Shiro

概述

shiro是什么

Apache Shiro 是一個(gè)功能強(qiáng)大且易于使用的 Java 安全(權(quán)限)框架。Shiro 可以完成：認(rèn)證、授權(quán)、加密、會(huì)話管理、與 Web 集成、緩存 等。借助 Shiro 您可以快速輕松地保護(hù)任何應(yīng)用程序——從最小的移動(dòng)應(yīng)用程序到最大的 Web 和企業(yè)應(yīng)用程序。

為什么要用

自 2003 年以來(lái)，框架格局發(fā)生了相當(dāng)大的變化，因此今天仍然有很多系統(tǒng)在使用 Shiro。這與 Shiro 的特性密不可分。

• 易于使用：使用 Shiro 構(gòu)建系統(tǒng)安全框架非常簡(jiǎn)單。就算第一次接觸也可以快速掌握。
• 全面：Shiro 包含系統(tǒng)安全框架需要的功能，滿足安全需求的“一站式服務(wù)”。
• 靈活：Shiro 可以在任何應(yīng)用程序環(huán)境中工作。雖然它可以在 Web、EJB 和 IoC 環(huán)境中工作，但不需要依賴它們。Shiro 也沒(méi)有強(qiáng)制要求任何規(guī)范，甚至沒(méi)有很多依賴項(xiàng)。
• 強(qiáng)力支持 Web：Shiro 具有出色的 Web 應(yīng)用程序支持，可以基于應(yīng)用程序 URL 和 Web 協(xié)議（例如 REST）創(chuàng)建靈活的安全策略，同時(shí)還提供一組 JSP 庫(kù)來(lái)控制頁(yè)面輸出。
• 兼容性強(qiáng)：Shiro 的設(shè)計(jì)模式使其易于與其他框架和應(yīng)用程序集成。Shiro 與 Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin 等框架無(wú)縫集成。
• 社區(qū)支持：Shiro 是 Apache 軟件基金會(huì)的一個(gè)開(kāi)源項(xiàng)目，有完備的社區(qū)支持，文檔支持。如果需要，像 Katasoft 這樣的商業(yè)公司也會(huì)提供專(zhuān)業(yè)的支持和服務(wù)。

與 SpringSecurity 的對(duì)比

1. Spring Security 基于 Spring 開(kāi)發(fā)，項(xiàng)目若使用 Spring 作為基礎(chǔ)，配合 Spring Security 做權(quán)限更加方便，而 Shiro 需要和 Spring 進(jìn)行整合開(kāi)發(fā)；
2. Spring Security 功能比 Shiro 更加豐富些，例如安全維護(hù)方面；
3. Spring Security 社區(qū)資源相對(duì)比 Shiro 更加豐富；
4. Shiro 的配置和使用比較簡(jiǎn)單，Spring Security 上手復(fù)雜些；
5. Shiro 依賴性低，不需要任何框架和容器，可以獨(dú)立運(yùn)行.Spring Security 依賴 Spring 容器；
6. shiro 不僅僅可以使用在 web 中，它可以工作在任何應(yīng)用環(huán)境中。在集群會(huì)話時(shí) Shiro 最重要的一個(gè)好處或許就是它的會(huì)話是獨(dú)立于容器的。

基本功能

介紹

1. Authentication：身份認(rèn)證/登錄，驗(yàn)證用戶是不是擁有相應(yīng)的身份；
2. Authorization：授權(quán)，即權(quán)限驗(yàn)證，驗(yàn)證某個(gè)已認(rèn)證的用戶是否擁有某個(gè)權(quán)限；即判斷用 戶是否能進(jìn)行什么操作，如：驗(yàn)證某個(gè)用戶是否擁有某個(gè)角色。或者細(xì)粒度的驗(yàn)證某個(gè)用戶 對(duì)某個(gè)資源是否具有某個(gè)權(quán)限；
3. Session Manager：會(huì)話管理，即用戶登錄后就是一次會(huì)話，在沒(méi)有退出之前，它的 所有 信息都在會(huì)話中；會(huì)話可以是普通 JavaSE 環(huán)境，也可以是 Web 環(huán)境的；
4. Cryptography：加密，保護(hù)數(shù)據(jù)的安全性，如密碼加密存儲(chǔ)到數(shù)據(jù)庫(kù)，而不是明文存儲(chǔ)；
5. Web Support：Web 支持，可以非常容易的集成到 Web 環(huán)境；
6. Caching：緩存，比如用戶登錄后，其用戶信息、擁有的角色/權(quán)限不必每次去查，這樣可 以提高效率；
7. Concurrency：Shiro 支持多線程應(yīng)用的并發(fā)驗(yàn)證，即如在一個(gè)線程中開(kāi)啟另一個(gè)線程，能把權(quán)限自動(dòng)傳播過(guò)去；
8. Testing：提供測(cè)試支持；
9. Run As：允許一個(gè)用戶假裝為另一個(gè)用戶（如果他們?cè)试S）的身份進(jìn)行訪問(wèn)；
10. Remember Me：記住我，這個(gè)是非常常見(jiàn)的功能，即一次登錄后，下次再來(lái)的話不用登錄了

原理

Shiro 架構(gòu)(外部)

從外部來(lái)看 Shiro ，即從應(yīng)用程序角度的來(lái)觀察如何使用Shiro 完成工作

• Shiro 架構(gòu)
• Subject：應(yīng)用代碼直接交互的對(duì)象是 Subject，也就是說(shuō) Shiro 的對(duì)外 API 核心 就是 Subject。Subject 代表了當(dāng)前“用戶”， 這個(gè)用戶不一定 是一個(gè)具體的人，與當(dāng) 前應(yīng)用交互的任何東西都是 Subject，如網(wǎng)絡(luò)爬蟲(chóng)， 機(jī)器人等；與 Subject 的所有交互 都會(huì)委托給 SecurityManager； Subject 其實(shí)是一個(gè)門(mén)面，SecurityManager 才是實(shí)際的執(zhí)行者；
• SecurityManager：安全管理器；即所有與安全有關(guān)的操作都會(huì)與 SecurityManager交互；且其管理著所有 Subject；可以看出它是 Shiro 的核心，它負(fù)責(zé)與 Shiro 的其他組件進(jìn)行交互，它相當(dāng)于 SpringMVC 中 DispatcherServlet 的角色
• Realm：Shiro 從 Realm 獲取安全數(shù)據(jù)（如用戶、角色、權(quán)限），就是說(shuō)SecurityManager 要驗(yàn)證用戶身份，那么它需要從 Realm 獲取相應(yīng)的用戶 進(jìn)行比較以確定用戶身份是否合法；也需要從 Realm 得到用戶相應(yīng)的角色/ 權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作；可以把 Realm 看成 DataSource

shiro架構(gòu)(內(nèi)部)

• Subject：任何可以與應(yīng)用交互的“用戶”；
• SecurityManager ：相當(dāng)于 SpringMVC 中的 DispatcherServlet；是 Shiro 的心臟； 所有具體的交互都通過(guò) SecurityManager 進(jìn)行控制；它管理著所有 Subject、且負(fù)責(zé)進(jìn) 行認(rèn)證、授權(quán)、會(huì)話及緩存的管理。
• Authenticator：負(fù)責(zé) Subject 認(rèn)證，是一個(gè)擴(kuò)展點(diǎn)，可以自定義實(shí)現(xiàn)；可以使用認(rèn)證策略（Authentication Strategy），即什么情況下算用戶認(rèn)證通過(guò)了；
• Authorizer：授權(quán)器、即訪問(wèn)控制器，用來(lái)決定主體是否有權(quán)限進(jìn)行相應(yīng)的操作；即控制著用戶能訪問(wèn)應(yīng)用中的哪些功能；
• Realm：可以有 1 個(gè)或多個(gè) Realm，可以認(rèn)為是安全實(shí)體數(shù)據(jù)源，即用于獲取安全實(shí)體的；可以是 JDBC 實(shí)現(xiàn)，也可以是內(nèi)存實(shí)現(xiàn)等等；由用戶提供；所以一般在應(yīng)用中都需要實(shí)現(xiàn)自己的 Realm；
• SessionManager：管理 Session 生命周期的組件；而 Shiro 并不僅僅可以用在 Web環(huán)境，也可以用在如普通的 JavaSE 環(huán)境
• CacheManager：緩存控制器，來(lái)管理如用戶、角色、權(quán)限等的緩存的；因?yàn)檫@些數(shù)據(jù) 基本上很少改變，放到緩存中后可以提高訪問(wèn)的性能
• Cryptography：密碼模塊，Shiro 提高了一些常見(jiàn)的加密組件用于如密碼加密/解密。

使用

環(huán)境搭建

引入依賴

<dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.9.0</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>
</dependencies>

ini文件

[users]
fate=zero
fuck=me

登錄認(rèn)證

登錄認(rèn)證概念

1. 身份驗(yàn)證：一般需要提供如身份ID等一些標(biāo)識(shí)信息來(lái)表明登錄者的身份，如提供email，用戶名/密碼來(lái)證明。
2. 在shiro中，用戶需要提供principals（身份）和credentials（證明）給shiro，從而應(yīng)用能驗(yàn)證用戶身份：
3. principals：身份，即主體的標(biāo)識(shí)屬性，可以是任何屬性，如用戶名、郵箱等，唯一即可。一個(gè)主體可以有多個(gè)principals，但只有一個(gè)Primary principals，一般是用戶名/郵箱/手機(jī)號(hào)。
4. credentials：證明/憑證，即只有主體知道的安全值，如密碼/數(shù)字證書(shū)等。
5. 最常見(jiàn)的principals和credentials組合就是用戶名/密碼

登錄認(rèn)證基本流程

1. 收集用戶身份/憑證，即如用戶名/密碼
2. 調(diào)用 Subject.login 進(jìn)行登錄，如果失敗將得到相應(yīng) 的 AuthenticationException異常，根據(jù)異常提示用戶 錯(cuò)誤信息；否則登錄成功
3. 創(chuàng)建自定義的 Realm 類(lèi)，繼承 org.apache.shiro.realm.AuthenticatingRealm類(lèi),實(shí)現(xiàn) doGetAuthenticationInfo() 方法

實(shí)例

四步走:

1. 初始化獲取SecurityManager
2. 獲取subject對(duì)象
3. 創(chuàng)建token對(duì)象，web應(yīng)用用戶名密碼從頁(yè)面?zhèn)鬟f
4. 完成登錄

@Test
    void login(){
//        1.初始化獲取SecurityManager
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
//        2.獲取subject對(duì)象
        Subject subject = SecurityUtils.getSubject();
//        3.創(chuàng)建token對(duì)象，web應(yīng)用用戶名密碼從頁(yè)面?zhèn)鬟f
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("fate", "zero");
//        4.完成登錄
        subject.login(usernamePasswordToken);
        System.out.println(usernamePasswordToken);
    }

角色,授權(quán)

授權(quán)概念

1. 授權(quán)，也叫訪問(wèn)控制，即在應(yīng)用中控制誰(shuí)訪問(wèn)哪些資源（如訪問(wèn)頁(yè)面/編輯數(shù)據(jù)/頁(yè)面 操作等）。在授權(quán)中需了解的幾個(gè)關(guān)鍵對(duì)象：主體（Subject）、資源（Resource）、權(quán)限 （Permission）、角色（Role）。
2. 主體(Subject)：訪問(wèn)應(yīng)用的用戶，在 Shiro 中使用 Subject 代表該用戶。用戶只有授權(quán) 后才允許訪問(wèn)相應(yīng)的資源。
3. 資源(Resource)：在應(yīng)用中用戶可以訪問(wèn)的 URL，比如訪問(wèn) JSP 頁(yè)面、查看/編輯 某些 數(shù)據(jù)、訪問(wèn)某個(gè)業(yè)務(wù)方法、打印文本等等都是資源。用戶只要授權(quán)后才能訪問(wèn)。
4. 權(quán)限(Permission)：安全策略中的原子授權(quán)單位，通過(guò)權(quán)限我們可以表示在應(yīng)用中用戶 有沒(méi)有操作某個(gè)資源的權(quán)力。即權(quán)限表示在應(yīng)用中用戶能不能訪問(wèn)某個(gè)資源，如：訪問(wèn)用 戶列表頁(yè)面查看/新增/修改/刪除用戶數(shù)據(jù)（即很多時(shí)候都是CRUD（增查改刪）式權(quán)限控 制）等。權(quán)限代表了用戶有沒(méi)有操作某個(gè)資源的權(quán)利，即反映在某個(gè)資源上的操作允不允 許。
5. Shiro 支持粗粒度權(quán)限（如用戶模塊的所有權(quán)限）和細(xì)粒度權(quán)限（操作某個(gè)用戶的權(quán)限， 即實(shí)例級(jí)別的）
6. 角色(Role)：權(quán)限的集合，一般情況下會(huì)賦予用戶角色而不是權(quán)限，即這樣用戶可以擁有 一組權(quán)限，賦予權(quán)限時(shí)比較方便。典型的如：項(xiàng)目經(jīng)理、技術(shù)總監(jiān)、CTO、開(kāi)發(fā)工程師等 都是角色，不同的角色擁有一組不同的權(quán)限

授權(quán)方式

編程式:

subject.hasRole("admin")

注解式:

@RequiresRoles("admin")

JSP/GSP 標(biāo)簽:

<shiro:hasRole name="admin">
    
</shiro:hasRole>

授權(quán)流程

1. 首先調(diào)用Subject.isPermitted*/hasRole*接口，其會(huì)委托給SecurityManager，而SecurityManager接著會(huì)委托給 Authorizer；
2. Authorizer是真正的授權(quán)者，如果調(diào)用如isPermitted(“user:view”)，其首先會(huì)通過(guò)PermissionResolver把字符串轉(zhuǎn)換成相應(yīng)的Permission實(shí)例；
3. 在進(jìn)行授權(quán)之前，其會(huì)調(diào)用相應(yīng)的Realm獲取Subject相應(yīng)的角色/權(quán)限用于匹配傳入的角色/權(quán)限；
4. Authorizer會(huì)判斷Realm的角色/權(quán)限是否和傳入的匹配，如果有多個(gè)Realm，會(huì)委托給ModularRealmAuthorizer進(jìn)行循環(huán)判斷，如果匹配如isPermitted*/hasRole* 會(huì)返回 true，否則返回false表示授權(quán)失敗

實(shí)例

    @Test
    void testLogin(){
        //        1.初始化獲取SecurityManager
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        assert securityManager != null;
        SecurityUtils.setSecurityManager(securityManager);
//        2.獲取subject對(duì)象
        Subject subject = SecurityUtils.getSubject();
//        3.創(chuàng)建token對(duì)象，web應(yīng)用用戶名密碼從頁(yè)面?zhèn)鬟f
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("fate", "zero");
//        4.完成登錄
        subject.login(usernamePasswordToken);
        System.out.println(usernamePasswordToken);
        System.out.println("admin:"+subject.hasRole("admin"));
        System.out.println("root:"+subject.hasRole("root"));
        System.out.println("user:"+subject.hasRole("user"));
        System.out.println("user:add:"+subject.isPermitted("user:add"));
        System.out.println("user:update:"+subject.isPermitted("user:update"));
       
 //        無(wú)此權(quán)限直接拋出異常
        subject.checkPermission("user:update");

加密

實(shí)際系統(tǒng)開(kāi)發(fā)中，一些敏感信息需要進(jìn)行加密，比如說(shuō)用戶的密碼。Shiro 內(nèi)嵌很多 常用的加密算法，比如 MD5 加密。Shiro 可以很簡(jiǎn)單的使用信息加密。

@Test
void testMD5(){
    String password = "password";
    Md5Hash md5Hash = new Md5Hash(password);
    System.out.println("md5Hash = " + md5Hash.toHex());
    Md5Hash saltMd5Hash = new Md5Hash(password, "salt");
    System.out.println("saltMd5Hash = " + saltMd5Hash);
    Md5Hash saltMd5Hash3 = new Md5Hash(password, "salt", 3);
    System.out.println("saltMd5Hash3 = " + saltMd5Hash3);
    SimpleHash simpleHash = new SimpleHash("MD5", password, "salt", 3);
    System.out.println("simpleHash = " + simpleHash);
    assert simpleHash.equals(saltMd5Hash3);
}

自定義登陸認(rèn)證

Shiro 默認(rèn)的登錄認(rèn)證是不帶加密的，如果想要實(shí)現(xiàn)加密認(rèn)證需要自定義登錄認(rèn)證， 自定義 Realm。

public class MyRealm extends AuthenticatingRealm {

    /**
     * 自定義的登錄認(rèn)證方法，Shiro 的  login 方法底層會(huì)調(diào)用該類(lèi)的認(rèn)證方法完成登錄認(rèn)證
     * 需要配置自定義的  realm 生效，在  ini 文件中配置，或  Springboot 中配置
     * 該方法只是獲取進(jìn)行對(duì)比的信息，認(rèn)證邏輯還是按照  Shiro 的底層認(rèn)證邏輯完成認(rèn)證
     * @param token 令牌
     * @return {@link AuthenticationInfo}
     * @throws AuthenticationException 身份驗(yàn)證異常
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//        1 獲取身份信息
        String principal = token.getPrincipal().toString();
        System.out.println("principal = " + principal);


//        2 獲取憑證信息
        String credentials = new String((char[]) token.getCredentials());
        System.out.println("credentials = " + credentials);

//        3 獲取數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶信息
        if("fate".equals(principal)) {
            String pwd = "dda5359be921db4f73a69223ec264c11";
            return new SimpleAuthenticationInfo(
                    token.getPrincipal(),
                    pwd,
                    ByteSource.Util.bytes("salt"), principal);
        }
//        4 創(chuàng)建封裝校驗(yàn)邏輯對(duì)象
        return null;
    }
}

添加配置信息,讓shiro知曉你使用的是自定義的Realm

[main]
2、在shiro.ini中添加配置信息
md5CredentialsMatcher=org.apache.shiro.authc.cre 
dential.Md5CredentialsMatcher
md5CredentialsMatcher.hashIterations=3
myrealm=com.atguigu.shirotest.MyRealm
myrealm.credentialsMatcher=$md5CredentialsMatcher
securityManager.realms=$myrealm
[users]
zhangsan=7174f64b13022acd3c56e2781e098a5f,role1, 
role2
lisi=l4 
[roles]
role1=user:insert,user:select

整合springboot

框架整合

1. 引入依賴

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.2.1.RELEASE</version>
    </parent>
<dependencies>
	<dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring-boot-web-starter</artifactId>
        <version>1.9.0</version>
    </dependency>
    <!--mybatis-plus-->
    <dependency>
        <groupId>com.baomidou</groupId>
        <artifactId>mybatis-plus-boot-starter</artifactId>
        <version>3.0.5</version>
    </dependency>
    <!--mysql-->
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>5.1.46</version>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
</dependencies>

2. 配置文件

# mybatis配置
mybatis-plus:
  configuration:
  # 日志
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
  mapper-locations: classpath:mapper/*.xml


spring:
# 數(shù)據(jù)庫(kù)配置
  datasource:
    type: com.zaxxer.hikari.HikariDataSource
    driver-class-name: com.mysql.jdbc.Driver
    url: jdbc:mysql://localhost:3306/shirodb?characterEncoding=utf-8&useSSL=false
    password: password
    username: username
# json格式
  jackson:
    date-format: yyyy-MM-dd HH:mm:ss
    time-zone: GMT+8

shiro:
# 登錄接口
  loginUrl: /myController/login

3. 啟動(dòng)類(lèi)

@SpringBootApplication
@MapperScan("com.fate.shiro.mapper")
public class ShiroApplication {
    public static void main(String[] args) {
        SpringApplication.run(ShiroApplication.class, args);
    }
}

登錄認(rèn)證實(shí)現(xiàn)

后端接口服務(wù)實(shí)現(xiàn)

1. 數(shù)據(jù)庫(kù)表

create table user
(
    id   bigint auto_increment comment '編號(hào)'
        primary key,
    name varchar(30) null comment '用戶名',
    pwd  varchar(50) null comment '密碼',
    rid  bigint      null comment '角色編號(hào)'
)
    comment '用戶表' charset = utf8;

2. 生產(chǎn)實(shí)體與mapper/service

   這里我使用的是mybatisx插件一鍵生成

3. 編寫(xiě)userservice(此處只寫(xiě)明impl)

   @Service
   public class UserServiceImpl extends ServiceImpl<UserMapper, User>
       implements UserService{
   
       /**
        * 根據(jù)用戶名得到用戶信息
        *
        * @param name 名字
        * @return {@link User}
        */
       @Override
       public User getUserInfoByName(String name) {
           LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
           queryWrapper.eq(User::getName,name);
           return baseMapper.selectOne(queryWrapper);
       }
   }
   

4. 自定義realm

   @Component
   public class MyRealm extends AuthorizingRealm {
   
       @Autowired
       private UserService userService;
       /**
        * 自定義授權(quán)
        *
        * @param principals 權(quán)限
        * @return {@link AuthorizationInfo}
        */
       @Override
       protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
           return null;
       }
   
   
       /**
        * 自定義身份驗(yàn)證
        *
        * @param token 令牌
        * @return {@link AuthenticationInfo}
        * @throws AuthenticationException 身份驗(yàn)證異常
        */
       @Override
       protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
   //        1. 獲取用戶身份信息
           String name = token.getPrincipal().toString();
   //        2. 調(diào)用業(yè)務(wù)層獲取用戶信息
           User user = userService.getUserInfoByName(name);
   //        3. 非空判斷,將數(shù)據(jù)封裝返回
           if (user != null) {
               return new SimpleAuthenticationInfo(
                       token.getPrincipal(),
                       user.getPwd(),
                       ByteSource.Util.bytes("salt"),
                       name
               );
           }
           return null;
       }
   }
   

5. 配置類(lèi)

   @Slf4j
   @Configuration
   public class ShiroConfig {
       @Autowired
       private MyRealm myRealm;
   
       @Bean
       public DefaultWebSecurityManager defaultWebSecurityManager() {
   //        1. 創(chuàng)建DefaultWebSecurityManager對(duì)象
           DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
   //        2. 創(chuàng)建加密對(duì)象,配置相關(guān)屬性
           HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
   //          2.1  加密
           matcher.setHashAlgorithmName("md5");
           matcher.setHashIterations(3);
   //        3. 將加密對(duì)象存儲(chǔ)到myRealm中
           myRealm.setCredentialsMatcher(matcher);
   //        4. 將myRealm存入DefaultWebSecurityManager對(duì)象
           defaultWebSecurityManager.setRealm(myRealm);
   //        5. 返回DefaultWebSecurityManager
           log.info("DefaultWebSecurityManager 初始化成功");
           return defaultWebSecurityManager;
       }
   
       @Bean
       public DefaultShiroFilterChainDefinition shiroFilterChainDefinition(){
           DefaultShiroFilterChainDefinition defaultShiroFilterChainDefinition = new DefaultShiroFilterChainDefinition();
   //        無(wú)需認(rèn)證
           defaultShiroFilterChainDefinition.addPathDefinition("/myController/userLogin","anon");
           defaultShiroFilterChainDefinition.addPathDefinition("/login","anon");
   //        需要認(rèn)證
           defaultShiroFilterChainDefinition.addPathDefinition("/**","authc");
           return defaultShiroFilterChainDefinition;
       }
   
   }
   

6. 編寫(xiě)controller

   @RestController
   @RequestMapping("myController")
   public class MyController {
   
       /**
        * 登錄
        * @param username 用戶名
        * @param password 密碼
        * @return {@link String}
        */
       @GetMapping("userLogin")
       public String login(@RequestParam("username") String username, @RequestParam("password") String password){
           Subject subject = SecurityUtils.getSubject();
           UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
           try{
               subject.login(usernamePasswordToken);
               return "success";
           }catch (Exception e) {
               e.printStackTrace();
               return "error";
           }
       }
   }
   

整合前端

1. 在編寫(xiě)login.html

   <!DOCTYPE html>
   <html lang="en">
   <head>
       <meta charset="UTF-8">
       <title>Title</title>
   </head>
   <body>
       <h1>Shiro 登錄認(rèn)證</h1>
       <br>
       <form action="/myController/userLogin">
           <div>用戶名：<input type="text" name="name" value=""></div>
           <div>密碼：<input type="password" name="pwd" value=""></div>
           <div><input type="submit" value="登錄"></div>
       </form>
   </body>
   </html>
   

2. 添加main界面

   <!DOCTYPE html>
   <html lang="en" xmlns:th="http://www.thymeleaf.org">
   <head>
   <meta charset="UTF-8"> 
   <title>Title</title>
   </head> 
   <body>
   <h1> 
   <br>
   Shiro 登錄認(rèn)證后主頁(yè)面</h1>
   登錄用戶為： <span th:text="${session.user}"></span>
   </body>
   

3. 繼續(xù)編寫(xiě)controller

   //跳轉(zhuǎn)登錄頁(yè)面
   @GetMapping("login") 
   public String login(){ 
   	return "login"; 
   }
   //登錄認(rèn)證
   @GetMapping("userLogin")
   public String userLogin(String name, String pwd, HttpSession 
   session){
   //1 獲取  Subject 對(duì)象
   	Subject subject = SecurityUtils.getSubject();
   //2 封裝請(qǐng)求數(shù)據(jù)到 token 對(duì)象中
   	AuthenticationToken token = new 		UsernamePasswordToken(name,pwd); 
   //3 調(diào)用  login 方法進(jìn)行登錄認(rèn)證
   	try {
   		subject.login(token);
   			session.setAttribute("user",token.getPrincipal().toString()); 
   		return "main";
   	} catch (AuthenticationException e) { 
   		e.printStackTrace();
   		System.out.println("登錄失敗"); 
   	return "登錄失敗";
   	} 
   }
   

多個(gè) realm 的認(rèn)證策略設(shè)置

實(shí)現(xiàn)原理

當(dāng)應(yīng)用程序配置多個(gè) Realm 時(shí)，例如：用戶名密碼校驗(yàn)、手機(jī)號(hào)驗(yàn)證碼校驗(yàn)等等。 Shiro 的 ModularRealmAuthenticator 會(huì)使用內(nèi)部的AuthenticationStrategy 組件判斷認(rèn)證是成功還是失敗。
AuthenticationStrategy 是一個(gè)無(wú)狀態(tài)的組件，它在身份驗(yàn)證嘗試中被詢問(wèn) 4 次（這 4 次交互所需的任何必要的狀態(tài)將被作為方法參數(shù)）：

1. 在所有 Realm 被調(diào)用之前
2. 在調(diào)用 Realm 的 getAuthenticationInfo 方法之前
3. 在調(diào)用 Realm 的 getAuthenticationInfo 方法之后
4. 在所有 Realm 被調(diào)用之后

認(rèn)證策略的另外一項(xiàng)工作就是聚合所有 Realm 的結(jié)果信息封裝至一個(gè)AuthenticationInfo 實(shí)例中，并將此信息返回，以此作為 Subject 的身份信息。
Shiro 中定義了 3 種認(rèn)證策略的實(shí)現(xiàn)：

ModularRealmAuthenticator 內(nèi)置的認(rèn)證策略默認(rèn)實(shí)現(xiàn)是 AtLeastOneSuccessfulStrategy 方式。可以通過(guò)配置修改策略

代碼實(shí)現(xiàn)

@Bean
public DefaultWebSecurityManager defaultWebSecurityManager(){ 
//1 創(chuàng)建  defaultWebSecurityManager 對(duì)象
	DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
//2 創(chuàng)建認(rèn)證對(duì)象，并設(shè)置認(rèn)證策略
	ModularRealmAuthenticator modularRealmAuthenticator = new 
ModularRealmAuthenticator();
	modularRealmAuthenticator.setAuthenticationStrategy(new 
AllSuccessfulStrategy());
	defaultWebSecurityManager.setAuthenticator(modularRealmAuthenticator) 
;
//3 封裝  myRealm 集合
    List<Realm> list = new ArrayList<>(); 
	list.add(myRealm);
	list.add(myRealm2);
//4 將 myRealm 存入 defaultWebSecurityManager 對(duì)象
	defaultWebSecurityManager.setRealms(list);
//5 返回
	return defaultWebSecurityManager;
}

remember me

Shiro 提供了記住我（RememberMe）的功能，比如訪問(wèn)一些網(wǎng)站時(shí)，關(guān)閉了瀏覽器， 下次再打開(kāi)時(shí)還是能記住你是誰(shuí)， 下次訪問(wèn)時(shí)無(wú)需再登錄即可訪問(wèn)。

基本流程

1. 首先在登錄頁(yè)面選中 RememberMe 然后登錄成功；如果是瀏覽器登錄，一般會(huì) 把 RememberMe 的 Cookie 寫(xiě)到客戶端并保存下來(lái)；
2. 關(guān)閉瀏覽器再重新打開(kāi)；會(huì)發(fā)現(xiàn)瀏覽器還是記住你的；
3. 訪問(wèn)一般的網(wǎng)頁(yè)服務(wù)器端，仍然知道你是誰(shuí)，且能正常訪問(wèn)；
4. 但是，如果我們?cè)L問(wèn)電商平臺(tái)時(shí)，如果要查看我的訂單或進(jìn)行支付時(shí)，此時(shí)還是需要再進(jìn)行身份認(rèn)證的，以確保當(dāng)前用戶還是你。

代碼實(shí)現(xiàn)

修改配置類(lèi)

@Configuration
public class ShiroConfig {
    @Autowired
    private MyRealm myRealm;

    //配置 SecurityManager
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager() {
//1 創(chuàng)建  defaultWebSecurityManager 對(duì)象
        DefaultWebSecurityManager defaultWebSecurityManager = new
                DefaultWebSecurityManager();
//2 創(chuàng)建加密對(duì)象，并設(shè)置相關(guān)屬性 
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
//2.1 采用  md5 加密
        matcher.setHashAlgorithmName("md5");
//2.2 迭代加密次數(shù)
        matcher.setHashIterations(3);
//3 將加密對(duì)象存儲(chǔ)到  myRealm 中
        myRealm.setCredentialsMatcher(matcher);
//4 將  myRealm 存入 defaultWebSecurityManager 對(duì)象 
        defaultWebSecurityManager.setRealm(myRealm);
//4.5 設(shè)置  rememberMe
        defaultWebSecurityManager.setRememberMeManager(rememberMeManager());
//5 返回
        return defaultWebSecurityManager;
    }

    //cookie 屬性設(shè)置
    public SimpleCookie rememberMeCookie() {
        SimpleCookie cookie = new SimpleCookie("rememberMe");
//設(shè)置跨域
//cookie.setDomain(domain);
        cookie.setPath("/");
        cookie.setHttpOnly(true);
        cookie.setMaxAge(30 * 24 * 60 * 60);
        return cookie;
    }

    //創(chuàng)建 Shiro 的  cookie 管理對(duì)象
    public CookieRememberMeManager rememberMeManager() {
        CookieRememberMeManager cookieRememberMeManager = new
                CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        cookieRememberMeManager.setCipherKey("1234567890987654".getBytes());
        return cookieRememberMeManager;
    }

    //配置 Shiro 內(nèi)置過(guò)濾器攔截范圍
    @Bean
    public DefaultShiroFilterChainDefinition
    shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition definition = new
                DefaultShiroFilterChainDefinition();
//設(shè)置不認(rèn)證可以訪問(wèn)的資源
        definition.addPathDefinition("/myController/userLogin", "anon");
        definition.addPathDefinition("/myController/login", "anon");
//設(shè)置需要進(jìn)行登錄認(rèn)證的攔截范圍
        definition.addPathDefinition("/**", "authc");
//添加存在用戶的過(guò)濾器（rememberMe） 
        definition.addPathDefinition("/**", "user");
        return definition;
    }
}

修改controller

@GetMapping("userLogin")
    public String userLogin(String name, String pwd, @RequestParam(defaultValue =
            "false") boolean rememberMe, HttpSession session) {
//1 獲取  Subject 對(duì)象
        Subject subject = SecurityUtils.getSubject();
//2 封裝請(qǐng)求數(shù)據(jù)到  token 對(duì)象中
        AuthenticationToken token = new UsernamePasswordToken(name, pwd, rememberMe);
//3 調(diào)用  login 方法進(jìn)行登錄認(rèn)證
        try {
            subject.login(token);
            session.setAttribute("user", token.getPrincipal().toString());
            return "main";
        } catch (AuthenticationException e) {
            e.printStackTrace();
            System.out.println("登錄失敗");
            return "登錄失敗";
        }
    }

    //登錄認(rèn)證驗(yàn)證  rememberMe
    @GetMapping("userLoginRm")
    public String userLogin(HttpSession session) {
        session.setAttribute("user", "rememberMe");
        return "main";
    }

改造login頁(yè)面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <h1>Shiro 登錄認(rèn)證</h1>
    <br>
    <form action="/myController/userLogin">
        <div>用戶名：<input type="text" name="name" value=""></div>
        <div>密碼：<input type="password" name="pwd" value=""></div>
        <div>記住用戶：<input type="checkbox" name="rememberMe" value="true"></div>
        <div><input type="submit" value="登錄"></div>
    </form>
</body>
</html>

退出登陸

用戶登錄后，配套的有登出操作。直接通過(guò)Shiro過(guò)濾器即可實(shí)現(xiàn)登出

代碼實(shí)現(xiàn)

1. 修改main.html

<body>
<h1>Shiro 登錄認(rèn)證后主頁(yè)面</h1> 
<br>
登錄用戶為：<span th:text="${session.user}"></span> 
<br>
<a href="/logout">登出</a> 
</body>

2. 配置類(lèi)中添加logout過(guò)濾器

@Bean
public DefaultShiroFilterChainDefinition shiroFilterChainDefinition(){ 
DefaultShiroFilterChainDefinition definition = new 
DefaultShiroFilterChainDefinition();
//設(shè)置不認(rèn)證可以訪問(wèn)的資源
definition.addPathDefinition("/myController/userLogin","anon"); 
definition.addPathDefinition("/myController/login","anon"); 
//配置登出過(guò)濾器
definition.addPathDefinition("/logout","logout"); 
//設(shè)置需要進(jìn)行登錄認(rèn)證的攔截范圍
definition.addPathDefinition("/**","authc"); 
//添加存在用戶的過(guò)濾器（rememberMe） 
definition.addPathDefinition("/**","user"); 
return  definition;
}

授權(quán)、角色認(rèn)證

用戶登錄后，需要驗(yàn)證是否具有指定角色指定權(quán)限。Shiro也提供了方便的工具進(jìn)判

這個(gè)工具就是Realm的doGetAuthorizationInfo方法進(jìn)行判斷。觸發(fā)權(quán)限判斷的有兩種:

1. 在頁(yè)面中通過(guò)shiro:屬性判斷
2. 在接口服務(wù)中通過(guò)注解@Requires進(jìn)行判斷

后端接口服務(wù)注解

通過(guò)給接口服務(wù)方法添加注解可以實(shí)現(xiàn)權(quán)限校驗(yàn)，可以加在控制器方法上，也可以加
在業(yè)務(wù)方法上，一般加在控制器方法上。常用注解如下：

1. @RequiresAuthentication
   驗(yàn)證用戶是否登錄，等同于方法subject.isAuthenticated()

2. @RequiresUser
   驗(yàn)證用戶是否被記憶：
   登錄認(rèn)證成功subject.isAuthenticated()為true
   登錄后被記憶subject.isRemembered()為true

3. @RequiresGuest
   驗(yàn)證是否是一個(gè)guest的請(qǐng)求，是否是游客的請(qǐng)求
   此時(shí)subject.getPrincipal()為null

4. @RequiresRoles
   驗(yàn)證subject是否有相應(yīng)角色，有角色訪問(wèn)方法，沒(méi)有則會(huì)拋出異常
   AuthorizationException。
   例如：@RequiresRoles(“aRoleName”)
   void someMethod();
   只有subject有aRoleName角色才能訪問(wèn)方法someMethod()

5. @RequiresPermissions
   驗(yàn)證subject是否有相應(yīng)權(quán)限，有權(quán)限訪問(wèn)方法，沒(méi)有則會(huì)拋出異常
   AuthorizationException。
   例如：

   @RequiresPermissions (“file:read”,”wite:aFile.txt”)
   void someMethod();
   subject必須同時(shí)含有file:read和wite:aFile.txt權(quán)限才能訪問(wèn)方someMethod()

授權(quán)驗(yàn)證-獲取角色進(jìn)行驗(yàn)證

1. 修改MyRealm

   @Override
   protected AuthorizationInfo 
   doGetAuthorizationInfo(PrincipalCollection principalCollection) { 
   	System.out.println("進(jìn)入自定義授權(quán)方法");
   //1 創(chuàng)建對(duì)象，存儲(chǔ)當(dāng)前登錄的用戶的權(quán)限和角色
   	SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 
   //2 存儲(chǔ)角色
   	info.addRole("admin"); 
   //返回
   	return info; 
   }
   

2. 添加數(shù)據(jù)庫(kù)表

   CREATE TABLE `role` (
       `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '編號(hào)', 
   	`name` VARCHAR(30) DEFAULT NULL COMMENT '角色名',
   	`desc` VARCHAR(50) DEFAULT NULL COMMENT '描述',
   	`realname` VARCHAR(20) DEFAULT NULL COMMENT '角色顯示名', 
   	PRIMARY KEY (`id`)
   ) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COMMENT='角色表';
   
   CREATE TABLE `role_user` (
   `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '編號(hào)', 
   `uid` BIGINT(20)  DEFAULT NULL COMMENT '用戶  id',
   `rid` BIGINT(20)  DEFAULT NULL COMMENT '角色  id', 
   PRIMARY KEY (`id`)
   ) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COMMENT='角色用戶映射表';
   

3. mapper

   @Repository
   public interface UserMapper extends BaseMapper<User> {
   @Select("SELECT NAME FROM role WHERE id IN (SELECT rid FROM 
   role_user WHERE uid=(SELECT id FROM USER WHERE NAME=#{principal}))")
   List<String> getUserRoleInfoMapper(@Param("principal") String 
   principal);
   }
   

4. service

   @Override
   public List<String> getUserRoleInfo(String principal) { 
   return userMapper.getUserRoleInfoMapper(principal);
   }
   

5. MyRealm 方法改造

   @Override
   protected AuthorizationInfo 
   doGetAuthorizationInfo(PrincipalCollection principalCollection) {
       System.out.println("進(jìn)入自定義授權(quán)方法"); 
   //獲取當(dāng)前用戶身份信息
   String principal = 
   principalCollection.getPrimaryPrincipal().toString();
   //調(diào)用接口方法獲取用戶的角色信息
   List<String> roles = userService.getUserRoleInfo(principal); 
   System.out.println("當(dāng)前用戶角色信息："+roles);
   //創(chuàng)建對(duì)象，存儲(chǔ)當(dāng)前登錄的用戶的權(quán)限和角色
   SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 
   //存儲(chǔ)角色
   }
   info.addRoles(roles);
   //返回 
   return info;
   }
   

授權(quán)驗(yàn)證-獲取權(quán)限進(jìn)行驗(yàn)證

1. 添加數(shù)據(jù)庫(kù)表

   CREATE TABLE `permissions` (
   `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '編號(hào)', 
   `name` VARCHAR(30) DEFAULT NULL COMMENT '權(quán)限名',
   `info` VARCHAR(30) DEFAULT NULL COMMENT '權(quán)限信息', 
   `desc` VARCHAR(50) DEFAULT NULL COMMENT '描述', 
   PRIMARY KEY (`id`)
   ) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COMMENT='權(quán)限表';
   
   CREATE TABLE `role_ps` (
   `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '編號(hào)', 
   `rid` BIGINT(20)  DEFAULT NULL COMMENT '角色  id',
   `pid` BIGINT(20)  DEFAULT NULL COMMENT '權(quán)限  id', 
   PRIMARY KEY (`id`)
   ) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COMMENT='角色權(quán)限映射表';
   
   

2. mapper

   @Select({
   "<script>",
   "select info FROM permissions WHERE id IN ", 
   "(SELECT pid FROM role_ps WHERE rid IN (", 
   "SELECT id FROM role WHERE NAME IN ",
   "<foreach collection='roles' item='name' open='(' separator=',' close=')'>",
   "#{name}", 
   "</foreach>", 
   "))",
   "</script>"
   })
   List<String> getUserPermissionInfoMapper(@Param("roles")List<String> 
   roles);
   

3. service

   @Override
   public List<String> getUserPermissionInfo(List<String> roles) { 
   return userMapper.getUserPermissionInfoMapper(roles);
   }
   

4. MyRealm

   //自定義授權(quán)方法：獲取當(dāng)前登錄用戶權(quán)限信息，返回給 Shiro 用來(lái)進(jìn)行授權(quán)對(duì)比
   @Override
   protected AuthorizationInfo 
   doGetAuthorizationInfo(PrincipalCollection principalCollection) { 
   System.out.println("進(jìn)入自定義授權(quán)方法");
   //獲取當(dāng)前用戶身份信息
   String principal = 
   principalCollection.getPrimaryPrincipal().toString();
       //調(diào)用接口方法獲取用戶的角色信息
   List<String> roles = userService.getUserRoleInfo(principal); 
   System.out.println("當(dāng)前用戶角色信息："+roles);
   //調(diào)用接口方法獲取用戶角色的權(quán)限信息
   List<String> permissions = 
   userService.getUserPermissionInfo(roles);
   System.out.println("當(dāng)前用戶權(quán)限信息："+permissions); 
   //創(chuàng)建對(duì)象，存儲(chǔ)當(dāng)前登錄的用戶的權(quán)限和角色
   SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 
   //存儲(chǔ)角色
   info.addRoles(roles);
   //存儲(chǔ)權(quán)限信息
   info.addStringPermissions(permissions);
   //返回 
   return info;
   }
   

5. controller

   //登錄認(rèn)證驗(yàn)證權(quán)限
   @RequiresPermissions("user:delete") 
   @GetMapping("userPermissions")
   @ResponseBody
   public String userLoginPermissions() { 
   System.out.println("登錄認(rèn)證驗(yàn)證權(quán)限"); 
   return "驗(yàn)證權(quán)限成功";
   }
   

6. main.html

   <body>
   <h1>Shiro 登錄認(rèn)證后主頁(yè)面</h1> 
   <br>
   登錄用戶為：<span th:text="${session.user}"></span> 
   <br>
   <a href="/logout">登出</a> 
   <br>
   <a href="/myController/userLoginRoles">測(cè)試授權(quán)-角色驗(yàn)證</a> 
   <br>
   <a href="/myController/userPermissions">測(cè)試授權(quán)-權(quán)限驗(yàn)證</a> 
   </body>
   

前端頁(yè)面授權(quán)驗(yàn)證

添加依賴

<dependency>
<groupId>com.github.theborakompanioni</groupId> 
<artifactId>thymeleaf-extras-shiro</artifactId> 
<version>2.0.0</version>
</dependency>

配置類(lèi)

用于解析 thymeleaf 中的 shiro:相關(guān)屬性

@Bean
public ShiroDialect shiroDialect(){
return new ShiroDialect(); 
}

Thymeleaf 中常用的 shiro:屬性

1. guest 標(biāo)簽

   <shiro:guest>
   </shiro:guest>
   

   用戶沒(méi)有身份驗(yàn)證時(shí)顯示相應(yīng)信息，即游客訪問(wèn)信息。

2. user 標(biāo)簽

   <shiro:user> 
   </shiro:user>
   
   

   用戶已經(jīng)身份驗(yàn)證/記住我登錄后顯示相應(yīng)的信息。

3. authenticated 標(biāo)簽

   <shiro:authenticated> 
   </shiro:authenticated>
   

   用戶已經(jīng)身份驗(yàn)證通過(guò)，即 Subject.login 登錄成功，不是記住我登錄的。

4. notAuthenticated 標(biāo)簽

   <shiro:notAuthenticated> 
   </shiro:notAuthenticated>
   

   用戶已經(jīng)身份驗(yàn)證通過(guò)，即沒(méi)有調(diào)用 Subject.login 進(jìn)行登錄，包括記住我自動(dòng)登錄的
   也屬于未進(jìn)行身份驗(yàn)證。

5. principal 標(biāo)簽

   <shiro: principal/>
   <shiro:principal property="username"/>
   

   相當(dāng)于((User)Subject.getPrincipals()).getUsername()。

6. lacksPermission 標(biāo)簽

   <shiro:lacksPermission name="org:create"> 
   </shiro:lacksPermission>
   

   如果當(dāng)前 Subject 沒(méi)有權(quán)限將顯示 body 體內(nèi)容。

7. hasRole 標(biāo)簽

   <shiro:hasRole name="admin"> 
   </shiro:hasRole>
   

   如果當(dāng)前 Subject 有角色將顯示 body 體內(nèi)容。

8. hasAnyRoles 標(biāo)簽

   <shiro:hasAnyRoles name="admin,user"> 
   </shiro:hasAnyRoles>
   

   如果當(dāng)前 Subject 有任意一個(gè)角色（或的關(guān)系）將顯示 body 體內(nèi)容。

9. lacksRole 標(biāo)簽

   <shiro:lacksRole name="abc"> 
   </shiro:lacksRole>
   

   如果當(dāng)前 Subject 沒(méi)有角色將顯示 body 體內(nèi)容。

10. hasPermission 標(biāo)簽

    <shiro:hasPermission name="user:create"> 
    </shiro:hasPermission>
    

    如果當(dāng)前 Subject 有權(quán)限將顯示 body 體內(nèi)容文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-400138.html

到了這里，關(guān)于[尚硅谷22版shiro]學(xué)習(xí)筆記的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！