springboot-权限控制shiro（二）-copy

1. 场景描述

（1）最近有点小忙，公司真实项目内容有点小多以及不想只介绍理论，就使用springboot单独部署了个shiro的demo项目，还是理论和实际项结合比较好理解，介绍起来和修改也方便。

（2）接下来介绍springboot集成shrio，springboot-权限控制shiro（二），本节先不连数据库，先介绍springboot下shiro框架如何使用。（springboot-权限控制shiro(一)）

2. 解决方案

2.1 整体介绍

2.1.1 项目图

2.1.2 整体说明

shiro的demo项目主要包含三块内容：

（1）1是pom文件，获取相关jar包；

（2）2是资源（resources），一个配置文件以及6个演示页面；

（3）3是主类，包含启动类、控制类、shiro配置类。

2.1.3 shiro 过滤器说明

（1）认证过滤器
anon：用户不需要认证也可以访问
authc: 用户必须认证才可以访问
user：用户只要rememberMe，就可以访问
（2）授权过滤器
perms: 基于资源的授权过滤器
roles : 基于角色的授权过滤器

本节只使用了anon、authc认证过滤与perms资源授权过滤器，简单说shiro就是通过这些过滤器实现的权限控制。

2.2 pom文件

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.6.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.laowang</groupId>
    <artifactId>lwshiro</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>lwshiro</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

说明：

重点是两个gav

1. spring-boot-starter-thymeleaf ---结合页面使用（2.2）

2. shiro-spring  -----shiro核心包

2.3 resource（页面及配置类）

2.3.1 application.properties

server.port=8000
spring.thymeleaf.cache=false

说明：启动端口号改成了8000；cache=false是为了更改页面后不用重启服务，可忽略。

2.3.2 六个页面

（1）index.html

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>软件老王主页</title>
</head>
<body>
<h3>软件老王主页</h3>

当前用户名：<span th:text="${session.userName}"></span>，<a href="/user/logout">注销</a>

<hr/>
<span>
<a href="/page/toa">页面1</a><br/>
</span>
<span >
<a href="/page/tob">页面2</a><br/>
</span>
<span >
<a href="/page/toc">页面3</a><br/>
</span>

</body>
</html>

（2）login.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>登录页面</title>
</head>
<body>
<h3>登录</h3>
<font color="red" th:text="${msg}"></font>

<form method="post" action="/user/login">
  用户名：<input type="text" name="name"/><br/>
  密码：<input type="password" name="password"/><br/>
  <input type="submit" value="登录">
</form>
</body>
</html>

（3）unauth.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>未授权提示页面</title>
</head>
<body>
i'm 软件老王,没有权限访问此页面
</body>
</html>

（4）a.html、 b.html、 c.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>i'm 软件老王,页面a</title>
</head>
<body>
i'm 软件老王,页面a
</body>
</html>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>i'm 软件老王,页面b</title>
</head>
<body>
i'm 软件老王,页面b
</body>
</html>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>i'm 软件老王,页面c</title>
</head>
<body>
i'm 软件老王,页面c
</body>
</html>

说明： 几个页面就不多说，仅仅为了说明问题新建的，有个标签可以关注下 th，这个是thymeleaf里面的，结合页面使用。

2.4 java类

2.4.1 启动类（LwshiroApplication）

package com.laowang.lwshiro;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class LwshiroApplication {

    public static void main(String[] args) {
        SpringApplication.run(LwshiroApplication.class, args);
    }

}

说明： springboot项目启动类。

2.4.2 用户登录类（UserController）

package com.laowang.lwshiro.controller;


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

import javax.servlet.http.HttpServletRequest;

/**
 * 用户登录类
 * @auther: 软件老王
 * @date: 2019/7/30
 */
@Controller
@RequestMapping("/user")
public class UserController {
    @RequestMapping("/login")
    public String login(User user, HttpServletRequest request,
                        Model model) {

        Subject subject = SecurityUtils.getSubject();
        AuthenticationToken token = new UsernamePasswordToken(user.getName(),
                user.getPassword());

        try {
            subject.login(token);
            User tuser = (User)subject.getPrincipal();
            request.getSession().setAttribute("userName",tuser.getName());

            return "redirect:/index";
        } catch (UnknownAccountException e) {
            model.addAttribute("msg", "i'm 软件老王,用户名不存在");
            return "login";
        } catch (IncorrectCredentialsException e) {
            model.addAttribute("msg", "i'm 软件老王,密码错误");
            return "login";
        }
    }

    /**
     * i'm 软件老王，注销方法
     */
    @RequestMapping("/logout")
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout(); //shiro底层删除session的会话信息
        return "redirect:/toLogin";
    }

}

说明：

重点就以下3行代码

 Subject subject = SecurityUtils.getSubject();       -----------#1
        AuthenticationToken token = new UsernamePasswordToken(user.getName(),
                user.getPassword());        ---------#2

        try {
            subject.login(token);            ----------#3

（1）第一行是从工厂中获取subject，登录用户操作类；

（2）将从页面获取的用户名和密码设置到一个token中；

（3）调用登录有用户操作类的login方法；

（4）会在MyRealm类的doGetAuthenticationInfo方法中获取到登录的token与数据库中（目前写的固定值）进行认证过滤比对。

2.4.3 接收参数类（User)

package com.laowang.lwshiro.controller;

import java.io.Serializable;

/**
 * 接收参数类
 * @auther: 软件老王
 * @date: 2019/7/30
 */
public class User implements Serializable{

	private Integer id;
	private String name;
	private String password;
	public Integer getId() {
		return id;
	}
	public void setId(Integer id) {
		this.id = id;
	}
	public String getName() {
		return name;
	}
	public void setName(String name) {
		this.name = name;
	}
	public String getPassword() {
		return password;
	}
	public void setPassword(String password) {
		this.password = password;
	}
	@Override
	public String toString() {
		return "User [id=" + id + ", name=" + name + ", password=" + password + "]";
	}
	
	
}

说明： 接收参数类

2.4.4 页面跳转(PageController)

package com.laowang.lwshiro.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * 页面跳转
 * @auther: 软件老王
 * @date: 2019/7/30
 */
@Controller
@RequestMapping("/page")
public class PageController {

	/**
	 * i'm 软件老王
	 */
	@RequestMapping("/toa")
	public String toAdd(){
		return "page/a";
	}
	/**
	 * i'm 软件老王
	 */
	@RequestMapping("/tob")
	public String toList(){
		return "page/b";
	}
	/**
	 * i'm 软件老王
	 */
	@RequestMapping("/toc")
	public String toUpdate(){
		return "page/c";
	}
}

说明： 控制跳转类，没啥值的说的。

2.4.5 主控制类(MainController)

package com.laowang.lwshiro.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 *  主控制类
 * @auther: 软件老王
 * @date: 2019/7/30
 */
@Controller
@RequestMapping("/")
public class MainController {
	/**
	 * i'm 软件老王
	 */
	@RequestMapping("/index")
	public String index(){
		return "index";
	}
	/**
	 * i'm 软件老王
	 */
	@RequestMapping("/toLogin")
	public String toLogin(){
		return "login";
	}
	/**
	 * i'm 软件老王
	 */
	@RequestMapping("/unAuth")
	public String unAuth(){
		return "unauth";
	}

}

**说明： **主控制类，也没啥值的说的。

2.4.6 shiro主配置类(ShiroConfig)

package com.laowang.lwshiro.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 *  shiro主配置类
 * @auther: 软件老王
 * @date: 2019/7/30
 */
@Configuration
public class ShiroConfig {

    /**
     * i'm 软件老王
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String, String> filterMap = new LinkedHashMap<>();
        //登录
        filterMap.put("/page/toa", "anon");
        filterMap.put("/user/login", "anon");

        //授权过滤器
//        filterMap.put("/page/toa", "perms[toa]");
        filterMap.put("/page/tob", "perms[tob]");
        filterMap.put("/page/toc", "perms[toc]");

        filterMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

        shiroFilterFactoryBean.setLoginUrl("/toLogin");
        shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");

        return shiroFilterFactoryBean;

    }

    /**
     * i'm 软件老王
     */
    @Bean
    public DefaultWebSecurityManager getSecurityManager(MyRealm myRealm) {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(myRealm);
        return defaultWebSecurityManager;
    }

    /**
     * i'm 软件老王
     */
    @Bean
    public MyRealm getMyReal() {
        MyRealm myReal = new MyRealm();
        return myReal;
    }
}

说明：

这个是shiro的主配置类，重点说一下，这个类中包含了三个bean，分别为：

（1）getShiroFilterFactoryBean这个bean是关键，用于设定过滤器，本节的授权写的固定的，下节将从数据库中获取，在这个bean中设置认证过滤、授权过滤、登录页及无权限页，非常重要。

（2）getSecurityManager这个类是跟前面的 Subject subject = SecurityUtils.getSubject()有关系的，通过这里配置MyRealm，将登录控制与shiro关联起来；

（3）getMyReal 这个bean是为了注入MyRealm类；

2.4.7 shiro配置类(MyRealm)

package com.laowang.lwshiro.config;

import com.laowang.lwshiro.controller.User;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 *  shiro配置类
 * @auther: 软件老王
 * @date: 2019/7/30
 */
public class MyRealm extends AuthorizingRealm {
    /**
     * i'm 软件老王
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermission("toa");
        info.addStringPermission("toc");
        return info;
    }
    /**
     * i'm 软件老王
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
        String  name ="laowang";
        String  password="123";

        if (!token.getUsername().equalsIgnoreCase(name)) {
            return null;
        }
        User tuser = new User();
        tuser.setName(name);
        tuser.setPassword(password);
        return  new SimpleAuthenticationInfo(tuser,tuser.getPassword(),"");
    }
}

说明

这个类是项目的具体配置类，每个项目都可能会不一样。

（1） doGetAuthorizationInfo这个是授权方法，结合登录用户使用，从数据库中查询出登录人具有的权限信息，有权限的话，放行；没有权限的转到unauth页面；

（2）doGetAuthenticationInfo这个是认证方法，在登录控制处调用subject.login方法后，就会跳转到这里进行认证操作，用户名直接跟从数据库中查询比对，密码赋值到SimpleAuthenticationInfo类在shiro中进行比对，根据返回情况在登录控制处进行提示。

2.5 效果

2.5.1 登录页

访问地址：http://localhost:8000

2.5.2 首页

登录账户：laowang，密码：123

（1）登录成功

（2）登录失败

2.5.3 访问页面

在myrealm中设置了所有用户对a页面和c页面有操作权限，对b页面没有，这一块本节写的固定的，下一节会从数据库中根据用户名查询登录人拥有的权限。

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermission("toa");
        info.addStringPermission("toc");
        return info;
    }

（1）访问页面a

（2）访问页面b

---

I’m 「软件老王」，如果觉得还可以的话，关注下呗，后续更新秒知！欢迎讨论区、同名公众号留言交流！