Shiro + JWT + Spring Boot Restful 簡易教學

2021-04-18 12:02:20

特性

  • 完全使用了 Shiro 的註解設定,保持高度的靈活性。
  • 放棄 Cookie ,Session ,使用JWT進行鑑權,完全實現無狀態鑑權。
  • JWT 金鑰支援過期時間。
  • 對跨域提供支援。

準備工作

在開始本教學之前,請保證已經熟悉以下幾點。

  • Spring Boot 基本語法,至少要懂得 ControllerRestControllerAutowired 等這些基本註釋。其實看看官方的 Getting-Start 教學就差不多了。
  • JWT (Json Web Token)的基本概念,並且會簡單操作JWT的 JAVA SDK
  • Shiro 的基本操作,看下官方的 10 Minute Tutorial 即可。
  • 模擬 HTTP 請求工具,我使用的是 PostMan。

簡要的說明下我們為什麼要用 JWT ,因為我們要實現完全的前後端分離,所以不可能使用 sessioncookie 的方式進行鑑權,所以 JWT 就被派上了用場,你可以通過一個加密金鑰來進行前後端的鑑權。

程式邏輯

  1. 我們 POST 使用者名稱與密碼到 /login 進行登入,如果成功返回一個加密 token,失敗的話直接返回 401 錯誤。
  2. 之後使用者存取每一個需要許可權的網址請求必須在 header 中新增 Authorization 欄位,例如 Authorization: tokentoken 為金鑰。
  3. 後臺會進行 token 的校驗,如果有誤會直接返回 401。

Token加密說明

  • 攜帶了 username 資訊在 token 中。
  • 設定了過期時間。
  • 使用使用者登入密碼對 token 進行加密。

Token校驗流程

  1. 獲得 token 中攜帶的 username 資訊。
  2. 進入資料庫搜尋這個使用者,得到他的密碼。
  3. 使用使用者的密碼來檢驗 token 是否正確。

準備Maven檔案

新建一個 Maven 工程,新增相關的 dependencies。

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.inlighting</groupId>
    <artifactId>shiro-study</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.2.0</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <version>1.5.8.RELEASE</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
                <!-- Srping Boot 打包工具 -->
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <version>1.5.7.RELEASE</version>
                <executions>
                    <execution>
                        <goals>
                            <goal>repackage</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
            <!-- 指定JDK編譯版本 -->
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <configuration>
                    <source>1.8</source>
                    <target>1.8</target>
                    <encoding>UTF-8</encoding>
                </configuration>
            </plugin>
        </plugins>
    </build>
</project>

注意指定JDK版本和編碼。

構建簡易的資料來源

為了縮減教學的程式碼,我使用 HashMap 本地模擬了一個資料庫,結構如下:

usernamepasswordrolepermission
smithsmith123userview
dannydanny123adminview,edit

這是一個最簡單的使用者許可權表,如果想更加進一步瞭解,自行百度 RBAC。

之後再構建一個 UserService 來模擬資料庫查詢,並且把結果放到 UserBean 之中。

UserService.java

@Component
public class UserService {

    public UserBean getUser(String username) {
        // 沒有此使用者直接返回null
        if (! DataSource.getData().containsKey(username))
            return null;

        UserBean user = new UserBean();
        Map<String, String> detail = DataSource.getData().get(username);

        user.setUsername(username);
        user.setPassword(detail.get("password"));
        user.setRole(detail.get("role"));
        user.setPermission(detail.get("permission"));
        return user;
    }
}

UserBean.java

public class UserBean {
    private String username;

    private String password;

    private String role;

    private String permission;

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getRole() {
        return role;
    }

    public void setRole(String role) {
        this.role = role;
    }

    public String getPermission() {
        return permission;
    }

    public void setPermission(String permission) {
        this.permission = permission;
    }
}

設定 JWT

我們寫一個簡單的 JWT 加密,校驗工具,並且使用使用者自己的密碼充當加密金鑰,這樣保證了 token 即使被他人截獲也無法破解。並且我們在 token 中附帶了 username 資訊,並且設定金鑰5分鐘就會過期。

public class JWTUtil {

    // 過期時間5分鐘
    private static final long EXPIRE_TIME = 5*60*1000;

    /**
     * 校驗token是否正確
     * @param token 金鑰
     * @param secret 使用者的密碼
     * @return 是否正確
     */
    public static boolean verify(String token, String username, String secret) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("username", username)
                    .build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (Exception exception) {
            return false;
        }
    }

    /**
     * 獲得token中的資訊無需secret解密也能獲得
     * @return token中包含的使用者名稱
     */
    public static String getUsername(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("username").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    /**
     * 生成簽名,5min後過期
     * @param username 使用者名稱
     * @param secret 使用者的密碼
     * @return 加密的token
     */
    public static String sign(String username, String secret) {
        try {
            Date date = new Date(System.currentTimeMillis()+EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(secret);
            // 附帶username資訊
            return JWT.create()
                    .withClaim("username", username)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (UnsupportedEncodingException e) {
            return null;
        }
    }
}

構建URL

ResponseBean.java

既然想要實現 restful,那我們要保證每次返回的格式都是相同的,因此我建立了一個 ResponseBean 來統一返回的格式。

public class ResponseBean {
    
    // http 狀態碼
    private int code;

    // 返回資訊
    private String msg;

    // 返回的資料
    private Object data;

    public ResponseBean(int code, String msg, Object data) {
        this.code = code;
        this.msg = msg;
        this.data = data;
    }

    public int getCode() {
        return code;
    }

    public void setCode(int code) {
        this.code = code;
    }

    public String getMsg() {
        return msg;
    }

    public void setMsg(String msg) {
        this.msg = msg;
    }

    public Object getData() {
        return data;
    }

    public void setData(Object data) {
        this.data = data;
    }
}

自定義異常

為了實現我自己能夠手動丟擲異常,我自己寫了一個 UnauthorizedException.java

public class UnauthorizedException extends RuntimeException {
    public UnauthorizedException(String msg) {
        super(msg);
    }

    public UnauthorizedException() {
        super();
    }
}

URL結構

URL作用
/login登入
/article所有人都可以存取,但是使用者與遊客看到的內容不同
/require_auth登入的使用者才可以進行存取
/require_roleadmin的角色使用者才可以登入
/require_permission擁有view和edit許可權的使用者才可以存取

Controller

@RestController
public class WebController {

    private static final Logger LOGGER = LogManager.getLogger(WebController.class);

    private UserService userService;

    @Autowired
    public void setService(UserService userService) {
        this.userService = userService;
    }

    @PostMapping("/login")
    public ResponseBean login(@RequestParam("username") String username,
                              @RequestParam("password") String password) {
        UserBean userBean = userService.getUser(username);
        if (userBean.getPassword().equals(password)) {
            return new ResponseBean(200, "Login success", JWTUtil.sign(username, password));
        } else {
            throw new UnauthorizedException();
        }
    }

    @GetMapping("/article")
    public ResponseBean article() {
        Subject subject = SecurityUtils.getSubject();
        if (subject.isAuthenticated()) {
            return new ResponseBean(200, "You are already logged in", null);
        } else {
            return new ResponseBean(200, "You are guest", null);
        }
    }

    @GetMapping("/require_auth")
    @RequiresAuthentication
    public ResponseBean requireAuth() {
        return new ResponseBean(200, "You are authenticated", null);
    }

    @GetMapping("/require_role")
    @RequiresRoles("admin")
    public ResponseBean requireRole() {
        return new ResponseBean(200, "You are visiting require_role", null);
    }

    @GetMapping("/require_permission")
    @RequiresPermissions(logical = Logical.AND, value = {"view", "edit"})
    public ResponseBean requirePermission() {
        return new ResponseBean(200, "You are visiting permission require edit,view", null);
    }

    @RequestMapping(path = "/401")
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    public ResponseBean unauthorized() {
        return new ResponseBean(401, "Unauthorized", null);
    }
}

處理框架異常

之前說過 restful 要統一返回的格式,所以我們也要全域性處理 Spring Boot 的丟擲異常。利用 @RestControllerAdvice 能很好的實現。

@RestControllerAdvice
public class ExceptionController {

    // 捕捉shiro的異常
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    @ExceptionHandler(ShiroException.class)
    public ResponseBean handle401(ShiroException e) {
        return new ResponseBean(401, e.getMessage(), null);
    }

    // 捕捉UnauthorizedException
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    @ExceptionHandler(UnauthorizedException.class)
    public ResponseBean handle401() {
        return new ResponseBean(401, "Unauthorized", null);
    }

    // 捕捉其他所有異常
    @ExceptionHandler(Exception.class)
    @ResponseStatus(HttpStatus.BAD_REQUEST)
    public ResponseBean globalException(HttpServletRequest request, Throwable ex) {
        return new ResponseBean(getStatus(request).value(), ex.getMessage(), null);
    }

    private HttpStatus getStatus(HttpServletRequest request) {
        Integer statusCode = (Integer) request.getAttribute("javax.servlet.error.status_code");
        if (statusCode == null) {
            return HttpStatus.INTERNAL_SERVER_ERROR;
        }
        return HttpStatus.valueOf(statusCode);
    }
}

設定 Shiro

大家可以先看下官方的 Spring-Shiro 整合教學,有個初步的瞭解。不過既然我們用了 Spring-Boot,那我們肯定要爭取零組態檔。

實現JWTToken

JWTToken 差不多就是 Shiro 使用者名稱密碼的載體。因為我們是前後端分離,伺服器無需儲存使用者狀態,所以不需要 RememberMe 這類功能,我們簡單的實現下 AuthenticationToken 介面即可。因為 token 自己已經包含了使用者名稱等資訊,所以這裡我就弄了一個欄位。如果你喜歡鑽研,可以看看官方的 UsernamePasswordToken 是如何實現的。

public class JWTToken implements AuthenticationToken {

    // 金鑰
    private String token;

    public JWTToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

實現Realm

realm 的用於處理使用者是否合法的這一塊,需要我們自己實現。

@Service
public class MyRealm extends AuthorizingRealm {

    private static final Logger LOGGER = LogManager.getLogger(MyRealm.class);

    private UserService userService;

    @Autowired
    public void setUserService(UserService userService) {
        this.userService = userService;
    }

    /**
     * 大坑!,必須重寫此方法,不然Shiro會報錯
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JWTToken;
    }

    /**
     * 只有當需要檢測使用者許可權的時候才會呼叫此方法,例如checkRole,checkPermission之類的
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = JWTUtil.getUsername(principals.toString());
        UserBean user = userService.getUser(username);
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole(user.getRole());
        Set<String> permission = new HashSet<>(Arrays.asList(user.getPermission().split(",")));
        simpleAuthorizationInfo.addStringPermissions(permission);
        return simpleAuthorizationInfo;
    }

    /**
     * 預設使用此方法進行使用者名稱正確與否驗證,錯誤丟擲異常即可。
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        String token = (String) auth.getCredentials();
        // 解密獲得username,用於和資料庫進行對比
        String username = JWTUtil.getUsername(token);
        if (username == null) {
            throw new AuthenticationException("token invalid");
        }

        UserBean userBean = userService.getUser(username);
        if (userBean == null) {
            throw new AuthenticationException("User didn't existed!");
        }

        if (! JWTUtil.verify(token, username, userBean.getPassword())) {
            throw new AuthenticationException("Username or password error");
        }

        return new SimpleAuthenticationInfo(token, token, "my_realm");
    }
}

doGetAuthenticationInfo() 中使用者可以自定義丟擲很多異常,詳情見檔案。

重寫 Filter

所有的請求都會先經過 Filter,所以我們繼承官方的 BasicHttpAuthenticationFilter ,並且重寫鑑權的方法。

程式碼的執行流程 preHandle -> isAccessAllowed -> isLoginAttempt -> executeLogin

public class JWTFilter extends BasicHttpAuthenticationFilter {

    private Logger LOGGER = LoggerFactory.getLogger(this.getClass());

    /**
     * 判斷使用者是否想要登入。
     * 檢測header裡面是否包含Authorization欄位即可
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        String authorization = req.getHeader("Authorization");
        return authorization != null;
    }

    /**
     *
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String authorization = httpServletRequest.getHeader("Authorization");

        JWTToken token = new JWTToken(authorization);
        // 提交給realm進行登入,如果錯誤他會丟擲異常並被捕獲
        getSubject(request, response).login(token);
        // 如果沒有丟擲異常則代表登入成功,返回true
        return true;
    }

    /**
     * 這裡我們詳細說明下為什麼最終返回的都是true,即允許存取
     * 例如我們提供一個地址 GET /article
     * 登入使用者和遊客看到的內容是不同的
     * 如果在這裡返回了false,請求會被直接攔截,使用者看不到任何東西
     * 所以我們在這裡返回true,Controller中可以通過 subject.isAuthenticated() 來判斷使用者是否登入
     * 如果有些資源只有登入使用者才能存取,我們只需要在方法上面加上 @RequiresAuthentication 註解即可
     * 但是這樣做有一個缺點,就是不能夠對GET,POST等請求進行分別過濾鑑權(因為我們重寫了官方的方法),但實際上對應用影響不大
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (isLoginAttempt(request, response)) {
            try {
                executeLogin(request, response);
            } catch (Exception e) {
                response401(request, response);
            }
        }
        return true;
    }

    /**
     * 對跨域提供支援
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域時會首先傳送一個option請求,這裡我們給option請求直接返回正常狀態
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }

    /**
     * 將非法請求跳轉到 /401
     */
    private void response401(ServletRequest req, ServletResponse resp) {
        try {
            HttpServletResponse httpServletResponse = (HttpServletResponse) resp;
            httpServletResponse.sendRedirect("/401");
        } catch (IOException e) {
            LOGGER.error(e.getMessage());
        }
    }
}

getSubject(request, response).login(token); 這一步就是提交給了 realm 進行處理。

設定Shiro

@Configuration
public class ShiroConfig {

    @Bean("securityManager")
    public DefaultWebSecurityManager getManager(MyRealm realm) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        // 使用自己的realm
        manager.setRealm(realm);

        /*
         * 關閉shiro自帶的session,詳情見檔案
         * http://shiro.apache.org/session-management.html#SessionManagement-StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        manager.setSubjectDAO(subjectDAO);

        return manager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean factory(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();

        // 新增自己的過濾器並且取名為jwt
        Map<String, Filter> filterMap = new HashMap<>();
        filterMap.put("jwt", new JWTFilter());
        factoryBean.setFilters(filterMap);

        factoryBean.setSecurityManager(securityManager);
        factoryBean.setUnauthorizedUrl("/401");

        /*
         * 自定義url規則
         * http://shiro.apache.org/web.html#urls-
         */
        Map<String, String> filterRuleMap = new HashMap<>();
        // 所有請求通過我們自己的JWT Filter
        filterRuleMap.put("/**", "jwt");
        // 存取401和404頁面不通過我們的Filter
        filterRuleMap.put("/401", "anon");
        factoryBean.setFilterChainDefinitionMap(filterRuleMap);
        return factoryBean;
    }

    /**
     * 下面的程式碼是新增註解支援
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        // 強制使用cglib,防止重複代理和可能引起代理出錯的問題
        // https://zhuanlan.zhihu.com/p/29161098
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

裡面 URL 規則自己參考檔案即可 http://shiro.apache.org/web.html

總結

我就說下程式碼還有哪些可以進步的地方吧

  • 沒有實現 Shiro 的 Cache 功能。
  • Shiro 中鑑權失敗時不能夠直接返回 401 資訊,而是通過跳轉到 /401 地址實現。
github地址及其來源:https://github.com/Smith-Crui...