官方文档
https://shiro.apache.org/tutorial.html
超详细 Spring Boot 整合 Shiro 教程! - 腾讯云开发者社区-腾讯云 (tencent.com)
shiro
Shiro 的架构有 3 个主要概念Subject:SecurityManager和Realms. 下图是这些组件如何交互的高级概述
Subject
既可以指用户,也可以指第 3 方进程、cron 作业、守护进程。或者说是与软件交互的任何东西
SecurityManager
Realm
充当 Shiro 和应用程序安全数据之间的“桥梁”或“连接器”。
配置 Shiro 时,必须指定至少一个 Realm 用于身份验证或授权。可以配置多个 Realm ,但
SecurityManager至少需要一个。
shiro 详细架构图
shiro过滤器
| 过滤器简称 | 对应的 java 类 | 含义 |
|---|---|---|
anon | org.apache.shiro.web.filter.authc.AnonymousFilter | 认证(登录)才能使用 |
authc | org.apache.shiro.web.filter.authc.FormAuthenticationFilter | 指定 rul 需要 form 表单登录,默认会从请求中获取username、password、rememberMe参数并尝试登录。登陆失败会跳转到 login 的 url。可以使用该过滤器做默认的登录逻辑。 |
authcBasic | org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter | 指定 url 需要 basic 登录 |
user | org.apache.shiro.web.filter.authc.UserFilter | 已登录或记住我的用户访问 |
port | org.apache.shiro.web.filter.authz.PortFilter | 指定端口才可以访问 |
rest | org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter | 将请求方法转化成相应的动词来构造一个权限字符串 |
roles | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter | 指定角色访问 |
ssl | org.apache.shiro.web.filter.authz.SslFilter | https 访问 |
perms | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter | 指定权限可以访问 |
logout | org.apache.shiro.web.filter.authc.LogoutFilter | 登出过滤器 |
anon:例子/admins/**=anon 没有参数,表示可以匿名使用。
authc:例如/admins/user/**=authc 表示需要认证(登录)才能使用,FormAuthenticationFilter 是表单认证,没有参数
roles:例子/admins/user/=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如 admins/user/=roles["admin,guest"],每个参数通过才算通过,相当于 hasAllRoles()方法。
perms:例子/admins/user/=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/=perms["user:add:,user:modify:"],当有多个参数时必须每个参数都通过才通过,想当于 isPermitedAll()方法。
rest:例子/admins/user/=rest[user],根据请求的方法,相当于/admins/user/=perms[user:method] ,其中 method 为 post,get,delete 等�。
port:例子/admins/user/**=port[8081],当请求的 url 的端口不是 8081 是跳转到 schemal://serverName:8081?queryString,其中 schmal 是协议 http 或 https 等,serverName 是你访问的 host,8081 是 url 配置里 port 的端口,queryString
是你访问的 url 里的?后面的参数。
authcBasic:例如/admins/user/**=authcBasic 没有参数表示 httpBasic 认证
ssl:例子/admins/user/**=ssl 没有参数,表示安全的 url 请求,协议为 https
user:例如/admins/user/**=user 没有参数表示必须存在用户, 身份认证通过或通过记住我认证通过的可以访问,当登入操作时不做检查
注:
anon,authcBasic,auchc,user 是认证过滤器,
perms,roles,ssl,rest,port 是授权过滤器
认证&授权
登录
//获取用户,其会自动绑定到当前线程
Subject subject = SecurityUtils.getSubject();
//构建待认证 token
UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
//登录,即身份验证
subject.login(token);
//判断是否已经认证
subject.isAuthenticated()
//登出 subject.logout(token);
shiro过滤器
| 过滤器简称 | 对应的 java 类 | 含义 |
|---|---|---|
anon | org.apache.shiro.web.filter.authc.AnonymousFilter | 认证(登录)才能使用 |
authc | org.apache.shiro.web.filter.authc.FormAuthenticationFilter | 指定 rul 需要 form 表单登录,默认会从请求中获取username、password、rememberMe参数并尝试登录。登陆失败会跳转到 login 的 url。可以使用该过滤器做默认的登录逻辑。 |
authcBasic | org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter | 指定 url 需要 basic 登录 |
user | org.apache.shiro.web.filter.authc.UserFilter | 已登录或记住我的用户访问 |
port | org.apache.shiro.web.filter.authz.PortFilter | 指定端口才可以访问 |
rest | org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter | 将请求方法转化成相应的动词来构造一个权限字符串 |
roles | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter | 指定角色访问 |
ssl | org.apache.shiro.web.filter.authz.SslFilter | https 访问 |
perms | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter | 指定权限可以访问 |
logout | org.apache.shiro.web.filter.authc.LogoutFilter | 登出过滤器 |
anon:例子/admins/**=anon 没有参数,�表示可以匿名使用。
authc:例如/admins/user/**=authc 表示需要认证(登录)才能使用,FormAuthenticationFilter 是表单认证,没有参数
roles:例子/admins/user/=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如 admins/user/=roles["admin,guest"],每个参数通过才算通过,相当于 hasAllRoles()方法。
perms:例子/admins/user/=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/=perms["user:add:,user:modify:"],当有多个参数时必须每个参数都通过才通过,想当于 isPermitedAll()方法。
rest:例子/admins/user/=rest[user],根据请求的方法,相当于/admins/user/=perms[user:method] ,其中 method 为 post,get,delete 等。
port:例子/admins/user/**=port[8081],当请求的 url 的端口不是 8081 是跳转到 schemal://serverName:8081?queryString,其中 schmal 是协议 http 或 https 等,serverName 是你访问的 host,8081 是 url 配置里 port 的端口,queryString
是你访问的 url 里的?后面的参数。
authcBasic:例如/admins/user/**=authcBasic 没有参数表示 httpBasic 认证
ssl:例子/admins/user/**=ssl 没有参数,表示安全的 url 请求,协议为 https
user:例如/admins/user/**=user 没有参数表示必须存在用户, 身份认证通过或通过记住我认证通过的可以访问,当登入操作时不做检查
注:
anon,authcBasic,auchc,user 是认证过滤器,
perms,roles,ssl,rest,port 是授权过滤器
DEMO
设计数据库(RBAC 模型)
分为 5 个表,分别是 mage_user,mage_role,mage_permission,mage_user_role,mage_role_permission 五张表 mage_user,mage_role 是多对多关系,关联表为 mage_user_role。mage_permission,mage_role 是多对多关系,关联表为 mage_role_permission
数据库中共有两个用户张三、李四
张三是 admin 角色,拥有user:add user:delete user:update user:query 四个权限
李四是 consumer 角色 拥有 user:query权限
引入依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
</dependency>
自定义 Realm
package com.mqb.auth.infra.config;
import com.mqb.auth.infra.realm.MageRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.HashMap;
/**
* @author qingbomy
* @date 2022/8/13 20:42
*/
@Configuration
public class ShiroConfiguration {
/**
* 自定义Realm
* @return
*/
@Bean
public MageRealm mageRealm(){
return new MageRealm();
}
/**
*
* @param mageRealm 自定义Realm
* @param sessionManager session管理器 可以去掉shiro登录时url里的JSESSIONID导致404的问题
* @return SecurityManager 安全管理器
*/
@Bean
@Autowired
public SecurityManager securityManager(MageRealm mageRealm, @Qualifier("sessionManager") DefaultWebSessionManager sessionManager){
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
defaultWebSecurityManager.setSessionManager(sessionManager);
defaultWebSecurityManager.setRealm(mageRealm);
return defaultWebSecurityManager;
}
/**
*
* @param securityManager 安全管理器
* @return ShiroFilterFactoryBean
*/
@Bean
@Autowired
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
shiroFilterFactoryBean.setLoginUrl("/toLogin");
shiroFilterFactoryBean.setUnauthorizedUrl("/unauthor");
shiroFilterFactoryBean.setSuccessUrl("/home");
//为url添加权限
HashMap<String, String> filterChainDefinitionMap = new HashMap<>(16);
//后面可以从数据库中查询
//也可以在controller方法上添加
filterChainDefinitionMap.put("/toLogin","anon");
filterChainDefinitionMap.put("/user/add","perms[user:add]");
filterChainDefinitionMap.put("/user/update","perms[user:update]");
// filterChainDefinitionMap.put("/user/query","perms[user:query]");//测试使用注解完成权限设置
filterChainDefinitionMap.put("/user/delete","perms[user:delete]");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
// 去掉shiro登录时url里的JSESSIONID
@Bean
public DefaultWebSessionManager sessionManager() {
DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
sessionManager.setSessionIdUrlRewritingEnabled(false);
return sessionManager;
}
/**
* 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)
* @param SecurityManager 安全管理器
* @return
*/
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager SecurityManager) {
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(SecurityManager);
return authorizationAttributeSourceAdvisor;
}
@Bean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
creator.setProxyTargetClass(true);
return creator;
}
}
shiro 配置类
package com.mqb.auth.infra.config;
import com.mqb.auth.infra.realm.MageRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.HashMap;
/**
* @author qingbomy
* @date 2022/8/13 20:42
*/
@Configuration
public class ShiroConfiguration {
/**
* 自定义Realm
* @return
*/
@Bean
public MageRealm mageRealm(){
return new MageRealm();
}
/**
*
* @param mageRealm 自定义Realm
* @param sessionManager session管理器 可以去掉shiro登录时url里的JSESSIONID导致404的问题
* @return SecurityManager 安全管理器
*/
@Bean
@Autowired
public SecurityManager securityManager(MageRealm mageRealm, @Qualifier("sessionManager") DefaultWebSessionManager sessionManager){
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
defaultWebSecurityManager.setSessionManager(sessionManager);
defaultWebSecurityManager.setRealm(mageRealm);
return defaultWebSecurityManager;
}
/**
*
* @param securityManager 安全管理器
* @return ShiroFilterFactoryBean
*/
@Bean
@Autowired
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
shiroFilterFactoryBean.setLoginUrl("/toLogin");
shiroFilterFactoryBean.setUnauthorizedUrl("/unauthor");
shiroFilterFactoryBean.setSuccessUrl("/home");
//为url添加权限
HashMap<String, String> filterChainDefinitionMap = new HashMap<>(16);
//后面可以从数据库中查询
//也可以在controller方法上添加
filterChainDefinitionMap.put("/toLogin","anon");
// filterChainDefinitionMap.put("/user/add","perms[user:add]"); //测试使用注解完成权限设置
filterChainDefinitionMap.put("/user/update","perms[user:update]");
filterChainDefinitionMap.put("/user/query","perms[user:query]");
filterChainDefinitionMap.put("/user/delete","perms[user:delete]");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
// 去掉shiro登录时url里的JSESSIONID
@Bean
public DefaultWebSessionManager sessionManager() {
DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
sessionManager.setSessionIdUrlRewritingEnabled(false);
return sessionManager;
}
/**
* 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)
* @param SecurityManager 安全管理器
* @return
*/
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager SecurityManager) {
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(SecurityManager);
return authorizationAttributeSourceAdvisor;
}
@Bean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
creator.setProxyTargetClass(true);
return creator;
}
}
Controller
@PostMapping("/login")
public String login(UserVo userVo, Model model) {
UsernamePasswordToken token = new UsernamePasswordToken(userVo.getUsername(), userVo.getPassword());
//获取当前用户
Subject subject = SecurityUtils.getSubject();
try {
subject.login(token);
model.addAttribute("msg","登陆成功");
return "index";
}catch (UnknownAccountException e){
log.error(e.getMessage());
// model.addAttribute("msg","用户名不存在");
model.addAttribute("msg",e.getMessage());
return "login";
}catch (IncorrectCredentialsException e ){
log.error("密码错误");
model.addAttribute("msg","密码错误");
return "login";
}catch (LockedAccountException e){
log.error("账户被封禁");
model.addAttribute("msg","账户被封禁");
return "login";
}
几个页面的 controller
@GetMapping("/user/add")
public String add(){
return "user/add";
}
@GetMapping("/user/update")
public String update(){
return "user/update";
}
@GetMapping("/user/delete")
public String delete(){
return "/user/delete";
}
//要求当前用户拥有consumer角色身份才可以,并且该身份拥有user:query才可以访问query
@RequiresPermissions("user:query")
@RequiresRoles("consumer")
@GetMapping("/user/query")
public String query(){
return "/user/query";
}
启动项目使用张三登录
发现除了/user/query 其他的 url 都可以访问。原因是 张三虽然拥有user:query权限,但是他没有consumer角色的身份。
使用李四进行 登录
发现除了/user/query能访问之外其他的都无权访问。原因是 李四是consumer角色,仅仅拥有/user/query的权限
缓存管理
-
配置 Redis 序例化方式
-
实现 shiro 的 Cache 接口
-
实现 shiro 的 CacheManager 接口
-
自定义 Realm 中设置 CacheManager
配置序例化方式
@Bean
public RedisConnectionFactory connectionFactory(){
RedisStandaloneConfiguration redisStandaloneConfiguration = new RedisStandaloneConfiguration();
redisStandaloneConfiguration.setPort(port);
redisStandaloneConfiguration.setHostName(host);
return new JedisConnectionFactory(redisStandaloneConfiguration);
}
@Bean
public RedisTemplate<String, Object> redisTemplate( RedisConnectionFactory connectionFactory) {
RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>();
redisTemplate.setConnectionFactory(connectionFactory);
//使用jackson序列化工具(default JDK serialization)序例化value
Jackson2JsonRedisSerializer<Object> jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer<Object>(Object.class);
ObjectMapper objectMapper = new ObjectMapper();
//设置任何属性可见
objectMapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
//序列化的时候将类名称序列化到json串中
objectMapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.NON_FINAL);
//设置输入时忽略JSON字符串中存在而Java对象实际没有的属性
objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
jackson2JsonRedisSerializer.setObjectMapper(objectMapper);
//使用redis自带的字符串序列化工具序列化key
RedisSerializer<String> redisSerializer = new StringRedisSerializer();
//key
redisTemplate.setKeySerializer(redisSerializer);
redisTemplate.setHashKeySerializer(redisSerializer);
//value
redisTemplate.setValueSerializer(jackson2JsonRedisSerializer);
redisTemplate.setHashValueSerializer(jackson2JsonRedisSerializer);
//初始化redisTemplate
redisTemplate.afterPropertiesSet();
return redisTemplate;
}
实现 cache 接口
package com.mqb.auth.infra.config.cache;
import lombok.Getter;
import lombok.Setter;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheException;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import javax.annotation.Resource;
import java.util.Collection;
import java.util.Set;
/**
* @author qingbomy
* @date 2022/9/5 23:39
*/
@Setter
@Getter
@Component
public class RedisCache<K, V> implements Cache<K, V> {
@Resource(name = "redisTemplate")
private RedisTemplate<String, Object> redisTemplate;
private String cacheName;
@Override
public V get(K k) throws CacheException {
return (V) redisTemplate.opsForHash().get(cacheName, k.toString());
}
@Override
public V put(K k, V v) throws CacheException {
redisTemplate.opsForHash().put(cacheName, k.toString(), v);
return v;
}
@Override
public V remove(K k) throws CacheException {
V value = (V) redisTemplate.opsForHash().get(cacheName, k.toString());
redisTemplate.opsForHash().delete(cacheName, k.toString());
return value;
}
@Override
public void clear() throws CacheException {
redisTemplate.delete(cacheName);
}
@Override
public int size() {
return redisTemplate.opsForHash().size(cacheName).intValue();
}
@Override
public Set<K> keys() {
return (Set<K>) redisTemplate.opsForHash().keys(cacheName);
}
@Override
public Collection<V> values() {
return (Collection<V>) redisTemplate.opsForHash().values(cacheName);
}
}
实现 cacheManager 接口
package com.mqb.auth.infra.config.cache;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheException;
import org.apache.shiro.cache.CacheManager;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import javax.annotation.Resource;
/**
* @author qingbomy
* @date 2022/9/5 23:53
*/
@Component
public class RedisCacheManager<K,V> implements CacheManager{
// @Autowired
@Resource
private RedisCache<K, V> redisCache;
@Override
public <K, V> Cache<K, V> getCache(String s) throws CacheException {
redisCache.setCacheName(s);
return (Cache<K, V>) redisCache;
}
}
自定义 Realm 中设置 CacheManager
在 ShiroConfig 中配置 cacheManager
@Autowired
CacheManager cacheManager;
@Bean
public CustomRealm customRealm(){
CustomRealm customRealm = new CustomRealm();
// 配置加密方式
HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
credentialsMatcher.setHashAlgorithmName(MessageDigestAlgorithms.MD5);
// 加密迭代次数,md5加密次数
credentialsMatcher.setHashIterations(Constant.Encypt.HASH_ITERATIONS);
customRealm.setCredentialsMatcher(credentialsMatcher);
//设置缓存管理器
customRealm.setCacheManager(cacheManager);
//开启授权缓存
customRealm.setAuthorizationCachingEnabled(Boolean.TRUE);
//开启认证缓存(不用开。不然会报错)
// customRealm.setAuthenticationCachingEnabled(Boolean.TRUE);
customRealm.setAuthorizationCacheName("授权");
customRealm.setAuthenticationCacheName("认证");
return customRealm;
}
会话管理
Shiro 提供了完整的企业级会话管理功能,不依赖于底层容器(如 web 容器 tomcat),不管 JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理、会话事件监听、会话存储 / 持久化、容器无关的集群、失效 / 过期支持、对 Web 的透明支持、SSO 单点登录的支持等特性。即直接使用 Shiro 的会话管理可以直接替换如 Web 容器的会话管理。
客户端向服务器发送请求,shiro 检查是否携带 sessionId,如果携带 sessionId 那么与缓存中的 sessionId 比对,比对成功则通过,比对不成功或者没有携带 sessionId 那么 shiro 将生成 session,并将 sessionId 返回给浏览器,并存储到浏览器的 cookie 中,之后浏览器的每次请求都会携带 sessionId。
SessionManager
会话管理器管理着应用中所有 Subject 的会话的创建、维护、删除、失效、验证等工作。是 Shiro 的核心组件,顶层组件 SecurityManager 直接继承了 SessionManager,且提供了 SessionsSecurityManager 实现直接把会话管理委托给相��应的 SessionManager。
Shiro 提供了两个实现:DefaultSecurityManager 及 DefaultWebSecurityManager。
SessionDao
session 有两个实现 MemorySessionDAO 和 EnterpriseCacheSessionDAO
- MemorySessionDAO 直接在内存中进行会话维护
- EnterpriseCacheSessionDAO:提供了缓存功能的会话维护,默认情况下使用 MapCache 实现,内部使用 ConcurrentHashMap 保存缓存的会话。
DEMO
更换 shiro 的依赖
<dependency>
<groupId>org.crazycake</groupId>
<artifactId>shiro-redis</artifactId>
<version>3.0.0</version>
</dependency>
- 重写 DefaultWebSessionManager 的 getSessionId()方法
@Component
public class CustomWebSessionManager extends DefaultWebSessionManager {
private static final String HEADER = "Authorization";
@Override
protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
String token = request.getParameter(HEADER);
if (!ObjectUtils.isEmpty(token)) {
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "url");
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, token);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
//禁止在url上拼接SessionId
request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, this.isSessionIdUrlRewritingEnabled());
return token;
}else{
return super.getSessionId(request, response);
}
}
}
- 实现 SessionListener 接口用于监听
import com.mqb.auth.domain.vo.UserVo;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.SessionListener;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.support.DefaultSubjectContext;
import org.springframework.context.annotation.Primary;
import org.springframework.stereotype.Component;
import java.util.Objects;
import java.util.concurrent.CopyOnWriteArrayList;
/**
* @Description:
* @Author: qingbomy
* @Email:
* @Date: 2022/9/10:14:27
*/
@Component
@Primary
@Slf4j
public class CustomSessionListener implements SessionListener {
private static CopyOnWriteArrayList<Session> sessions = new CopyOnWriteArrayList<>();
public static CopyOnWriteArrayList<Session> getSessions() {
return sessions;
}
// 拥有身份,创建session
@Override
public void onStart(Session session) {
log.debug("开始创建session");
sessions.add(session);
}
// 检测session valid
@Override
public void onStop(Session session) {
log.debug("检测session valid");
sessions.removeIf(s -> {
boolean flag = Objects.equals(session.getId(), s.getId());
Object principals = session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
if (principals != null) {
Object primaryPrincipal = ((PrincipalCollection) principals).getPrimaryPrincipal();
UserVo user = (UserVo) primaryPrincipal;
System.out.println(user.getPhoneNumber() + " 账号已被停用");
}
return flag;
});
}
// 检测session过期
@Override
public void onExpiration(Session session) {
log.debug("检测session过期");
sessions.removeIf(s -> {
boolean flag = Objects.equals(session.getId(), s.getId());
Object principals = session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
if (principals != null) {
Object primaryPrincipal = ((PrincipalCollection) principals).getPrimaryPrincipal();
UserVo user = (UserVo) primaryPrincipal;
System.out.println(user.getPhoneNumber()+ " 账号已过期");
}
return flag;
});
}
}
- ShiroConfig 中配置 SessionDAO 和 SessionManager
SessionDAO 中要用到 redis 存储 sessionId
@Bean
public IRedisManager redisManager() {
RedisManager redisManager = new RedisManager();
redisManager.setHost(host);
redisManager.setPort(port);
return redisManager;
}
@Bean
@Primary
public RedisSessionDAO redisSessionDAO(IRedisManager redisManager) {
RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
redisSessionDAO.setExpire(5*60);
redisSessionDAO.setRedisManager(redisManager);
// redisSessionDAO.setValueSerializer();
return redisSessionDAO;
}
@Bean("sessionManager")
public SessionManager sessionManager(@Autowired RedisSessionDAO redisSessionDAO,
@Autowired(required = false) SessionListener sessionListener) {
DefaultWebSessionManager sessionManager = new CustomWebSessionManager();
// 设置sessionDao
sessionManager.setSessionDAO(redisSessionDAO);
// 每隔半分钟检测一次session
sessionManager.setSessionValidationInterval(30000);
// 设置自定义的对应的会话监听器
sessionManager.setSessionListeners(Arrays.asList(sessionListener));
return sessionManager;
}
当用户登录后,每一个用户都会有一个 sessionId,sessionId 存在于 Cookie 中,每次请求都会携带 Cookie,shiro 拿到 sessionId 与 redis 中的对比,存在则正常访问,否则重新登陆。
加密
MD5 加密
注册用户
/**
* 用户注册
*/
@ApiOperation("用户注册")
@PostMapping("/register")
@ResponseBody
public String addUser(@RequestBody UserVo userVo) {
String password = userVo.getPassword();
String salt = new SecureRandomNumberGenerator().nextBytes().toHex();
userVo.setSalt(salt);
Md5Hash md5Hash = new Md5Hash(password, salt, Constant.Encypt.HASH_ITERATIONS);
userVo.setPassword(md5Hash.toString());
return mageFeign.addUser(userVo);
}
Constant.Encypt.HASH_ITERATIONS = 1024
- 使用 Md5Hash 类对用户输入的密码进行加密,使用下面的有参构造,第一个参数位用户输入密码,第二个参数为盐值,第三个参数为加密迭代次数。
-
在自定义 Realm 中的认证返回下面的有参构造构造的对象。分别是
用户对象(可以在授权方法取到)、数据库查询出的密码、ByteSource 类型的盐值、以及自定义的 realmName
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
String phone = token.getUsername();
UserVo userVo = mageFeign.queryUserByPhone(phone);
if (userVo == null) {
//没找到帐号
throw new UnknownAccountException();
}
if (userVo.getLocked() == 1) {
//帐号锁定
throw new LockedAccountException();
}
String dbPassword = userVo.getPassword();
String salt = userVo.getSalt();
//交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以自定义实现
return new SimpleAuthenticationInfo(userVo, dbPassword, ByteSource.Util.bytes(salt), getName());
}
- 在 shiroConfig 中配置自定义的 Realm,设置密码匹配器是
MD5,并指定迭代次数为 1024 次
@Bean
public CustomRealm customRealm(){
CustomRealm customRealm = new CustomRealm();
// 配置加密方式
HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
credentialsMatcher.setHashAlgorithmName(MessageDigestAlgorithms.MD5);
// 加密迭代次数,md5加密次数
credentialsMatcher.setHashIterations(Constant.Encypt.HASH_ITERATIONS);
customRealm.setCredentialsMatcher(credentialsMatcher);
return customRealm;
}
使用 Springboot+JWT+Shiro+redis 完成认证授权
自定义的缓存管理器和上面的一样 这里就不写了(RedisCache 和 RedisCacheManager)
1.定义 JwtToken 实现AuthenticationToken接口
package com.mqb.auth.infra.shiro;
import org.apache.shiro.authc.AuthenticationToken;
/**
* @Description:
* @Author: qingbomy
* @Email:
* @Date: 2022/9/16:21:52
*/
public class JwtToken implements AuthenticationToken {
private String token;
public JwtToken(String token) {
this.token = token;
}
@Override
public Object getPrincipal() {
return token;
}
@Override
public Object getCredentials() {
return token;
}
}
2.配置 jedis
@Value("${spring.redis.host}")
// @Value("127.0.0.1")
private String host;
@Value("${spring.redis.port}")
// @Value("6379")
private int port;
@Value("0")
private int database;
/**
* 连接超时时间
*/
@Value("10000")
private int timeout;
@Bean
public JedisPool redisPoolFactory() {
try {
JedisPoolConfig jedisPoolConfig = new JedisPoolConfig();
JedisPool jedisPool = new JedisPool(jedisPoolConfig, host, port, timeout, null);
log.info("初始化Redis连接池JedisPool成功!地址: {}:{}", host, port);
return jedisPool;
} catch (Exception e) {
log.error("初始化Redis连接池JedisPool异常:{}", e.getMessage());
}
return null;
}
3.jedis 的工具类
package com.mqb.auth.infra.utils;
import com.mqb.auth.infra.exception.CustomException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import redis.clients.jedis.Jedis;
import redis.clients.jedis.JedisPool;
import java.util.Set;
/**
* JedisUtil(推荐存Byte数组,存Json字符串效率更慢)
*/
@Component
public class JedisUtil {
/**
* 静态注入JedisPool连接池
* 本来是正常注入JedisUtil,可以在Controller和Service层使用,但是重写Shiro的CustomCache无法注入JedisUtil
* 现在改为静态注入JedisPool连接池,JedisUtil直接调用静态方法即可
*/
private static JedisPool jedisPool;
@Autowired
public void setJedisPool(JedisPool jedisPool) {
JedisUtil.jedisPool = jedisPool;
}
/**
* 获取Jedis实例
*/
public static synchronized Jedis getJedis() {
try {
if (jedisPool != null) {
return jedisPool.getResource();
} else {
return null;
}
} catch (Exception e) {
throw new CustomException("获取Jedis资源异常:" + e.getMessage());
}
}
/**
* 释放Jedis资源
*/
public static void closePool() {
try {
jedisPool.close();
} catch (Exception e) {
throw new CustomException("释放Jedis资源异常:" + e.getMessage());
}
}
/**
* 获取redis键值-object
*/
public static Object getObject(String key) {
try (Jedis jedis = jedisPool.getResource()) {
byte[] bytes = jedis.get(key.getBytes());
if (!(bytes == null || bytes.length == 0)) {
return SerializableUtil.unserializable(bytes);
}
} catch (Exception e) {
throw new CustomException("获取Redis键值getObject方法异常:key=" + key + " cause=" + e.getMessage());
}
return null;
}
/**
* 设置redis键值-object
*/
public static String setObject(String key, Object value) {
try (Jedis jedis = jedisPool.getResource()) {
return jedis.set(key.getBytes(), SerializableUtil.serializable(value));
} catch (Exception e) {
throw new CustomException("设置Redis键值setObject方法异常:key=" + key + " value=" + value + " cause=" + e.getMessage());
}
}
/**
* 设置redis键值-object-expiretime
*/
public static String setObject(String key, Object value, int expiretime) {
String result;
try (Jedis jedis = jedisPool.getResource()) {
result = jedis.set(key.getBytes(), SerializableUtil.serializable(value));
if ("OK".equals(result)) {
jedis.expire(key.getBytes(), expiretime);
}
return result;
} catch (Exception e) {
throw new CustomException("设置Redis键值setObject方法异常:key=" + key + " value=" + value + " cause=" + e.getMessage());
}
}
/**
* 获取redis键值-Json
*/
public static String getJson(String key) {
try (Jedis jedis = jedisPool.getResource()) {
return jedis.get(key);
} catch (Exception e) {
throw new CustomException("获取Redis键值getJson方法异常:key=" + key + " cause=" + e.getMessage());
}
}
/**
* 设置redis键值-Json
*/
public static String setJson(String key, String value) {
try (Jedis jedis = jedisPool.getResource()) {
return jedis.set(key, value);
} catch (Exception e) {
throw new CustomException("设置Redis键值setJson方法异常:key=" + key + " value=" + value + " cause=" + e.getMessage());
}
}
/**
* 设置redis键值-Json-expiretime
*/
public static String setJson(String key, String value, int expiretime) {
String result;
try (Jedis jedis = jedisPool.getResource()) {
result = jedis.set(key, value);
if ("OK".equals(result)) {
jedis.expire(key, expiretime);
}
return result;
} catch (Exception e) {
throw new CustomException("设置Redis键值setJson方法异常:key=" + key + " value=" + value + " cause=" + e.getMessage());
}
}
/**
* 删除key
*/
public static Long delKey(String key) {
try (Jedis jedis = jedisPool.getResource()) {
return jedis.del(key.getBytes());
} catch (Exception e) {
throw new CustomException("删除Redis的键delKey方法异常:key=" + key + " cause=" + e.getMessage());
}
}
/**
* key是否存在
*/
public static Boolean exists(String key) {
try (Jedis jedis = jedisPool.getResource()) {
return jedis.exists(key.getBytes());
} catch (Exception e) {
throw new CustomException("查询Redis的键是否存在exists方法异常:key=" + key + " cause=" + e.getMessage());
}
}
/**
* 模糊查询获取key集合(keys的速度非常快,但在一个大的数�据库中使用它仍然可能造成性能问题,生产不推荐使用)
*/
public static Set<String> keysS(String key) {
try (Jedis jedis = jedisPool.getResource()) {
return jedis.keys(key);
} catch (Exception e) {
throw new CustomException("模糊查询Redis的键集合keysS方法异常:key=" + key + " cause=" + e.getMessage());
}
}
/**
* 模糊查询获取key集合(keys的速度非常快,但在一个大的数据库中使用它仍然可能造成性能问题,生产不推荐使用)
*/
public static Set<byte[]> keysB(String key) {
try (Jedis jedis = jedisPool.getResource()) {
return jedis.keys(key.getBytes());
} catch (Exception e) {
throw new CustomException("模糊查询Redis的键集合keysB方法异常:key=" + key + " cause=" + e.getMessage());
}
}
/**
* 获取过期剩余时间
*/
public static Long ttl(String key) {
Long result = -2L;
try (Jedis jedis = jedisPool.getResource()) {
result = jedis.ttl(key);
return result;
} catch (Exception e) {
throw new CustomException("获取Redis键过期剩余时间ttl方法异��常:key=" + key + " cause=" + e.getMessage());
}
}
}
4.自定义序例化工具
package com.mqb.auth.infra.utils;
import com.mqb.auth.infra.exception.CustomException;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.Assert;
import java.io.*;
/**
* @Description:
* @Author: qingbomy
* @Email:
* @Date: 2022/9/16:20:17
*/
@Slf4j
public class SerializableUtil {
/**
* 序例化
*/
public static byte[] serializable(Object o) {
//字节输出流
ByteArrayOutputStream byteArrayOutputStream = null;
// 对象输出流
ObjectOutputStream objectOutputStream = null;
try {
byteArrayOutputStream = new ByteArrayOutputStream();
objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
objectOutputStream.writeObject(o);
return byteArrayOutputStream.toByteArray();
} catch (IOException e) {
log.error("SerializableUtil工具类序列化出现IOException异常:{}", e.getMessage());
throw new CustomException("SerializableUtil工具类序列化出现IOException异常:" + e.getMessage());
} finally {
Assert.notNull(byteArrayOutputStream,"资源关闭异常");
Assert.notNull(objectOutputStream,"资源关闭异常");
try {
byteArrayOutputStream.close();
objectOutputStream.close();
} catch (IOException e) {
log.error("资源关闭异常");
throw new CustomException("SerializableUtil工具类反序列化,资源关闭异常:" + e.getMessage());
}
}
}
/**
* 反序例化
*/
public static Object unserializable(byte[] bytes) {
ByteArrayInputStream byteArrayInputStream = null;
ObjectInputStream objectInputStream = null;
try {
byteArrayInputStream = new ByteArrayInputStream(bytes);
objectInputStream = new ObjectInputStream(byteArrayInputStream);
return objectInputStream.readObject();
} catch (ClassNotFoundException e) {
log.error("SerializableUtil工具类反序列化出现ClassNotFoundException异常:{}", e.getMessage());
throw new CustomException("SerializableUtil工具类反序列化出现ClassNotFoundException异常:" + e.getMessage());
} catch (IOException e) {
log.error("SerializableUtil工具类反序列化出现IOException异常:{}", e.getMessage());
throw new CustomException("SerializableUtil工具类反序列化出现IOException异常:" + e.getMessage());
} finally {
Assert.notNull(objectInputStream,"资源关闭异常");
Assert.notNull(byteArrayInputStream,"资源关闭异常");
try {
objectInputStream.close();
byteArrayInputStream.close();
} catch (IOException e) {
log.error("SerializableUtil工具类反序列化出现资源关闭异常");
throw new CustomException("SerializableUtil工具类反序列化出现资源关闭异常");
}
}
}
}
5.定义 Jwt 工具类
package com.mqb.auth.infra.utils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.mqb.auth.infra.exception.CustomException;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Value;
import java.util.Calendar;
import java.util.Date;
import java.util.GregorianCalendar;
/**
* @Description:
* @Author: qingbomy
* @Email:
* @Date: 2022/9/16:19:52
*/
@Slf4j
public class JwtUtil {
/**
* JWT认证加密私钥(Base64加密)
*/
private static String secret = "mcdaps2=1@!";
/**
* 生成签名token
*
* @param phoneNumber 帐号
* @param currentTimeMillis 当前时间戳
* @return java.lang.String 返回加密的Token
*/
public static String generateToken(String phoneNumber, String currentTimeMillis) {
try {
Calendar instance = Calendar.getInstance();
//1天后过期
instance.add(Calendar.DATE,1);
Algorithm algorithm = Algorithm.HMAC256(secret);
return JWT.create()
.withClaim("phoneNumber", phoneNumber)
.withClaim("currentTimeMillis", currentTimeMillis)
.withExpiresAt(instance.getTime())
.sign(algorithm);
} catch (Exception e) {
log.error("JWTToken加密出现UnsupportedEncodingException异常:{}", e.getMessage());
throw new CustomException("JWTToken加密出现UnsupportedEncodingException异常:" + e.getMessage());
}
}
/**
* @param token 验证签名token
*/
public static boolean verify(String token) {
try {
Algorithm algorithm = Algorithm.HMAC256(secret);
JWTVerifier verifier = JWT.require(algorithm).build();
verifier.verify(token);
return true;
} catch (Exception e) {
log.error("JWTToken认证解密出现UnsupportedEncodingException异常:{}", e.getMessage());
throw new CustomException("JWTToken认证解密出现UnsupportedEncodingException异常:" + e.getMessage());
}
}
/**
* 获得Token中的信息无需secret解密也能获得
*/
public static String getClaim(String token, String claim) {
try {
DecodedJWT decode = JWT.decode(token);
return decode.getClaim(claim).asString();
} catch (JWTDecodeException e) {
log.error("解密Token中的公共信息出现JWTDecodeException异常:{}", e.getMessage());
throw new CustomException("解密Token中的公共信息出现JWTDecodeException异常:" + e.getMessage());
}
}
}
6.自定义过滤器 JwtFilter
isAccessAllowed 总是返回 true 的原因
例如我们提供一个地址 GET /article 登入用户和游客看到的内容是不同的 如果在这里返回了false,请求会被直接拦截,用户看不到任何东西 所以我们在这里返回true,Controller中可以通过 subject.isAuthenticated() 来判断用户是否登入 如果有些资源只有登入用户才能访问,我们只需要在方法上面加上 @RequiresAuthentication 注解即可 但是这样做有一个缺点,就是不能够对GET,POST等请求进行分别过滤鉴权(因为我们重写了官方的方法),但实际上对应用影响不大
/**
* @Description:
* @Author: qingbomy
* @Email:
* @Date: 2022/9/16:22:25
*/
@Slf4j
public class JwtFilter extends BasicHttpAuthenticationFilter {
/**
* @Description:总是返回true,原因是让未登录的也能看到数据,但是和已经登陆的用户看到的不一样
*/
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
boolean loginAttempt = this.isLoginAttempt(request, response);
// 如果是尝试登录
if (loginAttempt) {
try {
// 进行Shiro的登录UserRealm
this.executeLogin(request, response);
} catch (Exception e) {
String message = e.getMessage();
Throwable cause = e.getCause();
if (cause instanceof SignatureVerificationException) {
message = "Token或者密钥不正确(" + cause.getMessage() + ")";
} else if (cause instanceof TokenExpiredException) {
if (this.refreshToken(request, response)) {
return true;
} else {
message = "Token已过期(" + cause.getMessage() + ")";
}
} else {
// 应用异常不为空
if (cause != null) {
// 获取应用异常msg
message = cause.getMessage();
}
}
this.response401(response, message);
return false;
}
} else {
//不是尝试登录,没有携带token
HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
String method = httpServletRequest.getMethod();
String requestURI = httpServletRequest.getRequestURI();
log.info("当前请求 {} Authorization属性(Token)为空 请求类型 {}", requestURI, method);
}
return true;
}
/**
* 为什么重写
* 可以对比父类方法,只是将executeLogin方法调用去除了
* 如果没有去除将会循环调用doGetAuthenticationInfo方法
*/
@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
this.sendChallenge(request, response);
return false;
}
/**
* 检测Header里面是否包含Authorization字段,有就进行Token登录认证授权
*/
@Override
protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
// 拿到当前Header中Authorization的AccessToken(Shiro中getAuthzHeader方法已经实现)
String token = this.getAuthzHeader(request);
return token != null;
}
/**
* 进行AccessToken登录认证授权
*/
@Override
protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
// 拿到当前Header中Authorization的AccessToken(Shiro中getAuthzHeader方法已经实现)
JwtToken token = new JwtToken(this.getAuthzHeader(request));
// 提交给UserRealm进行认证,如果错误他会抛出异常并被捕获
this.getSubject(request, response).login(token);
// 如果没有抛出异常则代表登入成功,返回true
return true;
}
/**
* 对跨域提供支持
*/
@Override
protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
return super.preHandle(request, response);
}
/**
* 此处为AccessToken刷新,进行判断RefreshToken是否过期,未过期就返回新的AccessToken且继续正常访问
*/
private boolean refreshToken(ServletRequest request, ServletResponse response) {
// 拿到当前Header中Authorization的AccessToken(Shiro中getAuthzHeader方法已经实现)
String token = this.getAuthzHeader(request);
// 获取当前Token的帐号信息
String phoneNumber = JwtUtil.getClaim(token, "phoneNumber");
// 判断Redis中RefreshToken是否存在
if (JedisUtil.exists(Constant.Shiro.PREFIX_SHIRO_REFRESH_TOKEN + phoneNumber)) {
// Redis中RefreshToken还存在,获取RefreshToken的时间戳
String currentTimeMillisRedis = JedisUtil.getObject(Constant.Shiro.PREFIX_SHIRO_REFRESH_TOKEN + phoneNumber).toString();
// 获取当前AccessToken中的时间戳,与RefreshToken的��时间戳对比,如果当前时间戳一致,进行AccessToken刷新
if (JwtUtil.getClaim(token, "currentTimeMillis").equals(currentTimeMillisRedis)) {
// 获取当前最新时间戳
String currentTimeMillis = String.valueOf(System.currentTimeMillis());
// 设置RefreshToken中的时间戳为当前最新时间戳,且刷新过期时间重新为30分钟过期(配置文件可配置refreshTokenExpireTime属性)
JedisUtil.setObject(Constant.Shiro.PREFIX_SHIRO_REFRESH_TOKEN + phoneNumber, currentTimeMillis, Constant.Shiro.REFRESH_TOKEN_EXPIRE_TIME);
// 刷新AccessToken,设置时间戳为当前最新时间戳
token = JwtUtil.generateToken(phoneNumber, currentTimeMillis);
// 将新刷新的AccessToken再次进行Shiro的登录
JwtToken jwtToken = new JwtToken(token);
// 提交给UserRealm进行认证,如果错误他会抛出异常并被�捕获,如果没有抛出异常则代表登入成功,返回true
this.getSubject(request, response).login(jwtToken);
// 最后将刷新的AccessToken存放在Response的Header中的Authorization字段返回
HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
httpServletResponse.setHeader("Authorization", token);
httpServletResponse.setHeader("Access-Control-Expose-Headers", "Authorization");
return true;
}
}
return false;
}
/**
* 无需转发,直接返回Response信息
*/
private void response401(ServletResponse response, String msg) {
HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
httpServletResponse.setStatus(HttpStatus.UNAUTHORIZED.value());
httpServletResponse.setCharacterEncoding("UTF-8");
httpServletResponse.setContentType("application/json; charset=utf-8");
try (PrintWriter out = httpServletResponse.getWriter()) {
String data = JSON.toJSONString(new ResponseBean(HttpStatus.UNAUTHORIZED.value(),
"无权访问(Unauthorized):" + msg, null));
out.append(data);
} catch (IOException e) {
log.error("直接返回Response信息出现IOException异常:{}", e.getMessage());
throw new CustomException("直接返回Response信息出现IOException异常:" + e.getMessage());
}
}
}
7.自定义 realm
package com.mqb.auth.infra.shiro;
import com.mqb.auth.app.feign.MageFeign;
import com.mqb.auth.domain.Permission;
import com.mqb.auth.domain.Role;
import com.mqb.auth.domain.vo.UserVo;
import com.mqb.auth.infra.exception.CustomException;
import com.mqb.auth.infra.utils.JedisUtil;
import com.mqb.auth.infra.utils.JwtUtil;
import com.mqb.infra.Constant;
import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.Assert;
import javax.annotation.Resource;
import java.util.List;
import java.util.stream.Collectors;
/**
* @Description:
* @Author: qingbomy
* @Email:
* @Date: 2022/9/16:21:49
*/
public class UserRealm extends AuthorizingRealm {
@Resource
private MageFeign mageFeign;
/**
* 授权
*
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
String phoneNumber = (String) principalCollection.getPrimaryPrincipal();
List<Permission> permissions = mageFeign.queryPermsByPhone(phoneNumber);
List<Role> roles = mageFeign.queryRolesByPhone(phoneNumber);
simpleAuthorizationInfo.setRoles(roles.stream().map(Role::getRoleName).collect(Collectors.toSet()));
simpleAuthorizationInfo.setStringPermissions(permissions.stream().map(Permission::getResourcePath).collect(Collectors.toSet()));
return simpleAuthorizationInfo;
}
/**
* 认证
*
* @param authenticationToken
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
JwtToken jwt = (JwtToken) authenticationToken;
String token = (String) jwt.getPrincipal();
String phoneNumber = JwtUtil.getClaim(token, "phoneNumber");
if (StringUtils.isEmpty(phoneNumber)) {
throw new UnknownAccountException();
}
UserVo user = mageFeign.queryUserByPhone(phoneNumber);
if (user == null) {
throw new UnknownAccountException("账号不存在");
}
boolean verify = JwtUtil.verify(token);
Boolean exists = JedisUtil.exists(Constant.Shiro.PREFIX_SHIRO_REFRESH_TOKEN + phoneNumber);
// 开始认证,Token认证通过,且Redis中存在RefreshToken,且两个Token时间戳一致
if (verify && exists) {
// 获取RefreshToken的时间戳
Object object = JedisUtil.getObject(Constant.Shiro.PREFIX_SHIRO_REFRESH_TOKEN + phoneNumber);
Assert.notNull(object, "");
String currentTimeMillisRedis = object.toString();
// 获取AccessToken时间戳,与RefreshToken的时间戳对比
if (JwtUtil.getClaim(token, "currentTimeMillis").equals(currentTimeMillisRedis)) {
//如果一直就正常返回
return new SimpleAuthenticationInfo(phoneNumber, token, "userRealm");
}
}
throw new AuthenticationException("Token已过期");
}
}
8.ShiroConfig
package com.mqb.auth.infra.shiro;
import com.mqb.auth.infra.shiro.cache.CustomCacheManager;
import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;
/**
* @Description:
* @Author: qingbomy
* @Email:
* @Date: 2022/9/16:22:13
*/
@Configuration
public class ShiroConfig {
@Bean
public UserRealm userRealm() {
UserRealm userRealm = new UserRealm();
userRealm.setAuthenticationTokenClass(JwtToken.class);
return userRealm;
}
@Bean
public SecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
// 关闭Shiro自带的session
DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
securityManager.setSubjectDAO(subjectDAO);
// 设置自定义Cache缓存
securityManager.setCacheManager(new CustomCacheManager());
securityManager.setRealm(userRealm());
return securityManager;
}
/**
* 添加自己的过滤器,自定义url规则
*/
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager());
shiroFilterFactoryBean.setLoginUrl("/user/toLogin");
//设置jwt过滤器
Map<String, Filter> filterMap = new HashMap<>(16);
filterMap.put("jwt", new JwtFilter());
shiroFilterFactoryBean.setFilters(filterMap);
LinkedHashMap<String, String> map = new LinkedHashMap<>();
//用户登录不需要验证
map.put("/user/login", "anon");
map.put("/user/register", "anon");
//对于/shiro/**下的所有资源都需要jwt并验证对于权限才可访问
map.put("/shiro/**", "jwt");
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
return shiroFilterFactoryBean;
}
/**
* 添加注解支持
*/
@Bean
@DependsOn("lifecycleBeanPostProcessor")
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
// 强制使用cglib,防止重复代理和可能引起代理出错的问题
defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
return defaultAdvisorAutoProxyCreator;
}
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
return new LifecycleBeanPostProcessor();
}
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager);
return advisor;
}
}
测试
1、登录逻辑
当用户登录成功,jwtToken 会通过 HttpServletResponse 进行返回
之后用户的每次请求都会在请求头中携带 token。
2、测试登录
不携带 token 访问两个 controller
访问 localhost:8080/user/article2,需要登录才可
访问 localhost:8080/user/article 显示游客访问的是数据
带上 token 再次访问
访问 localhost:8080/user/article2 和 localhost:8080/user/article
遇到的问题
1、Shiro 跳转登录 url 后面会加上 JSESSIONID 导致报错
想要去掉 JSESSIONID 就需要重写会话管理器DefaultWebSessionManager,然后注入到securityManager中。
@Bean
public DefaultWebSessionManager sessionManager() {
DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
// 去掉shiro登录时url里的JSESSIONID
sessionManager.setSessionIdUrlRewritingEnabled(false);
return sessionManager;
}
之后在SecurityManager的 bean 中去将SessionManager设置为上面的sessionManager
@Bean
@Autowired
public DefaultWebSecurityManager defaultWebSecurityManager(MageRealm mageRealm,@Qualifier("sessionManager") DefaultWebSessionManager sessionManager){
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
defaultWebSecurityManager.setSessionManager(sessionManager);
defaultWebSecurityManager.setRealm(mageRealm);
return defaultWebSecurityManager;
}
2、当使用注解配置权限或角色时,如果没有匹配,那么会报 500 错误
配置全局异常
@Slf4j
@RestControllerAdvice
public class GlobalException {
@ExceptionHandler(AuthorizationException.class)
public Object handler() {
// return ResponseData.error(ResponseCode.NO_AUTH);
return "无权访问";
}
}
3、当第一次登录时,mage 服务总是报错Connection reset
解决方法:
[261]Connection reset by peer 的常见原因及解决办法_周小董的博客-CSDN 博客_connection peer
4、某些路径拦截不了
部分路径无法进行拦截,时有时无;因为使用的是 hashmap, 无序的,应该改为 LinkedHashMap
5、缓存更新的问题
细说 shiro 之七:缓存 - nuccch - 博客园 (cnblogs.com)
6、第二次登录报错 SerializationException
问题描述:当第一次登录成功后,redis 中缓存了认证信息。退出,再重新登录就会出现序例化异常
Could not read JSON: Problem deserializing 'setterless' property ("realmNames"): no way to handle typed deser with setterless yet
shiro 的 session 信息放 redis 反序列化异常解决 - 知乎 (zhihu.com)
场景复原
第一次登录,能正常登陆成功,并且等根据权限对按钮授权
redis 中存的数据
点击退出之后重新登陆
分析
对比 redis 中存的数据查看 shiro 源码发现,shiro 会将 redis 中存储的数据反序例化为SimpleAuthenticationInfo类,该类实现了MutablePrincipalCollection接口,里面有个realmNames字段,但是只有getRealmNames()方法,并没有 setRealmNames()方法,导致反序例化时不能将realmNames正确的赋值,就产生了SerializationException.
并告诉我们Could not read JSON: Problem deserializing 'setterless' property ("realmNames"): no way to handle typed deser with setterless yet
就是 shiro 的 SimplePrincipalCollection 类中 realmNames 字段没有 setter 方法,没办法反序列化。
为一探究竟,查找源码发现SimpleAuthenticationInfo以及他的父类并没有 realmNames 字段。只有getRealmNames()方法,发现 realmNames 是由其他字段动态生成的
解决思路:
尝试设置objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false),但是跟踪了一圈源码之后,发现因为有 getter,这个字段已经不算未知字段了。。。
后来研究发现这个 realmNames 并没有实际的意义,那么就可以在序例化的时候不序例化该字段,只需要在realmNames属性上面加注解@JsonIgnore 就可以解决。但是这个类是框架 jar 包的类无法修改。
所以需要使用不一样的方式
- 更改 ObjectMapper 配置
ObjectMapper objectMapper = new ObjectMapper();
objectMapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
//objectMapper.configure(MapperFeature.USE_ANNOTATIONS, false);
objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
objectMapper.configure(SerializationFeature.FAIL_ON_EMPTY_BEANS, false);
//只序列化必要shiro字段
String [] needSerialize = {
"realmPrincipals"};
objectMapper.addMixIn(SimplePrincipalCollection.class, IncludShiroFields.class);
objectMapper.setFilters(new SimpleFilterProvider().addFilter("shiroFilter", SimpleBeanPropertyFilter.filterOutAllExcept(needSerialize)));
// 此项必须配置,否则会报java.lang.ClassCastException: java.util.LinkedHashMap cannot be cast to XXX
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY);
objectMapper.setSerializationInclusion(JsonInclude.Include.NON_NULL);
核心就是 objectMapper.addMixIn()和 objectMapper.setFilters()两个方法 SimplePrincipalCollection 是需要处理的类,IncludShiroFields 就是一个简单的接口,如下:
@JsonFilter("shiroFilter")
public interface IncludShiroFields {
}
通过上面的配置间接控制 SimplePrincipalCollection 类中必要字段的序列化,从而解决了问题。 ps:因为使用了注解,一定要去掉 objectMapper.configure(MapperFeature.USE_ANNOTATIONS, false),不然配置不生效。
-
利用双亲委派机制重写源码
-
关闭认证缓存(最终解决)
-
JWT 报不支持的异常
"Realm [" + realm + "] does not support authentication token [" + token + "]. Please ensure that the appropriate Realm implementation is configured correctly or that the realm accepts AuthenticationTokens of this type.";
解决方法
需要实现 AuthorizingRealm 的 supports()方法