有具体问题的可以参考之前的关于shiro的博文,关于shiro的博文均是一次工程的内容 !
认证策略:
修改认证策略:
applicationContext.xml
<!-- 认证器 -->
<bean id="autheniicator"
class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
<property name="realms">
<list>
<ref bean="jdbcRealm"/>
<ref bean="SecondRealm"/>
</list>
</property>
<!-- 认证策略 -->
<property name="authenticationStrategy">
<bean class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"></bean>
</property>
</bean>
授权:
授权之前的小说明:
此时的访问并没有问题:
注:在做授权的时候需要在securityManager 中读取realms
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="cacheManager" ref="cacheManager"/> <property name="authenticator" ref="autheniicator"></property> <property name="realms"> <list> <ref bean="jdbcRealm"/> <ref bean="SecondRealm"/> </list> </property> </bean>
代码开始
新建一个类
list.sjp页面中
<body> list. <br> <a href="admin.jsp">TO Admin</a> <br> <a href="user.jsp">TO User</a> <br> <a href="shiro/logout">Logout</a> </body>
applicationContext.jsp
<!-- 配置那些页面需要受保护,以及访问这些页面需要的的权限 1)anon 可以被匿名访问 2)authc 必须认证即登陆后才可以访问的页面 3).logout登出 4)roles 角色过滤器 --> <property name="filterChainDefinitions"> <value> /login.jsp = anon /shiro/login = anon /shiro/logout = logout /user.jsp = roles[user] /admin.jsp = roles[admin] # everything else requires authentication: /** = authc </value> </property>
此时点击访问user.jsp/admin.jsp的超链接都会去没有权限访问的页面
授权流程:
需要实现AuthorizingRealm的.....
public abstract class AuthorizingRealm extends AuthenticatingRealm implements Authorizer, Initializable, PermissionResolverAware, RolePermissionResolverAware
AuthorizingRealm继承AuthenticatingRealm,但是没有实现AuthenticatingRealm的doGetAuthenticationInfo的方法
所以认证和授权只需要继承AuthorizingRealm就可以了,同时实现它的两个抽象方法
public class ShiroReamlTest extends AuthorizingRealm{ //授权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // TODO Auto-generated method stub return null; } //加密 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // TODO Auto-generated method stub return null; } }
授权需要继承的类以及实现的方法
实现:
public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException { 。。。。。。。 } //授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { System.out.println(principals); //1.PrincipalCollection获取登陆的用户信息 Object principal = principals.getPrimaryPrincipal(); System.out.println(principal); //2.利用登陆的用户信息获取当前用户角色的权限 Set<String> roles = new HashSet<String>(); roles.add("user"); if("admin".equals(principal)){ roles.add("admin"); } //3.创建SimpleAuthorizationInfo,并且设置其reles属性 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles); //4. return info; } }
此时的设置之后 是可以成功访问的!