【万字长文微服务整合Shiro+Jwt,源码分析鉴权实战
前言
Shiro是什么,我这里就不多介绍了,全网也有好多是介绍Spring Boot、Shiro、Jwt整合的教程,我想要写这篇文章,是因为有好多的内容,基本上都是类似的,自己想要的效果,我并没有找到合适的解决方案。
整合之后,我想要的一个效果是:
支持 RBAC通过JWT生成token,做到无状态 能够动态的根据用户角色对当前请求路径进行鉴权,而不是使用Shiro提供的注解,把角色,权限等信息写死 对Shiro的异常进行统一捕获和处理
源码分析
我之前并没有学过Shiro,现在工作中又需要做权限这一块,就快速的学了一下Shiro,后面的分析,我因为是应届生,可能还存在很多考虑不周到的地方和Bug,欢迎各位大佬指出,我也再完善一下。如果你要学Shiro,并不想看官方文档的话,可以试试这篇教程,我个人感觉是非常仔细的,推荐搭配源码一起看。
组件介绍
想要上手Shiro,我们必须要明白Shiro中的几个概念:
Subject(主题):当前“用户”是谁,这个“用户”并不是我们现实世界中的人类,你可以这样理解,向Shiro发起操作的就是一个“用户”,比如一个网络请求,他就是一个Subject。
// 从当前线程上下文中获取一个subject Subject subject = SecurityUtils.getSubject(); subject.hasRole("admin");// 此subject是否有admin角色 subject.hasRole(xxx); subject.isPermitted(xxx);
SecurityManager(安全管理器):管理系统中所有"Subject",是Shiro中的核心类,该类下面有很多的方法,但是这些方法基本上和Subject对象中的方法是一样的,假如我们获取到Subject,想要验证此Subject是否有admin这个角色,调用subject.hasRole("admin"),但是其最终执行的是securityManager.hasRole(getPrincipals(), "admin")
// 获取安全管理器 SecurityManager securityManager = SecurityUtils.getSecurityManager(); securityManager.hasRole(xxx, xxx);
Authenticator(身份认证):验证用户身份,该类只有一个方法authenticate(),该方法需要返回一个AuthenticationInfo对象,此对象中就包含用户的用户名和密码(数据库中存储的密码,并不是表单中密码)
CredentialsMatcher(凭证匹配器):也可以叫做密码匹配器,调用subject.login()方法,从Authenticator中获取到用户名,密码,在CredentialsMatcher中进行密码的比较。
Authorizer(授权):进行鉴权操作,验证某个用户是否具有某某权限/角色
boolean hasRole(PrincipalCollection subjectPrincipal, String roleIdentifier); boolean isPermitted(PrincipalCollection subjectPrincipal, Permission permission); ...
Realm:Shiro和数据之间的桥梁,我们的用户数据可以存放在本地、数据库、Redis、第三方等等,Shiro他并不关心,也不需要知道它所需要的数据是以什么方式存储,它关心的仅仅是,我(Shiro)需要用户的账号和密码,或者用户的权限信息,你就必须给我。他们之间就是通过Realm来进行数据通信的,在一个Security Manager,可以有多个Realm,对于存在多个Realm的情况,我们可以定义策略(AuthenticationStrategy),来决定如何处理。
Session Management(Session管理器):如果使用Jwt,这个基本上用不到,主要作用就是保存session
Cache(缓存):也就是获取用户信息或者权限信息等,可以从缓存中获取,Shiro中的缓存全部都是org.apache.shiro.cache.Cache对象
上面就是我们需要了解的一些概念,下面我将对上面这些内容进行源码分析。源码分析的时候,我们只需要关注两个方法,分别是
SecurityUtils.getSubject().login()和SecurityUtils.getSubject().hasRole()(使用hasRole举例,其他的方法一样)
调用SecurityUtils.getSubject().login()
调用SecurityUtils.getSubject().login(),该login方法需要传入一个AuthenticationToken类型的参数,对象里面包含用户名和密码
public void login(AuthenticationToken token) throws AuthenticationException { // 1. 先从session中移除属性 clearRunAsIdentitiesInternal(); // 2. 核心方法 Subject subject = securityManager.login(this, token); PrincipalCollection principals; // 剩余的代码不需要太关注 }
DefaultSecurityManager
我们进入 securityManager.login(this, token)方法,该方法只有一个实现,位置是org.apache.shiro.mgt.DefaultSecurityManager#login
public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException { AuthenticationInfo info; try { // 通过AuthenticationToken对象信息,获取用户名和密码 info = authenticate(token); } catch (AuthenticationException ae) { try { // 处理rememberMe onFailedLogin(token, ae, subject); } catch (Exception e) { // ... } throw ae; //propagate } // 处理rememberMe onSuccessfulLogin(token, info, loggedIn); }
AuthenticatingSecurityManager
进入org.apache.shiro.mgt.AuthenticatingSecurityManager#authenticate方法
public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException { return this.authenticator.authenticate(token); }
我们可以看到,这里最终是在SecurityManager对象中调用this.authenticator.authenticate(token),而这个方法的最终目的就是对用户传入的用户名和密码进行验证,那如果想要自定义这个认证流程的话,就只需要在securityManager对象中设置Authenticator就行了
@Bean("securityManager") public DefaultWebSecurityManager defaultWebSecurityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setAuthenticator(xxx); return securityManager; }
AbstractAuthenticator
继续往下,this.authenticator.authenticate(token)会进入到org.apache.shiro.authc.AbstractAuthenticator#authenticate中
public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException { // .... AuthenticationInfo info; try { info = doAuthenticate(token); // .... } catch (Throwable t) { // .... } notifySuccess(token, info); return info; }
我先说最后的notifySuccess(token, info)方法,该方法就是类似于通知监听器的作用,监听器是AuthenticationListener类型,有三个方法,onSuccess(登录成功后执行什么)、onFailure(登录失败执行什么)、onLogout(登出成功执行),该监听器存放于AbstractAuthenticator类中的,该类只有一个子类ModularRealmAuthenticator,如果我们需要设置监听器,可以参照下面方式
@Bean("securityManager") public DefaultWebSecurityManager defaultWebSecurityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 设置认证器,ModularRealmAuthenticator是一个支持多Realm的认证器 securityManager.setAuthenticator(modularRealmAuthenticator()); return securityManager; } @Bean public ModularRealmAuthenticator modularRealmAuthenticator() { ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator(); // 设置监听器 modularRealmAuthenticator.setAuthenticationListeners(Collection/**自己实现AuthenticationListener**/); return modularRealmAuthenticator; }
notifySuccess(token, info)方法完了,我们继续回到流程中的info = doAuthenticate(token),最终会调用org.apache.shiro.authc.pam.ModularRealmAuthenticator#doAuthenticate,请注意了,ModularRealmAuthenticator这个类非常重要,他是一个支持多Realm的认证器,正常我们在SecurityManager中都将Authenticator设置为ModularRealmAuthenticator,他的doAuthenticate方法为
protected Collection getRealms() { return this.realms; } protected void assertRealmsConfigured() throws IllegalStateException { Collection realms = getRealms(); if (CollectionUtils.isEmpty(realms)) { throw new IllegalStateException(msg); } } protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException { assertRealmsConfigured(); Collection realms = getRealms(); if (realms.size() == 1) { return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken); } else { return doMultiRealmAuthentication(realms, authenticationToken); } }
可以看到,在doAuthenticate()方法中,首先会判断当前认证器中有没有Realm对象,因为之前说过了,Shiro想要知道用户信息,就必须要有Realm这个中间件,就算数据存储在本地的也不行,我们设置Realm可以在SecurityManager和ModularRealmAuthenticator中都可以设置,效果是一样的。
doSingleRealmAuthentication()和doMultiRealmAuthentication()分别是对单个Realm和多个Realm进行处理
先看doSingleRealmAuthentication(realms.iterator().next(), authenticationToken)方法,此方法是针对SecurityManager中只存在于一个Realm的情况,其源码如下
protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) { if (!realm.supports(token)) { // ............ } AuthenticationInfo info = realm.getAuthenticationInfo(token); if (info == null) { // ............ } return info; }
为了看懂上面的代码,我们需要先看一下Realm这个接口
public interface Realm { // Returns the (application-unique) name assigned to this Realm. All realms configured for a single application must have a unique name.(返回该realm对象的名字,在同一个SecurityManager下,此realmName必须唯一) String getName(); // Returns true if this realm wishes to authenticate the Subject represented by the given AuthenticationToken instance, false otherwise. (此realm是否支持对传入的AuthenticationToken进行账号密码认证) boolean supports(AuthenticationToken token); // Returns an account's authentication-specific information for the specified token, or null if no account could be found based on the token. (根据传入的AuthenticationToken信息,返回其对应的AuthenticationInfo) AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException; } public interface AuthenticationInfo extends Serializable { // 主体信息,如用户名等用户的标识,请注意,密码不放在此对象中 PrincipalCollection getPrincipals() // getPrincipals()方法中的主体凭据,可以理解为主体的密码 Object getCredentials(); }
因为在登录的时候,我们调用的是subject.login(AuthenticationToken),但是对于每一个应用而言,其登录逻辑是不同的,我们需要的AuthenticationToken信息也是不同的,在正常的业务中,我们一般都是需要自定义我们自己的AuthenticationToken
@Data public class JwtTokenAuthenticationToken implements AuthenticationToken { // 账户名 private String account; // 账户密码 private String password; public JwtTokenAuthenticationToken(String account, String password) { this.account = account; this.password = password; } public JwtTokenAuthenticationToken() { } @Override public Object getPrincipal() { return this.account; } @Override public Object getCredentials() { return this.password; } }
然后我们在自定义的Realm中,对supports方法进行重写,用于判断传入的AuthenticationToken是否是JwtTokenAuthenticationToken类型,从而从AuthenticationToken中获取到账户名和密码
public abstract class AbstractAuthenticationRealm extends AuthorizingRealm { @Override public boolean supports(AuthenticationToken token) { return token instanceof JwtTokenAuthenticationToken; } }
现在重新回到org.apache.shiro.authc.pam.ModularRealmAuthenticator#doSingleRealmAuthentication方法,可以看到其获取AuthenticationInfo对象,就是调用realm的getAuthenticationInfo进行获取,我们点击进入该方法,在讲解该getAuthenticationInfo方法之前,我再说一下Realm
我们目前已经了解到Realm是Shiro和数据之间的桥梁,对于一个安全框架来说,获取用户信息和用户权限是必不可少的,但是在Realm接口中,我们只看到了获取用户信息的方法,也就是org.apache.shiro.realm.Realm#getAuthenticationInfo,但是并没有获取用户权限信息的方法,这个是因为获取用户的权限信息是在Realm的实现类中去完成的,我们看一下Realm接口的子类关系图
在上图中,我们可以看到,有两个非常重要的类,一个是AuthenticatingRealm,还有一个是AuthorizingRealm,我们现在看一下上图中主要类的源码
Realm
Realm接口我们已经分析过了,这里就不看了,其里面获取用户信息的方法为org.apache.shiro.realm.Realm#getAuthenticationInfoCachingRealm
CachingRealm,该类比Realm多了三个能自定义的属性,还有几个方法public abstract class CachingRealm implements Realm, Nameable, CacheManagerAware, LogoutAware { // 此realm的名称 private String name; // 是否为此realm启用缓存 private boolean cachingEnabled; // 缓存管理器 private CacheManager cacheManager; protected void afterCacheManagerSet() {} protected void clearCache(PrincipalCollection principals) {} protected void doClearCache(PrincipalCollection principals) {} } // 缓存管理器就一个方法,通过var1(理解为key)获取Cache对象,我们可以自己实现,比如定义一个RedisCacheManager,还需要实现Cache接口 public interface CacheManager { Cache getCache(String var1) throws CacheException; }
如果要为我们的realm增加缓存支持的话,可以在配置中进行指定
@PostConstruct public void init() { // AdminReam继承自AuthorizingRealm // 想要开启AuthenticationInfo缓存,必须要设置下面这几个属性 adminRealm.setAuthenticationCachingEnabled(true); adminRealm.setCachingEnabled(true); adminRealm.setCacheManager(CacheManager); // 设置AuthenticationInfo对象缓存的名字,比如redis中的key adminRealm.setAuthenticationCacheName("shiro:AuthenticationInfoCache:Name"); } @Bean("securityManager") public DefaultWebSecurityManager defaultWebSecurityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 这里后续可以增加多个realm Collection realmCollection = new ArrayList(); realmCollection.add(adminRealm); securityManager.setRealms(realmCollection); return securityManager; }
AuthenticatingRealm
AuthenticatingRealm:在此类中,我们可以配置凭据匹配器CredentialsMatcher,是否开启身份验证缓存authenticationCachingEnabled,还有身份验证缓存的名字authenticationCacheName,还有几个重要的方法,主要源码如下public abstract class AuthenticatingRealm extends CachingRealm implements Initializable { // 凭据匹配器,也就是如何进行密码验证 private CredentialsMatcher credentialsMatcher; private Cache authenticationCache; // 是否开启身份验证缓存 private boolean authenticationCachingEnabled; private String authenticationCacheName; // 判断是否能从缓存中获取AuthenticationInfo对象,判断的方法是isAuthenticationCachingEnabled(),逻辑是1.开启身份验证缓存authenticationCachingEnabled(true),2.为realm设置了cachingEnabled(true) private Cache getAvailableAuthenticationCache() { Cache cache = getAuthenticationCache(); boolean authcCachingEnabled = isAuthenticationCachingEnabled(); if (cache == null && authcCachingEnabled) { cache = getAuthenticationCacheLazy(); } return cache; } // 懒加载缓存 private Cache getAuthenticationCacheLazy() { if (this.authenticationCache == null) { // 获取缓存管理器 CacheManager cacheManager = getCacheManager(); if (cacheManager != null) { // 获取key String cacheName = getAuthenticationCacheName(); // 从缓存管理器中获取缓存对象 this.authenticationCache = cacheManager.getCache(cacheName); } } return this.authenticationCache; } // 从缓存中获取当前用户的身份信息 private AuthenticationInfo getCachedAuthenticationInfo(AuthenticationToken token) { AuthenticationInfo info = null; // 从缓存获取 Cache cache = getAvailableAuthenticationCache(); if (cache != null && token != null) { // 获取用户信息 Object key = getAuthenticationCacheKey(token); info = cache.get(key); } return info; } // 获取用户信息,此方法非常重要 public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 1. 先从缓存中获取用户身份信息 AuthenticationInfo info = getCachedAuthenticationInfo(token); if (info == null) { // 如果缓存中没有,则使用我们自己的逻辑去获取,比如从MySQL,或者是本地等等,doGetAuthenticationInfo()是抽象方法 info = doGetAuthenticationInfo(token); } if (info != null) { // 能获取到用户信息的话,就进行用户密码的验证 assertCredentialsMatch(token, info); } return info; } // 判断用户凭据(密码)是否正确 protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException { // 获取密码匹配器,正常业务中,需要自定义,然后在Shiro配置中,对realm进行设置 CredentialsMatcher cm = getCredentialsMatcher(); if (cm != null) { // 执行密码验证 if (!cm.doCredentialsMatch(token, info)) {} } } // 如何获取用户信息,由子类去自己实现 protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException; }
在上面这个类中,最重要的方法莫过于org.apache.shiro.realm.AuthenticatingRealm#getAuthenticationInfo,我们可以理解为,他是我们从realm中获取用户信息的入口方法
AuthorizingRealm
AuthorizingRealm:此类很重要,我们看该类的继承和实现关系,就可以看到,它实现了Authorizer,所以就有hasRole()等方法,还继承自AuthenticaticatingRealm,该类中,有5个属性我们可以进行设置,authorizationCachingEnabled是否开启授权缓存,authorizationCacheName授权缓存的名字,permissionResolver权限解析器,permissionRoleResolver角色解析器,这个注意了,能够从缓存中获取
AuthorizationInfo(用户权限角色信息),其逻辑和AuthenticatingRealm是一样的,你必须开启设置authorizationCachingEnabled和cachingEnabled两个字段的值为true,才能开启
从realm中获取用户权限信息的逻辑和从realm中获取用户身份信息的逻辑是差不多的,其方法是org.apache.shiro.realm.AuthorizingRealm#getAuthorizationInfo,我们可以看一下其源码
protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) { AuthorizationInfo info = null; // 1. 从缓存中获取 Cache cache = getAvailableAuthorizationCache(); if (cache != null) { // 2. 从缓存中根据用户名获取用户权限信息 Object key = getAuthorizationCacheKey(principals); info = cache.get(key); } if (info == null) { // 3. 缓存中没有,则从数据库或者是本地获取,需要用户自己实现,doGetAuthorizationInfo()是抽象方法 info = doGetAuthorizationInfo(principals); if (info != null && cache != null) { // 4. 如果启用了缓存,则放入缓存中 Object key = getAuthorizationCacheKey(principals); cache.put(key, info); } } return info; }
最后,如果你需要自定义一个realm,我推荐大家继承
AuthorizingRealm,因为这个类,既能获取用户身份信息,又能获取用户权限信息,关于subject.hasRole()等鉴权相关的分析,我放在下一节,这一节就主要看身份验证
ModularRealmAuthenticator
现在我们已经看完了所需要了解的源码了,回到我们之前的开始的部分org.apache.shiro.authc.pam.ModularRealmAuthenticator#doAuthenticate方法
protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException { assertRealmsConfigured(); Collection realms = getRealms(); if (realms.size() == 1) { return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken); } else { return doMultiRealmAuthentication(realms, authenticationToken); } } protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) { if (!realm.supports(token)) { // .......... throw new UnsupportedTokenException(msg); } AuthenticationInfo info = realm.getAuthenticationInfo(token); if (info == null) { // ........ throw new UnknownAccountException(msg); } return info; } protected AuthenticationInfo doMultiRealmAuthentication(Collection realms, AuthenticationToken token) { AuthenticationStrategy strategy = getAuthenticationStrategy(); AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token); for (Realm realm : realms) { try { aggregate = strategy.beforeAttempt(realm, token, aggregate); } catch (ShortCircuitIterationException shortCircuitSignal) { // Break from continuing with subsequnet realms on receiving // short circuit signal from strategy break; } if (realm.supports(token)) { AuthenticationInfo info = null; Throwable t = null; try { info = realm.getAuthenticationInfo(token); } catch (Throwable throwable) { } aggregate = strategy.afterAttempt(realm, token, info, aggregate, t); } } aggregate = strategy.afterAllAttempts(token, aggregate); return aggregate; }
如果当前的securityManager中只存在一个realm的话,那么会走doSingleRealmAuthentication(Realm realm, AuthenticationToken token)流程,在该方法中,就是从我们自定义的realm中通过用户名获取到用户身份信息,而且我们可以看到,它首先是先执行realm.supports(token),只有此realm支持此AuthenticationToken参数,其才会进入到getAuthenticationInfo,这部分比较简单,我们重点看一下doMultiRealmAuthentication(realms, authenticationToken)方法
SecurityUtils.getSubject().hasRole()
执行鉴权流程,它的源码我们基本上已经在SecurityUtils.getSubject().login()中分析过了,这里就不重复了,我就只说一下调用流程,还有部分类的源码分析。
org.apache.shiro.subject.support.DelegatingSubject#hasRole
下一个流程,根据你配置的Authenticator来走
如果你直接配置的认证器是AuthorizingRealm类型,那么下一步会进入你自己的那个org.apache.shiro.realm.AuthorizingRealm#hasRole(org.apache.shiro.subject.PrincipalCollection, java.lang.String)方法
@Bean("securityManager") public DefaultWebSecurityManager defaultWebSecurityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setAuthenticator(Authenticator); return securityManager; }
因为上面1的情况只针对于SecurityManager下只存在于一个Realm的情况,更多时候,我们业务中,一般都会有多个Realm,像这种情况的话,我们就需要将认证器设置成ModularRealmAuthorizer类型,下一步执行的是org.apache.shiro.authz.ModularRealmAuthorizer#hasRole
@Bean("securityManager") public DefaultWebSecurityManager defaultWebSecurityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 设置设置验证器,无论设置什么,最终都会执行我们的Realm securityManager.setAuthenticator(modularRealmAuthenticator()); return securityManager; } /** * 系统自带的Realm管理,主要针对多realm */ @Bean public ModularRealmAuthenticator modularRealmAuthenticator() { ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator(); FirstSuccessfulStrategy firstSuccessfulStrategy = new FirstSuccessfulStrategy(); firstSuccessfulStrategy.setStopAfterFirstSuccess(true); modularRealmAuthenticator.setAuthenticationStrategy(firstSuccessfulStrategy); modularRealmAuthenticator.setAuthenticationListeners(); modularRealmAuthenticator.setRealms(); return modularRealmAuthenticator; }
而且其流程就是,遍历每一个realm,如果该realm是AuthorizingRealm类型的话,那么就调用org.apache.shiro.realm.AuthorizingRealm#hasRole(org.apache.shiro.subject.PrincipalCollection, java.lang.String),只要有一个realm能够调用hasRole()后,返回true,就表示鉴权成功,并不像多Realm情况下,login()登录那么复杂,需要设计到策略。
public boolean hasRole(PrincipalCollection principal, String roleIdentifier) { AuthorizationInfo info = getAuthorizationInfo(principal); return hasRole(roleIdentifier, info); }
hasRole()
后面的如何获取用户的权限信息,我上面已经分析过了,我们现在来分析一下hasRole()这个方法
protected boolean hasRole(String roleIdentifier, AuthorizationInfo info) { return info != null && info.getRoles() != null && info.getRoles().contains(roleIdentifier); }
其逻辑也是很好理解,就是从AuthorizationInfo中获取角色列表,判断用户的所有角色中,是否包含了roleIdentifier
hasAllRoles()
protected boolean[] hasRoles(List roleIdentifiers, AuthorizationInfo info) { boolean[] result; if (roleIdentifiers != null && !roleIdentifiers.isEmpty()) { int size = roleIdentifiers.size(); result = new boolean[size]; int i = 0; for (String roleName : roleIdentifiers) { result[i++] = hasRole(roleName, info); } } else { result = new boolean[0]; } return result; }
最终都是调用hasRole()方法
isPermitted()
该方法位置在org.apache.shiro.realm.AuthorizingRealm#isPermitted(org.apache.shiro.subject.PrincipalCollection, java.lang.String),源码如下
// 1. 将permission字符串转换成Permission类型 public boolean isPermitted(PrincipalCollection principals, String permission) { Permission p = getPermissionResolver().resolvePermission(permission); return isPermitted(principals, p); } // 2. 获取用户权限信息 public boolean isPermitted(PrincipalCollection principals, Permission permission) { AuthorizationInfo info = getAuthorizationInfo(principals); return isPermitted(permission, info); } // 3. 鉴权 protected boolean isPermitted(Permission permission, AuthorizationInfo info) { Collection perms = getPermissions(info); if (perms != null && !perms.isEmpty()) { for (Permission perm : perms) { if (perm.implies(permission)) { return true; } } } return false; }
对于第一步来说,首先需要先将传入的permission字符串,转换为Permission对象,转换逻辑就是从AuthorizingRealm中获取权限解析器,我们可以自定义一个,然后调用他的resolvePermission()方法,只需要最终返回一个Permission对象就行
public class MyPermissionResolver implements PermissionResolver { @Override public Permission resolvePermission(String permissionString) { log.info("正在将{} permissionStr转换成Permission对象", permissionString); UserPermission permission = new UserPermission(); permission.setPermissionStr(permissionString); return permission; } }
Subject.hasRole()和SecurityManager.hasRole()方法区别
直接上源码
// Subject.hasRole() Subject subject = SecurityUtils.getSubject(); subject.hasRole(""); public boolean hasRole(String roleIdentifier) { return hasPrincipals() && securityManager.hasRole(getPrincipals(), roleIdentifier); }
// SecurityManager.hasRole() SecurityManager securityManager = SecurityUtils.getSecurityManager(); securityManager.hasRole(PrincipalCollection subjectPrincipal, String roleIdentifier);
通过看源码,我们可以看到,Subject.hasRole()比SecurityManager.hasRole()多了一步
hasPrincipals(),这个方法的作用就是从session中获取当前subject的PrincipalCollection信息,也就是如果你关闭了Session存储并且你调用Subject.hasRole(),那么你永远不会进入到真正的securityManager.hasRole()中去,因为关闭session存储后,调用subject.login()登录成功之后,并不会将PrincipalCollection保存到session中去,也就是说,如果你使用jwt或者是其他无状态token,那么你在调用shiro框架的hasRole()时,不要使用SecurityUtils.getSubject().hasRole(),而使用SecurityUtils.getSecurityManager().hasRole(),这里不注意看,是个坑,我就在这个坑里debug了好长时间
过滤器
Shiro中还有一个重要的组件就是过滤器(我不知道为何网上有一些会有一些翻译成拦截器,反正说的都是同一个东西),该拦截器的位置是org.apache.shiro.web.servlet.AbstractFilter,该类的继承关系如下
关于这些过滤器,我画了一张图,帮助大家理解每一个过滤器他的一个区别,新增哪些方法。
但是在开发过程中,我自定义的过滤器只继承了AccessControlFilter这个过滤器,你们也可以再往下继承,从上图中,最终的一个执行流程来看的画(假设我自定义过滤器继承自AccessControlFilter),那么其简略的执行顺序就是isAccessAllowed -> onAccessDenied,而且我们可以在AccessControlFilter类中看到其onPreHandle()方法的源码为:
public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue); }
那么我们自定义的过滤器,对于请求接口鉴权这一块,是不是可以直接在isAccessAllowed()去实现了,如果鉴权成功,就返回true,如果鉴权失败的话,返回false或者更推荐大家直接抛出一个Shiro异常,方便后期对Shiro的异常进行统一处理。
统一异常处理
对于统一异常处理,我不知道有没有人和我一样,跳进了使用Spring Boot进行统一异常处理的坑,无论在isAccessAllowed()方法中抛出什么异常,都不会在@RestControllerAdvice被拦截,这部分的源码,我没去了解过,大家感兴趣的可以去源码中看看,最后我才想起来JavaWeb中的ServletResponse类,其可以调用response.getWriter()方法将字符串写出。
但是如果在我们自定义自定义的过滤器中,在需要抛出异常,或者是权限不足等地方,每次都调用response.getWriter().write()进行处理的话,是可以实现部分的“统一异常处理”,但是对于Shiro框架中抛出的异常,我们还是没办法,这样也很不优雅,我们再来看AdviceFilter的源码:
public abstract class AdviceFilter extends OncePerRequestFilter { protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception { return true; } @SuppressWarnings({"UnusedDeclaration"}) protected void postHandle(ServletRequest request, ServletResponse response) throws Exception { } @SuppressWarnings({"UnusedDeclaration"}) public void afterCompletion(ServletRequest request, ServletResponse response, Exception exception) throws Exception { } public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException { Exception exception = null; try { boolean continueChain = preHandle(request, response); if (continueChain) { executeChain(request, response, chain); } postHandle(request, response); } catch (Exception e) { exception = e; } finally { cleanup(request, response, exception); } } protected void cleanup(ServletRequest request, ServletResponse response, Exception existing) throws ServletException, IOException { Exception exception = existing; try { afterCompletion(request, response, exception); } catch (Exception e) { if (exception == null) { exception = e; } } if (exception != null) { if (exception instanceof ServletException) { throw (ServletException) exception; } else if (exception instanceof IOException) { throw (IOException) exception; } else { throw new ServletException(exception); } } } }
我们重点看doFilterInternal()方法和cleanup()方法,doFilterInternal()方法也算是我们Shiro中的入口方法,注意看该方法中的try-catch-finally块,我们可以看到,在Shiro过滤器的preHandle(),postHandle()中产生的异常,最后都会在该方法中被捕获,并且最终会交给cleanup()方法进行处理,并且该方法参数中的Exception对象如果不为null的话,那么Shiro会直接将该异常抛出,那么如果我们在
实战
源码我们已经基本上分析过了,那么现在就开启Spring Boot、JWT、Shiro的整合,因为我项目使用的是微服务,考虑到一些业务上的区别(每个模块的鉴权可能不同),在Shiro这块,我是定义成一个Starter,哪些模块需要做鉴权,就自行引入这个starter,进行一些简单的配置,就可以了。自定义配置包括,自定义多Realm的策略,自定义Realm等。
在开始之前,我先说一下,整个项目的一个鉴权逻辑,权限部分使用RBAC模型,数据库中存放了能访问
requestMethod:Uri接口的所有角色信息,在鉴权这块的话,首先是从jwt中获取用户的角色信息userRoles,然后获取当前请求的restful风格的请求路径,从数据库或者是缓存中,获取能访问该请求路径的所有角色roles,遍历roles,如果userRoles中有一个和roles中的某个角色相同,则表示用户拥有访问该接口的权限。
shiro-spring-boot-starter
其目录结构如下:
├─src │ └─main │ ├─java │ │ └─xyz │ │ └─xcye │ │ ├─authorizer │ │ │ JwtModularRealmAuthorizer.java // 自定义ModularRealmAuthorizer │ │ │ │ │ ├─config │ │ │ ShiroAutoConfig.java // Shiro配置类 │ │ │ │ │ ├─entity │ │ │ AuroraShiroProperties.java // 配置字段 │ │ │ JwtTokenAuthenticationToken.java │ │ │ JwtTokenAuthorizationInfo.java │ │ │ UserInfo.java │ │ │ │ │ ├─enums │ │ │ RegexEnum.java │ │ │ │ │ ├─factory │ │ │ AuroraJwtSubjectFactory.java │ │ │ │ │ ├─filter │ │ │ AuroraHttpFilter.java │ │ │ │ │ ├─realm │ │ │ AbstractAuthenticationRealm.java │ │ │ │ │ └─utils │ │ JsonUtil.java │ │ JwtUtil.java │ │ │ └─resources │ │ application.yaml │ │ │ └─META-INF │ spring.factories
下面我就开始贴出每个文件的代码,有一些文件会解释为什么这么做。
authorizer
public class JwtModularRealmAuthorizer extends ModularRealmAuthorizer { private static final Logger logger = LogManager.getLogger(JwtModularRealmAuthorizer.class.getName()); @Override public boolean hasAllRoles(PrincipalCollection principals, Collection roleIdentifiers) { assertRealmsConfigured(); List authorizingRealmList = new ArrayList(); for (Realm realm : getRealms()) { if (realm instanceof AbstractAuthenticationRealm) { authorizingRealmList.add((AbstractAuthenticationRealm) realm); } else { if (logger.isDebugEnabled()) { logger.warn("从shiro中获取到 {} ,其并不是 {} 类型,将被忽略", realm.getName(), AbstractAuthenticationRealm.class.getName()); } } } for (AbstractAuthenticationRealm realm : authorizingRealmList) { AuthorizationInfo info = realm.getAuthorizationInfo(principals); if (realm.hasAllRoles(principals, info.getRoles())) { return true; } } return false; } }
此类主要是为了重写
hasAllRoles()方法,因为正常业务中,每个用户可能会存在多个角色,而且我们数据库中,就存放了能访问某条接口的所有角色信息,jwt也存在用户角色,但是Shiro框架中的hasRole和hasAllRoles等方法,都是进行一个角色一个角色的验证,每进行一次角色的验证,都会从数据库或者缓存中查询权限数据,和我们系统的逻辑不同,所以这里就需要重写hasAllRoles()方法,Collection roleIdentifiers中存放了从jwt中获取的用户角色列表,在我们自己的AbstractAuthenticationRealm中,就只需要再次重写hasAllRoles方法,就可以一次性的对用户拥有的多个角色进行鉴权。
ShiroAutoConfig
@EnableConfigurationProperties({AuroraShiroProperties.class}) @Configuration public class ShiroAutoConfig { private static final Logger logger = LogManager.getLogger(ShiroAutoConfig.class.getName()); @Autowired private List authenticationRealmList; @Autowired private AuthenticationStrategy authenticationStrategy; @Autowired private AuroraHttpFilter auroraHttpFilter; @Autowired private AuroraJwtSubjectFactory auroraJwtSubjectFactory; @Bean public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() { DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator(); // 强制使用cglib advisorAutoProxyCreator.setProxyTargetClass(true); return advisorAutoProxyCreator; } @PostConstruct public void init() { } @Bean("securityManager") public DefaultWebSecurityManager defaultWebSecurityManager(SessionManager sessionManager) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 设置验证器,无论设置什么,最终都会执行我们的Realm securityManager.setAuthenticator(modularRealmAuthenticator()); securityManager.setAuthorizer(modularRealmAuthorizer()); // 这里后续可以增加多个realm if (authenticationRealmList == null || authenticationRealmList.isEmpty()) { throw new RuntimeException("当前容器中没有AbstractAuthenticationRealm类型的Bean"); } List realmList = new ArrayList(authenticationRealmList); securityManager.setRealms(realmList); // 解决多realm // securityManager.setAuthenticator(); // 设置自己的AuthenticationInfo缓存管理器 // securityManager.setCacheManager(myCacheManager); // 设置自己的rememberMe管理器,源码在org.apache.shiro.mgt.DefaultSecurityManager.resolvePrincipals // securityManager.setRememberMeManager(); // 设置session管理器 securityManager.setSessionManager(sessionManager); // 关闭shiro自带的subjectDao DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO(); // 关闭sessionStorageEnabled DefaultSessionStorageEvaluator evaluator = new DefaultSessionStorageEvaluator(); evaluator.setSessionStorageEnabled(false); subjectDAO.setSessionStorageEvaluator(evaluator); securityManager.setSubjectDAO(subjectDAO); securityManager.setSubjectFactory(auroraJwtSubjectFactory); return securityManager; } @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); // 将所有请求都通过AuroraHttpFilter Map map = new HashMap(); map.put("/**", "auroraFilter"); shiroFilterFactoryBean.setFilterChainDefinitionMap(map); // 配置自定义的BearerHttpAuthenticationFilter shiroFilterFactoryBean.getFilters().put("auroraFilter", auroraHttpFilter); return shiroFilterFactoryBean; } // 开启注解代理(默认好像已经开启,可以不要) @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) { AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor(); authorizationAttributeSourceAdvisor.setSecurityManager(securityManager); return authorizationAttributeSourceAdvisor; } /** * 系统自带的Realm管理,主要针对多realm */ @Bean public ModularRealmAuthenticator modularRealmAuthenticator() { ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator(); if (authenticationStrategy != null) { modularRealmAuthenticator.setAuthenticationStrategy(authenticationStrategy); }else { // 使用FirstSuccessfulStrategy FirstSuccessfulStrategy firstSuccessfulStrategy = new FirstSuccessfulStrategy(); firstSuccessfulStrategy.setStopAfterFirstSuccess(true); modularRealmAuthenticator.setAuthenticationStrategy(firstSuccessfulStrategy); logger.warn("你未设置AuthenticationStrategy,将使用 {}", firstSuccessfulStrategy.getClass().getSimpleName()); } return modularRealmAuthenticator; } @Bean public ModularRealmAuthorizer modularRealmAuthorizer() { return new JwtModularRealmAuthorizer(); } @Bean public SessionManager sessionManager(RedisSessionDAO redisSessionDAO) { DefaultWebSessionManager sessionManager = new DefaultWebSessionManager(); sessionManager.setSessionValidationSchedulerEnabled(false); sessionManager.setSessionDAO(redisSessionDAO); return sessionManager; } }
AuroraShiroProperties
@Data @ConfigurationProperties(prefix = AuroraShiroProperties.AURORA_SHIRO_PREFIX) public class AuroraShiroProperties { public static final String AURORA_SHIRO_PREFIX = "aurora.shiro"; /** * 登录地址 */ private String loginUrl; /** * 登录请求方法 */ private String loginRequestMethod; /** * restful风格的白名单列表,此列表中的url在拦截器中将被忽略 */ private List restfulWhiteUriList; /** * redis中存储角色权限关系的key值 */ private String redisRolePermissionCacheName; /** * redis中存储用户权限关系的key值 */ private String redisUserPermissionCacheName; /** * 是否过滤静态文件 */ private Boolean ignoreStaticFiles; /** * 超级管理员的角色名 */ private String superAdministratorRoleName; /** * 在该模块下,哪些角色是作为管理员存在 TODO 后期为了便于维护,可以使用字典进行维护 */ private List administratorRoleNameList; }
JwtTokenAuthenticationToken
/** * @author xcye * @description 执行登录时候,传入subject.login()参数中的对象 * @date 2023-07-24 14:04:27 */ @Data public class JwtTokenAuthenticationToken implements AuthenticationToken { // 账户名 private String account; // 账户密码 private String password; public JwtTokenAuthenticationToken(String account, String password) { this.account = account; this.password = password; } public JwtTokenAuthenticationToken() { } @Override public Object getPrincipal() { return this.account; } @Override public Object getCredentials() { return this.password; } }
JwtTokenAuthorizationInfo
public class JwtTokenAuthorizationInfo implements AuthorizationInfo { @Setter private Collection roleList; @Setter private Collection stringPermissions; @Setter private Collection permissions; @Override public Collection getRoles() { return roleList; } @Override public Collection getStringPermissions() { return stringPermissions; } @Override public Collection getObjectPermissions() { return permissions; } }
UserInfo
/** * @author xcye * @description 生成jwtToken以及解析jwtToken时,使用到的用户信息 * @date 2023-07-24 11:34:23 */ @Data public class UserInfo { /** * 用户id */ private String userId; /** * 用户账户名 */ private String account; /** * 用户昵称 */ private String nickName; /** * 用户角色 */ private List roleList; /** * 用户标识 后端自己在字典中维护 */ private Integer userTag; /** * 是否是管理员 */ private Boolean isAdministrator; }
RegexEnum
/** * 正则表达式的枚举,存放所有需要的正则表达式 * * @author qsyyke */ public enum RegexEnum { REST_FUL_PATH("^(GET|DELETE|POST|PUT):/[*a-z0-9A-Z/_-]*"); /** * 正则表达式 */ private final String regex; private RegexEnum(String regex) { this.regex = regex; } public String getRegex() { return regex; } }
AuroraJwtSubjectFactory
@Component public class AuroraJwtSubjectFactory extends DefaultWebSubjectFactory { @Override public Subject createSubject(SubjectContext context) { // 不创建session context.setSessionCreationEnabled(false); return super.createSubject(context); } }
AuroraHttpFilter
/** * @author xcye * @description 这是shiro的拦截器 * @date 2023-07-24 13:37:11 */ @Component public class AuroraHttpFilter extends AccessControlFilter { private static final Logger logger = LogManager.getLogger(AuroraHttpFilter.class.getName()); @Autowired private AuroraShiroProperties auroraShiroProperties; @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { HttpServletRequest httpServletRequest = WebUtils.toHttp(request); String requestMethod = httpServletRequest.getMethod(); String requestURI = httpServletRequest.getRequestURI(); // 如果是option方法,跳过 if ("OPTIONS".equalsIgnoreCase(requestMethod)) { return true; } // 将请求方法和uri构造成形如 GET:/shiro/login的形式 String restFulUri = requestMethod + ":" + requestURI; logger.info("{} 请求进入", restFulUri); // 如果过滤静态文件,则直接跳过 if (Objects.equals(auroraShiroProperties.getIgnoreStaticFiles(), Boolean.TRUE)) { List staticUriList = Arrays.asList("**:/**/*.html", "**:/**/*.js", "**:/**/*.css", "**:/**/*.ico"); for (String staticUri : staticUriList) { if (pathMatcher.matches(staticUri, restFulUri)) { return true; } } } // 判断当前请求是否在白名单中 for (String whiteUri : auroraShiroProperties.getRestfulWhiteUriList()) { if (pathMatcher.matches(whiteUri, restFulUri)) { return true; } } // 执行到这里,说明不是白名单uri,需要进行身份验证,从请求头中获取token String authorizationToken = httpServletRequest.getHeader(HttpConstant.AUTHORIZATION_HEADER); UserInfo userInfo = null; if (!StringUtils.hasLength(authorizationToken) || (userInfo = JwtUtil.parseJWT(authorizationToken)) == null) { throw new ExpiredCredentialsException("登录状态失效"); } // 执行到这里,说明token有效 验证用户是否拥有访问此uri的权限 SimplePrincipalCollection principalCollection = new SimplePrincipalCollection(); principalCollection.add(userInfo.getAccount(), principalCollection.getClass().getName()); boolean hasRoleStatus = SecurityUtils.getSecurityManager().hasAllRoles(principalCollection, userInfo.getRoleList()); if (!hasRoleStatus) { throw new UnauthorizedException("权限不足"); } return true; } @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { return false; } @Override protected void cleanup(ServletRequest request, ServletResponse response, Exception existing) throws ServletException, IOException { if (existing != null) { logger.error(existing.getMessage()); if (existing instanceof ExpiredCredentialsException) { handleAccessDenied(response, ResultEnum.IDINVALID.getCode(), ResultEnum.IDINVALID.getMessage(), existing); } else if (existing instanceof AccountException) { handleAccessDenied(response, ResultEnum.PASSWORDNOTEMPTY.getCode(), existing.getMessage(), existing); } else if (existing instanceof AuthorizationException) { handleAccessDenied(response, ResultEnum.PERMISSIONDENIED.getCode(), existing.getMessage(), existing); } else if (existing instanceof ShiroException) { handleAccessDenied(response, ResultEnum.PROGRAMERROR.getCode(), ResultEnum.PROGRAMERROR.getMessage(), existing); } } super.cleanup(request, response, existing); } private void handleAccessDenied(ServletResponse response, int code, String message, Exception exception) { exception = null; HttpServletResponse httpResponse = WebUtils.toHttp(response); httpResponse.setStatus(HttpServletResponse.SC_OK); R r = R.failure(code, message); String resultStr = ConvertObjectUtils.jsonToString(r); PrintWriter writer = null; try { response.setCharacterEncoding("UTF-8"); response.setContentType(MediaType.APPLICATION_JSON_VALUE); writer = response.getWriter(); writer.write(resultStr); } catch (IOException ex) { logger.error(ex.getMessage()); throw new RuntimeException(ex.getMessage()); } finally { if (writer != null) { writer.close(); } } } }
在
cleanup方法中中,如果我们调用super.cleanup(request, response, existing)时,传入父类方法的existing异常不为null的话,在父类中,也还是会抛出这个异常,就会出现500或者其他的白页。如果这个异常为null的话,Shiro就不会进行处理,但是在该方法中,我们只需要对shiro相关的异常进行处理,如果不是shiro产生的异常,我们还是需要shiro正常抛出,方便框架统一进行处理,上面的cleanup(),我们只是对shiro相关的异常进行处理。
AbstractAuthenticationRealm
@Component public abstract class AbstractAuthenticationRealm extends AuthorizingRealm { @Override public boolean supports(AuthenticationToken token) { return token instanceof JwtTokenAuthenticationToken; } /** * @param principal the application-specific subject/user identifier. * @param roleIdentifiers 能访问此Method:uri的角色集合,并不是用户的角色集合,用户所拥有的角色集合是通过jwt进行获取的 * @return true表示验证用户角色成功 */ @Override public boolean hasAllRoles(PrincipalCollection principal, Collection roleIdentifiers) { return judgePermission(principal, roleIdentifiers); } public AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) { return super.getAuthorizationInfo(principals); } /** * 判断某个用户是否含有roleIdentifiers中的角色信息,在任意地方调用subject.haveAllRole()方法将执行此方法 * * @param principal 含有用户账户名的对象 * @param roleIdentifiers 含有用户角色 * @return true表示验证用户角色成功 */ protected abstract boolean judgePermission(PrincipalCollection principal, Collection roleIdentifiers); }
在该类中,我重写了
hasAllRoles()方法,调用SecurityManager.hasAllRoles()方法时,能够走我们自己的处理逻辑。
JwtUtil
/** * @author xcye * @description 和jwt相关的工具类,生成jwt以及解析jwt * @date 2023-07-24 11:28:15 */ public class JwtUtil { private static final Logger logger = LogManager.getLogger(JwtUtil.class.getName()); // token过期时间 一年 private static final long EXPIRE_TIME = 1000 * 60 * 60 * 24; private static final String signature = "自己设置"; /** * 根据用户信息,生成jwtToken * * @param userInfo 包含角色,账户等的用户信息,nickName,roleList可以为null * @return jwtToken字符串 */ public static String sign(UserInfo userInfo) { // 过期时间 Date expirationTime = new Date(System.currentTimeMillis() + EXPIRE_TIME); SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(signature); Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName()); JwtBuilder builder = Jwts.builder().setId(userInfo.getUserId()) .claim("account", userInfo.getAccount()) .claim("roleList", userInfo.getRoleList()) .claim("userId", userInfo.getUserId()) .claim("nickName", userInfo.getNickName()) .claim("userTag", userInfo.getUserTag()) .claim("isAdministrator", userInfo.getIsAdministrator()) .setSubject("user") .setExpiration(expirationTime) .signWith(signatureAlgorithm, signingKey); return builder.compact(); } /** * 从jwt中获取用户信息 * * @param jwt Jwt字符串 * @return 用户信息,解析失败,返回null */ public static UserInfo parseJWT(String jwt) { Claims claims = null; try { claims = Jwts.parser() .setSigningKey(DatatypeConverter.parseBase64Binary(signature)) .parseClaimsJws(jwt) .getBody(); } catch (Exception e) { return null; } UserInfo userInfo = new UserInfo(); userInfo.setUserId(claims.getId()); userInfo.setAccount(claims.get("account", String.class)); userInfo.setNickName(claims.get("nickName", String.class)); userInfo.setRoleList(claims.get("roleList", List.class)); userInfo.setUserTag(claims.get("userTag", Integer.class)); userInfo.setIsAdministrator(claims.get("isAdministrator", Boolean.class)); return userInfo; } /** * 是否失效 * * @param expiration * @return */ public static boolean isTokenExpired(Date expiration) { return expiration.before(new Date()); } public static void main(String[] args) { UserInfo userInfo = new UserInfo(); userInfo.setRoleList(Arrays.asList("coder", "程序")); userInfo.setUserId("c51aa33ed1df4ef88f8299969b64ab37"); userInfo.setAccount("xcye"); userInfo.setIsAdministrator(false); userInfo.setUserTag(2); userInfo.setNickName("xcyeye"); String sign = sign(userInfo); System.out.println(sign); System.out.println(parseJWT(sign)); } /** * 从token中获取UserInfo * * @return */ public static UserInfo getUserinfoByToken() { HttpServletRequest request = HttpUtils.getCurrentHttpServletRequest(); if (request == null) { throw new AuroraUserException("从当前线程中获取不到请求信息"); } String tokenHeader = request.getHeader(HttpConstant.AUTHORIZATION_HEADER); if (!StringUtils.hasLength(tokenHeader)) { throw new AuroraUserException("当前请求头中没有key为 " + HttpConstant.AUTHORIZATION_HEADER + "的value值"); } UserInfo userInfo = JwtUtil.parseJWT(tokenHeader); if (userInfo == null) { throw new AuroraUserException("token失效"); } return userInfo; } public static String getUserIdByToken() { UserInfo userinfo = null; try { userinfo = getUserinfoByToken(); } catch (Exception e) { throw new RuntimeException(e); } return userinfo.getUserId(); } /** * 获取当前用户的角色集合 * * @return */ public static List getCurrentUserRoleList() { UserInfo userinfo = null; try { userinfo = getUserinfoByToken(); } catch (Exception e) { e.printStackTrace(); return null; } return userinfo.getRoleList(); } /** * 当前登录用户是否是超级管理员 * * @param superRole 超级管理员的角色名 * @return */ public static boolean isSuperAdministrator(String superRole) { if (!StringUtils.hasLength(superRole)) { return false; } List currentUserRoleList = getCurrentUserRoleList(); if (currentUserRoleList == null) { return false; } return currentUserRoleList.contains(superRole); } /** * 当前登录用户是否是管理员 * * @param administratorRoleNameList 在该模块下,哪些角色是作为管理员存在 * @return */ public static boolean isAdministrator(List administratorRoleNameList) { List currentUserRoleList = getCurrentUserRoleList(); if (currentUserRoleList == null) { return false; } for (String administratorRoleName : administratorRoleNameList) { for (String currentUserRoleName : currentUserRoleList) { if (administratorRoleName.equals(currentUserRoleName)) { return true; } } } return false; } }
shiro-spring-boot-starter的代码就已经写完了,下面我贴上aurora-admin-boot的代码。
aurora-admin-boot
AuroraServerShiroConfig
@Configuration public class AuroraServerShiroConfig { @Autowired private UserAdminRealm userAdminRealm; @Autowired private AdminCredentialsMatcher adminCredentialsMatcher; @PostConstruct public void init() { // 配置密码验证器 userAdminRealm.setCredentialsMatcher(adminCredentialsMatcher); } }
UserAdminRealm
@Slf4j @Component public class UserAdminRealm extends AbstractAuthenticationRealm { @Autowired private UserAdminService userAdminService; @Autowired private RedisTemplate redisTemplate; @Autowired private UserPermissionExtService userPermissionExtService; @Autowired private AuroraShiroProperties auroraShiroProperties; /** * * @param principal 包含账户名的对象 * @param roleIdentifiers 用户自己拥有的角色 * @return */ @Override protected boolean judgePermission(PrincipalCollection principal, Collection roleIdentifiers) { UserInfo userinfo = JwtUtil.getUserinfoByToken(); String account = userinfo.getAccount(); // 1. 从doGetAuthorizationInfo中获取能访问此method:xxx请求的角色doGetAuthorizationInfo#getRoles就行 List currentUserRoleList = userinfo.getRoleList(); if (currentUserRoleList == null || currentUserRoleList.isEmpty()) { log.error("用户{}没有分配任何角色", account); throw new AuthorizationException(ResultEnum.PERMISSIONDENIED.getMessage()); } // 2. 和roleIdentifiers中的角色进行比较,只要roleIdentifiers有一个和 for (String userRoleName : currentUserRoleList) { for (String allowedRoleName : roleIdentifiers) { if (userRoleName.equals(allowedRoleName)) { return true; } } } return false; } /** * 返回对象中的getRoles值,必须是在该系统中,能访问此METHOD:requestUri的所有权限 * @param principals the primary identifying principals of the AuthorizationInfo that should be retrieved. * @return */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { String account = (String) principals.iterator().next(); if (!StringUtils.hasLength(account)) { throw new UnknownAccountException("账户或者密码不能空"); } // 1. 请求当前请求,构造成restful风格 String restfulUri = HttpUtils.getRestfulUri(); // 2. 从redis或者是数据库中获取能访问该url的所有角色 return getJwtTokenAuthorizationInfo(account, restfulUri); } /** * 无论此用户存不存在,都不需要进行非空判断,如果框架得到一个null[AuthenticationInfo]对象,那么会抛出UnknownAccountException * @param token the authentication token containing the user's principal and credentials. * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { JwtTokenAuthenticationToken jwtTokenAuthenticationToken = null; if (token instanceof JwtTokenAuthenticationToken) { jwtTokenAuthenticationToken = (JwtTokenAuthenticationToken) token; } if (jwtTokenAuthenticationToken == null) { throw new UnknownAccountException("账户或者密码错误"); } String account = jwtTokenAuthenticationToken.getAccount(); String password = jwtTokenAuthenticationToken.getPassword(); if (!StringUtils.hasLength(account) || !StringUtils.hasLength(password)) { throw new UnknownAccountException("账户或者密码错误"); } LambdaQueryWrapper wrapper = Wrappers.lambdaQuery(); wrapper.eq(UserAdmin::getAccount, account); // 1. 从token中获取用户名和密码 UserAdmin userAdminInfo = userAdminService.getOne(wrapper); if (userAdminInfo == null) { throw new UnknownAccountException("用户不存在"); } return new SimpleAuthenticationInfo(userAdminInfo.getAccount(), userAdminInfo.getPassword(), this.getName()); } private JwtTokenAuthorizationInfo getJwtTokenAuthorizationInfo(String account, String restfulUri) { if (!StringUtils.hasLength(auroraShiroProperties.getRedisRolePermissionCacheName())) { // 从数据库加载 return getJwtTokenAuthorizationInfoFromDb(account, restfulUri); }else { // 从redis进行加载 逻辑自己实现 } } private Set getRoleSet(UserPermissionRelationDTO userPermissionRelationDTO, String account, String restfulUri) { return 返回用户的角色集合; } private JwtTokenAuthorizationInfo getJwtTokenAuthorizationInfoFromDb(String account, String restfulUri) { String userId = null; try { userId = JwtUtil.getUserIdByToken(); } catch (Exception e) { e.printStackTrace(); log.error(e.getMessage()); } // 业务逻辑自己实现,只要最终返回用户的角色权限信息就行 } }
application.yaml
aurora: shiro: restfulWhiteUriList: - POST:/user/login - POST:/user/logout - GET:/swagger-resources - GET:/v2/api-docs redisUserPermissionCacheName: "aurora:blog:rolePermission" redisRolePermissionCacheName: "aurora:blog:userPermission" ignoreStaticFiles: true superAdministratorRoleName: root administratorRoleNameList: - admin
