Spring Boot+Shiro+JWT實(shí)現(xiàn)多Realm時(shí)Filter異常捕捉

近日勋陪,大叔接公司需求,搭建前后端分離的后臺(tái)管理模塊接口史飞。
簡(jiǎn)述登陸模塊相關(guān)需求:

  • 用戶輸入用戶名和密碼獲取JWTToken令牌
  • 用戶使用JWTToken令牌訪問(wèn)后端業(yè)務(wù)接口

大叔簡(jiǎn)單說(shuō)下Springboot集成Shiro的過(guò)程:
1.在pom.xml引入Shiro

<!-- Shiro使用Srping框架 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
</dependency>

2.寫(xiě)自己的Realm:UserRealm.java嗓违,JWTRealm.java蛙埂,

/**
*   因?yàn)閁serRealm只用于登陸驗(yàn)證故繼承AuthenticatingRealm就好了
**/
public class UserRealm extends AuthenticatingRealm {
     /**
     *  該方法用于多Realm認(rèn)證時(shí)識(shí)別需要使用哪一個(gè)Realm
     */ 
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;
    } 
    /**
    *   該方法用于登陸身份驗(yàn)證
    **/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //TODO  根據(jù)自己的驗(yàn)證需要寫(xiě)登陸驗(yàn)證
     }
}

/**
*   JWTRealm既要驗(yàn)證身份,又要做權(quán)限認(rèn)證驰弄,所以繼承AuthorizingRealm 
**/
public class JWTRealm extends AuthorizingRealm {
    /**
    *   該方法用于多Realm認(rèn)證時(shí)識(shí)別需要使用哪一個(gè)Realm
    **/
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }
    
    /**
    *   權(quán)限 權(quán)限驗(yàn)證時(shí)會(huì)執(zhí)行到這里
    **/ 
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //TODO 根據(jù)自己的設(shè)計(jì)寫(xiě)權(quán)限
    }
    /**
    *   該方法用于JWTToken驗(yàn)證
    **/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        //TODO  根據(jù)自己的驗(yàn)證需要寫(xiě)驗(yàn)證
    }
}

3.寫(xiě)JWTFilter.java

public class JwtFilter extends BasicHttpAuthenticationFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        //TODO
        return true;
    }
    
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        //TODO 
        return false;
    }
    
}

4.寫(xiě)ShiroConfig.java

/**
*   加載權(quán)限配置
**/
@Configuration
public class ShiroConfig {
    /**
     * 注冊(cè)shiro的Filter麻汰,攔截請(qǐng)求
     */
    @Bean
    public FilterRegistrationBean<Filter> filterRegistrationBean(DefaultWebSecurityManager securityManager)
            throws Exception {
        FilterRegistrationBean<Filter> filterRegistration = new FilterRegistrationBean<Filter>();
        filterRegistration.setFilter((Filter) shiroFilter(securityManager).getObject());
        filterRegistration.addInitParameter("targetFilterLifecycle", "true");
        filterRegistration.setAsyncSupported(true);
        filterRegistration.setEnabled(true);
        filterRegistration.setDispatcherTypes(DispatcherType.REQUEST);
        return filterRegistration;
    }

    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 設(shè)置realm,這里不設(shè)置的話會(huì)報(bào)錯(cuò)
        // One or more realms must be present to execute an authentication attempt. One
        // or more realms must be present to execute an authentication attempt.
        securityManager.setAuthenticator(authenticator());
        securityManager.setAuthorizer(authorizer());
        return securityManager;
    }
    
    /**
    * 用于用戶名密碼登錄時(shí)認(rèn)證的realm
    */
    @Bean("userRealm")
    public Realm userRealm() {
        UserRealm userRealm = new UserRealm();
        return userRealm;
    }

    /**
    * 用于JWT token認(rèn)證的realm
    */
    @Bean("jwtRealm")
    public Realm jwtRealm() {
        JWTRealm jwtRealm= new JWTRealm();
        return jwtRealm;
    }
     /**
     * 初始化Authenticator 認(rèn)證器 身份認(rèn)證
     */
    @Bean
    public Authenticator authenticator() {
        ModularRealmAuthenticator authenticator = new ModularRealmAuthenticator();//留意這一行喲
        // 設(shè)置兩個(gè)Realm,一個(gè)用于用戶登錄驗(yàn)證戚篙;一個(gè)用于jwt token的認(rèn)證和訪問(wèn)權(quán)限獲取
        authenticator.setRealms(Arrays.asList(jwtRealm(), userRealm()));
        // 設(shè)置多個(gè)realm認(rèn)證策略五鲫,一個(gè)成功即跳過(guò)其它的
        authenticator.setAuthenticationStrategy(new FirstSuccessfulStrategy());
        return authenticator;
    }
    
    /**
     * 初始化authorizer 認(rèn)證器 權(quán)限認(rèn)證
     * @return
     */
    @Bean
    public Authorizer authorizer() {
        ModularRealmAuthorizer authorizer = new ModularRealmAuthorizer();//這里的
        authorizer.setRealms(Arrays.asList(jwtShiroRealm()));
        return authorizer;
    }
    
    /**
    * 禁用session, 不保存用戶登錄狀態(tài)。保證每次請(qǐng)求都重新認(rèn)證岔擂。
    * 需要注意的是位喂,如果用戶代碼里調(diào)用Subject.getSession()還是可以用session,如果要完全禁用乱灵,要配合下面的noSessionCreation的Filter來(lái)實(shí)現(xiàn)
    */
    @Bean
    protected SessionStorageEvaluator sessionStorageEvaluator() {
        DefaultWebSessionStorageEvaluator sessionStorageEvaluator = new DefaultWebSessionStorageEvaluator();
        sessionStorageEvaluator.setSessionStorageEnabled(false);
        return sessionStorageEvaluator;
    }
    
    /**
     * 設(shè)置過(guò)濾器塑崖,將自定義的Filter加入
     */
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(securityManager);
        // 添加過(guò)濾器
        Map<String, Filter> filterMap = new HashMap<String, Filter>();
        // JWT過(guò)濾器
        filterMap.put("jwtFilter", jwtFilter());// JwTfilter
        factoryBean.setFilters(filterMap);
        // 攔截器
        factoryBean.setFilterChainDefinitionMap(shiroFilterChainDefinition().getFilterChainMap()); 
        return factoryBean;
    }

    @Bean
    protected ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition(); 
        chainDefinition.addPathDefinition("/login", "noSessionCreation,anon"); // login不做認(rèn)證,noSessionCreation的作用是用戶在操作session時(shí)會(huì)拋異常
        chainDefinition.addPathDefinition("/**", "noSessionCreation,jwtFilter"); // 默認(rèn)進(jìn)行用戶鑒權(quán)
        return chainDefinition;
    }

    // 不要加@Bean注解阔蛉,不然spring會(huì)自動(dòng)注冊(cè)成filter弃舒,我們這里是手動(dòng)注入
    protected JwtFilter jwtFilter() {
        return new JwtFilter();
    }
    /**
    * 開(kāi)啟Shiro注解通知器
    */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(
            @Qualifier("securityManager") SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }
}

好了,到這里我們可以算作是完成了Shiro的集成工作了

隨便寫(xiě)一段測(cè)試代碼

@RestController
public class TestController {
    @GetMapping("/helloWorld")
    @RequiresPermissions("system:test:hello")
    public String helloWorld() {
        return “hello world";
    }
}

啟動(dòng)項(xiàng)目,請(qǐng)求這個(gè)接口試試看吧聋呢。

在實(shí)現(xiàn)了多Realm的登陸之后苗踪,發(fā)現(xiàn)當(dāng)JWTRealm身份驗(yàn)證報(bào)錯(cuò)時(shí),在JWTFilter獲取到的異常類(lèi)型都是AuthenticationException削锰,而導(dǎo)致不能再JWTRealm中根據(jù)不同的異常做不同的處理通铲。
怎么辦呢?跟蹤異常拋出流程發(fā)現(xiàn)多Realm時(shí),異常在ModularRealmAuthenticator中會(huì)被處理掉器贩,統(tǒng)一拋出AuthenticationException颅夺。所以大叔發(fā)現(xiàn)重寫(xiě)ModularRealmAuthenticator中的doMultiRealmAuthentication方法就好了

public class MultiRealmAuthenticator extends ModularRealmAuthenticator {
    private static final Logger log = LoggerFactory.getLogger(MultiRealmAuthenticator.class);
    @Override
    protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token)
            throws AuthenticationException {
        AuthenticationStrategy strategy = getAuthenticationStrategy();
        AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);
        if (log.isTraceEnabled()) {
            log.trace("Iterating through {} realms for PAM authentication", realms.size());
        }
        AuthenticationException authenticationException = null;
        for (Realm realm : realms) {
            aggregate = strategy.beforeAttempt(realm, token, aggregate);
            if (realm.supports(token)) {
                log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);
                AuthenticationInfo info = null;
                try {
                    info = realm.getAuthenticationInfo(token);
                } catch (AuthenticationException e) {
                    authenticationException = e;
                    if (log.isDebugEnabled()) {
                        String msg = "Realm [" + realm
                                + "] threw an exception during a multi-realm authentication attempt:";
                        log.debug(msg, e);
                    }
                }
                aggregate = strategy.afterAttempt(realm, token, info, aggregate, authenticationException);
            } else {
                log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
            }
        }
        if (authenticationException != null) {
            throw authenticationException;
        }
        aggregate = strategy.afterAllAttempts(token, aggregate);
        return aggregate;
    }
}

重寫(xiě)之后替換掉ShiroConfig.java中的身份認(rèn)證就好了

        /**
     * 初始化Authenticator 認(rèn)證器 身份認(rèn)證
     */
    @Bean
    public Authenticator authenticator() {
        MultiRealmAuthenticator authenticator = new MultiRealmAuthenticator();
        // 設(shè)置兩個(gè)Realm,一個(gè)用于用戶登錄驗(yàn)證和訪問(wèn)權(quán)限獲扔忌浴吧黄;一個(gè)用于jwt token的認(rèn)證
        authenticator.setRealms(Arrays.asList(jwtShiroRealm(), dbShiroRealm()));
        // 設(shè)置多個(gè)realm認(rèn)證策略,一個(gè)成功即跳過(guò)其它的
        authenticator.setAuthenticationStrategy(new FirstSuccessfulStrategy());
        return authenticator;
    }

大叔說(shuō)唆姐,坑再多拗慨,不在怕,爬起來(lái)奉芦,反正還會(huì)掉坑里的

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末赵抢,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子声功,更是在濱河造成了極大的恐慌烦却,老刑警劉巖,帶你破解...
    沈念sama閱讀 206,214評(píng)論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件先巴,死亡現(xiàn)場(chǎng)離奇詭異其爵,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)筹裕,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,307評(píng)論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門(mén)醋闭,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人朝卒,你說(shuō)我怎么就攤上這事证逻。” “怎么了抗斤?”我有些...
    開(kāi)封第一講書(shū)人閱讀 152,543評(píng)論 0 341
  • 道士緝兇錄:失蹤的賣(mài)姜人
    文/不壞的土叔 我叫張陵囚企,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我瑞眼,道長(zhǎng)龙宏,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 55,221評(píng)論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任伤疙,我火速辦了婚禮银酗,結(jié)果婚禮上辆影,老公的妹妹穿的比我還像新娘。我一直安慰自己黍特,他們只是感情好蛙讥,可當(dāng)我...
    茶點(diǎn)故事閱讀 64,224評(píng)論 5 371
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著灭衷,像睡著了一般次慢。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上翔曲,一...
    開(kāi)封第一講書(shū)人閱讀 49,007評(píng)論 1 284
  • 城市分裂傳說(shuō)
    那天迫像,我揣著相機(jī)與錄音,去河邊找鬼瞳遍。 笑死闻妓,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的傅蹂。 我是一名探鬼主播纷闺,決...
    沈念sama閱讀 38,313評(píng)論 3 399
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼份蝴!你這毒婦竟也來(lái)了?” 一聲冷哼從身側(cè)響起氓轰,我...
    開(kāi)封第一講書(shū)人閱讀 36,956評(píng)論 0 259
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤婚夫,失蹤者是張志新(化名)和其女友劉穎,沒(méi)想到半個(gè)月后署鸡,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體案糙,經(jīng)...
    沈念sama閱讀 43,441評(píng)論 1 300
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 35,925評(píng)論 2 323
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年靴庆,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了时捌。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 38,018評(píng)論 1 333
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡炉抒,死狀恐怖奢讨,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情焰薄,我是刑警寧澤拿诸,帶...
    沈念sama閱讀 33,685評(píng)論 4 322
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站塞茅,受9級(jí)特大地震影響亩码,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜野瘦,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,234評(píng)論 3 307
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一描沟、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦吏廉、人聲如沸蠢络。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 30,240評(píng)論 0 19
  • 一樁弒父案迟蜜,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)刹孔。三九已至,卻和暖如春娜睛,著一層夾襖步出監(jiān)牢的瞬間髓霞,已是汗流浹背。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 31,464評(píng)論 1 261
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工畦戒, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留方库,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 45,467評(píng)論 2 352
  • 代替公主和親
    正文 我出身青樓障斋,卻偏偏與公主長(zhǎng)得像纵潦,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子垃环,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 42,762評(píng)論 2 345