• SpringBoot + Shiro + shiro.ini 的踩坑记录



    0、写在前面的话

    好久没写博客了,诶,好多时候偷懒直接就抓网上的资料丢笔记里了,也就没有自己提炼,偷懒偷懒。然后最近参加了一个网络课程,要交作业的那种,为了能方便看下其他同学的作业,就写了个爬虫把作业爬下来,进而想到如果以后还有类似这种情况,我需要一个非常轻量化的架子,但是权限依然是必须要用到的,否则写个接口人人都可以调用那还得了,但是我仅仅需要一个人或者一两个人的权限配置就可以了,所以像之前我写过一个基于RBAC的架子甚至都还是有点嫌重(而且那个架子还没有前端页面,哈,真是懒),所以想到了用shiro.ini。

    Shiro在很多quick start的demo中都用到了shiro.ini配置文件,用来配置账户密码、角色、权限,它也写好了现成的方法可以读取文件直接给你配置好SecurityManager,所以省去了自己在代码里定义Realm、配置过滤器啥的,但是实际上大家在做Web时基本都不用这玩意儿,因为自定义其实也不是很费时,我也就是蛋疼吧,既然都鼓捣了,那就还是鼓捣到有个雏形。

    1、踩坑记录

    Shiro好久没碰了,又重新回顾了下大概几个概念:
    • SecurityManager是核心,所有和安全有关的操作都要和它交互,而且管理者所有Subject
    • Realm用来验证用户,可以理解为DataSource安全数据源
    • 权限拦截是通过过滤器,配置好urls和shiro默认过滤器的映射关系,shiro将会对requestUrl进行过滤链的匹配,并选择过滤器进行处理

    [users]
    zhang=123,admin
    wang=123,admin,vip
    
    [roles]
    admin=user:delete
    
    
    [urls]
    /static/**=anon
    /login=anon
    /authc/admin/user/delete=perms["user:delete"]
    /authc/admin/user/create=perms["user:create"]
    /authc/admin/**=roles[admin]
    /authc/home=roles[admin,vip]
    /authc/**=authc
    shiro.ini中的 [main] 用不上了,因为这部分的配置和SpringBoot结合就在类中进行配置,这里就不需要了,只需要 [users]、[roles]、[urls],其中[users] 和 [roles] 用来创建 Realm,[urls] 用来配置过滤器

    踩坑:
    • urls过滤匹配中,是按顺序执行匹配到的第一个过滤器,所以要注意顺序,如上图如果把 /authc/** 放在开头,后面的基本就匹配不到了
    • urls中对于诸如perms或roles的描述,是“且”不是“或”
      • 比如 roles[admin,vip] 表示同时拥有admin和vip角色的账户,而不是拥有admin或vip角色的账户
    • * 匹配零个或多个字符    ** 匹配零个或多个路径

    @Configuration
    public class ShiroConfig {
    
        @Bean
        public DefaultWebSecurityManager securityManager() {
            Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
            SecurityManager securityManager = factory.getInstance();
    
            DefaultSecurityManager defaultSecurityManager = (DefaultSecurityManager) securityManager;
            DefaultWebSecurityManager webSecurityManager = new DefaultWebSecurityManager();
            webSecurityManager.setRealms(defaultSecurityManager.getRealms()); //important
    
            SecurityUtils.setSecurityManager(securityManager);
            return webSecurityManager;
        }
    
        @Bean
        public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
            ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
            shiroFilterFactoryBean.setSecurityManager(securityManager); 
    
            Ini ini = new Ini();
            ini.loadFromPath("classpath:shiro.ini");
            Map<String, String> map = new LinkedHashMap<>();
    
            ini.getSection("urls").entrySet().forEach(url -> {
                map.put(url.getKey(), url.getValue());
            });
            //过滤链
            shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
    
            shiroFilterFactoryBean.setLoginUrl("/login");
            shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized");
            return shiroFilterFactoryBean;
        }
    
    }

    踩坑
    • SecurityManager是一定要有的,但是Shiro中读取shiro返回的是 DefaultSecurityManager,因为是Web应用我们需要的是 DefaultWebSecurityManager,所以把 DefaultSecurityManager的Realms 提出来给 DefaultWebSecurityManager
    • 过滤链还是得注入在Bean中的 FilterChainDefinitionMap 属性才是,所以对于shiro.ini的配置,使用 Ini 类的 loadFromPath 来读取,再放置到map中

    ...
    <packaging>war</packaging>
    ...
    
    ...
    <!-- jsp支持 start -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-tomcat</artifactId>
        <scope>provided</scope>
    </dependency>
    
    <dependency>
        <groupId>org.apache.tomcat.embed</groupId>
        <artifactId>tomcat-embed-jasper</artifactId>
    </dependency>
    <!-- jsp支持 end -->
    ...
    #application.properties
    spring.mvc.view.prefix=/WEB-INF/pages/
    spring.mvc.view.suffix=.jsp

    SpringBoot 对 JSP 的支持并不友好,所以需要一些额外的配置,参考资料《Spring Boot 添加 JSP 支持

  • 相关阅读:
    幸运序列(lucky) 模拟
    無名(noname) 字符串
    香港记者 图论
    Jmeter接口测试系列之参数化方法
    jmeter接口测试-总结
    python字符串
    python变量
    7.15-ROS可视化工具-标记
    6.22-Actionlib
    7.1-Move_base 参数调整
  • 原文地址:https://www.cnblogs.com/deng-cc/p/10789631.html
Copyright © 2020-2023  润新知