Shiro整合springboot,freemaker,redis(含權(quán)限系統(tǒng)完整源碼)
一、導(dǎo)語
今天推薦給大家一個非常簡單,實用的開源權(quán)限框架:Shiro,這也是Java官方推薦的權(quán)限框架。
盡管網(wǎng)上有很多類似的文章,但是都不夠完善,尤其是涉及到 freemaker,springboot,shiro,redis 整合的文章非常少,并且更多的是理論,缺失完整的可運行的源代碼。
本文提供的源碼,你可以將代碼直接拷貝到自己項目使用,參數(shù)可配置,提供完整的文檔。
源代碼實現(xiàn)的功能:
-
提供可視化后臺界面;
-
管理員后臺添加用戶、系統(tǒng)功能、角色,關(guān)聯(lián)系統(tǒng)功能和角色,分配用戶角色;
-
登錄/身份認證;
-
權(quán)限驗證;
-
會話管理(redis實現(xiàn)分布式集群管理);
-
緩存(redis實現(xiàn)分布式集群管理);
-
登錄失敗次數(shù)限制(redis實現(xiàn)分布式集群管理);
二、shiro介紹
首先,讓我們先了解一下Shiro到底是什么?
Shiro是一個強大且簡單易用的Java安全框架,主要用來做認證,授權(quán),加密,會話管理。相比于具備類似功能的
Spring Security來說,Shiro要簡單的多,并且滿足絕大部分企業(yè)級系統(tǒng)應(yīng)用。
Shiro具體有哪些功能呢,下面簡單列舉一些:
-
登錄/身份認證;
-
驗證權(quán)限,即,驗證某個人是否有做某件事的權(quán)限;
-
會話管理,管理用戶特定的會話(支持分布式session管理),支持web,非web,ejb;
-
加密,保證數(shù)據(jù)安全;
-
Caching:緩存(支持分布式cache管理);
-
登錄失敗次數(shù)限制;
-
Remember Me:即記住登錄狀態(tài),一次登錄,下次再來的話不用重復(fù)登錄;
-
Run As:允許一個用戶假裝為另一個用戶(如果他們允許)的身份進行訪問;
-
Shiro可以很友好的與Spring集成,支持jsp標(biāo)簽(官方不支持freemaker標(biāo)簽,本文源碼實現(xiàn)一套freemaker標(biāo)簽);
三、shiro詳解
本小節(jié)重點講解 Shiro的體系結(jié)構(gòu),以及一些相關(guān)的術(shù)語。
通過認證和權(quán)限控制流程的講解,使讀者基本掌握shiro的運行原理。
1、系統(tǒng)架構(gòu)
Shiro有三個關(guān)鍵概念:
-
Subject
-
SecurityManager
-
Realms
三者的關(guān)系如下圖所示:
-
Subject:
本質(zhì)上就是當(dāng)前訪問用戶的抽象描述。Shiro對外主要提供了以Subject為核心的一些列API,各種用戶驗證與權(quán)限控制的接口都是圍繞著Subject來設(shè)計的。
但是所有Subject都需要SecurityManager,當(dāng)你與Subject進行交互,這些交互行為實際上被轉(zhuǎn)換為與SecurityManager的交互。
-
SecurityManager:
Shiro架構(gòu)中最核心的組件,通過它可以協(xié)調(diào)其他組件完成用戶認證和授權(quán)。
SecurityManager就是Shiro框架的控制器,執(zhí)行安全相關(guān)的操作并管理該應(yīng)用的所有用戶的狀態(tài)。
這些操作和狀態(tài)包括:
-
-
用戶認證;
-
權(quán)限控制;
-
回話管理;
-
緩存管理;
-
Realm的協(xié)調(diào)調(diào)度;
-
事件傳播;
-
“Remember Me”服務(wù);
-
創(chuàng)建Subject;
-
退出登錄;
-
-
Realms:
定義了訪問數(shù)據(jù)的方式,用來連接不同的數(shù)據(jù)源,如:LDAP,關(guān)系數(shù)據(jù)庫,配置文件等等當(dāng)需要與安全數(shù)據(jù)交互的時候,像用戶賬戶,或者訪問控制,Shiro就從一個或多個Realms中查找。Shiro提供了一些可以直接使用的Realms,如果默認的Realms不能滿足需求,也可以自定義Realms(本文自定義Realms,數(shù)據(jù)來源mysql,提供完整的數(shù)據(jù)庫表結(jié)構(gòu)和演示數(shù)據(jù))。
2、系統(tǒng)詳細架構(gòu)
-
Authenticator(用戶認證管理器)
這個組件主要用于處理用戶登錄邏輯,他通過調(diào)用Realm的接口來判斷當(dāng)前登錄的用戶的身份。
-
AuthenticationStrategy(用戶認證策略)
如果系統(tǒng)配置了多個Realm,則需要使用AuthenticationStrategy來協(xié)調(diào)這些Realm以便決定一個用戶登錄的認證是成功還是失敗。(比如,如果一個Realm驗證成功了,但是其他的都失敗了,那么這次認證算是成功了嗎?還是說必須所有的Realm都認為成功了才算成功?或者是第一個成功就算成功?可見,策略還是蠻復(fù)雜的)。
-
Authorizer(權(quán)限管理器)
這個組件主要是用來做用戶的訪問控制。通俗來說就是決定用戶能做什么、不能做什么。
-
SessionManager(會話管理器)
SessionManager知道如何創(chuàng)建會話、管理用戶回話的生命周期以便在所有運行環(huán)境下都可以給用戶提供一個健壯的會話管理體驗。SessionDAO允許用戶使用任何類型的數(shù)據(jù)源來存儲Session數(shù)據(jù)。
-
SessionDAO(org.apache.shiro.session.mgt.eis.SessionDAO)
用于代替SessionManager執(zhí)行Session相關(guān)的增刪改查。這個接口允許我們將任意種類的數(shù)據(jù)存儲方式引入到Session管理的基礎(chǔ)框架中。
(本文源碼實現(xiàn)了redisDao,用redis實現(xiàn)session的統(tǒng)一管理,同時,源碼還提供了內(nèi)存管理session,可以通過配置方便的切換使用。)
-
Cache
緩存 authentication, authorization 和 session 等數(shù)據(jù),提升應(yīng)用的性能。由于Cache不屬于安全框架的核心功能,所以shiro本身并沒有完全實現(xiàn)Cache機制。Cache接口相當(dāng)于底層的緩存框架的頂層接口,shiro的一切的緩存操作都與這個Cache頂層接口操作,而底層的實現(xiàn)可以是任何Cache實例(JAche、Ehcache、RedisCache,OSCache、JBossCache..)
(本文源碼實現(xiàn)了Ehcache,RedisCache 和內(nèi)存Cache。三者可以通過配置,方便的切換使用。)
-
CacheManager(org.apache.shiro.cache.CacheManager)
緩存管理器。創(chuàng)建和管理緩存,為 authentication, authorization 和 session management 提供緩存數(shù)據(jù),避免直接訪問數(shù)據(jù)庫,提高效率。
cacheManager維護了Cache實例的生命周期,它和Cache一樣,只是shiro的緩存框架的頂層接口,具體底層實現(xiàn)可以是任意的。
(本文源碼實現(xiàn)了RedisCacheManager,用redis實現(xiàn)cache的統(tǒng)一管理。同時,源碼還提供了內(nèi)存和ehcache管理cache,可以通過配置,方便的切換使用。)
3、其他基本概念解釋
-
分布式會話管理
將session保存到獨立緩存服務(wù)器,保證服務(wù)在重啟或 nginx做負載均衡的時候,用戶session可見。
(本文提供的源碼使用redis保存session會話。)
-
freemaker標(biāo)簽
通過使用標(biāo)簽,可以非常方便的實現(xiàn)前后端數(shù)據(jù)通信。
默認Shiro支持jsp標(biāo)簽,但不支持freemaker標(biāo)簽。為了滿足前端使用freemaker的系統(tǒng)使用Shiro,特定制化一套freemaker 的shiro標(biāo)簽,并提供源碼。
四、shiro實戰(zhàn)案例分享
本小節(jié)分三部分
-
數(shù)據(jù)庫表介紹
-
權(quán)限管理系統(tǒng)源代碼結(jié)構(gòu)詳解
-
認證&授權(quán)流程分析
數(shù)據(jù)庫表
權(quán)限管理系統(tǒng)源代碼結(jié)構(gòu)詳解
項目結(jié)構(gòu)圖示:
如圖所示,本項目包括四個子項目
1、demo-shiro-interface
項目展開如下:
該子項目主要功能是提供與用戶、角色、功能、權(quán)限和分頁相關(guān)的接口類和實體。
2、demo-shiro-service
項目展開如下:
該子項目主要功能是實現(xiàn)demo-shiro-interface中的接口類,業(yè)務(wù)邏輯編碼實現(xiàn)。
3、demo-shiro-web
項目展開如下:
其中
-
UserController.java
用戶登錄認證,登出管理,用戶添加,用戶審核等功能。
-
SysController.java
系統(tǒng)功能模塊管理。
-
*Tag.java
專為freemaker定制的Shiro標(biāo)簽,本項目的關(guān)鍵部分。
-
CustomShiroSessionDAO.java
自定義session 管理,本項目提供依賴redis集中會話管理的功能,本項目的關(guān)鍵部分。
-
RedisCacheManager.java
自定義Cache 管理,本項目提供依賴redis集中Cache管理的功能,本項目的關(guān)鍵部分。
-
MyShiroRealm.java
自定義 realm,用戶認證和授權(quán)均需要使用該類提供的功能,本項目的關(guān)鍵部分。
-
FreemarkerConfiguration.java
-
ShiroTagFreeMarkerConfigurer.java
自定義的freemaker的shiro標(biāo)簽注入實現(xiàn)。
4、springboot-shiro-configure
項目展開如下:
其中
-
*Properties.java
讀取application.yml 配置文件中對應(yīng)的配置參數(shù),如session過期時間,連續(xù)最大登錄失敗次數(shù)等。
-
RetryLimitHashedCredentialsMatcher.java
管理 連續(xù)最大登錄失敗次數(shù)以及時間間隔,當(dāng)達到最大登錄失敗次數(shù)后,系統(tǒng)提示用戶N分鐘內(nèi)無法繼續(xù)重試。
-
ShiroAutoConfiguration.java ShiroConfiguration.java
Shiro允許用戶自定義Realms,CacheManager,SessionManager ,這兩個類文件的功能就是實現(xiàn)自定義類的依賴管理。
這兩個類也是Shiro 與 spring boot 集成的關(guān)鍵部分。
此處源碼實現(xiàn)涉及到 spring boot @ConditionalOnxxx 的相關(guān)注解技術(shù),建議讀者學(xué)習(xí)相關(guān)技術(shù)點。
以上源碼文件中有非常完善的注釋,有興趣的同學(xué)可以讀一讀。
認證&授權(quán)流程分析
Shiro 所有的功能都圍繞兩個核心功能展開,即用戶登錄認證 和用戶訪問授權(quán)。除這兩個核心功能外,本項目還自定義了cacheManager,sessionManager,使用多種方式做cache和session管理。
本小節(jié)將對以上四個問題做解析。
1、用戶登錄認證
shiro用戶認證時序圖
通過調(diào)用Subject.login(token)方法開始用戶認證流程。
執(zhí)行 currentUser.login(token) 后 ,SecurityManager會收到AuthenticationToken,并將其發(fā)送給已配置的Realm執(zhí)行必須的認證。所以這一步在調(diào)用login(token)方法時,它會走到MyRealm.doGetAuthenticationInfo()方法中,具體驗證方式如下:
MyShiroRealm.doGetAuthenticationInfo()。
UserRealm繼承AuthorizingRealm,在其父類AuthenticatingRealm的getAuthenticationInfo方法中會調(diào)用credentialsMatcher的 doCredentialsMatch 來驗證用戶輸入用戶名密碼是否匹配。
使用HashedCredentialsMatcher來進行加密。加密方式為salt自定義(本項目使用的www)、hash次數(shù)為1024、Base64解碼,加密算法為md5。
對應(yīng)的配置文件applications.yml
用戶注冊時,密碼明晚修改為密文,具體代碼實現(xiàn)如下:
其中 Constants.initPassword 是添加用戶時默認的密碼:111111.
用戶退出登錄時,Shiro用戶必須執(zhí)行l(wèi)ogout(),必須要注銷Session信息,避免影響下一次用戶認證和授權(quán)
SecurityUtils.getSubject().logout();
req.getSession().invalidate();
2、用戶訪問授權(quán)
shiro訪問授權(quán)時序圖
用戶認證通過后,進入后臺管理系統(tǒng)。
在后臺系統(tǒng)使用 freemaker 構(gòu)建,sidebar.flt模板文件中管理所有菜單。其中的 freemaker 的shiro 標(biāo)簽配置如下:
紅色邊框 name=“4” 或name=“4-1” 其中的 4 ,4-1 代表的下圖所示 紅框中的 role.getPermissionsName()值。
permissionsName 的值來源于 后臺添加功能時,為菜單設(shè)置的值。如下圖:
3、session管理
系統(tǒng)提供兩種session管理方式
-
ehcache管理
-
Redis集中管理
配置:
ShiroConfiguration.java
注釋掉該方法時 ,shiro的會話session默認由ehcache管理。
打開該方法時,shiro的會話session由redis管理。
4、cache管理
系統(tǒng)提供三種session管理方式
-
本地內(nèi)存管理
-
ehcache管理
-
Redis集中管理
配置:
ShiroConfiguration.java
想使用哪種方式,就將其他另外兩種方式注釋掉。
(有興趣的同學(xué)可以開發(fā)一個新功能,通過配置參數(shù)來開啟某種session管理方式)
五、系統(tǒng)配置
本小節(jié)分兩個部分
-
Shiro管理配置
主要涉及到兩個配置文件application.yml 和ehcache.xml ,下面會有針對各個配置參數(shù)的詳細介紹。
-
后臺系統(tǒng)權(quán)限配置
使用后臺管理系統(tǒng)的頁面,添加用戶,系統(tǒng)功能,角色,權(quán)限,用戶權(quán)限分配。
1、Shiro管理配置
application.yml
-
realm-class
自定義 realm(com.xinwei.shiro.MyShiroRealm),完成認證和授權(quán)。
-
custom-authc-filter-class:
自定義過濾器com.xinwei.shiro.AjaxAuthorizationFilter。
-
login-url
登錄url,會話超時繼續(xù)訪問系統(tǒng)時,自動跳轉(zhuǎn)到該url。
-
success-url
認證通過后,系統(tǒng)進入該url功能界面。
-
retry-max
用戶登錄認證,允許的最大連續(xù)失敗次數(shù)。
-
retry-expire-time-redis
用戶登錄認證,達到最大連續(xù)失敗次數(shù)后,需要等待再次輸入的時間間隔(單位:秒)。
(只有當(dāng)使用redis管理cache時,該參數(shù)才生效。如果使用ehcache 管理cache,則需要參考ehcache.xml。)
-
authorization-expire-time-redis
用戶授權(quán)檢驗 的緩存過期時間,在過期時間內(nèi),用訪問需要授權(quán)的菜單時,無需重復(fù)執(zhí)行,提升了系統(tǒng)的訪問效率。
(只有當(dāng)使用redis管理sesson時,該參數(shù)才生效。如果使用ehcache 管理cache,則需要參考ehcache.xml。)
-
hash-iterations
密碼加密時,做的hash次數(shù),本案例做1024次hash。
-
hash-algorithm-name
密碼加密時使用的加密方法,本案例采用MD5。
-
stored-credentials-hex-encoded
默認值是true,默認采用Hex解碼,false時,采用Base64解碼。
-
global-session-timeout
會話存活時間(注意,單位是毫秒,0表示立即過期,-1表示永不過期)。
-
validation-interval
檢查session是否過期的時間間隔。
-
validation-scheduler-enabled
true,掃描session線程,負責(zé)清理超時會話。
-
filter-chain-definitions:
-
/media/**: anon
訪問該目錄下的文件,不需要做權(quán)限校驗。
-
/admin/**: authc
設(shè)置攔截器,訪問該目錄下的文件事,需要做權(quán)限校驗。
ehcache.xml
參加具體含義參考 https://www.cnblogs.com/sdream/p/5966668.html。
2、后臺系統(tǒng)權(quán)限配置
-
添加用戶
注意:新添加的后臺用戶,密碼默認是:111111,且審核通過后才可以登錄本系統(tǒng)。
-
為用戶添加角色
-
添加系統(tǒng)功能:
功能編碼必須唯一,在freemaker 處需要使用該功能編碼。
-
添加角色
-
給角色賦權(quán)限
六、其他
Shiro是一個功能很齊全的框架,使用起來也很容易,但是要想用好卻有相當(dāng)難度。歡迎大家多動手實踐,遇到問題一起討論。
項目源碼地址:
https://github.com/wzjgn/shiro-freemaker-springboot-redis-mysql.git
參考:
https://www.cnblogs.com/learnhow/p/5694876.html
http://lgbolgger.iteye.com/blog/2170522
