Skip to content

LoopVortex/Spring-Boot-Shiro

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

History

24 Commits
src/main/java/org/inlighting
src/main/java/org/inlighting
.gitignore
.gitignore
README.md
README.md
pom.xml
pom.xml

Repository files navigation

Shiro + JWT + Spring Boot Restful 简易教程

GitHub 项目地址:https://github.com/Smith-Cruise/Spring-Boot-Shiro

序言

我也是半路出家的人,如果大家有什么好的意见或批评,请务必 issue 下。

如果想要直接体验,直接 clone 项目,运行 mvn spring-boot:run 命令即可进行访问。网址规则自行看教程后面。

如果想了解 Spring Security 可以看

Spring Boot 2.0+Srping Security+Thymeleaf的简易教程

Spring Boot 2 + Spring Security 5 + JWT 的单页应用Restful解决方案(推荐)

特性

  • 完全使用了 Shiro 的注解配置,保持高度的灵活性。
  • 放弃 Cookie ,Session ,使用JWT进行鉴权,完全实现无状态鉴权。
  • JWT 密钥支持过期时间。
  • 对跨域提供支持。

准备工作

在开始本教程之前,请保证已经熟悉以下几点。

  • Spring Boot 基本语法,至少要懂得 ControllerRestControllerAutowired 等这些基本注释。其实看看官方的 Getting-Start 教程就差不多了。
  • JWT (Json Web Token)的基本概念,并且会简单操作JWT的 JAVA SDK
  • Shiro 的基本操作,看下官方的 10 Minute Tutorial 即可。
  • 模拟 HTTP 请求工具,我使用的是 PostMan。

简要的说明下我们为什么要用 JWT ,因为我们要实现完全的前后端分离,所以不可能使用 sessioncookie 的方式进行鉴权,所以 JWT 就被派上了用场,你可以通过一个加密密钥来进行前后端的鉴权。

程序逻辑

  1. 我们 POST 用户名与密码到 /login 进行登入,如果成功返回一个加密 token,失败的话直接返回 401 错误。
  2. 之后用户访问每一个需要权限的网址请求必须在 header 中添加 Authorization 字段,例如 Authorization: tokentoken 为密钥。
  3. 后台会进行 token 的校验,如果有误会直接返回 401。

Token加密说明

  • 携带了 username 信息在 token 中。
  • 设定了过期时间。
  • 使用用户登入密码对 token 进行加密。

Token校验流程

  1. 获得 token 中携带的 username 信息。
  2. 进入数据库搜索这个用户,得到他的密码。
  3. 使用用户的密码来检验 token 是否正确。

准备Maven文件

新建一个 Maven 工程,添加相关的 dependencies。

<?xml version="1.0" encoding="UTF-8"?> <projectxmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>org.inlighting</groupId> <artifactId>shiro-study</artifactId> <version>1.0-SNAPSHOT</version> <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.2.0</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <version>1.5.8.RELEASE</version> </dependency> </dependencies> <build> <plugins> <!-- Srping Boot 打包工具 --> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> <version>1.5.7.RELEASE</version> <executions> <execution> <goals> <goal>repackage</goal> </goals> </execution> </executions> </plugin> <!-- 指定JDK编译版本 --> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId> <configuration> <source>1.8</source> <target>1.8</target> <encoding>UTF-8</encoding> </configuration> </plugin> </plugins> </build> </project>

注意指定JDK版本和编码。

构建简易的数据源

为了缩减教程的代码,我使用 HashMap 本地模拟了一个数据库,结构如下:

usernamepasswordrolepermission
smithsmith123userview
dannydanny123adminview,edit

这是一个最简单的用户权限表,如果想更加进一步了解,自行百度 RBAC。

之后再构建一个 UserService 来模拟数据库查询,并且把结果放到 UserBean 之中。

UserService.java

@ComponentpublicclassUserService{publicUserBeangetUser(Stringusername){// 没有此用户直接返回nullif (! DataSource.getData().containsKey(username)) returnnull; UserBeanuser = newUserBean(); Map<String, String> detail = DataSource.getData().get(username); user.setUsername(username); user.setPassword(detail.get("password")); user.setRole(detail.get("role")); user.setPermission(detail.get("permission")); returnuser} }

UserBean.java

publicclassUserBean{privateStringusername; privateStringpassword; privateStringrole; privateStringpermission; publicStringgetUsername(){returnusername} publicvoidsetUsername(Stringusername){this.username = username} publicStringgetPassword(){returnpassword} publicvoidsetPassword(Stringpassword){this.password = password} publicStringgetRole(){returnrole} publicvoidsetRole(Stringrole){this.role = role} publicStringgetPermission(){returnpermission} publicvoidsetPermission(Stringpermission){this.permission = permission} }

配置 JWT

我们写一个简单的 JWT 加密,校验工具,并且使用用户自己的密码充当加密密钥,这样保证了 token 即使被他人截获也无法破解。并且我们在 token 中附带了 username 信息,并且设置密钥5分钟就会过期。

publicclassJWTUtil{// 过期时间5分钟privatestaticfinallongEXPIRE_TIME = 5*60*1000; /** * 校验token是否正确 * @param token 密钥 * @param secret 用户的密码 * @return 是否正确 */publicstaticbooleanverify(Stringtoken, Stringusername, Stringsecret){try{Algorithmalgorithm = Algorithm.HMAC256(secret); JWTVerifierverifier = JWT.require(algorithm) .withClaim("username", username) .build(); DecodedJWTjwt = verifier.verify(token); returntrue} catch (Exceptionexception){returnfalse} } /** * 获得token中的信息无需secret解密也能获得 * @return token中包含的用户名 */publicstaticStringgetUsername(Stringtoken){try{DecodedJWTjwt = JWT.decode(token); returnjwt.getClaim("username").asString()} catch (JWTDecodeExceptione){returnnull} } /** * 生成签名,5min后过期 * @param username 用户名 * @param secret 用户的密码 * @return 加密的token */publicstaticStringsign(Stringusername, Stringsecret){try{Datedate = newDate(System.currentTimeMillis()+EXPIRE_TIME); Algorithmalgorithm = Algorithm.HMAC256(secret); // 附带username信息returnJWT.create() .withClaim("username", username) .withExpiresAt(date) .sign(algorithm)} catch (UnsupportedEncodingExceptione){returnnull} } }

构建URL

ResponseBean.java

既然想要实现 restful,那我们要保证每次返回的格式都是相同的,因此我建立了一个 ResponseBean 来统一返回的格式。

publicclassResponseBean{// http 状态码privateintcode; // 返回信息privateStringmsg; // 返回的数据privateObjectdata; publicResponseBean(intcode, Stringmsg, Objectdata){this.code = code; this.msg = msg; this.data = data} publicintgetCode(){returncode} publicvoidsetCode(intcode){this.code = code} publicStringgetMsg(){returnmsg} publicvoidsetMsg(Stringmsg){this.msg = msg} publicObjectgetData(){returndata} publicvoidsetData(Objectdata){this.data = data} }

自定义异常

为了实现我自己能够手动抛出异常,我自己写了一个 UnauthorizedException.java

publicclassUnauthorizedExceptionextendsRuntimeException{publicUnauthorizedException(Stringmsg){super(msg)} publicUnauthorizedException(){super()} }

URL结构

URL作用
/login登入
/article所有人都可以访问,但是用户与游客看到的内容不同
/require_auth登入的用户才可以进行访问
/require_roleadmin的角色用户才可以登入
/require_permission拥有view和edit权限的用户才可以访问

Controller

@RestControllerpublicclassWebController{privatestaticfinalLoggerLOGGER = LogManager.getLogger(WebController.class); privateUserServiceuserService; @AutowiredpublicvoidsetService(UserServiceuserService){this.userService = userService} @PostMapping("/login") publicResponseBeanlogin(@RequestParam("username") Stringusername, @RequestParam("password") Stringpassword){UserBeanuserBean = userService.getUser(username); if (userBean.getPassword().equals(password)){returnnewResponseBean(200, "Login success", JWTUtil.sign(username, password))} else{thrownewUnauthorizedException()} } @GetMapping("/article") publicResponseBeanarticle(){Subjectsubject = SecurityUtils.getSubject(); if (subject.isAuthenticated()){returnnewResponseBean(200, "You are already logged in", null)} else{returnnewResponseBean(200, "You are guest", null)} } @GetMapping("/require_auth") @RequiresAuthenticationpublicResponseBeanrequireAuth(){returnnewResponseBean(200, "You are authenticated", null)} @GetMapping("/require_role") @RequiresRoles("admin") publicResponseBeanrequireRole(){returnnewResponseBean(200, "You are visiting require_role", null)} @GetMapping("/require_permission") @RequiresPermissions(logical = Logical.AND, value ={"view", "edit"}) publicResponseBeanrequirePermission(){returnnewResponseBean(200, "You are visiting permission require edit,view", null)} @RequestMapping(path = "/401") @ResponseStatus(HttpStatus.UNAUTHORIZED) publicResponseBeanunauthorized(){returnnewResponseBean(401, "Unauthorized", null)} }

处理框架异常

之前说过 restful 要统一返回的格式,所以我们也要全局处理 Spring Boot 的抛出异常。利用 @RestControllerAdvice 能很好的实现。

@RestControllerAdvicepublicclassExceptionController{// 捕捉shiro的异常@ResponseStatus(HttpStatus.UNAUTHORIZED) @ExceptionHandler(ShiroException.class) publicResponseBeanhandle401(ShiroExceptione){returnnewResponseBean(401, e.getMessage(), null)} // 捕捉UnauthorizedException@ResponseStatus(HttpStatus.UNAUTHORIZED) @ExceptionHandler(UnauthorizedException.class) publicResponseBeanhandle401(){returnnewResponseBean(401, "Unauthorized", null)} // 捕捉其他所有异常@ExceptionHandler(Exception.class) @ResponseStatus(HttpStatus.BAD_REQUEST) publicResponseBeanglobalException(HttpServletRequestrequest, Throwableex){returnnewResponseBean(getStatus(request).value(), ex.getMessage(), null)} privateHttpStatusgetStatus(HttpServletRequestrequest){IntegerstatusCode = (Integer) request.getAttribute("javax.servlet.error.status_code"); if (statusCode == null){returnHttpStatus.INTERNAL_SERVER_ERROR} returnHttpStatus.valueOf(statusCode)} }

配置 Shiro

大家可以先看下官方的 Spring-Shiro 整合教程,有个初步的了解。不过既然我们用了 Spring-Boot,那我们肯定要争取零配置文件。

实现JWTToken

JWTToken 差不多就是 Shiro 用户名密码的载体。因为我们是前后端分离,服务器无需保存用户状态,所以不需要 RememberMe 这类功能,我们简单的实现下 AuthenticationToken 接口即可。因为 token 自己已经包含了用户名等信息,所以这里我就弄了一个字段。如果你喜欢钻研,可以看看官方的 UsernamePasswordToken 是如何实现的。

publicclassJWTTokenimplementsAuthenticationToken{// 密钥privateStringtoken; publicJWTToken(Stringtoken){this.token = token} @OverridepublicObjectgetPrincipal(){returntoken} @OverridepublicObjectgetCredentials(){returntoken} }

实现Realm

realm 的用于处理用户是否合法的这一块,需要我们自己实现。

@ServicepublicclassMyRealmextendsAuthorizingRealm{privatestaticfinalLoggerLOGGER = LogManager.getLogger(MyRealm.class); privateUserServiceuserService; @AutowiredpublicvoidsetUserService(UserServiceuserService){this.userService = userService} /** * 大坑!,必须重写此方法,不然Shiro会报错 */@Overridepublicbooleansupports(AuthenticationTokentoken){returntokeninstanceofJWTToken} /** * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的 */@OverrideprotectedAuthorizationInfodoGetAuthorizationInfo(PrincipalCollectionprincipals){Stringusername = JWTUtil.getUsername(principals.toString()); UserBeanuser = userService.getUser(username); SimpleAuthorizationInfosimpleAuthorizationInfo = newSimpleAuthorizationInfo(); simpleAuthorizationInfo.addRole(user.getRole()); Set<String> permission = newHashSet<>(Arrays.asList(user.getPermission().split(","))); simpleAuthorizationInfo.addStringPermissions(permission); returnsimpleAuthorizationInfo} /** * 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。 */@OverrideprotectedAuthenticationInfodoGetAuthenticationInfo(AuthenticationTokenauth) throwsAuthenticationException{Stringtoken = (String) auth.getCredentials(); // 解密获得username,用于和数据库进行对比Stringusername = JWTUtil.getUsername(token); if (username == null){thrownewAuthenticationException("token invalid")} UserBeanuserBean = userService.getUser(username); if (userBean == null){thrownewAuthenticationException("User didn't existed!")} if (! JWTUtil.verify(token, username, userBean.getPassword())){thrownewAuthenticationException("Username or password error")} returnnewSimpleAuthenticationInfo(token, token, "my_realm")} }

doGetAuthenticationInfo() 中用户可以自定义抛出很多异常,详情见文档。

重写 Filter

所有的请求都会先经过 Filter,所以我们继承官方的 BasicHttpAuthenticationFilter ,并且重写鉴权的方法。

代码的执行流程 preHandle -> isAccessAllowed -> isLoginAttempt -> executeLogin

publicclassJWTFilterextendsBasicHttpAuthenticationFilter{privateLoggerLOGGER = LoggerFactory.getLogger(this.getClass()); /** * 判断用户是否想要登入。 * 检测header里面是否包含Authorization字段即可 */@OverrideprotectedbooleanisLoginAttempt(ServletRequestrequest, ServletResponseresponse){HttpServletRequestreq = (HttpServletRequest) request; Stringauthorization = req.getHeader("Authorization"); returnauthorization != null} /** * */@OverrideprotectedbooleanexecuteLogin(ServletRequestrequest, ServletResponseresponse) throwsException{HttpServletRequesthttpServletRequest = (HttpServletRequest) request; Stringauthorization = httpServletRequest.getHeader("Authorization"); JWTTokentoken = newJWTToken(authorization); // 提交给realm进行登入,如果错误他会抛出异常并被捕获getSubject(request, response).login(token); // 如果没有抛出异常则代表登入成功,返回truereturntrue} /** * 这里我们详细说明下为什么最终返回的都是true,即允许访问 * 例如我们提供一个地址 GET /article * 登入用户和游客看到的内容是不同的 * 如果在这里返回了false,请求会被直接拦截,用户看不到任何东西 * 所以我们在这里返回true,Controller中可以通过 subject.isAuthenticated() 来判断用户是否登入 * 如果有些资源只有登入用户才能访问,我们只需要在方法上面加上 @RequiresAuthentication 注解即可 * 但是这样做有一个缺点,就是不能够对GET,POST等请求进行分别过滤鉴权(因为我们重写了官方的方法),但实际上对应用影响不大 */@OverrideprotectedbooleanisAccessAllowed(ServletRequestrequest, ServletResponseresponse, ObjectmappedValue){if (isLoginAttempt(request, response)){try{executeLogin(request, response)} catch (Exceptione){response401(request, response)} } returntrue} /** * 对跨域提供支持 */@OverrideprotectedbooleanpreHandle(ServletRequestrequest, ServletResponseresponse) throwsException{HttpServletRequesthttpServletRequest = (HttpServletRequest) request; HttpServletResponsehttpServletResponse = (HttpServletResponse) response; httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin")); httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE"); httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers")); // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())){httpServletResponse.setStatus(HttpStatus.OK.value()); returnfalse} returnsuper.preHandle(request, response)} /** * 将非法请求跳转到 /401 */privatevoidresponse401(ServletRequestreq, ServletResponseresp){try{HttpServletResponsehttpServletResponse = (HttpServletResponse) resp; httpServletResponse.sendRedirect("/401")} catch (IOExceptione){LOGGER.error(e.getMessage())} } }

getSubject(request, response).login(token); 这一步就是提交给了 realm 进行处理。

配置Shiro

@ConfigurationpublicclassShiroConfig{@Bean("securityManager") publicDefaultWebSecurityManagergetManager(MyRealmrealm){DefaultWebSecurityManagermanager = newDefaultWebSecurityManager(); // 使用自己的realmmanager.setRealm(realm); /* * 关闭shiro自带的session,详情见文档 * http://shiro.apache.org/session-management.html#SessionManagement-StatelessApplications%28Sessionless%29 */DefaultSubjectDAOsubjectDAO = newDefaultSubjectDAO(); DefaultSessionStorageEvaluatordefaultSessionStorageEvaluator = newDefaultSessionStorageEvaluator(); defaultSessionStorageEvaluator.setSessionStorageEnabled(false); subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator); manager.setSubjectDAO(subjectDAO); returnmanager} @Bean("shiroFilter") publicShiroFilterFactoryBeanfactory(DefaultWebSecurityManagersecurityManager){ShiroFilterFactoryBeanfactoryBean = newShiroFilterFactoryBean(); // 添加自己的过滤器并且取名为jwtMap<String, Filter> filterMap = newHashMap<>(); filterMap.put("jwt", newJWTFilter()); factoryBean.setFilters(filterMap); factoryBean.setSecurityManager(securityManager); factoryBean.setUnauthorizedUrl("/401"); /* * 自定义url规则 * http://shiro.apache.org/web.html#urls- */Map<String, String> filterRuleMap = newHashMap<>(); // 所有请求通过我们自己的JWT FilterfilterRuleMap.put("/**", "jwt"); // 访问401和404页面不通过我们的FilterfilterRuleMap.put("/401", "anon"); factoryBean.setFilterChainDefinitionMap(filterRuleMap); returnfactoryBean} /** * 下面的代码是添加注解支持 */@Bean@DependsOn("lifecycleBeanPostProcessor") publicDefaultAdvisorAutoProxyCreatordefaultAdvisorAutoProxyCreator(){DefaultAdvisorAutoProxyCreatordefaultAdvisorAutoProxyCreator = newDefaultAdvisorAutoProxyCreator(); // 强制使用cglib,防止重复代理和可能引起代理出错的问题// https://zhuanlan.zhihu.com/p/29161098defaultAdvisorAutoProxyCreator.setProxyTargetClass(true); returndefaultAdvisorAutoProxyCreator} @BeanpublicLifecycleBeanPostProcessorlifecycleBeanPostProcessor(){returnnewLifecycleBeanPostProcessor()} @BeanpublicAuthorizationAttributeSourceAdvisorauthorizationAttributeSourceAdvisor(DefaultWebSecurityManagersecurityManager){AuthorizationAttributeSourceAdvisoradvisor = newAuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); returnadvisor} }

里面 URL 规则自己参考文档即可 http://shiro.apache.org/web.html

总结

我就说下代码还有哪些可以进步的地方吧

  • 没有实现 Shiro 的 Cache 功能。
  • Shiro 中鉴权失败时不能够直接返回 401 信息,而是通过跳转到 /401 地址实现。

About

Shiro基于SpringBoot +JWT搭建简单的restful服务

Resources

Readme
Activity

Stars

0 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages

  • Java100.0%