springboot集成shiro自定義密碼驗證自定義freemarker標(biāo)簽根據(jù)權(quán)限渲染不同頁面(推薦

項目里一直用的是 spring-security ，不得不說，spring-security 真是東西太多了，學(xué)習(xí)難度太大(可能我比較菜)，這篇博客來總結(jié)一下折騰shiro的成果，分享給大家，強烈推薦shiro，真心簡單 : )

創(chuàng)新互聯(lián)公司專注于尼元陽網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。熱誠為您提供尼元陽營銷型網(wǎng)站建設(shè)，尼元陽網(wǎng)站制作、尼元陽網(wǎng)頁設(shè)計、尼元陽網(wǎng)站官網(wǎng)定制、微信小程序開發(fā)服務(wù)，打造尼元陽網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供尼元陽網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

引入依賴

<dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-spring</artifactId>
 <version>1.4.0</version>
</dependency>

用戶，角色，權(quán)限

就是經(jīng)典的RBAC權(quán)限系統(tǒng)，下面簡單給一下實體類字段

AdminUser.java

public class AdminUser implements Serializable {

 private static final long serialVersionUID = 8264158018518861440L;
 private Integer id;
 private String username;
 private String password;
 private Integer roleId;
 // getter setter...
}

Role.java

public class Role implements Serializable {
 private static final long serialVersionUID = 7824693669858106664L;
 private Integer id;
 private String name;
 // getter setter...
}

Permission.java

public class Permission implements Serializable {
 private static final long serialVersionUID = -2694960432845360318L;
 private Integer id;
 private String name;
 private String value;
 // 權(quán)限的父節(jié)點的id
 private Integer pid;
 // getter setter...
}

自定義Realm

這貨就是查詢用戶的信息然后放在shiro的個人用戶對象的緩存里，shiro自己有一個session的對象（不是servlet里的session）作用就是后面用戶發(fā)起請求的時候拿來判斷有沒有權(quán)限

另一個作用是查詢一下用戶的信息，將用戶名，密碼組裝成一個 AuthenticationInfo 用于后面密碼校驗的

具體代碼如下

MyShiroRealm.java

@Component
public class MyShiroRealm extends AuthorizingRealm {
 private Logger log = LoggerFactory.getLogger(MyShiroRealm.class);
 @Autowired
 private AdminUserService adminUserService;
 @Autowired
 private RoleService roleService;
 @Autowired
 private PermissionService permissionService;
 // 用戶權(quán)限配置
 @Override
 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
 //訪問@RequirePermission注解的url時觸發(fā)
 SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
 AdminUser adminUser = adminUserService.selectByUsername(principals.toString());
 //獲得用戶的角色，及權(quán)限進行綁定
 Role role = roleService.selectById(adminUser.getRoleId());
 // 其實這里也可以不要權(quán)限那個類了，直接用角色這個類來做鑒權(quán)，
 // 不過角色包含很多的權(quán)限，已經(jīng)算是大家約定的了，所以下面還是查詢權(quán)限然后放在AuthorizationInfo里
 simpleAuthorizationInfo.addRole(role.getName());
 // 查詢權(quán)限
 List<Permission> permissions = permissionService.selectByRoleId(adminUser.getRoleId());
 // 將權(quán)限具體值取出來組裝成一個權(quán)限String的集合
 List<String> permissionValues = permissions.stream().map(Permission::getValue).collect(Collectors.toList());
 // 將權(quán)限的String集合添加進AuthorizationInfo里，后面請求鑒權(quán)有用
 simpleAuthorizationInfo.addStringPermissions(permissionValues);
 return simpleAuthorizationInfo;
 }
 // 組裝用戶信息
 @Override
 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
 String username = (String) token.getPrincipal();
 log.info("用戶：{} 正在登錄...", username);
 AdminUser adminUser = adminUserService.selectByUsername(username);
 // 如果用戶不存在，則拋出未知用戶的異常
 if (adminUser == null) throw new UnknownAccountException();
 return new SimpleAuthenticationInfo(username, adminUser.getPassword(), getName());
 }
}

實現(xiàn)密碼校驗

shiro內(nèi)置了幾個密碼校驗的類，有 Md5CredentialsMatcher Sha1CredentialsMatcher , 不過從1.1版本開始，都開始使用 HashedCredentialsMatcher 這個類了，通過配置加密規(guī)則來校驗

它們都實現(xiàn)了一個接口 CredentialsMatcher 我這里也實現(xiàn)這個接口，實現(xiàn)一個自己的密碼校驗

說明一下，我這里用的加密方式是Spring-Security里的 BCryptPasswordEncoder 作的加密，之所以用它，是因為同一個密碼被這貨加密后，密文都不一樣，下面是具體代碼

public class MyCredentialsMatcher implements CredentialsMatcher {

 @Override
 public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
 // 大坑！?。。。。。。。。。。。。。。。。?！
 // 明明token跟info兩個對象的里的Credentials類型都是Object，斷點看到的類型都是 char[]
 // 但是！?。。?！ token里轉(zhuǎn)成String要先強轉(zhuǎn)成 char[]
 // 而info里取Credentials就可以直接使用 String.valueOf() 轉(zhuǎn)成String
 // 醉了。。
 String rawPassword = String.valueOf((char[]) token.getCredentials());
 String encodedPassword = String.valueOf(info.getCredentials());
 return new BCryptPasswordEncoder().matches(rawPassword, encodedPassword);
 }
}

配置shiro

因為項目是spring-boot開發(fā)的，shiro就用java代碼配置，不用xml配置, 具體配置如下

@Configuration
public class ShiroConfig {
 private Logger log = LoggerFactory.getLogger(ShiroConfig.class);
 @Autowired
 private MyShiroRealm myShiroRealm;
 @Bean
 public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
 log.info("開始配置shiroFilter...");
 ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
 shiroFilterFactoryBean.setSecurityManager(securityManager);
 //攔截器.
 Map<String,String> map = new HashMap<>();
 // 配置不會被攔截的鏈接 順序判斷 相關(guān)靜態(tài)資源
 map.put("/static/**", "anon");
 //配置退出 過濾器,其中的具體的退出代碼Shiro已經(jīng)替我們實現(xiàn)了
 map.put("/admin/logout", "logout");
 //<!-- 過濾鏈定義，從上向下順序執(zhí)行，一般將/**放在最為下邊 -->:這是一個坑呢，一不小心代碼就不好使了;
 //<!-- authc:所有url都必須認(rèn)證通過才可以訪問; anon:所有url都都可以匿名訪問-->
 map.put("/admin/**", "authc");
 // 如果不設(shè)置默認(rèn)會自動尋找Web工程根目錄下的"/login.jsp"頁面
 shiroFilterFactoryBean.setLoginUrl("/adminlogin");
 // 登錄成功后要跳轉(zhuǎn)的鏈接
 shiroFilterFactoryBean.setSuccessUrl("/admin/index");
 //未授權(quán)界面;
 shiroFilterFactoryBean.setUnauthorizedUrl("/error");
 shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
 return shiroFilterFactoryBean;
 }
 // 配置加密方式
 // 配置了一下，這貨就是驗證不過，，改成手動驗證算了，以后換加密方式也方便
 @Bean
 public MyCredentialsMatcher myCredentialsMatcher() {
 return new MyCredentialsMatcher();
 }
 // 安全管理器配置
 @Bean
 public SecurityManager securityManager() {
 DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
 myShiroRealm.setCredentialsMatcher(myCredentialsMatcher());
 securityManager.setRealm(myShiroRealm);
 return securityManager;
 }
}

登錄

都配置好了，就可以發(fā)起登錄請求做測試了，一個簡單的表單即可，寫在Controller里就行

@PostMapping("/adminlogin")
public String adminLogin(String username, String password,
       @RequestParam(defaultValue = "0") Boolean rememberMe,
       RedirectAttributes redirectAttributes) {
 try {
 // 添加用戶認(rèn)證信息
 Subject subject = SecurityUtils.getSubject();
 if (!subject.isAuthenticated()) {
  UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe);
  //進行驗證，這里可以捕獲異常，然后返回對應(yīng)信息
  subject.login(token);
 }
 } catch (AuthenticationException e) {
 // e.printStackTrace();
 log.error(e.getMessage());
 redirectAttributes.addFlashAttribute("error", "用戶名或密碼錯誤");
 redirectAttributes.addFlashAttribute("username", username);
 return redirect("/adminlogin");
 }
 return redirect("/admin/index");
}

從上面代碼可以看出，記住我功能也直接都實現(xiàn)好了，只需要在組裝 UsernamePasswordToken 的時候，將記住我字段傳進去就可以了，值是 true, false, 如果是true，登錄成功后，shiro會在本地寫一個cookie

調(diào)用 subject.login(token); 方法后，它會去鑒權(quán)，期間會產(chǎn)生各種各樣的異常，有以下幾種，可以通過捕捉不同的異常然后提示頁面不同的錯誤信息，相當(dāng)?shù)姆奖阊?，有木?/p>

AccountException 帳戶異常
ConcurrentAccessException 這個好像是并發(fā)異常
CredentialsException 密碼校驗異常
DisabledAccountException 帳戶被禁異常
ExcessiveAttemptsException 嘗試登錄次數(shù)過多異常
ExpiredCredentialsException 認(rèn)證信息過期異常
IncorrectCredentialsException 密碼不正確異常
LockedAccountException 帳戶被鎖定異常
UnknownAccountException 未知帳戶異常
UnsupportedTokenException login(AuthenticationToken) 這個方法只能接收 AuthenticationToken 類的對象，如果傳的是其它的類，就拋這個異常

上面這么多異常，shiro在處理登錄的邏輯時，會自動的發(fā)出一些異常，當(dāng)然你也可以手動去處理登錄流程，然后根據(jù)不同的問題拋出不同的異常，手動處理的地方就在自己寫的 MyShiroRealm 里的 doGetAuthenticationInfo() 方法里，我在上面代碼里只處理了一個帳戶不存在時拋出了一個 UnknownAccountException 的異常，其實還可以加更多其它的異常，這個要看個人系統(tǒng)的需求來定了

到這里已經(jīng)可以正常的實現(xiàn)登錄了，下面來說一些其它相關(guān)的功能的實現(xiàn)

自定freemarker標(biāo)簽

開發(fā)項目肯定要用到頁面模板，我這里用的是 freemarker ，一個用戶登錄后，頁面可能要根據(jù)用戶的不同權(quán)限渲染不同的菜單，github上有個開源的庫，也是可以用的，不過我覺得那個太麻煩了，就自己實現(xiàn)了一個，幾行代碼就能搞定

ShiroTag.java

@Component
public class ShiroTag {
 // 判斷當(dāng)前用戶是否已經(jīng)登錄認(rèn)證過
 public boolean isAuthenticated(){
 return SecurityUtils.getSubject().isAuthenticated();
 }
 // 獲取當(dāng)前用戶的用戶名
 public String getPrincipal() {
 return (String) SecurityUtils.getSubject().getPrincipal();
 }
 // 判斷用戶是否有 xx 角色
 public boolean hasRole(String name) {
 return SecurityUtils.getSubject().hasRole(name);
 }
 // 判斷用戶是否有 xx 權(quán)限
 public boolean hasPermission(String name) {
 return !StringUtils.isEmpty(name) && SecurityUtils.getSubject().isPermitted(name);
 }
}

將這個類注冊到freemarker的全局變量里

FreemarkerConfig.java

@Configuration
public class FreemarkerConfig {
 private Logger log = LoggerFactory.getLogger(FreeMarkerConfig.class);
 @Autowired
 private ShiroTag shiroTag;
 @PostConstruct
 public void setSharedVariable() throws TemplateModelException {
 //注入全局配置到freemarker
 log.info("開始配置freemarker全局變量...");
 // shiro鑒權(quán)
 configuration.setSharedVariable("sec", shiroTag);
 log.info("freemarker自定義標(biāo)簽配置完成!");
 }
}

有了這些配置后，就可以在頁面里使用了，具體用法如下

<#if sec.hasPermission("topic:list")>
 <li <#if page_tab=='topic'>class="active"</#if>>
 <a href="/admin/topic/list" rel="external nofollow" >
  <i class="fa fa-list"></i>
  <span>話題列表</span>
 </a>
 </li>
</#if>

加上這個后，在渲染頁面的時候，就會根據(jù)當(dāng)前用戶是否有查看話題列表的權(quán)限，然后來渲染這個菜單

注解權(quán)限

有了上面freemarker標(biāo)簽判斷是否有權(quán)限來渲染頁面，這樣做只能防君子，不能防小人，如果一個人知道后臺的某個訪問鏈接，但這個鏈接它是沒有權(quán)限訪問的，那他只要手動輸入這個鏈接就還是可以訪問的，所以這里還要在Controller層加一套防御，具體配置如下

在ShiroConfig里加上兩個Bean

//加入注解的使用，不加入這個注解不生效
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
 AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
 authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
 return authorizationAttributeSourceAdvisor;
}
@Bean
@ConditionalOnMissingBean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
 DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
 defaultAAP.setProxyTargetClass(true);
 return defaultAAP;
}

有了這兩個Bean就可以用shiro的注解鑒權(quán)了，用法如下 @RequiresPermissions("topic:list")

@Controller
@RequestMapping("/admin/topic")
public class TopicAdminController extends BaseAdminController {

 @RequiresPermissions("topic:list")
 @GetMapping("/list")
 public String list() {
 // TODO
 return "admin/topic/list";
 }
}

shiro除了 @RequiresPermissions 注解外，還有其它幾個鑒權(quán)的注解

@RequiresPermissions
@RequiresRoles
@RequiresUser
@RequiresGuest
@RequiresAuthentication

一般 @RequiresPermissions 就夠用了

總結(jié)

spring-boot 集成 shiro 到這就結(jié)束了，是不是網(wǎng)上能找到的教程里最全的！相比 spring-security 要簡單太多了，強烈推薦

網(wǎng)站名稱：springboot集成shiro自定義密碼驗證自定義freemarker標(biāo)簽根據(jù)權(quán)限渲染不同頁面(推薦
鏈接地址：http://jinyejixie.com/article22/ghojcc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、商城網(wǎng)站、靜態(tài)網(wǎng)站、營銷型網(wǎng)站建設(shè)、小程序開發(fā)、服務(wù)器托管

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

springboot集成shiro自定義密碼驗證自定義freemarker標(biāo)簽根據(jù)權(quán)限渲染不同頁面(推薦