安科网

用Vert.x shiro jdbcRealm对restful api鉴权

SenGeZi

SenGeZi

2017-10-20

关注 关注

本文旨在用Vert.x,shiro JdbcRealm开发一个对restfu api进行鉴权的demo

Vert.x:参看 http://vertx.io

shiro:参看 http://shiro.apache.org/

业务逻辑很简单,就是实现用户登录验证,然后对restful api进行鉴权。

数据库用mysql。

数据库名:myshiro

数据表:

-- ----------------------------
-- Table structure for t_permission
-- ----------------------------
DROP TABLE IF EXISTS `t_permission`;
CREATE TABLE `t_permission` (
  `id` int(11) NOT NULL,
  `permission` varchar(255) NOT NULL,
  `role_id` int(11) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for t_role
-- ----------------------------
DROP TABLE IF EXISTS `t_role`;
CREATE TABLE `t_role` (
  `id` int(11) NOT NULL,
  `role_name` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for t_user
-- ----------------------------
DROP TABLE IF EXISTS `t_user`;
CREATE TABLE `t_user` (
  `id` int(11) NOT NULL,
  `username` varchar(255) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for t_user_role
-- ----------------------------
DROP TABLE IF EXISTS `t_user_role`;
CREATE TABLE `t_user_role` (
  `id` int(11) NOT NULL,
  `user_id` int(11) DEFAULT NULL,
  `role_id` int(11) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

 后台代码:

package com.wof.realtime.apigateway;

import java.util.HashSet;
import java.util.Set;

import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.tomcat.jdbc.pool.DataSource;

import io.vertx.core.AbstractVerticle;
import io.vertx.core.Future;
import io.vertx.core.MultiMap;
import io.vertx.core.http.HttpServer;
import io.vertx.core.http.HttpServerRequest;
import io.vertx.core.json.JsonObject;
import io.vertx.ext.auth.AuthProvider;
import io.vertx.ext.auth.User;
import io.vertx.ext.auth.shiro.ShiroAuth;
import io.vertx.ext.web.Router;
import io.vertx.ext.web.RoutingContext;
import io.vertx.ext.web.Session;
import io.vertx.ext.web.handler.AuthHandler;
import io.vertx.ext.web.handler.BodyHandler;
import io.vertx.ext.web.handler.CookieHandler;
import io.vertx.ext.web.handler.RedirectAuthHandler;
import io.vertx.ext.web.handler.SessionHandler;
import io.vertx.ext.web.handler.UserSessionHandler;
import io.vertx.ext.web.sstore.LocalSessionStore;

public class ApiGatewayVerticle2 extends AbstractVerticle {
	
	private AuthProvider authProvider;
	
	@Override
	public void start(Future<Void> startFuture) throws Exception {
		
		// 用户权限信息-JDBC形式		
		JdbcRealm jdbcRealm = getJdbcRealm();
		authProvider = ShiroAuth.create(vertx, jdbcRealm);
		
		// 路由器
		Router router = Router.router(vertx);
		
		// 为所有route创建session handler
		router.route().handler(BodyHandler.create());
		router.route().handler(CookieHandler.create());
		router.route().handler(SessionHandler.create(LocalSessionStore.create(vertx)).setSessionTimeout(1000 * 60 * 1));			
		router.route().handler(UserSessionHandler.create(authProvider));
		
		// 当请求中没有user session时,自动跳转到 /login
		AuthHandler authHandler = RedirectAuthHandler.create(authProvider, "/login"); 
		Set<String> authorities = new HashSet<String>();
		authHandler.addAuthorities(authorities);

		// 为所有需要鉴权的路由安装authHandler
		router.route("/").handler(authHandler);
		router.route("/api/*").handler(authHandler);
		
		// restful api 鉴权
		router.get("/api/liaota/liaota").handler(this::listLiaotaHandler);
		router.put("/api/liaota/liaota/:id").handler(this::updateLiaotaHandler);
		router.post("/api/liaota/liaota/").handler(this::addLiaotaHandler);
		router.delete("/api/liaota/liaota/:id").handler(this::deleteLiaotaHandler);
					
		// 登录跳转、登录验证、登出处理handler
		router.get("/login").handler(this::loginHandler);
		router.post("/login-auth").handler(this::loginAuthHandler);
		router.get("/logout").handler(context -> {
			context.clearUser();
			context.response().setStatusCode(302).putHeader("Location", "/").end();
		});					
		
		// 启动httpServer
		vertx.createHttpServer().requestHandler(router::accept).listen(8080, h-> {
			if(h.succeeded())
				System.out.println("server start.");
			else 
				h.cause().printStackTrace();
		});
	}
	
	/**
	 * 通过JDBC获取用户、角色、权限
	 * 
	 * @return
	 */
	private JdbcRealm getJdbcRealm(){
		// 数据库连接池 此处用硬编码方式(生产环境用配置文件方式)
		DataSource dataSource = new DataSource();
		dataSource.setDriverClassName("com.mysql.jdbc.Driver");
		dataSource.setUrl("jdbc:mysql://localhost:3306/myshiro?useUnicode=true&amp;characterEncoding=utf8");
		dataSource.setUsername("demo");
		dataSource.setPassword("123456");
		// 配置数据库断开后自动连接
		dataSource.setLogAbandoned(true);
		dataSource.setRemoveAbandoned(true);
		dataSource.setRemoveAbandonedTimeout(60);
		dataSource.setTestWhileIdle(true);
		dataSource.setValidationQuery("select id from user where name='demo'");
		
		// 配置jdbcRealm
		JdbcRealm jdbcRealm = new JdbcRealm();
		jdbcRealm.setDataSource(dataSource);
		jdbcRealm.setPermissionsLookupEnabled(true);//true:允许查找角色的权限。false:只查找用户和角色,不会查找角色的权限。
		
//		jdbcRealm.setAuthenticationCachingEnabled(false);//禁止缓存用户查询结果。禁止后,每次都要从数据库查询。
//		jdbcRealm.setAuthorizationCachingEnabled(false);//禁止缓存角色,权限查询结果。禁止后,每次都要从数据库查询。
		jdbcRealm.setCachingEnabled(false);//禁止缓存
		
		// 修改查询数据库SQL,根据自己的数据库表结构进行修改。
		jdbcRealm.setAuthenticationQuery("select password from t_user where username = ?");
		jdbcRealm.setUserRolesQuery("select t_r.role_name from t_user_role t_ur "
				+ "inner join t_role t_r on t_ur.role_id=t_r.id  "
				+ "inner join t_user t_u on t_u.id = t_ur.user_id where t_u.username = ?");
		jdbcRealm.setPermissionsQuery("select permission from t_permission t_p "
				+ "inner join t_role t_r on t_r.id = t_p.role_id where t_r.role_name = ?");	
		
		return jdbcRealm;
	}
	
	private void loginAuthHandler(RoutingContext context) {
		HttpServerRequest req = context.request();
		MultiMap params = req.formAttributes();
		String username = params.get("username");
		String password = params.get("password");

		Session session = context.session();
		JsonObject authInfo = new JsonObject().put("username", username).put("password", password);
		
		authProvider.authenticate(authInfo, res -> {
			JsonObject json = new JsonObject();
			json.put("message", "loginFail");
	
			if (res.succeeded()) {
				json.put("message", "loginSuccess");
				User user = res.result();
				context.setUser(user);
				if (session != null) {
					session.regenerateId(); // 更新session id	
				}
			}
			req.response().headers().set("Content-Type", "text/html; charset=UTF-8");
			req.response().end(json.encode());
		});
	}
	
	private void loginHandler(RoutingContext context) {
		HttpServerRequest req = context.request();
		req.response().headers().set("Content-Type", "text/html; charset=UTF-8");
		req.response().end("login");
	}
	
	private void listLiaotaHandler(RoutingContext context) {
		context.user().isAuthorised("query", h -> {
			if(h.result())
				doSomething(context);
			else {
				authFail(context);
			}
		});
	}
	
	private void updateLiaotaHandler(RoutingContext context) {
		context.user().isAuthorised("update", h -> {
			if(h.result())
				doSomething(context);
			else {
				authFail(context);
			}
		});
	}
	
	private void addLiaotaHandler(RoutingContext context) {
		context.user().isAuthorised("add", h -> {
			if(h.result())
				doSomething(context);
			else {
				authFail(context);
			}
		});
	}
	
	private void deleteLiaotaHandler(RoutingContext context) {
		context.user().isAuthorised("delete", h -> {
			if(h.result())
				doSomething(context);
			else {
				authFail(context);
			}
		});
	}
	
	private void doSomething(RoutingContext context){
		System.out.println("鉴权通过,进行业务逻辑处理。");
		JsonObject json = new JsonObject();
		json.put("success", true).put("message", "业务处理完成。");
		context.request().response().headers().set("Content-Type", "text/html; charset=UTF-8");
		context.request().response().end(json.toString());
	}
	
	private void authFail(RoutingContext context){
		JsonObject json = new JsonObject();
		json.put("success", false).put("message", "无此权限。");
		context.request().response().headers().set("Content-Type", "text/html; charset=UTF-8");
		context.request().response().end(json.toString());
	}

}

 pom.xml需要引入:

<dependencies>
		<dependency>
			<groupId>io.vertx</groupId>
			<artifactId>vertx-core</artifactId>
			<version>3.4.2</version>
		</dependency>
		<dependency>
			<groupId>io.vertx</groupId>
			<artifactId>vertx-web</artifactId>
			<version>3.4.2</version>
		</dependency>
		<dependency>
			<groupId>io.vertx</groupId>
			<artifactId>vertx-auth-shiro</artifactId>
			<version>3.4.2</version>
		</dependency>
		<dependency>
			<groupId>org.apache.tomcat</groupId>
			<artifactId>tomcat-jdbc</artifactId>
			<version>8.5.11</version>
		</dependency>
		<dependency>
			<groupId>org.apache.tomcat</groupId>
			<artifactId>tomcat-juli</artifactId>
			<version>8.5.11</version>
		</dependency>
		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
			<version>5.1.26</version>
		</dependency>
	</dependencies>

shiro restful vertx

SenGeZi

SenGeZi

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

在使用shiro做权限控制的一个系统中,其中有一个页面需要配置为无需登录就能访问,配置方法如下。这里配置的意思就是所有人都能直接访问 /test 这个路径,但是实际访问时,却报如下错误:

杜鲁门 2020-11-05

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

luckyxl0 2020-08-16

windows10风格 springboot mybatis 项目框架源码 shiro flowable工作流

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

Dullonjiang 2020-08-09

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf 2020-08-03

不用 Spring Security 可否?试试这个小而美的安全框架

写在前面在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Ses

MicroBoy 2020-08-02

springboot windows10风格 工作流 整合项目框架源码 shiro

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

ganjing 2020-08-02

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。public abstract class CachingRealm implements

likesyour 2020-08-01

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

zmzmmf 2020-07-09

Spring Security 从入门到实战

Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权。本片文章将讲述Security入门到项目实战使用。其中包括简单的登录和项目常用的权限管理,权限校验有两种方式、角色资源校验、URL校验,如果有

MicroBoy 2020-07-05

springcloud vue.js 微服务 分布式 flowable 工作流 前后分离 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

zzhao 2020-06-26

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

子云 2020-06-18

shiro java 反序列漏洞复现

返回值中能在set-cookie很明显看到rememberme=deleteme 这个的字段,那么很有可能存在shiro漏洞。运行shiro.py根据域名生成payload,后面的网址就是上一步生成的域名,前面自己加上http://头。复制payload,

visionzheng 2020-06-07

Spring Security

Spring家族的安全管理框架,竞品是Shiro。虽然Security功能比Shiro强大,但Spring Boot出现之前,Security的整合比较麻烦,使得大部分项目选择使用Shiro。Spring Boot对于Spring Security提供了自

neweastsun 2020-06-04

SpringBoot11:集成Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Cryptography:加密,使用密码学

ErixHao 2020-06-03

Shiro+JWT 实现权限管理(一)--Shiro

再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.之前那篇

GDreams0 2020-06-01

springboot整合shiro

Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。

ganjing 2020-05-29

Java项目源码 考试系统 springboot mybaits vue.js 前后分离跨域 shiro 权限

34. 成绩管理:可以根据条件检索考生成绩,分值排序逆序,查看排名,查看考生试卷信息,查看试题统计图。列表动态滑动放大展示。

zmzmmf 2020-05-28

shiro配置登录验证(前后端分离项目)

本次只是记录一下启用shiro配置过程遗忘掉的几个关键点,首先项目是前后端分离的后台,提供json格式的接口数据,但又是一个web项目,现在要控制登录之后才能使用1、ShiroFilterFactoryBean我这里是一个自定义的,继承ShiroFilte

nullcy 2020-05-26

30分钟学会如何使用Shiro

要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例:。token可以理解为用户令牌,登录的过程被抽象为S

ganjing 2020-05-22
SenGeZi

SenGeZi

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号