在原來的專案當中,由於沒有配置快取,因此每次需要驗證目前主體有沒有存取權限時,都會去查詢資料庫。由於權限資料是典型的讀多寫少的數據,因此,我們應該要對其加入快取的支援。
當我們加入快取後,shiro在做鑑權時先去緩存裡查詢相關數據,緩存裡沒有,則查詢資料庫並將查到的數據寫入緩存,下次再查時就能從緩存當中獲取數據,而不是從資料庫中獲取。這樣就能改善我們的應用的效能。
接下來,我們去實作shiro的快取管理部分。
Shiro 提供了完整的企業級會話管理功能,不依賴底層容器(如web 容器tomcat),不管JavaSE 還是JavaEE 環境都可以使用,提供了會話管理、會話事件監聽、會話儲存/ 持久化、容器無關的叢集、失效/ 過期支援、對Web 的透明支援、SSO 單一登入的支援等特性。
我們將使用 Shiro 的會話管理來接管我們應用的web會話,並透過Redis來儲存會話資訊。
在Shiro當中,它提供了CacheManager這個類別來做快取管理。
在shiro當中,預設使用的是EhCache快取框架。 EhCache 是純Java的進程內快取框架,具有快速、精幹等特性。
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>1.4.0</version>
</dependency>在SpringBoot整合Redis的過程中,也要注意版本匹配的問題,不然有可能報方法未找到的異常。
private void enableCache(MySQLRealm realm){
//开启全局缓存配置
realm.setCachingEnabled(true);
//开启认证缓存配置
realm.setAuthenticationCachingEnabled(true);
//开启授权缓存配置
realm.setAuthorizationCachingEnabled(true);
//为了方便操作,我们给缓存起个名字
realm.setAuthenticationCacheName("authcCache");
realm.setAuthorizationCacheName("authzCache");
//注入缓存实现
realm.setCacheManager(new EhCacheManager());
}然後再在getRealm中呼叫這個方法即可。
提示:在這個實作當中,只是實作了本機的快取。也就是說快取的資料同應用程式一樣共用一台機器的記憶體。如果伺服器發生宕機或意外停電,那麼快取資料也將不復存在。當然你也可以透過cacheManager.setCacheManagerConfigFile()方法給予快取更多的設定。
接下來我們將透過Redis快取我們的權限資料
<!--shiro-redis相关依赖-->
<dependency>
<groupId>org.crazycake</groupId>
<artifactId>shiro-redis</artifactId>
<version>3.1.0</version>
<!-- 里面这个shiro-core版本较低,会引发一个异常
ClassNotFoundException: org.apache.shiro.event.EventBus
需要排除,直接使用上面的shiro
shiro1.3 加入了时间总线。-->
<exclusions>
<exclusion>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
</exclusion>
</exclusions>
</dependency>在application.yml中新增redis的相關設定
spring:
redis:
host: 127.0.0.1
port: 6379
password: hewenping
timeout: 3000
jedis:
pool:
min-idle: 5
max-active: 20
max-idle: 15修改ShiroConfig設定類,新增shiro-redis外掛程式設定
/**shiro配置类
* @author 赖柄沣 bingfengdev@aliyun.com
* @version 1.0
* @date 2020/10/6 9:11
*/
@Configuration
public class ShiroConfig {
private static final String CACHE_KEY = "shiro:cache:";
private static final String SESSION_KEY = "shiro:session:";
private static final int EXPIRE = 18000;
@Value("${spring.redis.host}")
private String host;
@Value("${spring.redis.port}")
private int port;
@Value("${spring.redis.timeout}")
private int timeout;
@Value("${spring.redis.password}")
private String password;
@Value("${spring.redis.jedis.pool.min-idle}")
private int minIdle;
@Value("${spring.redis.jedis.pool.max-idle}")
private int maxIdle;
@Value("${spring.redis.jedis.pool.max-active}")
private int maxActive;
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(org.apache.shiro.mgt.SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
return authorizationAttributeSourceAdvisor;
}
/**
* 创建ShiroFilter拦截器
* @return ShiroFilterFactoryBean
*/
@Bean(name = "shiroFilterFactoryBean")
public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
//配置不拦截路径和拦截路径,顺序不能反
HashMap<String, String> map = new HashMap<>(5);
map.put("/authc/**","anon");
map.put("/login.html","anon");
map.put("/js/**","anon");
map.put("/css/**","anon");
map.put("/**","authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
//覆盖默认的登录url
shiroFilterFactoryBean.setLoginUrl("/authc/unauthc");
return shiroFilterFactoryBean;
}
@Bean
public Realm getRealm(){
//设置凭证匹配器,修改为hash凭证匹配器
HashedCredentialsMatcher myCredentialsMatcher = new HashedCredentialsMatcher();
//设置算法
myCredentialsMatcher.setHashAlgorithmName("md5");
//散列次数
myCredentialsMatcher.setHashIterations(1024);
MySQLRealm realm = new MySQLRealm();
realm.setCredentialsMatcher(myCredentialsMatcher);
//开启缓存
realm.setCachingEnabled(true);
realm.setAuthenticationCachingEnabled(true);
realm.setAuthorizationCachingEnabled(true);
return realm;
}
/**
* 创建shiro web应用下的安全管理器
* @return DefaultWebSecurityManager
*/
@Bean
public DefaultWebSecurityManager getSecurityManager( Realm realm){
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(realm);
securityManager.setCacheManager(cacheManager());
SecurityUtils.setSecurityManager(securityManager);
return securityManager;
}
/**
* 配置Redis管理器
* @Attention 使用的是shiro-redis开源插件
* @return
*/
@Bean
public RedisManager redisManager() {
RedisManager redisManager = new RedisManager();
redisManager.setHost(host);
redisManager.setPort(port);
redisManager.setTimeout(timeout);
redisManager.setPassword(password);
JedisPoolConfig jedisPoolConfig = new JedisPoolConfig();
jedisPoolConfig.setMaxTotal(maxIdle+maxActive);
jedisPoolConfig.setMaxIdle(maxIdle);
jedisPoolConfig.setMinIdle(minIdle);
redisManager.setJedisPoolConfig(jedisPoolConfig);
return redisManager;
}
@Bean
public RedisCacheManager cacheManager() {
RedisCacheManager redisCacheManager = new RedisCacheManager();
redisCacheManager.setRedisManager(redisManager());
redisCacheManager.setKeyPrefix(CACHE_KEY);
// shiro-redis要求放在session里面的实体类必须有个id标识
//这是组成redis中所存储数据的key的一部分
redisCacheManager.setPrincipalIdFieldName("username");
return redisCacheManager;
}
}修改MySQLRealm中的doGetAuthenticationInfo #方法,將User物件整體作為SimpleAuthenticationInfo的第一個參數。 shiro-redis將根據RedisCacheManager的principalIdFieldName屬性值從第一個參數中取得id值作為redis中資料的key的一部份。
/**
* 认证
* @param token
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
if(token==null){
return null;
}
String principal = (String) token.getPrincipal();
User user = userService.findByUsername(principal);
SimpleAuthenticationInfo simpleAuthenticationInfo = new MyAuthcInfo(
//由于shiro-redis插件需要从这个属性中获取id作为redis的key
//所有这里传的是user而不是username
user,
//凭证信息
user.getPassword(),
//加密盐值
new CurrentSalt(user.getSalt()),
getName());
return simpleAuthenticationInfo;
}並修改MySQLRealm中的doGetAuthorizationInfo方法,從User物件中取得主識別資訊。
/**
* 授权
* @param principals
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
User user = (User) principals.getPrimaryPrincipal();
String username = user.getUsername();
List<Role> roleList = roleService.findByUsername(username);
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
for (Role role : roleList) {
authorizationInfo.addRole(role.getRoleName());
}
List<Long> roleIdList = new ArrayList<>();
for (Role role : roleList) {
roleIdList.add(role.getRoleId());
}
List<Resource> resourceList = resourceService.findByRoleIds(roleIdList);
for (Resource resource : resourceList) {
authorizationInfo.addStringPermission(resource.getResourcePermissionTag());
}
return authorizationInfo;
}由於Shiro裡面預設的SimpleByteSource沒有實現序列化接口,導致ByteSource.Util.bytes()產生的salt在序列化時出錯,因此需要自訂Salt類別並實作序列化介面。並在自訂的Realm的認證方法使用new CurrentSalt(user.getSalt())傳入鹽值。
/**由于shiro当中的ByteSource没有实现序列化接口,缓存时会发生错误
* 因此,我们需要通过自定义ByteSource的方式实现这个接口
* @author 赖柄沣 bingfengdev@aliyun.com
* @version 1.0
* @date 2020/10/8 16:17
*/
public class CurrentSalt extends SimpleByteSource implements Serializable {
public CurrentSalt(String string) {
super(string);
}
public CurrentSalt(byte[] bytes) {
super(bytes);
}
public CurrentSalt(char[] chars) {
super(chars);
}
public CurrentSalt(ByteSource source) {
super(source);
}
public CurrentSalt(File file) {
super(file);
}
public CurrentSalt(InputStream stream) {
super(stream);
}
}/**SessionId生成器
* <p>@author 赖柄沣 laibingf_dev@outlook.com</p>
* <p>@date 2020/8/15 15:19</p>
*/
public class ShiroSessionIdGenerator implements SessionIdGenerator {
/**
*实现SessionId生成
* @param session
* @return
*/
@Override
public Serializable generateId(Session session) {
Serializable sessionId = new JavaUuidSessionIdGenerator().generateId(session);
return String.format("login_token_%s", sessionId);
}
}/**
* <p>@author 赖柄沣 laibingf_dev@outlook.com</p>
* <p>@date 2020/8/15 15:40</p>
*/
public class ShiroSessionManager extends DefaultWebSessionManager {
//定义常量
private static final String AUTHORIZATION = "Authorization";
private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
//重写构造器
public ShiroSessionManager() {
super();
this.setDeleteInvalidSessions(true);
}
/**
* 重写方法实现从请求头获取Token便于接口统一
* * 每次请求进来,
* Shiro会去从请求头找Authorization这个key对应的Value(Token)
* @param request
* @param response
* @return
*/
@Override
public Serializable getSessionId(ServletRequest request, ServletResponse response) {
String token = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
//如果请求头中存在token 则从请求头中获取token
if (!StringUtils.isEmpty(token)) {
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, token);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
return token;
} else {
// 这里禁用掉Cookie获取方式
return null;
}
}
}在ShiroConfig中新增對會話管理器的配置
/**
* SessionID生成器
*
*/
@Bean
public ShiroSessionIdGenerator sessionIdGenerator(){
return new ShiroSessionIdGenerator();
}
/**
* 配置RedisSessionDAO
*/
@Bean
public RedisSessionDAO redisSessionDAO() {
RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
redisSessionDAO.setRedisManager(redisManager());
redisSessionDAO.setSessionIdGenerator(sessionIdGenerator());
redisSessionDAO.setKeyPrefix(SESSION_KEY);
redisSessionDAO.setExpire(EXPIRE);
return redisSessionDAO;
}
/**
* 配置Session管理器
* @Author Sans
*
*/
@Bean
public SessionManager sessionManager() {
ShiroSessionManager shiroSessionManager = new ShiroSessionManager();
shiroSessionManager.setSessionDAO(redisSessionDAO());
//禁用cookie
shiroSessionManager.setSessionIdCookieEnabled(false);
//禁用会话id重写
shiroSessionManager.setSessionIdUrlRewritingEnabled(false);
return shiroSessionManager;
}目前最新版本(1.6.0)中,session管理器的setSessionIdUrlRewritingEnabled(false)配置沒有生效,導致沒有認證直接存取受保護資源出現多次重新導向的錯誤。將shiro版本切換為1.5.0後就解決了這個bug。
本來這篇文章應該是昨晚發的,因為這個原因搞了好久,今天才發。 。 。
在認證資訊回傳前,我們需要做一個判斷:如果目前使用者已在舊裝置上登錄,則需要將舊裝置上的會話id刪掉,使其下線。
/**
* 认证
* @param token
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
if(token==null){
return null;
}
String principal = (String) token.getPrincipal();
User user = userService.findByUsername(principal);
SimpleAuthenticationInfo simpleAuthenticationInfo = new MyAuthcInfo(
//由于shiro-redis插件需要从这个属性中获取id作为redis的key
//所有这里传的是user而不是username
user,
//凭证信息
user.getPassword(),
//加密盐值
new CurrentSalt(user.getSalt()),
getName());
//清除当前主体旧的会话,相当于你在新电脑上登录系统,把你之前在旧电脑上登录的会话挤下去
ShiroUtils.deleteCache(user.getUsername(),true);
return simpleAuthenticationInfo;
}我們將會話資訊儲存在redis中,並在使用者認證通過後將會話Id以token的形式傳回給使用者。使用者請求受保護資源時帶上這個token,我們根據token資訊去redis中獲取使用者的權限信息,從而做訪問控制。
@PostMapping("/login")
public HashMap<Object, Object> login(@RequestBody LoginVO loginVO) throws AuthenticationException {
boolean flags = authcService.login(loginVO);
HashMap<Object, Object> map = new HashMap<>(3);
if (flags){
Serializable id = SecurityUtils.getSubject().getSession().getId();
map.put("msg","登录成功");
map.put("token",id);
return map;
}else {
return null;
}
}/**shiro异常处理
* @author 赖柄沣 bingfengdev@aliyun.com
* @version 1.0
* @date 2020/10/7 18:01
*/
@ControllerAdvice(basePackages = "pers.lbf.springbootshiro")
public class AuthExceptionHandler {
//==================认证异常====================//
@ExceptionHandler(ExpiredCredentialsException.class)
@ResponseBody
public String expiredCredentialsExceptionHandlerMethod(ExpiredCredentialsException e) {
return "凭证已过期";
}
@ExceptionHandler(IncorrectCredentialsException.class)
@ResponseBody
public String incorrectCredentialsExceptionHandlerMethod(IncorrectCredentialsException e) {
return "用户名或密码错误";
}
@ExceptionHandler(UnknownAccountException.class)
@ResponseBody
public String unknownAccountExceptionHandlerMethod(IncorrectCredentialsException e) {
return "用户名或密码错误";
}
@ExceptionHandler(LockedAccountException.class)
@ResponseBody
public String lockedAccountExceptionHandlerMethod(IncorrectCredentialsException e) {
return "账户被锁定";
}
//=================授权异常=====================//
@ExceptionHandler(UnauthorizedException.class)
@ResponseBody
public String unauthorizedExceptionHandlerMethod(UnauthorizedException e){
return "未授权!请联系管理员授权";
}
}實際開發中,應該對回傳結果統一化,並給出業務錯誤碼。這已經超出了本文的範疇,如有需要,請根據自身系統特徵考慮。
登入成功的狀況
使用者名稱或密碼錯誤的情況
為了安全起見,不要暴露具體是使用者名稱錯誤還是密碼錯誤。
認證後存取有權限的資源
認證後訪問無權限的資源
未認證直接存取的情況
以上是Springboot如何實現認證與動態權限管理的詳細內容。更多資訊請關注PHP中文網其他相關文章!
