后端管理系统登录一般都涉及到权限控制,权限管理组件用的最多的就是Apache的Shiro了,任何系统的登录模块,基本都可以使用shiro来实现我们的功能。
相信看到这篇文章的人都知道Shiro是什么吧,Apache Shiro是Java的一个安全(权限)框架,Shiro可以非常容易的开发出足够好的应用,JavaSE和Java EE环境都可以使用。Shiro可以完成:认证、授权、加密、会话管理、与web集成、缓存等。官方图如下:
这里说下shiro安全的四大基石(上图中上层4个黄色部分)
shiro的使用也很简单,如下图,主要有三个类
三者在代码中的体现是: 简单的说,当你对当前登录用户Subject进行操作时,Subject会与SecurityManager交互,SecurityManager会使用Realm查询权限。
当然,还有另外一个类ShiroFilterFactoryBean也比较重要,下面讲。
话不多说,上代码。首先来思考一下正常的网页登录流程是什么样的?我整理的一下,大概流程如下。
如果解决以上三个问题,上代码。
maven中导入如下Shiro的坐标。
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.5.1</version> </dependency> 复制代码
步骤都在下面代码的注释了,总结一句话就是:通过ShiroFilterFactoryBean配置拦截的页面,拦截后调转到登录页,登录过程中,SecurityManager调用Realm来获取认证、授权的信息。
package io.github.zebinh.zmall.mall.admin.config; import org.apache.shiro.authc.*; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.web.mgt.DefaultWebSecurityManager; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import java.util.LinkedHashMap; import java.util.Map; /** * Shiro配置类 */ @Configuration public class ShiroConfig { /** * Shiro自带的过滤器,可以在这里配置拦截页面 */ @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(@Autowired DefaultWebSecurityManager securityManager){ // 1. 初始化一个ShiroFilter工程类 ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); // 2. 我们知道Shiro是通过SecurityManager来管理整个认证和授权流程的,这个SecurityManager可以在下面初始化 shiroFilterFactoryBean.setSecurityManager(securityManager); // 3. 上面我们讲过,有的页面不需登录任何人可以直接访问,有的需要登录才能访问,有的不仅要登录还需要相关权限才能访问 Map<String, String> filterMap = new LinkedHashMap<>(); // 4. Shiro过滤器常用的有如下几种 // 4.1. anon 任何人都能访问,如登录页面 filterMap.put("/api/user/login", "anon"); // 4.2. authc 需要登录才能访问,如系统内的全体通知页面 filterMap.put("/api/user/notics", "authc"); // 4.3. roles 需要相应的角色才能访问 filterMap.put("/api/user/getUser", "roles[admin]"); // 5. 让ShiroFilter按这个规则拦截 shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap); // 6. 用户没登录被拦截后,当然需要调转到登录页了,这里配置登录页 shiroFilterFactoryBean.setLoginUrl("/api/user/login"); return shiroFilterFactoryBean; } /** * SecurityManager管理认证、授权整个流程 */ @Bean public DefaultWebSecurityManager defaultWebSecurityManager(@Autowired UserRealm userRealm){ // 7. 新建一个SecurityManager供ShiroFilterFactoryBean使用 DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 8. SecurityManager既然管理认证等信息,那他就需要一个类来帮他查数据库吧。这就是Realm类 securityManager.setRealm(userRealm); return securityManager; } /** * 自定义Realm,当SecurityBean需要来查询相关权限信息时,需要有Realm代劳 */ @Bean public UserRealm userRealm(){ return new UserRealm(); } /** * 为了方便观看,我将UserRealm类的实现写在这里了 */ class UserRealm extends AuthorizingRealm { // 9. 前面被authc拦截后,需要认证,SecurityBean会调用这里进行认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { System.out.println("执行认证逻辑"); UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken; // 9.1. 为了方便演示,我这里写死了用户admin-name密码admin-pwd才能登录 if (token.getUsername() == null || !token.getUsername().equals("admin-name")){ return null; } return new SimpleAuthenticationInfo("", "admin-pwd", ""); } // 10. 前面被roles拦截后,需要授权才能登录,SecurityManager需要调用这里进行权限查询 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { System.out.println("执行授权逻辑"); // 10.1. 为了方便演示,这里直接写死返回了admin角色,所有能登录的角色都是admin了 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.addRole("admin"); return info; } } } 复制代码
调转到登录页后,用户登录,直接调用Subject类的login方法即可,Subject类会调用SecurityManager进行认证。看到这里,应该就能理解本文开头的两幅图了吧。
package io.github.zebinh.zmall.mall.admin.user.controller; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UnknownAccountException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.subject.Subject; import org.springframework.web.bind.annotation.*; import java.util.Map; @RestController @RequestMapping("api/user") public class UserController { @PostMapping("login") public String login(@RequestBody Map<String, String> user){ Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(user.get("username"), user.get("password")); try{ subject.login(token); }catch (UnknownAccountException e){ System.out.println("用户名不存在"); return "用户名不存在"; }catch (AuthenticationException e) { System.out.println("认证失败"); return "认证失败"; } return "登录成功"; } @GetMapping("getUser") public Object getUser() { return SecurityUtils.getSubject(); } @GetMapping("notics") public String notics(){ return "通知"; } } 复制代码
在登录完成后,shiro会发一个cookie给客户端,包含了sessionId,因此能识别当前用户,当访问需要登录的页面时,如发现cookie中有sessionId,判断该用户已登录,则不需要调用Realm再进行认证了。cookie如下所示。
那么问题来了,cookie只有pc端才有,移动端并没有cookie,该怎么解决移动端的shiro认证问题呢,同时这种方式无法解决单点登录的问题,应为cookie只能在同源的网站被发送到服务器。
解决方案就是,这时候就要定义自己的Session管理器了。用户登录后,自定义Session管理器生成session并生成一个token给到前端,前端每次访问都传递token,shiro会调用自定义的Session管理器做校验。Session中可以放置当前登录用户的信息并放置在redis中。自定义的Session管理器每次从redis中读取数据即可。
上面我们说到了使用token + redis来存储用户信息。此次用户信息是保存在服务器的redis中的,还有另外一种方式JWT,它是将客户信息加密后返回给客户端,客户端每次使用该加密字符串访问服务器,服务器加密即可获得用户信息。这种方式则是将用户信息存放在客户端了。可以了解一下这种方式。
本篇文章讨论的只是Shiro的使用,对于设计一个安全的登录(单点)系统还需要很多讨论。
以上。