人人开发--知识点记录

一、@RestController和@Controller区别

Controller, RestController的共同点

都是用来表示Spring某个类的是否可以接收HTTP请求

Controller, RestController的不同点

@Controller标识一个Spring类是Spring MVC controller处理器

@RestController： @RestController是@Controller和@ResponseBody的结合体，两个标注合并起来的作用。

如果只是使用@RestController注解Controller，则Controller中的方法无法返回jsp页面，配置的视图解析器InternalResourceViewResolver不起作用，返回的内容就是Return 里的内容。

例如：本来应该到success.jsp页面的，则其显示success.

如果需要返回到指定页面，则需要用 @Controller配合视图解析器InternalResourceViewResolver才行。
如果需要返回JSON，XML或自定义mediaType内容到页面，则需要在对应的方法上加上@ResponseBody注解。

二、@GetMapping和@RequestMapping的区别

@GetMapping：是@RequestMapping(method = RequestMethod.GET)的缩写。

@GetMapping("/list")

@PostMapping：是@RequestMapping(method = RequestMethod.POST)的缩写

@RequestMapping(method = RequestMethod.GET  ,value = "/list")

三、MyBatis-Plus 通用IService使用介绍

四、Mapper接口动态代理调用过程

三、什么是shiro？Shiro能干嘛？

四、Shiro 实现原理与源码解析系统

五、权限控制（Shiro 注解）

六、在Security中实现Shiro的@RequiresPermissions注解

七、APACHE SHIRO框架@REQUIRESPERMISSIONS源码分析

八、Shiro

shiro简介

**Subject：**主体，可以看到主体可以是任何可以与应用交互的“用户”；

// 登入
subject.login(token);
// 登出
subject.logout();
// 判断subject是否认证成功
subject.isAuthenticated();
// 判断subject是否具有admin和user两个角色权限,如没有则会报错
subject.checkRoles("admin", "user");
// 判断subject是否具有user:add权限
subject.checkPermission("user:add");

**SecurityManager：**Shiro的心脏；所有具体的交互都通过SecurityManager进行控制；负责所有Subject、且负责进行认证和授权、及会话、缓存的管理。
- Authenticator：认证器，判断用户是否正常登陆
- Authorizer：授权器，判断用户是否有权限操作资源

**Realms:**可以有一个或者多个,作用 Authentication 是用来验证用户身份，Authorization 是授权访问控制,在调用subject.login(token)方法的时候触发
1. 认证:从数据库查询出当前用户的密码与输入的密码进行比较,一致则通过认证
2. 授权:从数据库查询出当前用户所拥有的角色和权限,用户–>角色(一对多),角色–>权限(多对多)
3. 自定义Realms需要继承AuthorizingRealm ,重写doGetAuthenticationInfo和doGetAuthorizationInfo

**注意：**这里有一个坑，就是当我们想要使用RESTful风格返回给前台JSON数据的时候，这里有一个关于多对多无限循环的坑，比如当我们想要返回给前台一个用户信息时，由于一个用户拥有多个角色，一个角色又拥有多个权限，而权限跟角色也是多对多的关系，也就是造成了查用户→查角色→查权限→查角色→查用户… 这样的无限循环，导致传输错误，所以我们根据这样的逻辑在每一个实体类返回JSON时使用了一个@JsonIgnoreProperties注解，来排除自己对自己无线引用的过程，也就是打断这样的无限循环。

shiro使用过程

第一步,初始化SimpleAccountRealm将用户名和密码添加到一个Map<String, SimpleAccount> users中,将角色添加到 Map<String, SimpleRole> roles;permissions目前是空
```
SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();
simpleAccountRealm.addAccount("wmyskxz", "123456","admin", "user");
```
第二步,

// 1.构建SecurityManager环境
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
defaultSecurityManager.setRealm(simpleAccountRealm);// 2.主体提交认证请求
SecurityUtils.setSecurityManager(defaultSecurityManager);
// 设置SecurityManager环境
Subject subject = SecurityUtils.getSubject(); // 获取当前主体UsernamePasswordToken token = new UsernamePasswordToken("wmyskxz", "123456");

从数据库中获取角色和权限

// 调用登录接口会触发doGetAuthenticationInfo方法进行认证
subject.login(token);
//doGetAuthenticationInfo方法认证开始-----------
// 1.从主体传过来的认证信息中，获得用户名
String userName = (String) authenticationToken.getPrincipal();
// 2.通过用户名到数据库中获取凭证
String password = getPasswordByUserName(userName);
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo("wmyskxz", password, "myRealm");
return authenticationInfo;
//doGetAuthenticationInfo方法认证完成-------------// 调用doGetAuthorizationInfo进行授权============
// 模拟数据库中获取角色
Set<String> roles = new HashSet<>();
roles.add("admin");
roles.add("user");
// 模拟数据库中获取权限
Set<String> permissions = new HashSet<>();
permissions.add("user:delete");
permissions.add("user:add");simpleAuthorizationInfo.setStringPermissions(permissions);
simpleAuthorizationInfo.setRoles(roles);
// 放入SimpleAuthorizationInfo中完成授权=====================

关于SimpleAuthenticationInfo

判断是否具有权限

// 判断subject是否具有admin和user两个角色权限,如没有则会报错
subject.checkRoles("admin", "user");
// 判断subject是否具有user:add权限
subject.checkPermission("user:add");
// subject.isAuthenticated()方法返回一个boolean值,用于判断用户是否认证成功
subject.isAuthenticated() //true

登出

// 登出
subject.logout();
// 返回false
subject.isAuthenticated();

Shiro 加密

加盐 + 多次加密

既然相同的密码 md5 一样，那么我们就让我们的原始密码再加一个随机数，然后再进行 md5 加密，这个随机数就是我们说的盐(salt)，这样处理下来就能得到不同的 Md5 值，当然我们需要把这个随机数盐也保存进数据库中，以便我们进行验证。

另外我们可以通过多次加密的方法，即使黑客通过一定的技术手段拿到了我们的密码 md5 值，但它并不知道我们到底加密了多少次，所以这也使得破解工作变得艰难。

在 Shiro 框架中，对于这样的操作提供了简单的代码实现：

String password = "123456";String salt = new SecureRandomNumberGenerator().nextBytes().toString();int times = 2;  // 加密次数：2String alogrithmName = "md5";   // 加密算法String encodePassword = new SimpleHash(alogrithmName, password, salt, times).toString();System.out.printf("原始密码是 %s , 盐是： %s, 运算次数是： %d, 运算出来的密文是：%s ",password,salt,times,encodePassword);

输出：

原始密码是 123456 , 盐是： f5GQZsuWjnL9z585JjLrbQ==, 运算次数是： 2, 运算出来的密文是：55fee80f73537cefd6b3c9a920993c25

Shiro配置

@Configurationpublic class ShiroConfig {    @Bean    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {        System.out.println("ShiroConfiguration.shirFilter()");        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();        shiroFilterFactoryBean.setSecurityManager(securityManager);        // 拦截器.        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();        // 配置不会被拦截的链接 顺序判断        filterChainDefinitionMap.put("/static/**", "anon");        // 配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了        filterChainDefinitionMap.put("/logout", "logout");        // <!-- 过滤链定义，从上向下顺序执行，一般将/**放在最为下边 -->:这是一个坑呢，一不小心代码就不好使了;        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->        filterChainDefinitionMap.put("/**", "authc");        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面        shiroFilterFactoryBean.setLoginUrl("/login");        // 登录成功后要跳转的链接        shiroFilterFactoryBean.setSuccessUrl("/index");        //未授权界面;        shiroFilterFactoryBean.setUnauthorizedUrl("/403");        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);        return shiroFilterFactoryBean;    }    /**     * 凭证匹配器     * （由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了）     *     * @return     */    @Bean    public HashedCredentialsMatcher hashedCredentialsMatcher() {        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();        hashedCredentialsMatcher.setHashAlgorithmName("md5"); // 散列算法:这里使用MD5算法;        hashedCredentialsMatcher.setHashIterations(2); // 散列的次数，比如散列两次，相当于 md5(md5(""));        return hashedCredentialsMatcher;    }    @Bean    public MyShiroRealm myShiroRealm() {        MyShiroRealm myShiroRealm = new MyShiroRealm();        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());        return myShiroRealm;    }    @Bean    public SecurityManager securityManager() {        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();        securityManager.setRealm(myShiroRealm());        return securityManager;    }    /**     * 开启shiro aop注解支持.     * 使用代理方式;所以需要开启代码支持;     *     * @param securityManager     * @return     */    @Bean    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();        advisor.setSecurityManager(securityManager);        return advisor;    }    @Bean(name = "simpleMappingExceptionResolver")    public SimpleMappingExceptionResolver    createSimpleMappingExceptionResolver() {        SimpleMappingExceptionResolver r = new SimpleMappingExceptionResolver();        Properties mappings = new Properties();        mappings.setProperty("DatabaseException", "databaseError"); // 数据库异常处理        mappings.setProperty("UnauthorizedException", "403");        r.setExceptionMappings(mappings);  // None by default        r.setDefaultErrorView("error");    // No default        r.setExceptionAttribute("ex");     // Default is "exception"        //r.setWarnLogCategory("example.MvcLogger");     // No default        return r;    }}

Apache Shiro 的核心通过 Filter 来实现，就好像 SpringMvc 通过 DispachServlet 来主控制一样。既然是使用 Filter 一般也就能猜到，是通过URL规则来进行过滤和权限校验，所以我们需要定义一系列关于URL的规则和访问权限。

Filter Chain定义说明：

1、一个URL可以配置多个Filter，使用逗号分隔
2、当设置多个过滤器时，全部验证通过，才视为通过
3、部分过滤器可指定参数，如perms，roles

Shiro内置的FilterChain，因表格显示问题，麻烦移步简书观看完整版…

anon:所有url都都可以匿名访问
authc: 需要认证才能进行访问
user:配置记住我或认证通过可以访问

Shiro自带的机制

// 通过username从数据库中查找 UserInfo 对象
// 实际项目中，这里可以根据实际情况做缓存，如果不做，Shiro自己也是有时间间隔机制，2分钟内不会重复执行该查询方法

Shiro的认证与授权流程解析

Shiro常见3种授权判断方式：

编码实现

Subject subject = SecurityUtils.getSubject();  if(subject.hasRole(“admin”)) {      //有权限  } else {      //无权限  }

注解实现

@RequiresRoles("admin")  public void hello() {      //有权限  }

JSP Taglig实现，freemarker等类似

<shiro:hasRole name="admin">  <!— 有权限 —>  </shiro:hasRole>

jsp页面引入shiro标签

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags"%>

获取当前会话总人数

@Autowired
private SessionDAO sessionDAO;
//获取会话数量
int size = sessionDAO.getActiveSessions().size()

强制下线

//强制退出
Session session = sessionDAO.readSession(subject.getSession().getId());
sessionDAO.delete(session);
// logout，可作为强制退出
subject.logout();
Assert.isTrue(!subject.isAuthenticated());

shiro拦截器与url匹配规则

拦截器和过滤器的区别