一、引入maven配置
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency>
二、建表
用户表、角色表、权限表、用户角色表、角色权限表。
用户表:
角色表:
权限表:news:* 表示有新闻的所有权限(包括增删改查),而news:add,只有新闻的新增权限。
用户角色表:用户拥有哪些角色。
角色权限表:角色拥有哪些权限。
三、自定义Realm
自定义realm主要用于用户的权限验证以及登录验证。
自定义realm继承AuthorizingRealm类,并重写doGetAuthorizationInfo和doGetAuthenticationInfo方法,doGetAuthorizationInfo方法主要校验用户的权限,即该用户拥有什么角色以及权限。doGetAuthenticationInfo用于校验登录验证,即用户的用户名或者密码是否正确。
/**
* 类名 : shiro的Realm
* 用法 :
* 创建人 : shyroke
* 时间:2018/12/12 17:29
*/
public class MyRealm extends AuthorizingRealm {
@Autowired
private UserMapper userMapper;
@Autowired
private PermissionMapper permissionMapper;
/**
* 授权,即该用户拥有什么角色以及权限
* 步骤:根据用户名获取角色以及权限,然后设置到验证信息类并返回。
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
String userName = principalCollection.getPrimaryPrincipal().toString();
// 获取该用户的角色
List<Role> roles = userMapper.getRolesByUserName(userName);
Set<String> roleSets = new HashSet<>();
// 获取该用户的权限集
List<Permission> permissions = new ArrayList<>();
Set<String> permissoinSet = new HashSet<>();
//将List转为Set
if(roles !=null && roles.size()>0){
for(Role role:roles){
roleSets.add(role.getName());
permissions.addAll(permissionMapper.getPermissionByRoleId(role.getId()));
}
}
//将List转为Set
if(permissions!=null & permissoinSet.size()>0){
for(Permission p :permissions){
permissoinSet.add(p.getName());
}
}
info.addRoles(roleSets);
info.addStringPermissions(permissoinSet);
return info;
}
/**
* 认证,即用户账号密码是否正确
* @param token
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
// 获取用户名和密码
String userName = (String)token.getPrincipal();
String passWord = new String((char[]) token.getCredentials());
// 根据用户名查找该用户
User user = userMapper.getUserByName(userName);
if(user == null){
throw new UnknownAccountException("用户名不存在");
}
if(!user.getPassword().equals(passWord)){
throw new IncorrectCredentialsException("密码错误");
}
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user.getName(),user.getPassword(),getName());
return info;
}
}
四、shiro配置类
/**
* 类名 :shiro的核心配置类
* 用法 :
* 创建人 : shyroke
* 时间:2018/12/14 15:20
*/
@Configuration
public class ShiroConfigration {
// 设置自定义Realm
@Bean
public MyRealm myRealm(){
return new MyRealm();
}
// 权限管理,配置主要是Realm的管理认证
@Bean
public SecurityManager securityManager(){
DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
manager.setRealm(myRealm());
return manager;
}
/**
* 设置过滤条件和跳转条件
* anon 不生效的原因:1、map的类型必须是LinkedHashMap 2、anon必须定义在authc之前
*
* @param securityManager
* @return
*/
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
factoryBean.setSecurityManager(securityManager);
// 设置登录跳转
factoryBean.setLoginUrl("/admin");
factoryBean.setSuccessUrl("/admin/index");
//必须为LinkedHashMap 否则anon不生效
Map<String,String> map = new LinkedHashMap<>();
//退出
map.put("/admin/logout","logout");
//登录页面和登录验证不要拦截
map.put("/admin/login.html","anon");
map.put("/admin/tologin","anon");
//设置需要过滤的链接
map.put("/admin/**","authc");
factoryBean.setFilterChainDefinitionMap(map);
return factoryBean;
}
/**
* 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
* 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能
* @return
*/
@Bean
public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
advisorAutoProxyCreator.setProxyTargetClass(true);
return advisorAutoProxyCreator;
}
/**
* 开启aop注解支持
* @param securityManager
* @return
*/
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
return authorizationAttributeSourceAdvisor;
}
}
五、调用
代码如下,当调用Subject.login方法后,会调用自定义Realm的doGetAuthenticationInfo方法校验用户名密码是否正确,如果不正确则抛出对应异常,controller层捕获并处理异常。
AuthenticationToken usernamePasswordToken = new UsernamePasswordToken(user.getName(),user.getPassword());
Subject subject = SecurityUtils.getSubject();
try {
subject.login(usernamePasswordToken);
}catch (UnknownAccountException ex) {
logger.info("用户名错误!");
return R.error("用户名错误!");
} catch (IncorrectCredentialsException ex) {
logger.info("密码错误!");
return R.error("密码错误!");
} catch (AuthenticationException ex) {
logger.info(ex.getMessage());
return R.error("系统错误,请查看日志");
} catch (Exception ex) {
logger.info(ex.getMessage());
return R.error("系统错误,请查看日志");
}