springmvc简单集成shiro

 

前言:
  有天和同事聊天, 谈起权限管理, 他说他有个同事用shiro用的很溜. 正好现在有个管理平台项目, 有权限控制的需求, 因此想借此机会研究一番.
  本文主要简单讲解一下对shiro的一些认识, 比较浅显, 同时用一个小的演示demo, 来简单实践一下.

 

shiro简介:
  shiro是apache旗下的一个开源安全组件, 它比spring security更容易集成和使用.
  官网地址为: Shiro.
  其整个架构图如下:
  
  我觉得核心的一下几个概念:
  Subject:主题, 可以理解为用户的超级session, 通过其可以进行认证/授权/权限验证.
  SecurityManager:他是 Shiro 的心脏;所有组件都交互都通过SecurityManager进行控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
  Realm:它维护了认证/授权的具体实现.
  至于SessionManager, CacheManager, 这些都属于更进一步的研究, 暂时放放.

 

通过权限系统设计思想:
  其实权限系统发展到现在, 由两种主流的做法: 基于角色的权限控制/基于资源的权限控制.
  数据模型图大致如下:
  
  通常把资源和权限整合为'新权限', 数据模型图如下:
  
  注: 该图来源于博文: 从权限到shiro框架.
  而shiro显然也顺从这种设计思路, 它的权限校验, 主要有role/permission两种方式.

// 1) 校验资源权限
SecurityUtils.getSubject().checkPermission("blog:write");
// 2) 校验角色 
SecurityUtils.getSubject().checkRole("admin");

  

整合实践:
  整合的springmvc demo参考自官网文档 https://shiro.apache.org/spring.html.
  添加maven依赖:

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.0</version>
    <exclusions>
        <exclusion>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-api</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.4.0</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

  编写AuthorizingRealm的自定义实现类:

public class DemoRealm extends AuthorizingRealm {

    // *) 校验权限时, 被回调
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        // 可以添加业务代码

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        // *) 添加role
        info.addRole("admin");

        // *) 添加权限(资源+权限)
        info.addStringPermission("blog:write");
        info.addStringPermission("blog:read");
        return info;

    }

    // *) 认证时被调用
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
            throws AuthenticationException {

        // 可以添加业务代码

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(
                authenticationToken.getPrincipal(),
                authenticationToken.getCredentials(),
                "simple"
        );

        return info;
    }

}

  在web.xml中添加filter

<!-- 添加spring相关的配置文件&属性, 和shiro无关, 但需确保容器的相关bean优于shiroFilter之前创建 -->
<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>/WEB-INF/conf/applicationContext*.xml</param-value>
</context-param>
<listener>
	<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<!-- shiro默认的filter -->
<filter>
	<description>shiro</description>
	<filter-name>shiroFilter</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	<init-param>
		<param-name>targetFilterLifecycle</param-name>
		<param-value>false</param-value>
	</init-param>
</filter>
<filter-mapping>
	<filter-name>shiroFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

  然后在applicationContext.xml添加shiro的相关bean, 这个最简化的情形.

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!-- 配置进行授权和认证的 Realm -->
    <bean id="myRealm" class="com.springapp.mvc.shiro.DemoRealm" />

    <!-- 配置 Shiro 的 SecurityManager Bean. -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="myRealm"/>
    </bean>

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

  编写测试用例:

@Controller
@RequestMapping("/")
public class HelloController {

	@RequestMapping(value="/login", method={RequestMethod.POST, RequestMethod.GET})
	@ResponseBody
	public String login(
			@RequestParam("username") String username,
			@RequestParam("password") String password
	) {
		// 登陆, 既完成shiro的认证流程
		Subject subject = SecurityUtils.getSubject();
		AuthenticationToken token = new UsernamePasswordToken("username", "password");
		subject.login(token);
		return "ok";
	}

	@RequestMapping(value = "/test1", method = {RequestMethod.GET, RequestMethod.POST})
	@ResponseBody
	public String test1() {
		// *) 权限存在, 校验会回调授权实现
		SecurityUtils.getSubject().checkPermission("blog:write");
		return "test1";
	}

	@RequestMapping(value = "/test2", method = {RequestMethod.GET, RequestMethod.POST})
	@ResponseBody
	public String test2() {
		// *) 权限不存在, 校验会回调授权实现
		SecurityUtils.getSubject().checkPermission("blog:write1");
		return "test2";
	}

}

  

测试:
  就是单纯的测试shiro的认证什么时候进行, 授权又是什么时候被回调.
  case 1: 测试认证过程
  直接rest api调用/login, 观察到自定义的DemoRealm的doGetAuthenticationInfo方法被回调, 此时认证成功.
  case 2: 不经过认证, 访问受权限保护的资源
  无论调用/test1, /test2都返回UnauthenticatedException的异常.
  case 3: 经过认证后, 访问受权限保护的资源
  访问/test1, pass
  访问/test2, nopass
  结果符合预期, 而且观察到DemoRealm的doGetAuthorizationInfo方法被回调, 用户的权限列表默认没缓存(官方推荐ehcache做缓存).

 

引入注解:
  除了硬编码, 权限资源的check, 还可以引入注解来实现.
  在之前的applicationContext.xml中, 添加如下配置, 使得注解生效.

    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
           <property name="securityManager" ref="securityManager"/>
    </bean>

  然后在测试代码中, 添加如下测试接口(注解@RequiresPermissions/@RequiresRoles).

@RequestMapping(value = "/test3", method = {RequestMethod.GET, RequestMethod.POST})
@ResponseBody
@RequiresPermissions("blog:write3")
public String test3() {
	return "test3";
}

@RequestMapping(value = "/test4", method = {RequestMethod.GET, RequestMethod.POST})
@ResponseBody
@RequiresRoles({"admin4"})
public String test4() {
	return "test4";
}

  测试的结果都符合预期, 都被完美的拦截下来了.

 

更进一步:
  对于面向rest api服务的权限控制需求, 引入注解后, 代码基本上显得非常漂亮了, 简单的配置注解即可完美进行资源访问控制.
  为了更好的屏蔽异常, 可以引入ControllerAdvice/Interceptor, 用于拦截内部异常, 转换为友好的信息提示.
  具体可参看之前写过的文章:
  1. REST API的异常处理.
  2. Interceptor机制和实践.

 

遇到的问题记录:
  在具体集成springmvc和shiro的过程中, 也遇到了一些坑.
  1. 遇到shiroFilter实例(ShiroFilterFactoryBean)创建失败, 导致servlet层面的Filter(ShiroFilter)初始化失败.

No bean named 'shiroFilter' is defined

  主要原因是要保证ShiroFilter(Serlvet层面)的实例要晚于spring容器的实例初始化(既通过listener, 优先加载applicationContext.xml).

 

后记:
  以前后端管理平台是基于MVC的架构构建(即后端也处理路由和页面渲染), 现在流行架构是MVVM(前后端完全分离, 前端做路由和渲染, 后端纯数据服务), 因此对shiro的使用和研究, 不再涉及页面标签这块.

posted on 2018-07-19 22:24  mumuxinfei  阅读(490)  评论(0编辑  收藏  举报

导航