【Shiro】4.Springboot集成Shiro

https://blog.csdn.net/sco5282/article/details/134016549

前面已经学习了Shiro快速入门和缓存 。现在假定实际业务中需要完成以下功能：

1. 包含页面登录和首页。

2. 登录时需要连接数据库，完成登录认证和授权。

3. 登录时，密码需要加密。

4. 登录和授权信息能够缓存。

5. 授权演示两种模式，基于角色授权和基于资源授权。

前提条件

因为这里主要学习shiro，所以与shiro不相干的步骤和准备，尽量简单表示。

1. 新建SpringBoot的Web项目，并新建页面index.html(主页，对应路由ip：接口/index)和login.html（登录页面，对应路由ip:接口/login）。

2. mysql数据库包含用户、角色以及授权的表格（如下图）。这些表格的方法已在SpringBoot结合（Mybatis或Mybatisplus）形成基础的查询方法，我们演示的时候只要调用以上方法即可。

 引入依赖

这里我们需要引用需要的shiro和redis依赖项。

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.13.0</version>
</dependency>
<!-- Redis 缓存-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
    <version>2.5.15</version>
</dependency>
<dependency>
    <groupId>org.springframework.data</groupId>
    <artifactId>spring-data-redis</artifactId>
    <version>2.5.12</version>
</dependency>

 添加Shiro配置类

根据已学过的知识，添加配置类ShiroConfiguratin。

@Configuration
public class ShiroConfiguratin {
    @Autowired
    private RedisTemplate redisTemplate;

    // 1.创建 shiroFilter，负责拦截所有请求
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //给filter设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        //配置系统受限资源
        //配置系统公共资源
        Map<String,String> map = new HashMap<>();
        // authc 请求这个资源需要认证和授权
        map.put("/index", "authc");
        //默认认证界面路径
        shiroFilterFactoryBean.setLoginUrl("/login");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }

    //2.创建安全管理器
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(Realm realm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //给安全管理器设置
        defaultWebSecurityManager.setRealm(realm);
        return defaultWebSecurityManager;
    }

    /**
     * 3.创建自定义realm
     * @return
     */
    @Bean
    public Realm getRealm(){
        SysUserRealm sysUserRealm = new SysUserRealm();
        // 设置缓存管理器
        sysUserRealm.setCacheManager(new RedisCacheManage(redisTemplate)); // 自定义Redis数据库缓存方法
        // 开启全局缓存
        sysUserRealm.setCachingEnabled(true);
        // 开启认证缓存并指定缓存名称
        sysUserRealm.setAuthenticationCachingEnabled(true);
        sysUserRealm.setAuthenticationCacheName("authenicationCache");
        // 开启缓存授权并指定缓存名称
        sysUserRealm.setAuthorizationCachingEnabled(true);
        sysUserRealm.setAuthorizationCacheName("authenicationCache");
        return sysUserRealm;
    }
}

这里的配置类完成以下功能。

• 完成拦截请求（登录index页面前，需要经过认证和授权认证和授权页面（login）)
• 创建安全管理（添加域管理器）
• 设置自定义域，完成缓存的设置（使用Redis缓存，详见：https://www.cnblogs.com/luyj00436/p/18446712）。

根据之前学到的知识，自定义域完成了认证和授权 SysUserRealm  。

public class SysUserRealm extends AuthorizingRealm {
    @Autowired
    private SysUserMapper sysUserMapper;        // 用户查询
    /**
     * 授权
     * @param principals the primary identifying principals of the AuthorizationInfo that should be retrieved.
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 从系统返回的身份信息集合中获取主身份信息（用户名）
        String primaryPrincipal = (String) principals.getPrimaryPrincipal();
        // TODO 根据用户名获取当前用户的角色信息，以及权限信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        // 将数据库中查询到的角色信息赋值给权限对象 
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user");
        // 将数据库中查询权限信息赋值给权限对象
        simpleAuthorizationInfo.addStringPermission("user:*:01");
        simpleAuthorizationInfo.addStringPermission("product:create");
        return simpleAuthorizationInfo;
    }

    /**
     * 认证
     * @param token the authentication token containing the user's principal and credentials.
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 在token中获取用户名
        String principal = (String) token.getPrincipal();   // 获取用户名
        // 根据获取到的用户名查询数据（这里用id代替）
        SysUser resUser = sysUserMapper.selectById(1);
        if(principal.equals(resUser.getUsername())){
            // 参数说明：用户|密码|当前realm的名字
            return new SimpleAuthenticationInfo(principal,resUser.getPassword(), this.getName() );
        }
        return null;
    }
}