認證傳送門:https://blog.csdn.net/JavaJieRui/article/details/108465791
授權傳送門:https://blog.csdn.net/JavaJieRui/article/details/108495686
一、整合的思路
繼上次說完了Shiro中的授權之后,Shiro中的認證和授權就全部為大家講解完了,相信大家是跟著前兩篇文章看過來的對Shiro在程式中進行認證和授權的操作都已經略知一二了,下面就為大家講解一下Shiro在SpringBoot中的應用整合,同時在之前我們做的認證授權都是在代碼中硬編碼直接寫死的,而在我們這次與SpringBoot的整合開發中,將會使用資料庫中的資料來替代代碼中的資料,更加真實的模擬我們日常在作業中對權限控制開發,
首先我們不論是開發任何功能,都是要對需求和思路進行清晰透徹的梳理和理解,雖然我們本次開發是模擬的真實開發場景,我們也要對開發之前的需求,實作的流程進行梳理,下面先為大家展示一張流程圖,之后我會通過整張流程圖再來講解Shiro與SpringBoot整合開發的思路,
首先,我們要開發權限第一步是要先有一個SpringBoot的應用,這個我們做權限是對SpringBoot應用中的所有資源進行保護,如圖所示,一個頁面可以是一個被保護的資源,同樣,程式中的一個方法也可以是一個被保護的資源,但是在一個SpringBoot的應用中,不僅僅要有被保護的資源,還要有公共資源,因為我們如果沒有公共資源,登錄或者注冊的頁面就沒有辦法被用戶訪問到,那假如說連注冊和登錄都是被保護起來的資源,那我們這個系統又怎么用呢?
所以門將所有的系統資源分為了兩大類,一類是公共資源例如:登錄頁、登錄的方法、注冊頁、注冊的方法、可能還會有找回密碼等等的這些統一劃分為公共資源,而例如主頁,或對系統內部資料的增刪改查等的操作就被劃分為受限資源,此時這些資源就要被我們用Shiro做的權限驗證來保護起來,
前面我們說了那么多怎么把系統分為受限資源,公共資源,怎么用Shiro對他們進行權限的保護,但這些都有一個大的前提,必須讓Shiro拿到SpringBoot應用中的所有的請求,為什么呢?應用中的所有資源都是通過客戶通過一個又一個的請求來訪問的,假如說我們的Shiro連請求都拿不到,又何談劃分資源何談保護資源呢,所以所有的請求過來,首先要經過一個過濾器,對請求分類,看是受限資源還是公共資源,如果是公共資源不需要認證則直接放行,如果是受限資源呢?受限資源受限經過SecurityManager這個類進行認證處理,從我們的自定義Realms中拿到資料,同時Realms中還會有一系列的密碼憑證匹配器,三列次數,演算法名稱等等一系列的操作,認證通過之后還要進行授權的操作,也就是說雖然你通過了認證,但是我們的Shiro還要來看看你是否有操作這個資源的權限,這樣也就達到了相對細粒度的權限控制,
好了經過上面的一張流程圖的展示以及對圖的解釋,我相信大家已經對流程有了相應的了解,下面就可以進行實戰開發了,
二、環境搭建
首先上專案目錄結構
POM檔案<這時還沒有引入Shiro>
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.3.4.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.csdn</groupId>
<artifactId>springboot_shiro_jsp</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>springboot_shiro_jsp</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-devtools</artifactId>
<scope>runtime</scope>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
<exclusions>
<exclusion>
<groupId>org.junit.vintage</groupId>
<artifactId>junit-vintage-engine</artifactId>
</exclusion>
</exclusions>
</dependency>
<!--jsp決議的依賴-->
<dependency>
<groupId>org.apache.tomcat.embed</groupId>
<artifactId>tomcat-embed-jasper</artifactId>
</dependency>
<!--可能會在jsp中用到c標簽-->
<dependency>
<groupId>jstl</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
application.properties
#指定埠號
server.port=8090
#請求路徑中加上專案名
server.servlet.context-path=/shiro
#指定專案名
spring.application.name=shiro
#將mvc視圖改為jsp,前綴、后綴
spring.mvc.view.prefix=/
spring.mvc.view.suffix=.jsp在新建的webapp中新建一個index.jsp:
在IDEA中設定它的作業目錄:
接下來啟動,看一下效果:
好的,這樣基本的springboot的一個應用就搭建起來了,
三、將Shiro與SpringBoot應用進行整合
Shiro與Springboot整合首先在專案目錄中新建一個config包用來放專案中的各種配置類,之后撰寫一個類名叫ShiroConfig表明是Shiro的配置類,因為以后再專案中也許會放很多配置類,所以要見名知意表明是shiro的配置類,首先我們先將ShiroConfig的架子搭起來,具體代碼如下:
/**
* 用來整合shiro與springboot的配置類 關系就是一層依賴一層
*/
@Configuration
public class ShiroConfig {
//創建ShiroFilter過濾器 負責攔截所有請求
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//給過濾器設定安全管理器
shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
return shiroFilterFactoryBean;
}
//創建安全管理器
@Bean
public DefaultWebSecurityManager defaultWebSecurityManager(Realm realm){
DefaultWebSecurityManager defaultWebSecurityManager = newDefaultWebSecurityManager(realm);
//給安全管理器設定realm
defaultWebSecurityManager.setRealm(realm);
return defaultWebSecurityManager;
}
//創建自定義Realm
@Bean
public Realm realm(){
MyRealm myRealm = new MyRealm();
return myRealm;
}
}從上面的代碼中可以看到最后一個為自定義Realm,那么我們也來新建一個名叫ralms的包,用來存放我們的自定義Realm:
/*
* 自定義Realm
*/
public class MyRealm extends AuthorizingRealm {
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
return null;
}
}
那么現在一個簡單的架子我們就搭起來了,下面來完成具體實作,
那么雖然我們現在已經將架子搭建起來了,但是我們并沒有在shiroconfig中寫出來那些請求需要認證那些請求直接放行,所以所有的頁面都能被訪問到,現在就來看看具體實作,
四、具體實作
首先來看的是配置ShiroFilterFactoryBean配置受限資源和登錄頁路徑:
//創建ShiroFilter過濾器 負責攔截所有請求
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = shiroFilterFactoryBean(defaultWebSecurityManager);
//宣告一個map
Map<String,String> map = new HashMap<>();
//配置系統受限資源
map.put("/index.jsp","authc"); //authc: 代表請求這個資源需要認證和授權
//默認的登錄頁面路徑
shiroFilterFactoryBean.setLoginUrl("login.jsp"); //因為shiro與jsp的集成相對友好,所以這個路徑如果不寫也會默認去找,但也可以改變
//將宣告路徑的map設定給過濾器
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
//給過濾器設定安全管理器
shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
return shiroFilterFactoryBean;
}如上代碼所示,如果配置了頁面路徑+autch,則視為此頁面路徑為受保護的資源頁面,如果訪問這個頁面需要認證和授權,并且如果在同級目錄下有一個login.jsp的頁面會重定向到login.jsp并不需要配置,同時,如果你的login.jsp頁面不在統計目錄下或者叫其他名字,你也可以通過setLoginUrl的方式來設定你的登錄頁面來進行跳轉,
那么authc這個在map中的value是什么呢?實際上這個authc是shiro為我們提供的一個過濾器的簡稱,其實還有很多簡稱下面為大家貼一張圖:
雖然有很多過濾器但是最常用的也就是anon和authc這兩種,如果日后想用其他的過濾器只需要根據自己的不同需求來選擇不同功能的過濾器即可,
用戶登錄
接著我們再來撰寫一個簡單的登錄頁面:
接著來撰寫一個controller:
@RequestMapping("/user")
@Controller
public class UserController {
/**
* 處理身份認證
* @param username
* @param password
* @return
*/
@RequestMapping("/login")
public String login(String username,String password){
//獲取主體物件
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username,password);
try {
subject.login(token);
return "redirect:/index.jsp";
} catch (IncorrectCredentialsException e) {
e.printStackTrace();
System.out.println("密碼錯誤");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用戶名錯誤");
}
return "redirect:/login.jsp";
}此時我們撰寫完畢這個controller之后他一定會走我們的自定義Realm,但是此時我們的自定義Realm并沒有寫任何的具體實作所以不論我們怎么訪問他都會重定向至登錄頁面:
那暫時我們寫再將認證資訊寫死在代碼中,測驗一下:
/*
* 自定義Realm
*/
public class MyRealm extends AuthorizingRealm {
/**
* 授權
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
/**
* 認證
* @param authenticationToken
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
String principal = (String) authenticationToken.getPrincipal();
if (principal.equals("zhangsan")){
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal,"123",this.getName());
return simpleAuthenticationInfo;
}
return null;
}
}此時我將認證的資訊固定為用戶名:zhangsan 密碼:123 再來測驗一下:
效果:
進入了被保護的資源頁面,系統主頁,
那么此時還有一個問題,那以后我們所設計的系統一定不會只有這兩個頁面,一定會有很多被保護的頁面,如果挨個去設定會跟麻煩,那么我們怎么辦呢?這樣的話就可以將一些比較少的公共資源設定為放行,將其他所有的頁面設定為 /**,來將其保護起來,但一定要切記,公共資源的代碼順序一定是在被保護的資源的代碼上方,
如下修改ShiroConfig:
/**
* 用來整合shiro與springboot的配置類 關系就是一層依賴一層
*/
@Configuration
public class ShiroConfig {
//創建ShiroFilter過濾器 負責攔截所有請求
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//宣告一個map
Map<String,String> map = new HashMap<>();
//配置公共資源
map.put("/login.jsp","anon"); //anon:代表這個資源為公共資源
//配置系統受限資源
map.put("/**","authc"); //authc: 代表請求這個資源需要認證和授權
//將路徑設定給過濾器
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
//默認的登錄頁面路徑
shiroFilterFactoryBean.setLoginUrl("login.jsp"); //因為shiro與jsp的集成相對友好,所以這個路徑如果不寫也會默認去找,但也可以改變
//給過濾器設定安全管理器
shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
return shiroFilterFactoryBean;
}
//創建安全管理器
@Bean
public DefaultWebSecurityManager defaultWebSecurityManager(Realm realm){
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager(realm);
//給安全管理器設定realm
defaultWebSecurityManager.setRealm(realm);
return defaultWebSecurityManager;
}
//創建自定義Realm
@Bean
public Realm realm(){
MyRealm myRealm = new MyRealm();
return myRealm;
}
}效果我就不展示了,與上面一樣,
用戶登出
退出登錄功能,首先將頁面完善:
然后在UserController中撰寫退出的功能:
/**
* 用戶登出功能
* @return
*/
@RequestMapping("/logout")
public String logout(){
Subject subject = SecurityUtils.getSubject();
try {
subject.logout();
return "redirect:/login.jsp";
} catch (Exception e) {
e.printStackTrace();
return "redirect:/index.jsp";
}
}shiro有一個好處就是如果你重啟的話他也會在快取中快取你的登錄資訊,所以退出功能就是將之前的快取資訊清除掉,之后再訪問資源頁面時就退重定向到登錄的頁面,
那么本篇文章要講的是shiro與springboot的整合開發模擬真實的開發場景,也就是說在真實的開發中我們一定不可能將用戶的資訊寫死在代碼中,一定是需要去資料庫中獲取用戶的認證資料來實作認證,那么下面就為大家進一步的整合,
五、連接資料庫進行認證處理
首先,連接資料庫進行認證,我們需要有一個注冊的頁面,實作用戶注冊,同時我們要在用戶注冊的時候所填寫的明文密碼在保存資料庫之前使用shiro提供的md5加密演算法、并且加鹽處理之后才能保存到資料庫中,只有這樣才能在之后進行認證的時候讀出用戶的加密密碼,
用戶注冊(用戶資訊保存)
先來撰寫一個簡單的注冊頁面:
此時用戶注冊時需要涉及到資料庫的保存那么我們就來創建一個資料庫,新建一張表來保存用戶名以及密碼,
id欄位自增,然后分別有三個欄位用戶名、密碼以及鹽的資訊,之前我們說過加在密碼中的鹽一定要保存到資料庫中去,只有這樣才能保證我們在認證的時候加入相同的鹽保證用戶認證資訊的通過,
既然我們需要用到隨機鹽那么我們就需要用到一個鹽工具類那么我們在工程下的utils包中先來撰寫一個鹽工具類:
/**
* 隨機鹽工具類
*/
public class SaltUtils {
public String getSalt(int n) {
//首先定義一個char陣列
char[] chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890!@#$%^&*()".toCharArray();
StringBuilder sb = new StringBuilder();
for (int i = 0; i < n; i++) {
//每次拿到一個隨機字符
char aChar = chars[new Random().nextInt(chars.length)];
//拼接隨機字符
sb.append(aChar);
}
return sb.toString();
}
/**
* 測驗隨機鹽工具類
* @param args
*/
public static void main(String[] args) {
SaltUtils saltUtils = new SaltUtils();
String salt = saltUtils.getSalt(8);
System.out.println(salt);
}
}
修改之后的POM檔案:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.3.4.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.csdn</groupId>
<artifactId>springboot_shiro_jsp</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>springboot_shiro_jsp</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-devtools</artifactId>
<scope>runtime</scope>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
<exclusions>
<exclusion>
<groupId>org.junit.vintage</groupId>
<artifactId>junit-vintage-engine</artifactId>
</exclusion>
</exclusions>
</dependency>
<!--jsp決議的依賴-->
<dependency>
<groupId>org.apache.tomcat.embed</groupId>
<artifactId>tomcat-embed-jasper</artifactId>
</dependency>
<!--可能會在jsp中用到c標簽-->
<dependency>
<groupId>jstl</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
</dependency>
<!--shiro與SpringBoot整合的依賴-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-starter</artifactId>
<version>1.6.0</version>
</dependency>
<!--mysql-->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.49</version>
</dependency>
<!--mybatis相關的依賴-->
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.1.3</version>
</dependency>
<!--druid資料庫連接池-->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.2.1</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<version>2.3.4.RELEASE</version>
</plugin>
</plugins>
</build>
</project>
新建一個物體類:
@Data
@Accessors(chain = true)
@NoArgsConstructor
@AllArgsConstructor
public class User implements Serializable {
private String id;
private String username;
private String password;
private String salt;
}接著對專案的application.properties檔案進行修改:
#指定埠號
server.port=8090
#請求路徑中加上專案名
server.servlet.context-path=/shiro
#指定專案名
spring.application.name=shiro
#將mvc視圖改為jsp,前綴、后綴
spring.mvc.view.prefix=/
spring.mvc.view.suffix=.jsp
#資料源相關配置
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
#資料源型別
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.url=jdbc:mysql://localhost:3306/shiro?characterEncoding=UTF-8
spring.datasource.username=root
spring.datasource.password=root
mybatis.mapper-locations=classpath:com/csdn/mappers/*.xml相關配置寫完后就可以來撰寫注冊的方法并將用戶的資料保存在資料庫中,
dao層代碼:
@Mapper
public interface UserDao {
/**
* 用戶注冊,保存
* @param user
*/
void save(User user);
}service層代碼:
public interface UserService {
/**
* 用戶注冊保存資訊
* @param user
*/
void save(User user);
}serviceImpl層代碼:
@Service
public class UserServiceImpl implements UserService {
@Autowired
private UserDao userDao;
/**
* 用戶注冊保存用戶資訊
* @param user
*/
@Override
public void save(User user) {
//獲取隨機鹽
String salt = new SaltUtils().getSalt(8);
//拿到用戶輸入的密碼
String password = user.getPassword();
//新建一個md5Hash的物件傳參
Md5Hash md5Hash = new Md5Hash(password,salt,1024);
//s 即為處理后的密碼
String s = md5Hash.toHex();
//保存
user.setPassword(s);
user.setSalt(salt);
userDao.save(user);
}
}
上面業務層的代碼主要是對密碼的處理,一方面是獲取隨機鹽,然后保存隨機鹽,另一方面則是將輸入的密碼獲取到之后進行加密處理后再將其密碼進行保存,
controller層代碼:
/**
* 用戶注冊
* @param user
* @return
*/
@RequestMapping("/register")
public String Register(User user){
try {
userService.save(user);
return "redirect:/login.jsp";
} catch (Exception e) {
e.printStackTrace();
return "redirect:/register.jsp";
}
}
}
保存成功后直接重定向到登錄頁面,如果報錯之后則在原頁面,
mapper.xml檔案:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.csdn.springboot_shiro_jsp.moudles.user.login.dao.UserDao">
<insert id="save" useGeneratedKeys="true" keyProperty="id" parameterType="com.csdn.springboot_shiro_jsp.moudles.user.login.pojo.User">
insert into t_user values(#{id},#{username},#{password},#{salt})
</insert>
</mapper>運行程序就不展示了,直接到資料庫去查看一下結果,我輸入的是:用戶名:zhangsan 密碼:123456,資料庫截圖:
用戶資訊認證
現在我們已經將注冊之后的用戶資訊用md5的方式加密并加鹽散列1024次之后將密碼以及隨機鹽的內容存入了資料庫中,現在只需要將用戶資訊讀取之后以相同的方式解密認證即可,
首先我們先撰寫dao層因為需要一個根據用戶輸入的用戶名來獲取用戶資訊的方法,所以首先撰寫一個dao層的代碼以及mapper檔案:
@Mapper
public interface UserDao {
/**
* 用戶注冊,保存
* @param user
*/
void save(User user);
/**
* 根據用戶名查詢用戶
* @param username
* @return
*/
User findByUsername(String username);
}mapper檔案修改:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.csdn.springboot_shiro_jsp.moudles.user.login.dao.UserDao">
<!--保存用戶資訊-->
<insert id="save" useGeneratedKeys="true" keyProperty="id" parameterType="com.csdn.springboot_shiro_jsp.moudles.user.login.pojo.User">
insert into t_user values(#{id},#{username},#{password},#{salt})
</insert>
<!--根據用戶名查詢用戶-->
<select id="findByUsername" parameterType="string" resultType="com.csdn.springboot_shiro_jsp.moudles.user.login.pojo.User">
select id,username,password,salt from t_user
where username=#{username}
</select>
</mapper>業務層代碼:
public interface UserService {
/**
* 用戶注冊保存資訊
* @param user
*/
void save(User user);
/**
* 根據用戶名查詢用戶
* @param username
* @return
*/
User findByUsername(String username);
}
業務層實作類
@Service("userService")
public class UserServiceImpl implements UserService {
@Autowired
private UserDao userDao;
/**
* 用戶注冊保存用戶資訊
* @param user
*/
@Override
public void save(User user) {
//獲取隨機鹽
String salt = new SaltUtils().getSalt(8);
//拿到用戶輸入的明文密碼
String password = user.getPassword();
//新建一個md5Hash的物件傳參
Md5Hash md5Hash = new Md5Hash(password,salt,1024);
//s 即為處理后的密碼
String s = md5Hash.toHex();
//保存
user.setPassword(s);
user.setSalt(salt);
userDao.save(user);
}
/**
* 根據用戶名查詢用戶
* @param username
* @return
*/
@Override
public User findByUsername(String username) {
User user = userDao.findByUsername(username);
return user;
}
}根據之前我們的已經了解過得shiro的匹配規則此時,我們還需要去自定義Realm中去修改,從資料庫中獲取用戶資訊,所以我們這時要去自定義Realm去修改,
而此時因為我們的用戶資訊是通過資料庫獲取的,自定義的Realm又不在工廠中被Spring管理所以此時我們需要一個工具類即為通過類名來獲取工廠中的物件,
/**
* 根據bean名字獲取工廠中指定的bean物件
*/
@Component
public class ApplicationContextUtils implements ApplicationContextAware {
private static ApplicationContext context;
@Override
public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
this.context=applicationContext;
}
public static Object getBean(String beanName){
Object bean = context.getBean(beanName);
return bean;
}
}
之前我們通過@Service標簽中宣告了一個名字為userService,這樣就可以通過物件名字獲取工廠中的物件,
之后修改自定義Realm:
/*
* 自定義Realm
*/
public class MyRealm extends AuthorizingRealm {
/**
* 授權
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
/**
* 認證
* @param authenticationToken
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
String principal = (String) authenticationToken.getPrincipal();
//在工廠中獲取service物件
UserService userService = (UserService) ApplicationContextUtils.getBean("userService");
User user = userService.findByUsername(principal);
//判斷user不為空時處理
if (!ObjectUtils.isEmpty(user)){
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(),
ByteSource.Util.bytes(user.getSalt()),this.getName());
return simpleAuthenticationInfo;
}
return null;
}
}
因為我們將密碼加密的策略已經修改為了md5加散列所以要將密碼匹配策略修改,修改shiroConfig:
/**
* 用來整合shiro與springboot的配置類 關系就是一層依賴一層
*/
@Configuration
public class ShiroConfig {
//創建ShiroFilter過濾器 負責攔截所有請求
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//宣告一個map
Map<String,String> map = new HashMap<>();
//配置公共資源
map.put("/user/**","anon"); //anon:代表這個資源為公共資源
map.put("/register.jsp","anon");
//配置系統受限資源
map.put("/**","authc"); //authc: 代表請求這個資源需要認證和授權
//將路徑設定給過濾器
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
//默認的登錄頁面路徑
shiroFilterFactoryBean.setLoginUrl("/login.jsp"); //因為shiro與jsp的集成相對友好,所以這個路徑如果不寫也會默認去找,但也可以改變
//給過濾器設定安全管理器
shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
return shiroFilterFactoryBean;
}
//創建安全管理器
@Bean
public DefaultWebSecurityManager defaultWebSecurityManager(Realm realm){
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager(realm);
//給安全管理器設定realm
defaultWebSecurityManager.setRealm(realm);
return defaultWebSecurityManager;
}
//創建自定義Realm
@Bean
public Realm realm(){
MyRealm myRealm = new MyRealm();
//修改密碼憑證匹配器 修改匹配策略
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
//密碼加密方式
hashedCredentialsMatcher.setHashAlgorithmName("md5");
//設定散列次數
hashedCredentialsMatcher.setHashIterations(1024);
myRealm.setCredentialsMatcher(hashedCredentialsMatcher);
return myRealm;
}
}
全部修改完成之后,啟動專案再來訪問一下頁面:
成功!
那么springboot整合shiro連接資料庫的簡單實作就寫到這里,后續的文章會繼續加上從資料庫獲取授權資訊的簡單實作,希望大家共同學習一起成長,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/185178.html
標籤:其他