实现身份认证以及权限认证,shiro 中有个登陆操作的 Subject.login() 方法,当我们把封装了用户名,密码的 token 作为参数传入,便会跑进这两个方法里面(不一定两个方法都会进入)

doGetAuthorizationInfo 方法 :只有在需要权限认证时才会进入。
doGetAuthenticationInfo 方法:是需要身份认证时(比如方法中的 Subject.login() )才会进入
UsernamePasswordToken:从该对象拿到登陆时的用户名和密码(登陆时会使用 new UsernamePasswordToken(username, password);),而 get 用户名或密码有以下几个方法:

token.getUsername()        --获得用户名 String
token.getPrincipal()         --获得用户名 Object 
token.getPassword()        --获得密码 char[]
token.getCredentials()     --获得密码 Object

其次配置ShiroConfig类,代码如下:

package com.guxf.demo.config;

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shirFilter(org.apache.shiro.mgt.SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 设置登陆URL 
        // 如果不设置值,默认会寻找Web工程根目录下的"/login.jsp"页面 或 "/login" 映射
        shiroFilterFactoryBean.setLoginUrl("/notLogin.do");
        // 设置无权限时跳转的URL
        shiroFilterFactoryBean.setUnauthorizedUrl("/notRole.do");

        // 设置拦截器--进行权限认证
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //游客,开发权限
        filterChainDefinitionMap.put("/guest/**", "anon");
        //用户,需要角色权限 “user”
        filterChainDefinitionMap.put("/user/**", "roles[user]");
        //管理员,需要角色权限 “admin”
        filterChainDefinitionMap.put("/admin/**", "roles[admin]");
        //开放登陆接口
        filterChainDefinitionMap.put("/login", "anon");
        
        //其余接口一律拦截        
        //该这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截
        filterChainDefinitionMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        System.out.println("Shiro拦截器工厂类注入成功");
        return shiroFilterFactoryBean;
    }

    /**
     * 注入securityManager
     */
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(myRealm());
        return securityManager;
    }

    /**
     * 自定义身份认证 realm;
     * 加上 @Bean 注解,目的是注入Realm
     */
    @Bean
    public MyShiroRealm myRealm() {
        return new MyShiroRealm();
    }
}

登陆Controller,代码如下: