Shiro整合springboot,freemaker,redis(含權(quán)限系統(tǒng)完整源碼)
一、導(dǎo)語(yǔ)
今天推薦給大家一個(gè)非常簡(jiǎn)單,實(shí)用的開(kāi)源權(quán)限框架:Shiro,這也是Java官方推薦的權(quán)限框架。
盡管網(wǎng)上有很多類(lèi)似的文章,但是都不夠完善,尤其是涉及到 freemaker,springboot,shiro,redis 整合的文章非常少,并且更多的是理論,缺失完整的可運(yùn)行的源代碼。
本文提供的源碼,你可以將代碼直接拷貝到自己項(xiàng)目使用,參數(shù)可配置,提供完整的文檔。
源代碼實(shí)現(xiàn)的功能:
-
提供可視化后臺(tái)界面;
-
管理員后臺(tái)添加用戶、系統(tǒng)功能、角色,關(guān)聯(lián)系統(tǒng)功能和角色,分配用戶角色;
-
登錄/身份認(rèn)證;
-
權(quán)限驗(yàn)證;
-
會(huì)話管理(redis實(shí)現(xiàn)分布式集群管理);
-
緩存(redis實(shí)現(xiàn)分布式集群管理);
-
登錄失敗次數(shù)限制(redis實(shí)現(xiàn)分布式集群管理);
二、shiro介紹
首先,讓我們先了解一下Shiro到底是什么?
Shiro是一個(gè)強(qiáng)大且簡(jiǎn)單易用的Java安全框架,主要用來(lái)做認(rèn)證,授權(quán),加密,會(huì)話管理。相比于具備類(lèi)似功能的
Spring Security來(lái)說(shuō),Shiro要簡(jiǎn)單的多,并且滿足絕大部分企業(yè)級(jí)系統(tǒng)應(yīng)用。
Shiro具體有哪些功能呢,下面簡(jiǎn)單列舉一些:
-
登錄/身份認(rèn)證;
-
驗(yàn)證權(quán)限,即,驗(yàn)證某個(gè)人是否有做某件事的權(quán)限;
-
會(huì)話管理,管理用戶特定的會(huì)話(支持分布式session管理),支持web,非web,ejb;
-
加密,保證數(shù)據(jù)安全;
-
Caching:緩存(支持分布式cache管理);
-
登錄失敗次數(shù)限制;
-
Remember Me:即記住登錄狀態(tài),一次登錄,下次再來(lái)的話不用重復(fù)登錄;
-
Run As:允許一個(gè)用戶假裝為另一個(gè)用戶(如果他們?cè)试S)的身份進(jìn)行訪問(wèn);
-
Shiro可以很友好的與Spring集成,支持jsp標(biāo)簽(官方不支持freemaker標(biāo)簽,本文源碼實(shí)現(xiàn)一套freemaker標(biāo)簽);
三、shiro詳解
本小節(jié)重點(diǎn)講解 Shiro的體系結(jié)構(gòu),以及一些相關(guān)的術(shù)語(yǔ)。
通過(guò)認(rèn)證和權(quán)限控制流程的講解,使讀者基本掌握shiro的運(yùn)行原理。
1、系統(tǒng)架構(gòu)
Shiro有三個(gè)關(guān)鍵概念:
-
Subject
-
SecurityManager
-
Realms
三者的關(guān)系如下圖所示:
-
Subject:
本質(zhì)上就是當(dāng)前訪問(wèn)用戶的抽象描述。Shiro對(duì)外主要提供了以Subject為核心的一些列API,各種用戶驗(yàn)證與權(quán)限控制的接口都是圍繞著Subject來(lái)設(shè)計(jì)的。
但是所有Subject都需要SecurityManager,當(dāng)你與Subject進(jìn)行交互,這些交互行為實(shí)際上被轉(zhuǎn)換為與SecurityManager的交互。
-
SecurityManager:
Shiro架構(gòu)中最核心的組件,通過(guò)它可以協(xié)調(diào)其他組件完成用戶認(rèn)證和授權(quán)。
SecurityManager就是Shiro框架的控制器,執(zhí)行安全相關(guān)的操作并管理該應(yīng)用的所有用戶的狀態(tài)。
這些操作和狀態(tài)包括:
-
-
用戶認(rèn)證;
-
權(quán)限控制;
-
回話管理;
-
緩存管理;
-
Realm的協(xié)調(diào)調(diào)度;
-
事件傳播;
-
“Remember Me”服務(wù);
-
創(chuàng)建Subject;
-
退出登錄;
-
-
Realms:
定義了訪問(wèn)數(shù)據(jù)的方式,用來(lái)連接不同的數(shù)據(jù)源,如:LDAP,關(guān)系數(shù)據(jù)庫(kù),配置文件等等當(dāng)需要與安全數(shù)據(jù)交互的時(shí)候,像用戶賬戶,或者訪問(wèn)控制,Shiro就從一個(gè)或多個(gè)Realms中查找。Shiro提供了一些可以直接使用的Realms,如果默認(rèn)的Realms不能滿足需求,也可以自定義Realms(本文自定義Realms,數(shù)據(jù)來(lái)源mysql,提供完整的數(shù)據(jù)庫(kù)表結(jié)構(gòu)和演示數(shù)據(jù))。
2、系統(tǒng)詳細(xì)架構(gòu)
-
Authenticator(用戶認(rèn)證管理器)
這個(gè)組件主要用于處理用戶登錄邏輯,他通過(guò)調(diào)用Realm的接口來(lái)判斷當(dāng)前登錄的用戶的身份。
-
AuthenticationStrategy(用戶認(rèn)證策略)
如果系統(tǒng)配置了多個(gè)Realm,則需要使用AuthenticationStrategy來(lái)協(xié)調(diào)這些Realm以便決定一個(gè)用戶登錄的認(rèn)證是成功還是失敗。(比如,如果一個(gè)Realm驗(yàn)證成功了,但是其他的都失敗了,那么這次認(rèn)證算是成功了嗎?還是說(shuō)必須所有的Realm都認(rèn)為成功了才算成功?或者是第一個(gè)成功就算成功?可見(jiàn),策略還是蠻復(fù)雜的)。
-
Authorizer(權(quán)限管理器)
這個(gè)組件主要是用來(lái)做用戶的訪問(wèn)控制。通俗來(lái)說(shuō)就是決定用戶能做什么、不能做什么。
-
SessionManager(會(huì)話管理器)
SessionManager知道如何創(chuàng)建會(huì)話、管理用戶回話的生命周期以便在所有運(yùn)行環(huán)境下都可以給用戶提供一個(gè)健壯的會(huì)話管理體驗(yàn)。SessionDAO允許用戶使用任何類(lèi)型的數(shù)據(jù)源來(lái)存儲(chǔ)Session數(shù)據(jù)。
-
SessionDAO(org.apache.shiro.session.mgt.eis.SessionDAO)
用于代替SessionManager執(zhí)行Session相關(guān)的增刪改查。這個(gè)接口允許我們將任意種類(lèi)的數(shù)據(jù)存儲(chǔ)方式引入到Session管理的基礎(chǔ)框架中。
(本文源碼實(shí)現(xiàn)了redisDao,用redis實(shí)現(xiàn)session的統(tǒng)一管理,同時(shí),源碼還提供了內(nèi)存管理session,可以通過(guò)配置方便的切換使用。)
-
Cache
緩存 authentication, authorization 和 session 等數(shù)據(jù),提升應(yīng)用的性能。由于Cache不屬于安全框架的核心功能,所以shiro本身并沒(méi)有完全實(shí)現(xiàn)Cache機(jī)制。Cache接口相當(dāng)于底層的緩存框架的頂層接口,shiro的一切的緩存操作都與這個(gè)Cache頂層接口操作,而底層的實(shí)現(xiàn)可以是任何Cache實(shí)例(JAche、Ehcache、RedisCache,OSCache、JBossCache..)
(本文源碼實(shí)現(xiàn)了Ehcache,RedisCache 和內(nèi)存Cache。三者可以通過(guò)配置,方便的切換使用。)
-
CacheManager(org.apache.shiro.cache.CacheManager)
緩存管理器。創(chuàng)建和管理緩存,為 authentication, authorization 和 session management 提供緩存數(shù)據(jù),避免直接訪問(wèn)數(shù)據(jù)庫(kù),提高效率。
cacheManager維護(hù)了Cache實(shí)例的生命周期,它和Cache一樣,只是shiro的緩存框架的頂層接口,具體底層實(shí)現(xiàn)可以是任意的。
(本文源碼實(shí)現(xiàn)了RedisCacheManager,用redis實(shí)現(xiàn)cache的統(tǒng)一管理。同時(shí),源碼還提供了內(nèi)存和ehcache管理cache,可以通過(guò)配置,方便的切換使用。)
3、其他基本概念解釋
-
分布式會(huì)話管理
將session保存到獨(dú)立緩存服務(wù)器,保證服務(wù)在重啟或 nginx做負(fù)載均衡的時(shí)候,用戶session可見(jiàn)。
(本文提供的源碼使用redis保存session會(huì)話。)
-
freemaker標(biāo)簽
通過(guò)使用標(biāo)簽,可以非常方便的實(shí)現(xiàn)前后端數(shù)據(jù)通信。
默認(rèn)Shiro支持jsp標(biāo)簽,但不支持freemaker標(biāo)簽。為了滿足前端使用freemaker的系統(tǒng)使用Shiro,特定制化一套freemaker 的shiro標(biāo)簽,并提供源碼。
四、shiro實(shí)戰(zhàn)案例分享
本小節(jié)分三部分
-
數(shù)據(jù)庫(kù)表介紹
-
權(quán)限管理系統(tǒng)源代碼結(jié)構(gòu)詳解
-
認(rèn)證&授權(quán)流程分析
數(shù)據(jù)庫(kù)表
權(quán)限管理系統(tǒng)源代碼結(jié)構(gòu)詳解
項(xiàng)目結(jié)構(gòu)圖示:
如圖所示,本項(xiàng)目包括四個(gè)子項(xiàng)目
1、demo-shiro-interface
項(xiàng)目展開(kāi)如下:
該子項(xiàng)目主要功能是提供與用戶、角色、功能、權(quán)限和分頁(yè)相關(guān)的接口類(lèi)和實(shí)體。
2、demo-shiro-service
項(xiàng)目展開(kāi)如下:
該子項(xiàng)目主要功能是實(shí)現(xiàn)demo-shiro-interface中的接口類(lèi),業(yè)務(wù)邏輯編碼實(shí)現(xiàn)。
3、demo-shiro-web
項(xiàng)目展開(kāi)如下:
其中
-
UserController.java
用戶登錄認(rèn)證,登出管理,用戶添加,用戶審核等功能。
-
SysController.java
系統(tǒng)功能模塊管理。
-
*Tag.java
專為freemaker定制的Shiro標(biāo)簽,本項(xiàng)目的關(guān)鍵部分。
-
CustomShiroSessionDAO.java
自定義session 管理,本項(xiàng)目提供依賴redis集中會(huì)話管理的功能,本項(xiàng)目的關(guān)鍵部分。
-
RedisCacheManager.java
自定義Cache 管理,本項(xiàng)目提供依賴redis集中Cache管理的功能,本項(xiàng)目的關(guān)鍵部分。
-
MyShiroRealm.java
自定義 realm,用戶認(rèn)證和授權(quán)均需要使用該類(lèi)提供的功能,本項(xiàng)目的關(guān)鍵部分。
-
FreemarkerConfiguration.java
-
ShiroTagFreeMarkerConfigurer.java
自定義的freemaker的shiro標(biāo)簽注入實(shí)現(xiàn)。
4、springboot-shiro-configure
項(xiàng)目展開(kāi)如下:
其中
-
*Properties.java
讀取application.yml 配置文件中對(duì)應(yīng)的配置參數(shù),如session過(guò)期時(shí)間,連續(xù)最大登錄失敗次數(shù)等。
-
RetryLimitHashedCredentialsMatcher.java
管理 連續(xù)最大登錄失敗次數(shù)以及時(shí)間間隔,當(dāng)達(dá)到最大登錄失敗次數(shù)后,系統(tǒng)提示用戶N分鐘內(nèi)無(wú)法繼續(xù)重試。
-
ShiroAutoConfiguration.java ShiroConfiguration.java
Shiro允許用戶自定義Realms,CacheManager,SessionManager ,這兩個(gè)類(lèi)文件的功能就是實(shí)現(xiàn)自定義類(lèi)的依賴管理。
這兩個(gè)類(lèi)也是Shiro 與 spring boot 集成的關(guān)鍵部分。
此處源碼實(shí)現(xiàn)涉及到 spring boot @ConditionalOnxxx 的相關(guān)注解技術(shù),建議讀者學(xué)習(xí)相關(guān)技術(shù)點(diǎn)。
以上源碼文件中有非常完善的注釋,有興趣的同學(xué)可以讀一讀。
認(rèn)證&授權(quán)流程分析
Shiro 所有的功能都圍繞兩個(gè)核心功能展開(kāi),即用戶登錄認(rèn)證 和用戶訪問(wèn)授權(quán)。除這兩個(gè)核心功能外,本項(xiàng)目還自定義了cacheManager,sessionManager,使用多種方式做cache和session管理。
本小節(jié)將對(duì)以上四個(gè)問(wèn)題做解析。
1、用戶登錄認(rèn)證
shiro用戶認(rèn)證時(shí)序圖
通過(guò)調(diào)用Subject.login(token)方法開(kāi)始用戶認(rèn)證流程。
執(zhí)行 currentUser.login(token) 后 ,SecurityManager會(huì)收到AuthenticationToken,并將其發(fā)送給已配置的Realm執(zhí)行必須的認(rèn)證。所以這一步在調(diào)用login(token)方法時(shí),它會(huì)走到MyRealm.doGetAuthenticationInfo()方法中,具體驗(yàn)證方式如下:
MyShiroRealm.doGetAuthenticationInfo()。
UserRealm繼承AuthorizingRealm,在其父類(lèi)AuthenticatingRealm的getAuthenticationInfo方法中會(huì)調(diào)用credentialsMatcher的 doCredentialsMatch 來(lái)驗(yàn)證用戶輸入用戶名密碼是否匹配。
使用HashedCredentialsMatcher來(lái)進(jìn)行加密。加密方式為salt自定義(本項(xiàng)目使用的www)、hash次數(shù)為1024、Base64解碼,加密算法為md5。
對(duì)應(yīng)的配置文件applications.yml
用戶注冊(cè)時(shí),密碼明晚修改為密文,具體代碼實(shí)現(xiàn)如下:
其中 Constants.initPassword 是添加用戶時(shí)默認(rèn)的密碼:111111.
用戶退出登錄時(shí),Shiro用戶必須執(zhí)行l(wèi)ogout(),必須要注銷(xiāo)Session信息,避免影響下一次用戶認(rèn)證和授權(quán)
SecurityUtils.getSubject().logout();
req.getSession().invalidate();
2、用戶訪問(wèn)授權(quán)
shiro訪問(wèn)授權(quán)時(shí)序圖
用戶認(rèn)證通過(guò)后,進(jìn)入后臺(tái)管理系統(tǒng)。
在后臺(tái)系統(tǒng)使用 freemaker 構(gòu)建,sidebar.flt模板文件中管理所有菜單。其中的 freemaker 的shiro 標(biāo)簽配置如下:
紅色邊框 name=“4” 或name=“4-1” 其中的 4 ,4-1 代表的下圖所示 紅框中的 role.getPermissionsName()值。
permissionsName 的值來(lái)源于 后臺(tái)添加功能時(shí),為菜單設(shè)置的值。如下圖:
3、session管理
系統(tǒng)提供兩種session管理方式
-
ehcache管理
-
Redis集中管理
配置:
ShiroConfiguration.java
注釋掉該方法時(shí) ,shiro的會(huì)話session默認(rèn)由ehcache管理。
打開(kāi)該方法時(shí),shiro的會(huì)話session由redis管理。
4、cache管理
系統(tǒng)提供三種session管理方式
-
本地內(nèi)存管理
-
ehcache管理
-
Redis集中管理
配置:
ShiroConfiguration.java
想使用哪種方式,就將其他另外兩種方式注釋掉。
(有興趣的同學(xué)可以開(kāi)發(fā)一個(gè)新功能,通過(guò)配置參數(shù)來(lái)開(kāi)啟某種session管理方式)
五、系統(tǒng)配置
本小節(jié)分兩個(gè)部分
-
Shiro管理配置
主要涉及到兩個(gè)配置文件application.yml 和ehcache.xml ,下面會(huì)有針對(duì)各個(gè)配置參數(shù)的詳細(xì)介紹。
-
后臺(tái)系統(tǒng)權(quán)限配置
使用后臺(tái)管理系統(tǒng)的頁(yè)面,添加用戶,系統(tǒng)功能,角色,權(quán)限,用戶權(quán)限分配。
1、Shiro管理配置
application.yml
-
realm-class
自定義 realm(com.xinwei.shiro.MyShiroRealm),完成認(rèn)證和授權(quán)。
-
custom-authc-filter-class:
自定義過(guò)濾器com.xinwei.shiro.AjaxAuthorizationFilter。
-
login-url
登錄url,會(huì)話超時(shí)繼續(xù)訪問(wèn)系統(tǒng)時(shí),自動(dòng)跳轉(zhuǎn)到該url。
-
success-url
認(rèn)證通過(guò)后,系統(tǒng)進(jìn)入該url功能界面。
-
retry-max
用戶登錄認(rèn)證,允許的最大連續(xù)失敗次數(shù)。
-
retry-expire-time-redis
用戶登錄認(rèn)證,達(dá)到最大連續(xù)失敗次數(shù)后,需要等待再次輸入的時(shí)間間隔(單位:秒)。
(只有當(dāng)使用redis管理cache時(shí),該參數(shù)才生效。如果使用ehcache 管理cache,則需要參考ehcache.xml。)
-
authorization-expire-time-redis
用戶授權(quán)檢驗(yàn) 的緩存過(guò)期時(shí)間,在過(guò)期時(shí)間內(nèi),用訪問(wèn)需要授權(quán)的菜單時(shí),無(wú)需重復(fù)執(zhí)行,提升了系統(tǒng)的訪問(wèn)效率。
(只有當(dāng)使用redis管理sesson時(shí),該參數(shù)才生效。如果使用ehcache 管理cache,則需要參考ehcache.xml。)
-
hash-iterations
密碼加密時(shí),做的hash次數(shù),本案例做1024次hash。
-
hash-algorithm-name
密碼加密時(shí)使用的加密方法,本案例采用MD5。
-
stored-credentials-hex-encoded
默認(rèn)值是true,默認(rèn)采用Hex解碼,false時(shí),采用Base64解碼。
-
global-session-timeout
會(huì)話存活時(shí)間(注意,單位是毫秒,0表示立即過(guò)期,-1表示永不過(guò)期)。
-
validation-interval
檢查session是否過(guò)期的時(shí)間間隔。
-
validation-scheduler-enabled
true,掃描session線程,負(fù)責(zé)清理超時(shí)會(huì)話。
-
filter-chain-definitions:
-
/media/**: anon
訪問(wèn)該目錄下的文件,不需要做權(quán)限校驗(yàn)。
-
/admin/**: authc
設(shè)置攔截器,訪問(wèn)該目錄下的文件事,需要做權(quán)限校驗(yàn)。
ehcache.xml
參加具體含義參考 https://www.cnblogs.com/sdream/p/5966668.html。
2、后臺(tái)系統(tǒng)權(quán)限配置
-
添加用戶
注意:新添加的后臺(tái)用戶,密碼默認(rèn)是:111111,且審核通過(guò)后才可以登錄本系統(tǒng)。
-
為用戶添加角色
-
添加系統(tǒng)功能:
功能編碼必須唯一,在freemaker 處需要使用該功能編碼。
-
添加角色
-
給角色賦權(quán)限
六、其他
Shiro是一個(gè)功能很齊全的框架,使用起來(lái)也很容易,但是要想用好卻有相當(dāng)難度。歡迎大家多動(dòng)手實(shí)踐,遇到問(wèn)題一起討論。
項(xiàng)目源碼地址:
https://github.com/wzjgn/shiro-freemaker-springboot-redis-mysql.git
參考:
https://www.cnblogs.com/learnhow/p/5694876.html
http://lgbolgger.iteye.com/blog/2170522
