springboot+shiro+jwt
JWTUtil
咱们利用 JWT 的工具类来生成咱们的 token,这个工具类主要有生成 token 和 校验 token 两个方法算法
生成 token 时,指定 token 过时时间 EXPIRE_TIME 和签名密钥 SECRET,而后将 date 和 username 写入 token 中,并使用带有密钥的 HS256 签名算法进行签名spring
Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
Algorithm algorithm = Algorithm.HMAC256(SECRET);
JWT.create()
.withClaim("username", username)
//到期时间
.withExpiresAt(date)
//建立一个新的JWT,并使用给定的算法进行标记
.sign(algorithm);
数据库表
role: 角色;permission: 权限;ban: 封号状态数据库
每一个用户有对应的角色(user,admin),权限(normal,vip),而 user 角色默认权限为 normal, admin 角色默认权限为 vip(固然,user 也能够是 vip)跨域
过滤器
在上一篇文章中,咱们使用的是 shiro 默认的权限拦截 Filter,而由于 JWT 的整合,咱们须要自定义本身的过滤器 JWTFilter,JWTFilter 继承了 BasicHttpAuthenticationFilter,并部分原方法进行了重写springboot
该过滤器主要有三步:markdown
- 检验请求头是否带有 token
((HttpServletRequest) request).getHeader("Token") != null -
若是带有 token,执行 shiro 的 login() 方法,将 token 提交到 Realm 中进行检验;若是没有 token,说明当前状态为游客状态(或者其余一些不须要进行认证的接口)app
@Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws UnauthorizedException { //判断请求的请求头是否带上 "Token" if (((HttpServletRequest) request).getHeader("Token") != null) { //若是存在,则进入 executeLogin 方法执行登入,检查 token 是否正确 try { executeLogin(request, response); return true; } catch (Exception e) { //token 错误 responseError(response, e.getMessage()); } } //若是请求头不存在 Token,则多是执行登录操做或者是游客状态访问,无需检查 token,直接返回 true return true; } @Override protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception { HttpServletRequest httpServletRequest = (HttpServletRequest) request; String token = httpServletRequest.getHeader("Token"); JWTToken jwtToken = new JWTToken(token); // 提交给realm进行登入,若是错误他会抛出异常并被捕获 getSubject(request, response).login(jwtToken); // 若是没有抛出异常则表明登入成功,返回true return true; } - 若是在 token 校验的过程当中出现错误,如 token 校验失败,那么我会将该请求视为认证不经过,则重定向到
/unauthorized/**
另外,我将跨域支持放到了该过滤器来处理ide
Realm 类
依然是咱们的自定义 Realm ,对这一块还不了解的能够先看个人上一篇 shiro 的文章工具
-
身份认证测试
if (username == null || !JWTUtil.verify(token, username)) { throw new AuthenticationException("token认证失败!"); } String password = userMapper.getPassword(username); if (password == null) { throw new AuthenticationException("该用户不存在!"); } int ban = userMapper.checkUserBanStatus(username); if (ban == 1) { throw new AuthenticationException("该用户已被封号!"); }拿到传来的 token ,检查 token 是否有效,用户是否存在,以及用户的封号状况
- 权限认证
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); //得到该用户角色 String role = userMapper.getRole(username); //每一个角色拥有默认的权限 String rolePermission = userMapper.getRolePermission(username); //每一个用户能够设置新的权限 String permission = userMapper.getPermission(username); Set<String> roleSet = new HashSet<>(); Set<String> permissionSet = new HashSet<>(); //须要将 role, permission 封装到 Set 做为 info.setRoles(), info.setStringPermissions() 的参数 roleSet.add(role); permissionSet.add(rolePermission); permissionSet.add(permission); //设置该用户拥有的角色和权限 info.setRoles(roleSet); info.setStringPermissions(permissionSet);
利用 token 中得到的 username,分别从数据库查到该用户所拥有的角色,权限,存入 SimpleAuthorizationInfo 中
ShiroConfig 配置类
设置好咱们自定义的 filter,并使全部请求经过咱们的过滤器,除了咱们用于处理未认证请求的 /unauthorized/**
@Bean
public ShiroFilterFactoryBean factory(SecurityManager securityManager) {
ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
// 添加本身的过滤器而且取名为jwt
Map<String, Filter> filterMap = new HashMap<>();
//设置咱们自定义的JWT过滤器
filterMap.put("jwt", new JWTFilter());
factoryBean.setFilters(filterMap);
factoryBean.setSecurityManager(securityManager);
Map<String, String> filterRuleMap = new HashMap<>();
// 全部请求经过咱们本身的JWT Filter
filterRuleMap.put("/**", "jwt");
// 访问 /unauthorized/** 不经过JWTFilter
filterRuleMap.put("/unauthorized/**", "anon");
factoryBean.setFilterChainDefinitionMap(filterRuleMap);
return factoryBean;
}
权限控制注解 @RequiresRoles, @RequiresPermissions
这两个注解为咱们主要的权限控制注解, 如
// 拥有 admin 角色能够访问
@RequiresRoles("admin")
// 拥有 user 或 admin 角色能够访问
@RequiresRoles(logical = Logical.OR, value = {"user", "admin"})
// 拥有 vip 和 normal 权限能够访问
@RequiresPermissions(logical = Logical.AND, value = {"vip", "normal"})
// 拥有 user 或 admin 角色,且拥有 vip 权限能够访问
@GetMapping("/getVipMessage")
@RequiresRoles(logical = Logical.OR, value = {"user", "admin"})
@RequiresPermissions("vip")
public ResultMap getVipMessage() {
return resultMap.success().code(200).message("成功得到 vip 信息!");
}
当咱们写的接口拥有以上的注解时,若是请求没有带有 token 或者带了 token 但权限认证不经过,则会报 UnauthenticatedException 异常,可是我在 ExceptionController 类对这些异常进行了集中处理
@ExceptionHandler(ShiroException.class)
public ResultMap handle401() {
return resultMap.fail().code(401).message("您没有权限访问!");
}
这时,出现 shiro 相关的异常时则会返回
{
"result": "fail",
"code": 401,
"message": "您没有权限访问!"
}
除了以上两种,还有 @RequiresAuthentication ,@RequiresUser 等注解
功能实现
用户角色分为三类,管理员 admin,普通用户 user,游客 guest;admin 默认权限为 vip,user 默认权限为 normal,当 user 升级为 vip 权限时能够访问 vip 权限的页面。
具体实现能够看源代码(开头已经给出地址)
登录
登录接口不带有 token,当登录密码,用户名验证正确后返回 token。
@PostMapping("/login")
public ResultMap login(@RequestParam("username") String username,
@RequestParam("password") String password) {
String realPassword = userMapper.getPassword(username);
if (realPassword == null) {
return resultMap.fail().code(401).message("用户名错误");
} else if (!realPassword.equals(password)) {
return resultMap.fail().code(401).message("密码错误");
} else {
return resultMap.success().code(200).message(JWTUtil.createToken(username));
}
}
{
"result": "success",
"code": 200,
"message": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1MjUxODQyMzUsInVzZXJuYW1lIjoiaG93aWUifQ.fG5Qs739Hxy_JjTdSIx_iiwaBD43aKFQMchx9fjaCRo"
}
异常处理
// 捕捉shiro的异常
@ExceptionHandler(ShiroException.class)
public ResultMap handle401() {
return resultMap.fail().code(401).message("您没有权限访问!");
}
// 捕捉其余全部异常
@ExceptionHandler(Exception.class)
public ResultMap globalException(HttpServletRequest request, Throwable ex) {
return resultMap.fail()
.code(getStatus(request).value())
.message("访问出错,没法访问: " + ex.getMessage());
}
权限控制
-
UserController(user 或 admin 能够访问)
在接口上带上@RequiresRoles(logical = Logical.OR, value = {"user", "admin"})- vip 权限
再加上@RequiresPermissions("vip")
- vip 权限
-
AdminController(admin 能够访问)
在接口上带上@RequiresRoles("admin") - GuestController(全部人能够访问)
不作权限处理
测试结果
-
每一个你不满意的现在,都有一个你没有努力的曾经。