Shiro框架授权过程实现(PROJECT04

4. Shiro框架授权过程实现 4.1 授权流程分析

授权即对用户资源访问的授权（是否允许用户访问此资源），用户访问系统资源时的授权流程如图-7所示:

图-7

其中授权流程分析如下：

1. 系统调用subject相关方法将用户信息(例如isPermitted)递交给SecurityManager。
2. SecurityManager将权限检测操作委托给Authorizer对象。
3. Authorizer将用户信息委托给realm。
4. Realm访问数据库获取用户权限信息并封装。
5. Authorizer对用户授权信息进行判定。

思考：思考不使用shiro如何完成授权操作？intercetor，aop。

4.2 添加授权配置

在SpringShiroConfig配置类中，添加授权时的相关配置：

第一步:配置bean对象的生命周期管理(SpringBoot可以不配置)。

@Bean
public LifecycleBeanPostProcessor   lifecycleBeanPostProcessor() {
    return new LifecycleBeanPostProcessor();
}

第二步: 通过如下配置要为目标业务对象创建代理对象（SpringBoot中可省略）。

@DependsOn("lifecycleBeanPostProcessor")
@Bean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
                 return new DefaultAdvisorAutoProxyCreator();
}

第三步:配置advisor对象,shiro框架底层会通过此对象的matchs方法返回值(类似切入点)决定是否创建代理对象,进行权限控制。

 @Bean
public AuthorizationAttributeSourceAdvisor
authorizationAttributeSourceAdvisor (SecurityManager securityManager) {
       AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
	   advisor.setSecurityManager(securityManager);
       return advisor;
}

说明:使用框架最重要的尊重规则,框架规则指定了什么方式就使用什么方式。

4.3 授权服务端实现 4.3.1 核心业务分析

授权时，服务端核心业务以及API分析，如图-8所示：

图-8

4.3.2 Dao实现

业务描述及设计实现。
基于登陆用户ID，认证信息获取登陆用户的权限信息，并进行封装。

关键代码分析及实现。
第一步：在SysUserRoleDao中定义基于用户id查找角色id的方法(假如方法已经存在则无需再写)，关键代码如下：

  List findRoleIdsByUserId(Integer id);

第二步：在SysRoleMenuDao中定义基于角色id查找菜单id的方法，关键代码如下：

List findMenuIdsByRoleIds(Integer[] roleIds);

第三步：在SysMenuDao中基于菜单id查找权限标识的方法，关键代码如下：

   List findPermissions(Integer[] menuIds);

4.3.3 Mapper实现

• 业务描述及设计实现。

基于Dao中方法，定义映射元素。

• 关键代码分析及实现。

第一步：在SysUserRoleMapper中定义findRoleIdsByUserId元素。关键代码如下：

           select role_id
           from sys_user_roles
           where user_id=#{userId}        

第二步:在SysRoleMenuMapper中定义findMenuIdsByRoleIds元素。关键代码如下：

 
         select menu_id
         from sys_role_menus
         where role_id in
         
               #{item}
         

 
第三步:在SysMenuMapper中定义findPermissions元素，关键代码如下：
 
 
       select permission 
       from sys_menus
       where id in
       
            #{item}
       
   

4.3.4 Service实现

• 业务描述及设计实现。

在ShiroUserReam类中，重写对象realm的doGetAuthorizationInfo方法，并完成用户权限信息的获取以及封装，最后将信息传递给授权管理器完成授权操作。

• 关键代码分析及实现。

修改ShiroUserRealm类中的doGetAuthorizationInfo方法，关键代码如下：

@Service
public class ShiroUserRealm extends AuthorizingRealm {
        @Autowired
        private SysUserDao sysUserDao;
        @Autowired
        private SysUserRoleDao sysUserRoleDao;
        @Autowired
        private SysRoleMenuDao sysRoleMenuDao;
        @Autowired
        private SysMenuDao sysMenuDao;
        
        @Override
        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
                //1.获取登录用户信息，例如用户id
                SysUser user = (SysUser)principals.getPrimaryPrincipal();
                Integer userId = user.getId();
                //2.基于用户id获取用户拥有的角色(sys_user_roles)
                List roleIds = sysUserRoleDao.findRoleIdsByUserId(userId);
                if(roleIds==null||roleIds.size()==0)
               		 throw new AuthorizationException();
                //3.基于角色id获取菜单id(sys_role_menus)
                Integer[] array={};
                List menuIds = sysRoleMenuDao.findMenuIdsByRoleIds(roleIds.toArray(array));
            if(menuIds==null||menuIds.size()==0)
            	throw new AuthorizationException();
                //4.基于菜单id获取权限标识(sys_menus)
            List permissions = sysMenuDao.findPermissions(menuIds.toArray(array));
                //5.对权限标识信息进行封装并返回
            Set set=new HashSet<>();
            for(String per:permissions){
                    if(!StringUtils.isEmpty(per)){
                            set.add(per);
                    }
            }
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            info.setStringPermissions(set);
            return info;//返回给授权管理器
        }
}

4.4 授权访问实描述现

在需要进行授权访问的业务层方法上，添加执行此方法需要的权限标识，参考代码@RequiresPermissions(“sys:user:update”)
说明：此要注解一定要添加到业务层方法上。

5. Shiro扩展功能应用 5.1 Shiro缓存配置

当我们进行授权操作时,每次都会从数据库查询用户权限信息,为了提高授权性能,可以将用户权限信息查询出来以后进行缓存,下次授权时从缓存取数据即可。

Shiro中内置缓存应用实现,其步骤如下:
第一步:在SpringShiroConfig中配置缓存Bean对象(Shiro框架提供)。

@Bean
public CacheManager shiroCacheManager(){
         return new MemoryConstrainedCacheManager();
}

说明:这个CacheManager对象的名字不能写cacheManager,因为spring容器中已经存在一个名字为cacheManager的对象了.

第二步:修改securityManager的配置，将缓存对象注入给SecurityManager对象。

@Bean
public SecurityManager securityManager(
                        Realm realm,
                        CacheManager cacheManager) {
                 DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();
                 sManager.setRealm(realm);
                 sManager.setCacheManager(cacheManager);
                 return sManager;
}

说明:对于shiro框架而言,还可以借助第三方的缓存产品(例如redis)对用户的权限信息进行cache操作.

5.2 Shiro记住我

记住我功能是要在用户登录成功以后,假如关闭浏览器,下次再访问系统资源(例如首页doIndexUI)时,无需再执行登录操作。

5.2.1 客户端业务实现

在页面上选中记住我,然后执行提交操作,将用户名,密码,记住我对应的值提交到控制层，如图-9所示：

图-9

其客户端login.html中关键JS实现:

 function doLogin(){
          var params={
                 username:$("#usernameId").val(),
                 password:$("#passwordId").val(),
                 isRememberMe:$("#rememberId").prop("checked"),
          }
          var url="user/doLogin";
          console.log("params",params);
          $.post(url,params,function(result){
                  if(result.state==1){
                        //跳转到indexUI对应的页面
                        location.href="doIndexUI?t="+Math.random();
                  }else{
                        $(".login-box-msg").html(result.message);
                  }
                  return false;//防止刷新时重复提交
          });
  }

5.2.2 服务端业务实现

服务端业务实现的具体步骤如下:

第一步:在SysUserController中的doLogin方法中基于是否选中记住我，设置token的setRememberMe方法。

 @RequestMapping("doLogin")
         @ResponseBody
         public JsonResult doLogin(
                         boolean isRememberMe,
                         String username,
                         String password) {
                 //1.封装用户信息
                 UsernamePasswordToken token = new UsernamePasswordToken(username, password);
                 if(isRememberMe) {
                        token.setRememberMe(true);
                 }
                 //2.提交用户信息
                 Subject subject=SecurityUtils.getSubject();
                 subject.login(token);//token会提交给securityManager
                 return new JsonResult("login ok");
         }

第二步:在SpringShiroConfig配置类中添加记住我配置，关键代码如下：

 @Bean
     public RememberMeManager rememberMeManager() {
             cookieRememberMeManager cManager = new cookieRememberMeManager();
			 Simplecookie cookie=new Simplecookie("rememberMe");
             cookie.setMaxAge(7*24*60*60);
             cManager.setcookie(cookie);
             return cManager;
     }

第三步:在SpringShiroConfig中修改securityManager的配置，为securityManager注入rememberManager对象。参考黄色部分代码。

  @Bean
     public SecurityManager securityManager(
                    Realm realm,CacheManager cacheManager
					RememberMeManager rememberManager) {
             DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();
             sManager.setRealm(realm);
             sManager.setCacheManager(cacheManager);
             sManager.setRememberMeManager(rememberManager);
             return sManager;
     }

第四步:修改shiro的过滤认证级别，将/=author修改为/=users,查看黄色背景部分。

@Bean
         public ShiroFilterFactoryBean shiroFilterFactory(
                         SecurityManager securityManager) {
                 ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();
                 sfBean.setSecurityManager(securityManager);
                 //假如没有认证请求先访问此认证的url
                 sfBean.setLoginUrl("/doLoginUI");
                 //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
                 linkedHashMap map = new linkedHashMap<>();
                 //静态资源允许匿名访问:"anon"
                 map.put("/bower_components/**","anon");
                 map.put("/build/**","anon");
                 map.put("/dist/**","anon");
                 map.put("/plugins/**","anon");
                 map.put("/user/doLogin","anon");
                 map.put("/doLogout", "logout");//自动查LoginUrl
                 //除了匿名访问的资源,其它都要认证("authc")后访问
                 map.put("/**","user");//authc
                 sfBean.setFilterChainDefinitionMap(map);
                 return sfBean;
         }

说明:查看浏览器cookie设置,可在浏览器中输入如下语句。
chrome://settings/content/cookies