一、前言
Shiro快速入门之一 介绍了Shiro三大核心组件,四大核心功能,以及一个简单的Test Demo,接下来两篇我会用一个比较完整的例子来讲述Shiro的认证及授权是怎么做的,本篇侧重于介绍认证的过程
二、Shiro认证例子
1、例子概述
-
使用SpringBoot+ThymeLeaf+Jpa搭建的例子
-
ThymeLeaf 是一个和Velocity差不多的模板引擎,如果不是前后端分离的项目,页面可以用SpringBoot官方推荐的ThymeLeaf模板,使用ThymeLeaf还可以解决发送HTML邮件内容拼接的问题,具体可看 从一坨代码说起。
-
Jpa是Java Persistence API,它需要Provider来提供实现,Hibernate是JPA Provider 最强一个实现。 注:后续会整理一篇介绍一下tk-mybatis、mybatis、jpa的区别。
2、pom.xml
用spring.io快速创建springboot project,然后加入依赖
-
spring-boot-starter-web
-
spring-boot-starter-thymeleaf
-
spring-boot-starter-data-jpa
-
mysql-connector-java
-
shiro-spring
3、application.properties
配置数据库连接和ThymeLeaf
spring.jpa.properties.hibernate.hbm2ddl.auto=update
注:该行设置为update,加载时会根据model类自动建立表结构,用jpa做demo这点还是很方便的,不用自己创建表结构。
对于配置文件spring.jpa.properties.hibernate.dialect,要写一个MySQLConfig来设置字符集。
4、实体类
权限类
角色类
用户类
注:创建三个实体类 权限类、角色类、用户类,并设置好关联关系,权限与角色多对多,角色与用户多对多,这样在应用启动后会自动创建5张表。
permission、role、role_permission、user、user_role,但数据库还是需要先创建好的,表是会自动创建。
初始化一条数据到用户表,用于测试。
5、UserService、Dao类
6、MyShiroRealm
自定义的Realm实现,主要实现两个方法一个是认证,一个是授权
上面这段就是认证(登录)的代码,先获取用户登录输入的账号(注:登录的代码subject.login(token);会调用该方法),然后到数据库中根据用户名获取用户对象信息,再用从数据库获取的信息(密码,salt)来构造SimpleAuthenticationInfo对象。
注:授权代码下篇再讲
7、ShiroConfig
注:配置Shiro过滤器,哪些地址不拦截,哪些地址要拦截,需要注意顺序,以及登录页地址,成功或失败后跳转页面地址。
注:将自定义的MyShiroRealm设置到SecurityManager中。
8、UserController
登录认证Controller,调用subject.login(token)进行认证,成功或失败后跳到对应的页面。
login.html
index.html
三、总结
用Shiro写认证代码,第一步要先实现Realm的认证方法,将从数据库查出来的密码,salt设置到AuthenticationInfo对象中,在用户登录时会将输入的用户名密码传给SecurityManger,然后进行比对用户名和密码是否正确。
核心代码,判断realm对象是否支持用户的token。
