jsp权限验证Spring Boot 整合 Shiro登录认证和权限治理

Apache Shiro 的紧张目标是易于利用和理解。
安全常日很繁芜，乃至让人感到很痛楚，但是 Shiro 却不是这样子的。
一个好的安全框架该当屏蔽繁芜性，向外暴露大略、直不雅观的 API，来简化开拓职员实现运用程序安全所花费的韶光和精力。

Shiro 能做什么呢？

验证用户身份用户访问权限掌握，比如：1、判断用户是否分配了一定的安全角色。
2、判断用户是否被付与完成某个操作的权限在非 Web 或 EJB 容器的环境下可以任意利用 Session API可以相应认证、访问掌握，或者 Session 生命周期中发生的事宜可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图)支持单点登录(SSO)功能支持供应“Remember Me”做事，获取用户关联信息而无需登录…

等等——都集成到一个有凝聚力的易于利用的 API。

Shiro 致力在所有运用环境下实现上述功能，小到命令行运用程序，大到企业运用中，而且不须要借助第三方框架、容器、运用做事器等。
当然 Shiro 的目的是只管即便的融入到这样的运用环境中去，但也可以在它们之外的任何环境下开箱即用。

Apache Shiro Features 特性

Apache Shiro 是一个全面的、蕴含丰富功能的安全框架。
下图为描述 Shiro 功能的框架图：

Authentication（认证）, Authorization（授权）, Session Management（会话管理）, Cryptography（加密）被 Shiro 框架的开拓团队称之为运用安全的四大基石。
那么就让我们来看看它们吧：

Authentication（认证）：用户身份识别，常日被称为用户“登录”Authorization（授权）：访问掌握。
比如某个用户是否具有某个操作的利用权限。
Session Management（会话管理）：特定于用户的会话管理,乃至在非web 或 EJB 运用程序。
Cryptography（加密）：在对数据源利用加密算法加密的同时，担保易于利用。

还有其他的功能来支持和加强这些不同运用环境下安全领域的关注点。
特殊是对以下的功能支持：

Web支持：Shiro 供应的 Web 支持 api ，可以很轻松的保护 Web 运用程序的安全。
缓存：缓存是 Apache Shiro 担保安全操作快速、高效的主要手段。
并发：Apache Shiro 支持多线程运用程序的并发特性。
测试：支持单元测试和集成测试，确保代码和预想的一样安全。
“Run As”：这个功能许可用户假设另一个用户的身份(在容许的条件下)。
“Remember Me”：跨 session 记录用户的身份，只有在逼迫须要时才须要登录。

把稳： Shiro 不会去掩护用户、掩护权限，这些须要我们自己去设计/供应，然后通过相应的接口注入给 Shiro

High-Level Overview 高等概述

在观点层，Shiro 架构包含三个紧张的理念：Subject，SecurityManager和 Realm。
下面的图展示了这些组件如何相互浸染，我们将不才面依次对其进行描述。

Subject：当前用户，Subject 可以是一个人，但也可以是第三方做事、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事宜。
SecurityManager：管理所有Subject，SecurityManager 是 Shiro 架构的核心，合营内部安全组件共同组成安全伞。
Realms：用于进行权限信息的验证，我们自己实现。
Realm 实质上是一个特定的安全 DAO：它封装与数据源连接的细节，得到Shiro 所需的干系的数据。
在配置 Shiro 的时候，你必须指定至少一个Realm 来实现认证（authentication）和/或授权（authorization）。

我们须要实现Realms的Authentication 和 Authorization。
个中 Authentication 是用来验证用户身份，Authorization 是授权访问掌握，用于对用户进行的操作授权，证明该用户是否许可进行当前操作，如访问某个链接，某个资源文件等。

快速上手根本信息

pom包依赖

<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-jpa</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>net.sourceforge.nekohtml</groupId><artifactId>nekohtml</artifactId><version>1.9.22</version></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.4.0</version></dependency><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><scope>runtime</scope></dependency></dependencies>

重点是 shiro-spring 包

配置文件

spring: datasource: url: jdbc:mysql://localhost:3306/test username: root password: root driver-class-name: com.mysql.jdbc.Driver jpa: database: mysql show-sql: true hibernate: ddl-auto: update naming: strategy: org.hibernate.cfg.DefaultComponentSafeNamingStrategy properties: hibernate: dialect: org.hibernate.dialect.MySQL5Dialect thymeleaf: cache: false mode: LEGACYHTML5

thymeleaf的配置是为了去掉html的校验

页面

我们新建了六个页面用来测试：

index.html ：首页login.html ：登录页userInfo.html ： 用户信息页面userInfoAdd.html ：添加用户页面userInfoDel.html ：删除用户页面403.html ： 没有权限的页面

除过登录页面其它都很大略，大概如下：

<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <title>Title</title></head><body><h1>index</h1></body></html>RBAC

RBAC 是基于角色的访问掌握（Role-Based Access Control ）在 RBAC 中，权限与角色干系联，用户通过成为适当角色的成员而得到这些角色的权限。
这就极大地简化了权限的管理。
这样管理都是层级相互依赖的，权限授予给角色，而把角色又授予用户，这样的权限设计很清楚，管理起来很方便。

采取 Jpa 技能来自动天生根本表格，对应的实体如下：

用户信息

@Entitypublic class UserInfo implements Serializable { @Id @GeneratedValue private Integer uid; @Column(unique =true) private String username;//帐号 private String name;//名称（昵称或者真实姓名，不同系统不同定义） private String password; //密码; private String salt;//加密密码的盐 private byte state;//用户状态,0:创建未认证（比如没有激活，没有输入验证码等等）--等待验证的用户 , 1:正常状态,2：用户被锁定. @ManyToMany(fetch= FetchType.EAGER)//立即从数据库中进行加载数据; @JoinTable(name = "SysUserRole", joinColumns = { @JoinColumn(name = "uid") }, inverseJoinColumns ={@JoinColumn(name = "roleId") }) private List<SysRole> roleList;// 一个用户具有多个角色 // 省略 get set 方法 }

角色信息

@Entitypublic class SysRole { @Id@GeneratedValue private Integer id; // 编号 private String role; // 角色标识程序中止定利用,如"admin",这个是唯一的: private String description; // 角色描述,UI界面显示利用 private Boolean available = Boolean.FALSE; // 是否可用,如果不可用将不会添加给用户 //角色 -- 权限关系：多对多关系; @ManyToMany(fetch= FetchType.EAGER) @JoinTable(name="SysRolePermission",joinColumns={@JoinColumn(name="roleId")},inverseJoinColumns={@JoinColumn(name="permissionId")}) private List<SysPermission> permissions; // 用户 - 角色关系定义; @ManyToMany @JoinTable(name="SysUserRole",joinColumns={@JoinColumn(name="roleId")},inverseJoinColumns={@JoinColumn(name="uid")}) private List<UserInfo> userInfos;// 一个角色对应多个用户 // 省略 get set 方法 }

权限信息

@Entitypublic class SysPermission implements Serializable { @Id@GeneratedValue private Integer id;//主键. private String name;//名称. @Column(columnDefinition="enum('menu','button')") private String resourceType;//资源类型，[menu|button] private String url;//资源路径. private String permission; //权限字符串,menu例子：role:，button例子：role:create,role:update,role:delete,role:view private Long parentId; //父编号 private String parentIds; //父编号列表 private Boolean available = Boolean.FALSE; @ManyToMany @JoinTable(name="SysRolePermission",joinColumns={@JoinColumn(name="permissionId")},inverseJoinColumns={@JoinColumn(name="roleId")}) private List<SysRole> roles; // 省略 get set 方法 }

根据以上的代码会自动天生 user_info（用户信息表）、sys_role（角色表）、sys_permission（权限表）、sys_user_role（用户角色表）、sys_role_permission（角色权限表）这五张表，为了方便测试我们给这五张表插入一些初始化数据：

INSERT INTO `user_info` (`uid`,`username`,`name`,`password`,`salt`,`state`) VALUES ('1', 'admin', '管理员', 'd3c59d25033dbf980d29554025c23a75', '8d78869f470951332959580424d4bf4f', 0);INSERT INTO `sys_permission` (`id`,`available`,`name`,`parent_id`,`parent_ids`,`permission`,`resource_type`,`url`) VALUES (1,0,'用户管理',0,'0/','userInfo:view','menu','userInfo/userList');INSERT INTO `sys_permission` (`id`,`available`,`name`,`parent_id`,`parent_ids`,`permission`,`resource_type`,`url`) VALUES (2,0,'用户添加',1,'0/1','userInfo:add','button','userInfo/userAdd');INSERT INTO `sys_permission` (`id`,`available`,`name`,`parent_id`,`parent_ids`,`permission`,`resource_type`,`url`) VALUES (3,0,'用户删除',1,'0/1','userInfo:del','button','userInfo/userDel');INSERT INTO `sys_role` (`id`,`available`,`description`,`role`) VALUES (1,0,'管理员','admin');INSERT INTO `sys_role` (`id`,`available`,`description`,`role`) VALUES (2,0,'VIP会员','vip');INSERT INTO `sys_role` (`id`,`available`,`description`,`role`) VALUES (3,1,'test','test');INSERT INTO `sys_role_permission` VALUES ('1', '1');INSERT INTO `sys_role_permission` (`permission_id`,`role_id`) VALUES (1,1);INSERT INTO `sys_role_permission` (`permission_id`,`role_id`) VALUES (2,1);INSERT INTO `sys_role_permission` (`permission_id`,`role_id`) VALUES (3,2);INSERT INTO `sys_user_role` (`role_id`,`uid`) VALUES (1,1);Shiro 配置

首先要配置的是 ShiroConfig 类，Apache Shiro 核心通过 Filter 来实现，就彷佛 SpringMvc 通过 DispachServlet 来主掌握一样。
既然是利用 Filter 一样平常也就能猜到，是通过 URL 规则来进行过滤和权限校验，以是我们须要定义一系列关于 URL 的规则和访问权限。

ShiroConfig

@Configurationpublic class ShiroConfig {@Beanpublic ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {System.out.println("ShiroConfiguration.shirFilter()");ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();shiroFilterFactoryBean.setSecurityManager(securityManager);//拦截器.Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();// 配置不会被拦截的链接 顺序判断filterChainDefinitionMap.put("/static/", "anon");//配置退出 过滤器,个中的详细的退出代码Shiro已经替我们实现了filterChainDefinitionMap.put("/logout", "logout");//<!-- 过滤链定义，从上向下顺序实行，一样平常将/放在最为下边 -->:这是一个坑呢，一欠妥心代码就不好使了;//<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->filterChainDefinitionMap.put("/", "authc");// 如果不设置默认会自动探求Web工程根目录下的"/login.jsp"页面shiroFilterFactoryBean.setLoginUrl("/login");// 登录成功后要跳转的链接shiroFilterFactoryBean.setSuccessUrl("/index");//未授权界面;shiroFilterFactoryBean.setUnauthorizedUrl("/403");shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return shiroFilterFactoryBean;}@Beanpublic MyShiroRealm myShiroRealm(){MyShiroRealm myShiroRealm = new MyShiroRealm();return myShiroRealm;}@Beanpublic SecurityManager securityManager(){DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(myShiroRealm());return securityManager;}}

Filter Chain 定义解释：

1、一个URL可以配置多个 Filter，利用逗号分隔2、当设置多个过滤器时，全部验证通过，才视为通过3、部分过滤器可指定参数，如 perms，roles

Shiro 内置的 FilterChain

Filter NameClassanonorg.apache.shiro.web.filter.authc.AnonymousFilterauthcorg.apache.shiro.web.filter.authc.FormAuthenticationFilterauthcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilterpermsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilterportorg.apache.shiro.web.filter.authz.PortFilterrestorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilterrolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFiltersslorg.apache.shiro.web.filter.authz.SslFilteruserorg.apache.shiro.web.filter.authc.UserFilter

anon:所有 url 都都可以匿名访问authc: 须要认证才能进行访问user:配置记住我或认证通过可以访问

登录认证明现

在认证、授权内部实现机制中都有提到，终极处理都将交给Real进行处理。
由于在 Shiro 中，终极是通过 Realm 来获取运用程序中的用户、角色及权限信息的。
常日情形下，在 Realm 中会直接从我们的数据源中获取 Shiro 须要的验证信息。
可以说，Realm 是专用于安全框架的 DAO. Shiro 的认证过程终极会交由 Realm 实行，这时会调用 Realm 的getAuthenticationInfo(token)方法。

该方法紧张实行以下操作:

1、检讨提交的进行认证的令牌信息2、根据令牌信息从数据源(常日为数据库)中获取用户信息3、对用户信息进行匹配验证。
4、验证通过将返回一个封装了用户信息的AuthenticationInfo实例。
5、验证失落败则抛出AuthenticationException非常信息。

而在我们的运用程序中要做的便是自定义一个 Realm 类，继续AuthorizingRealm 抽象类，重载 doGetAuthenticationInfo()，重写获取用户信息的方法。

doGetAuthenticationInfo 的重写

@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { System.out.println("MyShiroRealm.doGetAuthenticationInfo()"); //获取用户的输入的账号. String username = (String)token.getPrincipal(); System.out.println(token.getCredentials()); //通过username从数据库中查找 User工具，如果找到，没找到. //实际项目中，这里可以根据实际情形做缓存，如果不做，Shiro自己也是有韶光间隔机制，2分钟内不会重复实行该方法 UserInfo userInfo = userInfoService.findByUsername(username); System.out.println("----->>userInfo="+userInfo); if(userInfo == null){ return null; } SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名 userInfo.getPassword(), //密码 ByteSource.Util.bytes(userInfo.getCredentialsSalt()),//salt=username+salt getName() //realm name ); return authenticationInfo;}

链接权限的实现

Shiro 的权限授权是通过继续AuthorizingRealm抽象类，重载doGetAuthorizationInfo();当访问到页面的时候，链接配置了相应的权限或者 Shiro 标签才会实行此方法否则不会实行，以是如果只是大略的身份认证没有权限的掌握的话，那么这个方法可以不进行实现，直接返回 null 即可。
在这个方法中紧张是利用类：SimpleAuthorizationInfo进行角色的添加和权限的添加。

@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { System.out.println("权限配置-->MyShiroRealm.doGetAuthorizationInfo()"); SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); UserInfo userInfo = (UserInfo)principals.getPrimaryPrincipal(); for(SysRole role:userInfo.getRoleList()){ authorizationInfo.addRole(role.getRole()); for(SysPermission p:role.getPermissions()){ authorizationInfo.addStringPermission(p.getPermission()); } } return authorizationInfo;}

当然也可以添加 set 凑集：roles 是从数据库查询确当前用户的角色，stringPermissions 是从数据库查询确当前用户对应的权限

authorizationInfo.setRoles(roles);authorizationInfo.setStringPermissions(stringPermissions);

便是说如果在shiro配置文件中添加了filterChainDefinitionMap.put(“/add”, “perms[权限添加]”);就解释访问/add这个链接必须要有“权限添加”这个权限才可以访问，如果在shiro配置文件中添加了filterChainDefinitionMap.put(“/add”, “roles[100002]，perms[权限添加]”);就解释访问/add这个链接必须要有“权限添加”这个权限和具有“100002”这个角色才可以访问。

登录实现

登录过程实在只是处理非常的干系信息，详细的登录验证交给 Shiro 来处理

@RequestMapping("/login")public String login(HttpServletRequest request, Map<String, Object> map) throws Exception{ System.out.println("HomeController.login()"); // 登录失落败从request中获取shiro处理的非常信息。
// shiroLoginFailure:便是shiro非常类的全类名. String exception = (String) request.getAttribute("shiroLoginFailure"); System.out.println("exception=" + exception); String msg = ""; if (exception != null) { if (UnknownAccountException.class.getName().equals(exception)) { System.out.println("UnknownAccountException -- > 账号不存在："); msg = "UnknownAccountException -- > 账号不存在："; } else if (IncorrectCredentialsException.class.getName().equals(exception)) { System.out.println("IncorrectCredentialsException -- > 密码禁绝确："); msg = "IncorrectCredentialsException -- > 密码禁绝确："; } else if ("kaptchaValidateFailed".equals(exception)) { System.out.println("kaptchaValidateFailed -- > 验证码缺点"); msg = "kaptchaValidateFailed -- > 验证码缺点"; } else { msg = "else >> "+exception; System.out.println("else -- >" + exception); } } map.put("msg", msg); // 此方法不处理登录成功,由shiro进行处理 return "/login";}

其它 Dao 层和 Service 的代码就不贴出来了大家直接看代码。

测试

1、编写好后就可以启动程序，访问http://localhost:8080/userInfo/userList页面，由于没有登录就会跳转到http://localhost:8080/login页面。
登录之后就会跳转到 index 页面，登录后，直接在浏览器中输入http://localhost:8080/userInfo/userList访问就会看到用户信息。
上面这些操作时候触发MyShiroRealm.doGetAuthenticationInfo()这个方法，也便是登录认证的方法。

2、登录admin账户，访问：http://127.0.0.1:8080/userInfo/userAdd显示用户添加界面，访问http://127.0.0.1:8080/userInfo/userDel显示403没有权限。
上面这些操作时候触发MyShiroRealm.doGetAuthorizationInfo()这个方面，也便是权限校验的方法。

3、修正 admin不 同的权限进行测试

Shiro 很强大，这仅仅是完成了登录认证和权限管理这两个功能，更多内容往后有韶光再做磋商。