已阅读

Shiro完成短信验证码登录的实例

文章目录

  1. 1. 分析
  2. 2. 源码
  3. 3. Shiro凭证匹配器配置
  4. 4. Shiro内置的FilterChain

分析

Shiro通过org.apache.shiro.realm.Realm进行身份与权限的校验,通过org.apache.shiro.realm.jdbc.JdbcRealm来查看,
我决定继承自org.apache.shiro.realm.AuthorizingRealm来实现身份校验逻辑和权限标识符获取的逻辑。

org.apache.shiro.realm.AuthorizingRealm
两个抽象方法:
1、 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection):
主要用于通过当前身份来获取Permissions。

2、 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException
主要是用户在登录时调用此方法完成用户身份初步校验,注意:校验凭证(密码、验证码等)由Shiro进行校验不需要手动在此进行校验。

源码

spring-shiro.xml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm">
       <bean class="com.smzc.apps.order.web.auth.OrderAuthorizingRealm" />
    </property>
    <property name="cacheManager">
       <bean class="org.apache.shiro.cache.ehcache.EhCacheManager" />
    </property>
    <property name="sessionManager">
       <bean class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
           <property name="sessionIdCookie">
               <bean class="org.apache.shiro.web.servlet.SimpleCookie">
                   <constructor-arg value="SESSIONID"/>
                   <property name="httpOnly" value="true"/>
                   <property name="maxAge" value="-1"/>
               </bean>
           </property>
       </bean>
    </property>
</bean>

<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager" />
    <property name="arguments">
        <list>
            <ref bean="securityManager"/>
        </list>
    </property>
</bean>

<!-- shiroFilter -->
<bean id="shiroFilterFactoryBean" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- Shiro的核心安全接口,这个属性是必须的 -->
    <property name="securityManager" ref="securityManager" />
    <!-- 要求登录时的链接,非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->
    <property name="loginUrl" value="/views/login" />
    <!-- 登录成功后要跳转的连接 -->
    <property name="successUrl" value="/views/index" />
    <!-- 用户访问未对其授权的资源时,所显示的连接 -->
    <property name="unauthorizedUrl" value="/views/common/unauthorized" />
    <property name="filters">
        <map>
            <entry key="logout">
                <bean class="org.apache.shiro.web.filter.authc.LogoutFilter">
                    <property name="redirectUrl" value="/views/login"/>
                </bean>
            </entry>
        </map>
    </property>
    <!-- 配置Shiro过滤链 -->
    <property name="filterChainDefinitions">
        <value>
            /api/user/login/** = anon
            /api/** = authc
            /logout = logout
            /** = anon
        </value>
    </property>
</bean>

OrderAuthorizingRealm.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
public class OrderAuthorizingRealm extends AuthorizingRealm implements InitializingBean {
    @Resource
    private AuthorizingService authorizingService;
    @Value("${app.role.permissions:}")
    private String rolePermissionsString;
    private Map<String, Set<String>> rolePermissions;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        final SysUser sysUser = (SysUser)super.getAvailablePrincipal(principalCollection);
        final String role = sysUser.getUserRole().getRole();
        final SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(Sets.newHashSet(role));
        authorizationInfo.setStringPermissions(rolePermissions.get(role));
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        final UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
        final String mobile = usernamePasswordToken.getUsername();
        final String validateCode = authorizingService.getCodeByMobile(mobile);
        if (StringUtils.isBlank(validateCode)) {
            throw new ExpiredCredentialsException("验证码已失效#[" + mobile + "]");
        }
        final List<SysUser> sysUserList = authorizingService.getUserByMobile(mobile);
        if (CollectionUtils.isEmpty(sysUserList)) {
            throw new UnknownAccountException("用户账户不存在#[" + mobile + "]");
        }
        if (sysUserList.size() > 1) {
            throw new ConcurrentAccessException("用户存在多个账户#[" + mobile + "]");
        }
        final SysUser sysUser = sysUserList.iterator().next();
        if (!sysUser.getStatus().isAllowLogin()) {
            throw new DisabledAccountException("用户账户不可用#[" + mobile + "]");
        }
        // 注意:SimpleAuthenticationInfo中principal表示验证主体,供后续获取权限标识符和当前登录用户信息使用, credentials表示正确的凭证串,shiro会自动与用户登录时填入的值进行密钥匹配后进行对比。
        // credentials也可以通过setCredentialsSalt设置加密的salt
        return new SimpleAuthenticationInfo(sysUser, validateCode.toCharArray(), super.getName());
    }

    @Override
    public void afterPropertiesSet() throws Exception {
        if (StringUtils.isBlank(rolePermissionsString)) {
            throw new NullPointerException("未初始化权限配置");
        }
        rolePermissions = Maps.newHashMap();
        final JSONObject jsonObject = JSON.parseObject(rolePermissionsString);
        final Iterator<Map.Entry<String, Object>> entryIterator = jsonObject.entrySet().iterator();
        while (entryIterator.hasNext()) {
            final Map.Entry<String, Object> objectEntry = entryIterator.next();
            rolePermissions.put(objectEntry.getKey(), Sets.newHashSet(objectEntry.getValue().toString().split(",")));
        }
    }
}

UserApiController.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
@RestController
@RequestMapping(value = "/api/user", produces = MediaType.APPLICATION_JSON_UTF8_VALUE)
public class UserApiController extends BasicApiController {

    @Resource
    private SysUserService userService;

    /**
    * 用户登录
    */
    @RequestMapping(value = "/login/{mobileNo}/{code}", method = RequestMethod.GET)
    public Output login(@PathVariable String mobileNo, @PathVariable String code) throws ServiceException {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(mobileNo, code);
        subject.login(token);
        token.clear();
        return MapOutput.createSuccess();
    }

    /**
    * 用户登出
    */
    @RequestMapping(value = "/logout/{mobileNo}", method = RequestMethod.GET)
    public Output logout(@PathVariable String mobileNo) throws ServiceException {
        SecurityUtils.getSubject().logout();
        return MapOutput.createSuccess();
    }
}

Shiro凭证匹配器配置

加密方式都为org.apache.shiro.authc.credential.CredentialsMatcher的实现类
通过org.apache.shiro.realm.AuthenticatingRealmprivate CredentialsMatcher credentialsMatcher设置凭据的匹配实现类
如:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm">
<!--BEGIN: 设置凭证器------------------>
       <bean class="com.smzc.apps.order.web.auth.OrderAuthorizingRealm">
         <property name="credentialsMatcher">
           <bean class="org.apache.shiro.authc.credential.PasswordMatcher" />
         </property>
       </bean>
<!--END: 设置凭证器------------------>
    </property>
    <property name="cacheManager">
       <bean class="org.apache.shiro.cache.ehcache.EhCacheManager" />
    </property>
    <property name="sessionManager">
       <bean class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
           <property name="sessionIdCookie">
               <bean class="org.apache.shiro.web.servlet.SimpleCookie">
                   <constructor-arg value="SESSIONID"/>
                   <property name="httpOnly" value="true"/>
                   <property name="maxAge" value="-1"/>
               </bean>
           </property>
       </bean>
    </property>
</bean>

Shiro内置的FilterChain

  1. Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时)
    故filterChainDefinitions的配置顺序为自上而下,以最上面的为准

  2. 当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用
    自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称
    anon—————org.apache.shiro.web.filter.authc.AnonymousFilter
    authc————–org.apache.shiro.web.filter.authc.FormAuthenticationFilter
    authcBasic———org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
    logout————-org.apache.shiro.web.filter.authc.LogoutFilter
    noSessionCreation–org.apache.shiro.web.filter.session.NoSessionCreationFilter
    perms————–org.apache.shiro.web.filter.authz.PermissionAuthorizationFilter
    port—————org.apache.shiro.web.filter.authz.PortFilter
    rest—————org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
    roles————–org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
    ssl—————-org.apache.shiro.web.filter.authz.SslFilter
    user—————org.apache.shiro.web.filter.authz.UserFilter

  3. 通常可将这些过滤器分为两组
    anon,authc,authcBasic,user是第一组认证过滤器
    perms,port,rest,roles,ssl是第二组授权过滤器
    注意user和authc不同:当应用开启了rememberMe时,用户下次访问时可以是一个user,但绝不会是authc,因为authc是需要重新认证的
    user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe
    说白了,以前的一个用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc

  4. 举几个例子
    /admin=authc,roles[admin] 表示用户必需已通过认证,并拥有admin角色才可以正常发起’/admin’请求
    /edit=authc,perms[admin:edit] 表示用户必需已通过认证,并拥有admin:edit权限才可以正常发起’/edit’请求
    /home=user 表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态就可以正常发起’/home’请求

  5. 各默认过滤器常用如下(注意URL Pattern里用到的是两颗星,这样才能实现任意层次的全匹配)
    /admins/=anon 无参,表示可匿名使用,可以理解为匿名用户或游客
    /admins/user/    =authc 无参,表示需认证才能使用
    /admins/user/=authcBasic 无参,表示httpBasic认证
    /admins/user/    =user 无参,表示必须存在用户,当登入操作时不做检查
    /admins/user/=ssl 无参,表示安全的URL请求,协议为https
    /admins/user/    =perms[user:add:]
    参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/**=perms[“user:add:    ,user:modify:*”]
    当有多个参数时必须每个参数都通过才算通过,相当于isPermitedAll()方法
    /admins/user/=port[8081]
    当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString
    其中schmal是协议http或https等,serverName是你访问的Host,8081是Port端口,queryString是你访问的URL里的?后面的参数
    /admins/user/    =rest[user]
    根据请求的方法,相当于/admins/user/=perms[user:method],其中method为post,get,delete等
    /admins/user/    =roles[admin]
    参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如/admins/user/**=roles[“admin,guest”]
    当有多个参数时必须每个参数都通过才算通过,相当于hasAllRoles()方法

观点仅代表自己,期待你的留言。